Schon etwas länger geplant und nun auch endlich auch die Zeit dazu gefunden: Die kleine Aufräumaktion hier im Blog
Zunächst habe ich alle nicht mehr genutzten Plugins sowie zwei Test-Themes gelöscht, warum sollte man denn auch alten Code mitschleppen, der überhaupt nicht mehr genutzt wird? Ein schöner Nebeneffekt dadurch ist, dass auch das potentielle Angriffs- und Einbruchsrisiko durch ein unsicheres Plugin verringert wird.
Danach folgte ein Update der PHP-Version von zuletzt PHP 5.2.17 direkt auf die aktuellste Version 5.3.8
Da ich bereits eine individuelle PHP.INI-Datei mit einigen Anpassungen für PHP 5 verwende, funktioniert diese ohne Anpassung weiterhin. Lediglich zwei Änderungen habe ich vorgenommen, die mehr oder weniger eine zusätzliche Sicherheit bieten (sollen):
allow_url_include = Off
expose_php = Off
Der zweite Wert verhindert dabei lediglich, dass die eingesetzte PHP-Version bei Anfragen an den Webserver nicht mehr übermittelt wird. Hebelt sich das durch die Ankündigung der eingesetzten Version hier im Blog eigentlich wieder aus? Naja egal, es schadet auch nichts, diese Einstellunge gesetzt zu haben. Weiterhin gesetzt bleibt
allow_url_fopen = Off
Die nachfolgend ebenfalls schon vorhandenen Einstellungen sind mit PHP > 5.3.0 deprecated und damit hinfällig, stehen aber erstmal weiterhin in meiner PHP.INI-Datei:
safe_mode_gid = On
register_globals = Off
Details zu allen Funktionen finden sich übrigens in der Funktionsreferenz von PHP.
Abschließend habe ich endlich vor die Loginseite des Admins und Redakteurs noch einen .htaccess-Passwortschutz aktiviert.
Admins, die WordPress ursprünglich in einer Version unter der 3.0 installiert und seitdem immer brav (Das hoffe ich doch?!) geupdatet haben, sollten sich übrigens die Config-Datei ansehen und prüfen, ob alle acht nachstehenden Einträge in dieser vorhanden und auch mit einem individuellen Key versehen sind. (siehe hierzu auch: http://doku.wordpress-deutschland.org/Upgrade#0._Versionsabh.C3.A4ngige_Hinweise)
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Schreibe einen Kommentar