admin Ordner aus Sicherheitsgründen umbenennen?

Ich bin mir nicht so sicher, ob das etwas bringt, zumal es eine zeitlang den Tipp gab, der comments.php aus Spamschutzgründen einen neuen Namen zu geben. Waren es Tage, oder sogar nur Stunden, bis das umgangen wurde?

Ich bin nicht so der PHP-King, aber ich vermute mal so ins blaue, dass sowohl der Ordnername, als auch der Dateiname nicht so das entscheidende Element in diesem Spiel sind, sondern die Tabellen in der Datenbank in der die gesuchten Infos stecken. Ein Spamskript berücksichtigt das und orientiert sich eher an der Verzeichnisstrktur, als an Namen.

Aber wie gesagt, das ist jetzt eine reine Vermutung meinerseits.


Gruß
DogMan

 

es gibt unter http://jdk.phpkid.org/index.php?p=1127 ein script für wordpress 1.2.2, um den admin-ordner umzubenennen. leider habe ich noch keine antwort erhalten, ob es das auch für wp 1.5 geben wird.

 

Nutzt das umbenennen denn etwas?


DogMan

 

ich sag mal: ja.

denn jeder (und ich mein wirklich jeder), der wenigstens mal wordpress installiert hat, weiss, dass der admin-bereich über www.example.com/wp-admin zu erreichen ist und ich bin mir sicher, dass es auch genug wordpress-user gibt, die ein mehr als unsicheres passwort gewählt haben. da macht es schon einiges aus, mindestens den admin-bereich zu verstecken. ein anständiges passwort ist natürlich auch wünschenswert.

 

hab ich so gemacht, keine probleme. allerdings bei neuen plugins etc. im code nachschauen, ob da irgendwo wp-admin/ zu finden ist.

 

Dieses Thema ist zwar schon älter als 3 Jahre, aber m. E. immer noch aktuell.

Ich stelle mir seid einiger Zeit ebenfalls die Frage, ob das Umbenennen der Ordner wp-admin und wp-content problemlos möglich ist. D. h. muss ich an den WP-Dateien etwas ändern oder irgendetwas anderes beachten?

Und außerdem:
Kann ich einfach die Datei, in der die Registration vorgenommen wird, einfach löschen? Oder wird diese auch noch für andere Zwecke benötigt?
Gibt es noch weitere Dateien, die die Sicherheit des Blogs beeinträchtigen können und ggf. gelöscht oder umbenannt werden können oder sollten?

Hat jemand das schon von Euch gemacht?
Können Probleme auftauchen und wenn ja, welche?

Gibt es ggf. ein Plugin, dass das Umbenennen und den "Rattenschwanz", der danach folgen kann, erleichtert?
Mit Rattenschwanz meine ich beispielsweise das automatische Ändern von Plugins bzw. WP-Dateien, etc.

Vielen Dank im Voraus für Eure Hilfe.

VG Elke

 

die tips unter WordPress sicherer machen - WordPress-Buch sind wahrscheinlich sinnvoller

 

1.) Es gibt sicher ausreichend Mittel, WordPress abzusichern, ohne Strukturen zu ändern. Und wenn man das machen will, dann kommt dies auf einen zu:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Ich hab mal die einzelnen Treffer weggelassen und nur die Saldos vermerkt.
Untersucht wurde ein WP2.5.1 mit Google Sitmap Plugin und sonst nix weiter. Damit hat man allein so schon über 200 potentielle Fehlerquellen, das wieder mal was nicht funktioniert und man keinen Support mehr leisten kann, da man nicht wissen kann, wieviel verändert wurde.

2. ist es deshalb bedenklich, da einige Plugin's, die dem normalen Besucher bestimmte Zusatz "Spielereien" wie Smilies, SlideShows, Editoren oder Gallerien anbieten, meist ihre Javascripts aus ihren Plugin Ordnern nachladen, womit man schon mal die Struktur zum wp-content Pfad offenlegt, egal wie der jetzt heißt. Man braucht dann nur im Quelltext der Seite nachschauen.

Zusammenfassend sehe ich keinen Mehrwert in der Umbenennung der Ordner sondern nur Nachteile in Bezug auf:

• Kompatibilität von frei verfügbaren Themes/Plugins
• Einspielen neuer Updates und Sicherheitspatches
• Eröffnen von Sicherheitslücken, die es vorher nicht gab
• Kosten/Nutzen Verhältnis (in Arbeitsstunden) für trügerische Sicherheit

Die o.g. Links zur Absicherung von WP, ab und zu eine Analyse der Logfiles sowie korrektes Einspielen von Sicherheitsupdates lohnen sich da weitaus mehr.

 

Vielen Dank für Eure Meinungen und Hinweise.

@codestyling:
warum meinst Du, dass neue Sicherheitslücken auftreten könnten, wenn man die Ordner umbenennt?

Sinn und Zweck der Geschichte (Mehrwert) ist, dass nicht sofort jeder Depp auf die Schnelle austesten kann, ob es sich um WordPress handelt.
Etwas intelligentere Hacker und Spambots werden deswegen nicht gleich das Handtuch werfen. Das ist mir klar. Aber die Anderen wäre man zumindestens los.

Ehrlich gestanden wundere ich mich über dieses Suchergebnis.
Wenn dem wirklich so ist, dann sollten die Programmierer von WP zukünftig den Namen der Ordner in jeweils eine Konstante schreiben. Dann stände einer solchen Namensänderung kaum etwas entgegen.
Wenn ich etwas mehr Zeit habe, werde ich mir einige dieser Dateien mal ansehen.

VG Elke

 

Mal am praktischen Beispiel:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Somit ist schon mal klar, wo dein wp-content Ordner ist, da WP ja Theme gebunden ist.

Der Response HTML Header deiner Seiten sagt:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Damit outet sich ein WP >= 2.5.0, weil die älteren Versionen das nicht geschickt haben.

Das könnte man jetzt noch beliebig erweiteren. Ich hab nur das benutzt, was mit einem FireFox bereitstellt wird und sonst nix.

Damit dürfte aber klar werden, das alles Umbenennen nix helfen wird, denn die Deppen sind's nicht, die dein Blog kapern wollen.
Ausserdem sind in einigen WP 2.5.0+ JavaScripts, die ich abrufen kann, die Admin Pfade zum Zwecke von Ajax Call reinkodiert, da hilft dann auch kein Umbennenen der Pfade.

Ich bleib dabei, Absichern und Updaten ist besser als Umbenennen.

Ach so, und was Sicherheitslücken angeht: Es gibt die Möglichkeiten von Tippfehlern (bei 200 Trefferstellen vorstellbar), Fehlinterpretationen von Benutzereingaben, Kollisionen mit Tag/Kategorien usw. Also da kann weit mehr mit zusammenhängen, als man einfach übersehen kann.

 

Hallo codestyling,

vielen Dank für Deinen ausführlichen Beitrag.
Du hast mich überzeugt, dass es (im Moment) unsinnig ist, die Ordner umzubennen. Dennoch bleibt ein ungutes Gefühl und die Frage, warum WordPress seit der Version 2.5 allen "Leuten" erzählt, die es wissen wollen oder auch nicht, um welches System es sich handelt. Wenn ich es in die Welt hinausposaunen will, dann tue ich das gerne selbst.
Nochmals: herzlichen Dank.

VG Elke

 

Also ich selbst würde das auch nicht machen, obwohl ich das schon mal vor hatte...

Bei vBulletin kann man die Ordnernamen für das AdminCP in der confi.php einstellen. Wäre d och mal ne Möglichkeit, den Entwicklern von WordPress dieses vorzuschlagen. So das jeder die Ordner selbst benennen können..

Ich habe mein wp-admin-Ordner mit .htaccess gesichert und den Unterordner /css/ mit einer weiteren .htaccess freigegeben, da dort teilweise css-Dateien liegen, die normalen Besuchern angezeigt werden. Somitz bekämen die die Passwort-Abfrage zum wp-admin zu sehen, was an sich auch schon ein Bug in WordPress ist...

mein WP-Admin-Ordner: (kommt man nur mit Benutzername und Passwort rein)
http://hollii.de/blog/wp-admin/

der CSS-Ordner hingegen is frei zugänglich.
Index of /blog/wp-admin/css

dank dieser .htaccess Datei

Das Options + indexes habe ich nur zur Demo jetzt eingefügt, damit sich der Ordner Fehlermeldungsfrei aufrufen lässt, denn ich habe ein globales Options -indexes in der .htaccess im Hauptverzeichnis, wodurch es bei mir normalerweise unmöglich ist, Inhalte von Ordner anzusehen. Ausser ich erlaube das ausdrücklich.

Somit ist mein Admin-Bereich geschützt. Desweiteren nutze ich einen Prefix für die Datenbank, der so auch nicht im Duden steht. Das sollte an Sicherheit ausreichen. Was den Ordner /wp-content/ betrifft, so habe ich hier eine Lösung parat.

5-Finger-Blog von Hollii » WordPress Security Scanner
Den Nachtrag lesen...