WordPress

Wenn man weiß, dass in der Gegend Diebe unterwegs sind, lässt man seine Haustür nach Möglichkeit nicht sperrangelweit offen stehen.

Oder doch?

Im öffentlichen Internet sind 'Diebe' ('Hacker') unterwegs.
Jeden Tag, jede Stunde, jede Minute, jede Sekunde.
Für manche von uns ist das vielleicht schockierend, wenn sie es das erste Mal hören.
Aber es ist - leider - eine Tatsache.

Was kann man da tun?

Die erste Antwort: Die Haustür zumindest nicht sperrangelweit offen lassen.

Hacker suchen oft einfach nach veralteten Installationen mit bekannten Sicherheitslücken.

Gem. Beschluss des Senats der Universität gilt für selbstinstallierte Software im Web-Bereich folgendes Verfahren:

VERFÜGBARE UPDATES FÜR SELBSTINSTALLIERTE SOFTWARE MÜSSEN SPÄTESTENS 3 TAGE NACH DEREN ERSCHEINEN INSTALLIERT SEIN. Ansonsten sind wir gem. Senatsbeschluss gehalten, Ihren Web-Bereich zu sperren, um Sicherheit und Effizienz des Web-Hostings der Universität gewährleisten zu können. Eine Aufhebung der Sperre erfolgt umgehend, sobald Sie die Aktualisierung vorgenommen haben.
Bei selbstinstallierten Software-Paketen ist sicherzustellen, dass diese langfristig gewartet werden.

Wir empfehlen die Nutzung eines zentral gehosteten Systems.
Im Folgenden finden Sie das Vorgehen zur Aktualisierung eines selbstinstallierten WordPress-Systems auf einem VirtualHost der Universität Mainz. Nebenbei: wenn Sie die zentrale WordPress-Installation des ZDV nutzen, entfällt dieser Aufwand für Sie vollständig (darum kümmert sich dann das ZDV).

Sicherungsmaßnahmen

Gibt es im Installationsverzeichnis eine Datei mit dem Namen .htaccess? Falls nicht, legen Sie diese an. Fügen Sie in diese Datei folgenden Code ein:

<Files "wp-login.php">
Order Deny,Allow
Deny from All
Allow from .uni-mainz.de
</Files>

Erläuterung: Dies ist die effektivste mögliche Absicherung gegen Botnetz-Attacken von außen. Login ins Backend ist damit nur noch über das Netz der Universität möglich. Alle Redakteure können sich jedoch weiterhin von überall auf der Welt einloggen, wenn sie eine VPN-Verbindung oder einen Terminalserver nutzen.

Weitere Hinweise für eine sicherere Konfiguration von WordPress finden Sie in diesem Artikel hier - einfach umsetzbar ist darin z.B. 'Step 2 – Setting up a secure configuration file' und 'Step 3 – Setting up a secure administration', sowie in diesem Artikel von Mike Kuketz.

Einen sehr guten Überblick über die besten Sicherungsmaßnahmen für WordPress finden Sie außerdem auf: http://wpsecure.net/secure-wordpress-advanced/

WordPress aktualisieren

WordPress-Updates erscheinen in unregelmäßigen Abständen. Eine Übersicht über vergangene und zukünftige Versionen finden Sie z.B. hier.

Bitte beachten: Eine automatisierte Aktualisierung von WordPress über das Web-Dashboard bzw. über FTP ist auf den VirtualHosts des ZDV aus Sicherheitsgründen nicht möglich.

Sie benötigen daher Schreibzugriff für das Installationsverzeichnis auf dem jeweiligen VirtualHost. Verbinden Sie sich mit diesem Verzeichnis wie hier beschrieben.

Optional: Machen Sie vor dem Update ein Backup Ihrer WordPress-Datenbank, z.B. mit einem kostenlosen Tool wie HeidiSQL. Informationen zur Datenbank-Verbindung finden Sie in der Regel in der Datei wp-config.php im Installationsverzeichnis auf dem VirtualHost...

1. Laden Sie ein aktuelles WordPress herunter. Sie bekommen es als ZIP-Paket z.B. bei wordpress.org hier.
2. Entpacken Sie diese Zip-Datei mit einem Tool Ihrer Wahl (unter Windows 7 z.B. einfach durch Mausklick rechts auf die Datei -> Alle extrahieren.) Im Folgenden nennen wir dies den entpackten Download.
3. Löschen Sie die Verzeichnisse /wp-admin und /wp-includes im Installationsverzeichnis von WordPress auf dem VirtualHost. Ganz richtig: Diese beiden Verzeichnisse löschen. Vollständig.
4. Kopieren Sie die gleichnamigen Verzeichnisse aus dem entpackten Download an die gleiche Stelle auf dem VirtualHost, wo Sie deren Vorgänger gerade gelöscht haben.
5. Kopieren Sie das Verzeichnis /wp-content aus dem entpackten Download in das Installationsverzeichnis auf dem VirtualHost, so dass es den alten Ordner /wp-content überschreibt. Wichtig: Dieser Ordner darf nicht gelöscht, sondern nur mit den aktuellen Dateien aus dem entpackten Download überschrieben werden.
6. Kopieren Sie alle Dateien aus dem Basisverzeichnis (oberste Ebene: readme.html, license.txt usw. ...) des entpackten Downloads direkt in das Installationsverzeichnis von WordPress auf dem VirtualHost. Dabei werden ebenfalls die meisten Dateien überschrieben, d.h. durch die aktuelle Version ersetzt.
7. Loggen Sie sich danach mit dem Admin-Account in das WordPress-Dashboard ein wie immer. Wenn Sie aufgefordert werden, Ihr Blog auf Knopfdruck zu aktualisieren, tun Sie dies.
   Überprüfen Sie, ob die installierten Plugins noch funktionieren.

Plugins aktualisieren

ACHTUNG: Plugins enthalten häufig größere Sicherheitslücken als die eigentliche WP-Installation und sollten daher IMMER mit aktualisiert werden!

Das Vorgehen für die Plugin-Aktualisierung ist ähnlich: Laden Sie die aktuelle Version des Plugins herunter, entpacken Sie es und speichern Sie den entpackten Plugin-Ordner im Verzeichnis \wp-content\plugins des Installationsverzeichnisses - wobei alte Versionen durch die neue Version überschrieben werden.

Es ist nicht möglich, die Installation über die Webseite vorzunehmen (vom Dashboard aus)!

Jedwede Installation funktioniert nur über wordpress.org und manuelles Auspacken und Kopieren der Dateien zum Beispiel mit dem Windows-Dateiexplorer, und nicht per http!

Fehlerbehebung (error log)

Sollten während der Installation oder auch später Fehler passieren, bedenken Sie, daß Sie keinen Zugriff auf die Logdateien haben und Sie daher nicht effektiv Fehler beheben können.

Zu guter Letzt

Prüfen Sie demnächst in regelmäßigen Abständen, ob es wieder ein WordPress-Update gibt...

Vielen Dank für Ihre Aufmerksamkeit.