WordPress und die liebe Sicherheit

Eine nicht unbekannte und wohl auch nicht zu selten genutzte Sicherheitslücke in WordPress ist der Standardpräfix wp_. Aus Sicherheitsgründen sollte dieser also möglichst auf etwas abenteuerlicheres geändert werden, was u.a. auch von Plugins wie WP – Security Scan auf Wunsch automatisch übernommen wird.

So habe auch ich vorhin ebendieses Plugin dazu genutzt, den Präfix zu ändern. Dieses geht dann hin und benennt den alten wp_-Präfix in den vom User festgelegten neuen auf Datenbankebene um und ändert dies auch in der wp-config.php (entsprechende Rechte an Datenbank und FTP natürlich vorausgesetzt).

So viel zur Theorie. Kann das Plugin nun aber nicht in die wp-config schreiben und bricht an dieser Stelle ab, wie es bei mir der Fall war, ist die Datenbank bis zu diesem Zeitpunkt schonmal geändert. Die wp-config kann man dann ja manuell ändern, kein Problem. Aber das reicht leider nicht. Mein nächster Versuch, mein Backend zu betreten wurde nämlich mit einem “Du hast nicht ausreichend Rechte, um auf diese Seite zuzugreifen.” quittiert.

Shit! Und jetzt? Gut, dass es Leute wie Jan Häussler gibt, denen dasselbe passiert ist, und die es dann auch noch dokumentiert haben. In den Tabellen usermeta und options stehen nämlich nun immer noch Werte, die den alten Präfix enthalten.

Herausgerissenen haben es dann folgende Queries via phpMyAdmin:

UPDATE neuer.präfix_options SET option_name = REPLACE(option_name, 'alter.präfix', 'neuer.präfix');

und

UPDATE neuer.präfix_usermeta SET meta_key = REPLACE(meta_key, 'alter.präfix', 'neuer.präfix');

Dass die Werte ‘alter.präfix’ und ‘neuer.präfix’ entsprechend ersetzt werden müssen, muss wohl nicht erwähnt werden. Anschließend war die Welt dann für mich erstmal wieder in Ordnung.

Nur für den Fall, dass euch mal dasselbe passiert. ;)

Das soll jetzt übrigens nicht heissen, dass das o.g. Plugin schlecht ist! Ich hab keine Ahnung, was passiert wäre, hätte es komplett durchlaufen können. Eventuell hätte es die entsprechenden Einträge noch korrigiert, aber das werde ich jetzt wohl auch nicht mehr erfahren.




Share

Tags: , , , , , ,

Dieser Artikel wurde am 6. Juli 2009 (Montag) um 17:29 Uhr geschriebenund ist abgelegt unter Allgemein, Computer & Technik, Sicherheit, WordPress. Kommentare zu diesem Artikel können über den RSS 2.0 Feed abonniert werden. Du kannst einen Kommentar hinterlassen, oder von Deiner Webseite hierher verweisen.

6 Kommentare zu “WordPress und die liebe Sicherheit”

  • JürgenHugo Says:
    6. Juli 2009 um 21:08 Uhr

    “aber das werde ich jetzt wohl auch nicht mehr erfahren.”

    Jaja, manches bleibt auf ewig im Dunkeln… :hilfe:

    Und zu Sicherheit: sicher is man noch nich mal im Bett – weil man da rausfallen kann… :hurra:

    Antworten
  • Bella Says:
    14. Juli 2009 um 18:14 Uhr

    Hallöchen,

    ich habe gerade das gleiche Problem gehabt und da ich keine Erfahrung damit habe über die Datenbanken was zu ändern wollte ich mal ganz dumm nachfragen wie ich das denn machen muss.

    LG

    Bella

    Antworten
  • Mary Scott Says:
    21. Juli 2009 um 13:38 Uhr

    Zum Thema Sicherheit: da finde ich auch, dass übertrieben wird. Aber ein gewisser Datenschutz ist trotzdem sinnvoll.

    Antworten
  • Andi Says:
    7. Februar 2010 um 00:55 Uhr

    Ich denke man muss immer schauen das man einen guten Mittelweg findet beim Thema Sicherheit. Man soll sich nicht verrückt machen aber man soll schon auch schauen was man macht und wie man seinen Blog sicherhalten kann. Vor allem finde ich ist das Thema sicherheit etwas wichtiges wenn man auch einen eigenen Server hat und nicht "nur" auf einem Webspace seinen Blog hostet.

    Das Plugin WP Servurityscan benützte ich auch, aber wie gesagt ich denke auch man muss immer selber etwas aufpassen dann ist man auch schon einigermaßen sicher dabei. Nicht jeder Plugin installieren auch erst einmal etwas schauen was man macht. Auf jedne Fall ein sicheres Passwort benützten, denn das ist echt erschreckent was für Passwörter oft benützt werden. Und die Passwörter vom emailaccount und dem WordPress Loginnamen sollten verschieden sein. Außerdem sollte man immer mal wieder das Passwort ändern. Wenn Sicherheitslücken bekanntwerden und es noch keinen neuen Patch gibt in den einschlägigen Foren vorbei schauen was man dagegen machen kann etc.

    Antworten
  • Eric Says:
    10. April 2010 um 20:57 Uhr

    Also ich nutze WordPress schon ein paar Jahre und konnte bislang keine großen Sicherheitslücken bzw. Angriffe feststellen obwohl ich wirklich auch hochfrequentierte Blogs betrieben habe. Natürlich muss man beim Spam etwas aufpassen, weil einen sonst Google auch schnell nicht mehr lieb hat.

    Antworten
  • casino Says:
    13. Dezember 2010 um 12:34 Uhr

    Vielen Dank für die tolle Artikel

    Antworten

Hinterlasse einen Kommentar

* = Pflichtfeld

Kommentarvorschau

:) 
:D 
:( 
:eek: 
:shock: 
:confused: 
:lol: 
:x 
:P 
:ups: 
:cry: 
:evil: 
:twisted: 
:roll: 
;) 
:idee: 
:pfeil: 
:| 
:mrgreen: 
:XD: 
:DX: 
:ugly: 
:freu: 
:freu2: 
:motz: 
:lachtot: 
:irre: 
:hilfe: 
:wallbash: 
:gott: 
:zensur: 
:hurra: 
:skeptisch: 
:bravo: 
:pfeif: 
:ja: 
:nein: 
:maul: 
:doh: 
:girl: 
:winken: 
 
Smileys by GreenSmilies.com Verglichen mit dem Netz ist das Leben ein rechtsfreier Raum