Hallo zusammen,
nun habe ich mich ja entschieden einen eigenen Blog zu starten. Als Software habe ich mich für WordPress entschieden. WordPress ist eine weit verbreitete Blog-Software.
Die Installation verlief sehr simpel. Erst habe ich sie lokal auf meinem Rechner installiert… ein wenig rumprobiert und diverse Plugins ausprobiert. Besonders wichtig war mir die Galerie, die standartmäßig nicht mit dabei ist. Aber das Plugin „NextGen Gallery“ machte einen ganz guten Eindruck und wenn man erst einmal verstanden hat wie sie funktioniert ist sie auch ganz nett.
Nun habe ich das ganze System gerade auf meinen Webspace geladen und es funktioniert wie geplant :)
Nun ist es ja leider so das man sich über die Sicherheit fast mehr sorgen machen muss als alles andere. Dazu habe ich gerade ein nettes Tutorial gefunden, welches ich gerade durchrocke. Es beinhaltet schon viele, wichtige, Schritte. Dazu werde ich noch ein paar eigene Ideen einbauen. Ich hoffe nur das ich bei den ganzen Sicherheitsmaßnamen nicht auch „echte“ User ausschließe. Falls doch möchte ich mich schon mal entschuldigen.
Falls meine eigenen Ideen funktionieren werde ich dazu auch noch mal etwas schreiben.
… so, Idee Nr. 1 ist installiert und funktioniert einwandfrei :)
Worum gehts? Ganz einfach. WordPress hat natürlich ein Backend um die Artikel zu verfassen (etc.pp.). Dieses Backend ist von Haus aus immer unter /wp-admin/ zu finden. Das ist allerdings nicht nur gut für den Benutzer, sondern auch Hacker und sonstige Bösewichte finden das toll. So müssen Sie nicht erst ewig nach dem Administrationsbereich suchen.
Leider ist es bei WordPress nicht damit getan das Verzeichnis einfach umzubennen. Denn in vielen Dateien wird auf genau dieses Verzeichnis verwiesen und eine zentrale Konfigurationsvariable gibts leider nicht. Also muss man alle Dateien abklappern und die Pfadangeben manuell ändern. Zum Glück gibts kleine Helferlein die das für einen in Sekunden erledigen. Ein solch Helferlein ist z.B. InfoRapid.
Aufzupassen ist dabei das Sie nach „wp-admin“ suchen und durch den neuen Verzeichnispfad (z.B. „meinadmin“) ersetzen. Nach dem durchlauf muss gleich noch einer gestartet werden, da auch so einige CSS-Dateien „umbenannt“ wurden. Also muss danach nach „meinadmin.“ gesucht werden und durch „wp-admin.“ ersetzt werden. Dann stimmen die CSS-Dateinamen wieder.
Somit kann man das Backend-Verzeichnis umbenennen. Soweit ist das schon mal eine tolle Sache und ein Schritt in Richtung Sicherheit. Da nun aber das Backend-Verzeichnis nicht mehr vorhanden ist, die Bösewichte aber gern danach suchen, kam mir gleich noch der Gedanke einen drauf zu setzen.
Wem das Projekt „Spider Trap“ bekannt ist, der weiß vielleicht was ich meine :) Für alle die es nicht kennen erkläre ich es kurz. Suchmaschinen setzen sogenannte Bots ein um das Internet zu durchsuchen und zu indexieren. Bots sind Softwaregesteuerte Maschinen die selbstständig ihre Arbeit verrichten. Da es aber auch Inhalte im Internet sind die, aus welchen Gründen auch immer, nicht in Suchmaschinen auftauchen sollen gibts es Regeln an die sich die Bots halten müssen. Diese Regeln werden, unter anderem, in der Datei „robots.txt“ festgehalten. Nun gibt es leider auch hier Bots (meist von kleinen Suchmaschinen) die sich nicht an diese Regeln halten oder schlichtweg ignorieren. Bots kommen auch nicht immer von Suchmaschinen. Auch Hacker bauen sich solche Bots um Standartsystem aufzuspüren und auszukundschaften.
Soweit dazu. Das Projekt „Spider Trap“ stellt diesen Bots eine Falle in dem Sie eine Regel aufstellen die besagt das ein Bot ein bestimmtes Verzeichnis nicht „betreten“ darf. Gute Bots halten sich an diese Regel und fassen das Verzeichnis nicht an. Böse Bots jedoch werden gerade versuchen genau dieses Verzeichnis aufzurufen und tappen damit in die Falle. Sie werden vom System registriert und schlichtweg ausgeschlossen. Dies geschieht über eine IP-Sperre.
(Anm. Die IP ist einzigartig und somit kann man einen Rechner eindeutig identifizieren. Bei normalen Internetusern wechselt diese jedoch des öfteren (normalerweise bei jeder neuen Internetverbindung). Bots sind aber meist auf Webservern installiert und deren IP muss immer gleich sein.)
Nun zum Plan: Wir haben nun das Verzeichnis „wp-admin“, in dem normalerweise das Administrationsmenü von WordPress liegt, „frei“ gemacht. Dieser Verzeichnisname ist frei. Ich habe es neu angelegt und die „Bot-Falle“ darin installiert. Damit werden nicht nur die bösen Bots darin gefangen sondern auch gleich noch ein paar andere böse Buben. Leider bringt das nur bei automatisierten Scripten etwas. Denn die Bot-Falle kann auch wieder aufgelöst werden. Wenn nun ein Mensch versucht hat mein System auszuspähen dann kann er sich allein wieder „befreien“.
Warum das so ist? Ganz einfach. Wenn ein Benutzer meines System ausversehen selbst in die Falle gegangen ist (was ich mir eigentlich nicht vorstellen kann wie das passieren soll, aber kann ja vorkommen), dann wäre es überaus übel wenn er dort nicht wieder rauskommt und meine Seite nicht mehr anschauen kann. So muss er einen Code eingeben und kommt wieder aus der Falle raus.
Wie oben schon angesprochen ändern sich bei normalen Internetnutzern die IP nach einer weile. So kann es auch vorkommen das ein böser Benutzer in meine Falle getappt ist, sich aus dem Internet abmeldet und somit seine IP wieder frei wird. Nun wählt sich irgend ein anderer Benutzer ins Internet ein, bekommt die IP des bösen Benutzers und will ganz zufällig auch meine Seiten besuchen so ist er gleich gesperrt, denn er hat ja jetzt die IP des anderen, bösen, Benutzers.
Naja, bei mir funktioniert das ganze erst einmal. Vielleicht setze ich mich selbst mal an das Script von „Spider Trap“ und tüftel mal dran rum. Es gibt da noch ein paar Ideen die man einbauen könnte. Vielleicht wenn ich Zeit habe.
Sonnige Grüße
Gordon
Letzte Kommentare