WordPress Zugriffsrechte regulieren: Datei- und Verzeichnisse richtig schützen
WordPress als CMS, (Web)-Content-Management-System, verwaltet nicht nur Blogs (Blogsystem: hier hatte WordPress seinen Ursprung), sondern auch beliebige Internetauftritte von Unternehmen, Vereinen oder auch Privatpersonen. Hierbei verfügt WordPress über eine ausgesprochen gute Software-Ergonomie. Eine wordpressbasierte Webseite lässt sich einfach gestalten und pflegen. Auch ohne tiefere Programmierkenntnisse!
Nach der Installation von WordPress ist es besonders wichtig den Zugriff auf Dateien und Verzeichnisse von WordPress zu regulieren, bzw. zu schützen. So können kriminelle und schadhafte Besucher und Programme ferngehalten werden. Zum Regulieren der Datei- und Verzeichnisrechte ist ein FTP-Programm erforderlich.
Die Rechte beziehen sich auf die Attribute Lesen, Schreiben und Ausführen bei:
- Besitzern
- Gruppen
- Öffentlichkeit
Meistens benötigt WordPress nur lesenden Zugriff. Hierbei gibt es jedoch Ausnahmen, wenn Sie z.B. Bilder oder Erweiterungen hochladen möchten. Einen Überblick und genaue Anforderungen bietet das Installationsverzeichnis von WordPress.
In der Regel sollten nach der Installation von WordPress alle Dateien und Verzeichnisse gelesen, aber nicht ausgeführt werden können. Möchten Sie Plugins nutzen oder andere Themes einspielen, müssen die Rechte des jeweiligen Verzeichnisses angepasst werden: Bei Plugins wäre dies das Verzeichnis plugins. Bei Themes wären die Rechte des Verzeichnisses themes zu ändern.
Auch die Sprache kann angepasst werden, hierfür das Verzeichnis languages anpassen.
Nummerische Werte kennen und Zugriffsrechte regulieren
Die Zugriffsrechte werden oft als nummerischer Wert ausgegeben:
Lesen = 4
Schreiben = 2
Ausführen = 1
Wenn man das Recht lesen und schreiben möchte, dann addiert man die Werte einfach:
Lesen (4) Schreiben (2) = 6
777 ist das höchst mögliche zu vergebene Recht. Vorsicht ist hierbei geboten! Insbesondere ausführen ist gefährlich, da hochgeladene Dateien bösartig sein können. Z.B. könnten Kennwörter ausgelesen werden.
Kriminelle und Schadprogramme von der eigenen Installation von WordPress fernhalten
Zwar bietet das umfangreiche Security Plugin Wordfence als Grundbasis kostenlos Schutz für WordPress. Jedoch lässt es sich aber auch zur Premiumversion, für noch mehr Schutzbarrieren und Security-Optionen, upgraden. Zudem verfügt Wordfence über eine Firewall und scannt auf Sicherheitslücken und Schadcode. Zum Beispiel bietet die Premiumversion mit API-Key zusätzlich die Blockierung ganzer Länder oder eine 2-Faktor-Authentifizierung an.
Das Plugin WP Limit Login Attempts schützt zudem vor potentiellen Angreifern, die über das Login versuchen sich Zugang zur Webseite zu verschaffen. Nach mehrmaligen falschen Eingaben der geforderten Daten, wird die IP der Angreifer für einen gewissen Zeitraum gesperrt.
Zudem bietet auch dieses Plugin eine Grundbasis kostenlos für WordPress. Zusätzlich besteht die Möglichkeit, ein kostenpflichtiges Upgrade zur Premiumversion mit mehr Funktionen vorzunehmen.
Nun, was bedeuten die WordPress Benutzerrollen und ihre unterschiedlichen Ge- und Verbote?
Die verschiedenen WordPress Benutzerrechte genauer erklärt