Bei Caschy gerade drüber gestolpert und bei Filzo gibt es den technischen Hintergrund.
Die beste Möglichkeit, sich gegen diverse Attacken zu sichern, ist den /wp-admin/ Ordner komplett per .htaccess (Apache) oder mod_auth (Lighttpd) zu sichern.
Da mein Blog auf einem Lighttpd läuft, hier mal ein kurzer Überblick welche Schritte notwendig sind, um Angreifern das Leben etwas scherer zu machen. Die VHosts habe ich seperat in eine extra Config verlegt um bessere Übersicht zu erhalten. Sollten sich diese bei euch in der lighttpd.conf befinden, dann die Einträge dort einfügen.
In der lighttpd.conf muss erst einmal das Modul mod_auth aktiviert werden:
server.modules = ( [...] "mod_auth", [...]
In der entsprechenden Sektion für die VHosts folgende Einträge machen um eine einfache Plain Authentifizierung einzufügen:
auth.backend = "plain" auth.debug = 2 auth.backend.plain.userfile = "/etc/lighttpd/.lighttpdpasswd" auth.require = ( "/wp-admin/" => ( "method" => "basic", "realm" => ">Follow the white rabbit", "require"=> "user=ichbinadmin" ) ) }
Die Datei /etc/lighttpd/.lighttpdpasswd mit Inhalt füllen, die Rechte anpassen und den Webserver einmal durchstarten.
[root@yoda ~]# vim /etc/lighttpd/.lighttpdpasswd benutzername:passwort #Benutzername wie bei “requireâ€=> “user= angegeben
[root@yoda ~]# /etc/rc.d/lighttpd restart :: Stopping lighttpd daemon [DONE] :: Starting lighttpd daemon [DONE] [root@yoda ~]#
Ruft man nun http://euerblog/wp-admin/ auf, sollte eine zusätzliche Passwortabfrage das Wordpress Backend schützen.
Dies ist aber nur die simpelste Art ein Verzeichnis zu schützen. Für weitere Mod-Auth Methoden schaut euch den Wiki Eintrag an.
![[Tutorial]Archlinux Webserver Lighttpd/MySQL/PHP](http://blog.verfriemelt.com/wp-content/uploads/2009/05/phpinfo-150x150.jpg)
Gruß aus KS
Kommentare
Es gibt keine Kommentare für diese Verfriemelung.
Senf dazugeben