Fragen zum Thema - WP sicherer machen

Hallooooo und einen wunderschönen Guten Tag die Damen und Herren,

ich habe mich gerade eben erst angemeldet und hätte auch gleich ein Frage zu einem nicht ganz unwesentlichen Aspekt einer bereits betriebenen WP Seite.

Wenn man nun die sog. 10 Schritte für einen sicheren WP Auftritt komplett befolgen möchte sind mir jedoch noch einige Dinge Unklar.

1. wp-content umbenennen?
So wie ich es verstanden habe, bringt einem die bloße Änderung bzw. Umbenennung des Ordners noch keinen Schutz, erst wenn man diverse Einträge in der wp-config vornimmt.

Hierzu habe ich folg. Anleitung im Internet gefunden, weis aber nicht wie vertrauenswürdig das ist:

http://bueltge.de/wordpress-26-erlaubt-das-auslagern-von-wp-content/672/

Die Version die im Einsatz ist hat die Version 3.5.1 und da der Artikel die Version 2.6 beschreibt weis ich auch nicht ob dies auch mit dieser Version funktioniert.

2. wp-login per htpasswd schützen?
Ich soll also ähnlich lautenden Text in meine htaccess übernehmen - Durch Bindestrich - getrennt stellen Anmerkungen dar


# protect wp-login.php
<files wp-login.php>
AuthName "Admin-Bereich" - Ist damit mein Benutzername gemeint?
AuthType Basic - Wofür steht das?
AuthUserFile /lokaler-pfad-zu/.htpasswd - lokaler Pfad bei mir auf der Festplatte?
require valid-user - Wofür ist das?
</files>

Als htpasswd Generator würde ich den auf http://www.gaijin.at/ verwenden sofern ihr der Ansicht seid das wäre in Ordnung.

Ich sage an dieser Stelle mal Danke und hoffe auf baldige Antwort.

Es grüßt euch Hallooooo

 

Danke Karolinaa und matrix-22 für die Antworten. Der Verweis zu den anderen Anleitungen habe ich auch gefunden doch auch dort werden mir diese Fragen nicht beantwortet, zumal es noch offen lässt was mit den Daten passiert die bereits wie ich geschrieben habe in der laufenden WP Website drinne sind.

Die läuft ja schon mit Beiträgen, Bildern, Dateien die auch wp-content in ihrem Pfad haben.

Auf keiner dieser Seiten wird erwähnt was dann zu tun ist.

Muss ich dann nicht noch in die Datenbank rein und alle wp-content Einträge manuell umbenennen oder macht das die Änderungen an der wp-config automatisch?

Vor WP hatten wir Typo3 im Einsatz doch nun ist die Agentur die uns betreut hat pleite gegangen und wir schauten uns nach Alternativen um und haben uns dann für WP entschieden. Hatten wir früher in Typo3 Verzeichnispfade geändert reichte es die neue Pfadstruktur in das Template Record zu schreiben (über typoscript).

Natürlich weis ich, dass hier bestimmt viele nun großes Geld wittern doch ich dachte dieses Forum würde zumindest diese Fragen mir beantworten können und nicht auf andere Anleitungen verweisen wohl in der Absicht - Wenn man nicht weiter wisse, könne man ja jemanden beauftragen - Es ist nicht so, dass ich als gelernter Softwareentwickler - also die meisten Programmierungen (für meinen Fall) sowie Netzwerkstrukturen für administratives Hintergrundwissen sind schon vorhanden und ich würde einfach nur diese Fragen oben geklärt haben.

Ich scripte eigentlich keine Internetauftritte sondern programmiere Spieleengines und lt meines Chef mache ich doch was mit Computer also sollte ich das doch hinbekommen bevor dieser hierfür jemanden einstellt.

Meine Fragen aus meinem ersten posting hier nochmal vorzutragen ist natürlich unnötig und ob ich dann die Pfade in der Datenbank nochmal nachträglich manuell ändern muss ohne jetzt ein weiteres Plugin installieren zu müssen jedoch würde ich diese gerne beantwortet haben sofern es nicht allzuviel Aufwand darstellt.

Danke für eure zeit euer Hallooooo mit 5 Os

 

Kann denn mal keiner kurz hier helfen? Ich hab nun auch nach Anleitung der playground gemacht doch nun waren erst alle Beiträge und Dateien die zuvor noch unter wp-content lagen nicht mehr erreichbar und in der Datenbank war jedoch schon der neue Pfad vermerkt doch gefunden werden die Inhalte nicht. ich vermute nun es könnte an den Permalinkeinstellungen liegen. Liege ich damit richtig?

 

Über die Suche hier habe ich nach wp-content gesucht und habe mich bis zur Seite 17 durchgearbeitet auf der Suche nach einem ähnlichen Thread jedoch bin ich nicht fündig geworden.

Übrigens eure Uhr geht falsch: Bei mir in Deutschland ist nun aktuell 16 uhr doch der Post hier sagt 14:44 Uhr und der aktuelle 15:00 Uhr.

Bin ich hier überhaupt richtig. So langsam beommen ich echt Zweifel.

 

Hallo maxe, nachfolgend nun wie wir hier vorgeganen sind, die einzelnen Schritte und zum Schluss noch einige Fragen, die uns noch unklar sind:

Bei der Installation von WP 3.5.1 haben wir neben eigenem Prefix zur Datenbankanbindung und anstelle des Kontos Admin diesen gleich umbenannt und mit einem langem zufällig generiertem Passwort installiert. Nachfolgend haben wir nach der Installation noch die "Authentication Unique Keys" in die wp-config eingetragen.

Die Artikel der Typo3 Datenbank hatten wir allesamt zuvor in Worddocumente gesichert und Bilder und Dateien einzeln heruntergeladen. Natürlich haben wir auch eine Datenbank.

Wir haben jedoch einfach die Artikel neu geschrieben und schonmal in das Standardlayout der neuen WP Istallation integriert. Beiträge, Portfolio, sowie dazugehörige Dateien wie PDF etc. sind bereits korrekt hinterlegt.

Dann sind wir nach ettlichen Recherchen auf diese Seite gestoßen

http://bueltge.de/wordpress-26-erlaubt-das-auslagern-von-wp-content/672/

was ich auch geschrieben haben in meinem ersten Beitrag.

Hier wurde uns jedoch hierzu geraten:

http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/


Die meisten Dinge haben wir bereits bei und nach Installtion gemacht, wie eigener Tabellenprefix, einen eigenen Namen für das Superadminkonto mit generiertem zufälligem Passwort und die Sache mit den Unique Keys.

Laut playground haben wir noch das alles gemacht:

Die htaccess erweitert um

# protect files
<files wp-config.php>
Order deny,allow
deny from all
</files>

sowie noch andere Dateien wie z.B. wp-login etc. Die wp-config konnten wir leider nicht verschieben.

Unere wp-config zum aboluten Pfad sieht bei uns noch so aus:

/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');

Wir sollen nun noch die Ordner wp-content, plugins und uploads umbenennen und wollen nachfolgende Zeilen in der wp-config eintragen:

/* Move wp-content directory */
define('WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/neuer_Ordnername');
define('WP_CONTENT_URL', 'http://' . $_SERVER['SERVER_NAME'] . '/neuer_Ordnername');

/* Move plugins directory */
define('WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/neuer_Ordnername' );
define('WP_PLUGIN_URL', 'http://' . $_SERVER['SERVER_NAME'] . '/neuer_Ordnername');

/* Move uploads directory */
define('WP_UPLOADS_DIR', $_SERVER['DOCUMENT_ROOT'] . '/neuer_Ordnername' );
define('WP_UPLOADS_URL', 'http://' . $_SERVER['SERVER_NAME'] . '/neuer_Ordnername');

Wird das funktionieren, wenn wir anstelle von

define('WP_UPLOADS_URL', 'http://' . $_SERVER['SERVER_NAME'] . '/neuer_Ordnername');

das dann so definieren

define('WP_UPLOADS_URL', 'http://www.unsere-seite.tld/neuer_Ordnername');

Müssen wir dann nicht noch alle Einträge in der Datenbank die wp-content, plugins und uploads heisen umbenennen in die Ordnernamen wie die dann heißen werden oder macht das die Einstellung in der wp-config selbst, da ja schon Arikel und Bilder sowie Dateien erstellt wurden?

 

Hätte ich geahnt welche Ausmaße ein rename des wp-content Ordners nach sich zieht hätten wir sicherlich dies bereits bei der Installation berücksichtigt. Zur Zeit der gemachten Änderungen bestand das System bereits mit weit über 600 Posts und nahezu 2.000 Gallerie und Portfolioeinträgen. Wir gingen davon aus, dass sich die Pfadverzeichnisse in der Datenbank befinden, doch wir mussten feststellen, dass dem eben nicht so ist und nun begann das mühvolle umändern diverser Dateien welche absolute Pfade enthielten, weshalb ich mich auch erst heute bei Ihnen allen über den Erfolg berichten/melden kann. Wir haben es hin bekommen!

Selbstverständlich haben wir alle Dateien des wp-admin Ordners mit chmod 444 ausgestattet, redirects hinzugefügt und noch ettliche weitere Sicherheitslücken geschlossen. Am Tag des Releases haben wir sogar eine recht bekannte Firma aus Thüringen damit beauftragt bei uns eine Brute Force Attack durchzuführen. Selbst nach mehreren Tagen und ettlichen Angriffen nun deren vorläufiger Bericht: ...kein Eindringen möglich...

Um nun nicht ungebetene Gäste hiermit einzuladen posten wir nicht die URL um die es sich handelt. Wir bitten deshalb um Ihr Verständnis.

Danke Ihnen allen für Ihre tatkräftige Unterstützung.