WordPress als CMS einer Webseite identifizieren

Die Verbreitung von WordPress nimmt beständig zu. Besonders auch bei der Erstellung von „ganz normalen“ Webseiten wird immer häufiger WordPress eingesetzt. Niemand ist verpflichtet eine mit WordPress erstellte Webseite als solche zu kennzeichnen. Es gibt Leute – besonders Agenturkollegen gehören dazu – die möchten nicht, dass man erkennen kann, dass eine Webseite mit WordPress erstellt wurde.

Dieser Beitrag klärt die Frage wie man eine mit WordPress erstellte Webseite als solche identifizieren kann.

  1. Im Quelltext umsehen; existiert dort im Bereich <head> ein Eintrag
    <meta name=“generator“ content=“WordPress 3.X.X“/>

    Dieser Eintrag kann natürlich problemlos z.B. über die functions.php des verwendeten Themes entfernt werden. Die Abwesenheit dieses Eintrags besagt also nichts.

  2. Existiert eine liesmich.html und/oder readme.html im Stammverzeichnis? Auch diese kann natürlich jederzeit vom Webseitenbetreiber gelöscht werden. Wünscht man keinen Zugriff auf diese beiden Dateien ist es aber sinnvoller – da dies auch das nächste WP-Upgrade überleben wird – den Zugriff per redirect-Eintrag in der .htaccess umzuleiten.
  3. Wird ein Stylesheet aus einem Unterordner von wp-content eingebunden, z.B. wie auf dieser Seite mit <link rel=“stylesheet“ href=“http://agentur-lindner.com/wp-content/themes/AgenturLindner/style.css“ type=“text/css“ media=“screen“ />
  4. Den Namen der Administrationsseite, bzw. des Adminverzeichnisses zu ändern ist nur mit etwas mehr Aufwand möglich. Üblicherweise erhält der Besucher bei Aufruf von /wp-admin die WordPress-Anmeldeseite.

Security by Obscurity?

Es ist denkbar, dass durch Maßnahmen, die verschleiern welche Software eingesetzt wird die Wahrscheinlichkeit gesenkt wird, dass ein veraltetes, unsicheres System zum Ziel eines automatisierten Angriffes wird. Sicher wird ein unsicheres System hierdurch nicht. Unter dem Aspekt der Sicherheit ist es Zeitverschwendung sich mit Maßnahmen zu beschäftigen, die verschleiern welche Software eingesetzt wird. Diese Zeit investiert man besser in Systemaktualisierung und Wartung.

…oder andere die Arbeit machen lassen,

die Webseite www.isitwp.com macht nämlich genau dies – untersuchen, ob es sich um eine WordPress-Seite handelt. Nette Idee!

ssh-Login mit automatischer Key-Authorisierung mit putty

Wie kann man sich mit putty per ssh mit keybasierender Authorisierung anmelden?

putty: ssh-Login mit Key-Authorisierung

Es gibt viele Anleitungen im Netz, die beschreiben, wie man mit putty rsa-keys generiert, den public-key auf den Server kopiert, den private-key in putty einrichtet und sich so – ob mit oder ohne Passphrase – auf dem Server anmelden kann. „ssh-Login mit automatischer Key-Authorisierung mit putty“ weiterlesen

"Secret Question" – ein security hole, oder: warum Antworten auf "persönliche" Fragen als Alternativzugang keine gute Idee sind.

Sicherheitsabfragen, die Zugang gewähren, wenn man das Passwort vergessen hat, sind der Garant für weniger Sicherheit. Warum – lesen Sie hier.

Foto: Pixomar / FreeDigitalPhotos.netDumme Fragen haben nichts mit Sicherheit zu tun

Nicht erst die Aufregung über den angeblich erfolgten Hack der Yahoo-Emailadresse der Kandidatin für die US-Vizepräsidentenposten Sarah Palin (siehe hierzu diesen Heise-Beitrag) brachte wieder mal die Unbrauchbarkeit von „Sicherheitsfragen“ in die Öffentlichkeit. Es wurde wieder mal deutlich, dass „Secret Questions“ keine Sicherheit schaffen – sondern allenfalls weitere (unnötige) Angriffspunkte zum Missbrauch.

Viele Onlinedienste speichern neben dem Zugangsnamen und geheimen Passwort auch die „geheime“ Antwort auf eine oder mehrere Fragen, die der Benutzer entweder selbst formulieren kann, oder die vom System vorgegeben ist.

Ich möchte hier erläutern, warum solch ein System kein sicheres System ist und keinesfalls verwendet werden sollte.
„"Secret Question" – ein security hole, oder: warum Antworten auf "persönliche" Fragen als Alternativzugang keine gute Idee sind.“ weiterlesen

mysql-Datenbankzugriff – ausgesperrt

Ohne MySQL gibt es kaum ein Web-Projekt. Ob CMS, Wiki, Shop oder Portal – meist werden die Daten in einer mysql-Datenbank gespeichert. Auch die von mir verwendete Faktura speichert ihre Daten in einer mysql-Datenbank auf dem Büroserver. Dumm nur, wenn dann plötzlich – wie heute – kein Zugriff auf die Datenbank mehr möglich ist.

„mysql-Datenbankzugriff – ausgesperrt“ weiterlesen