Sicherheitseinstellungen im Froxlor für WordPress Hosting

Analyse

Entweder bedient man sich einem der zahlreichen Online-Services, wie http://wprecon.com/ oder nutzt die Google Suche dafür.

Oder nutzt eines der Tools dafür direkt auf der Kommandozeile. Das Tool wpscan ermittelt für WordPress-Installationen potenzielle Sicherheitsrisiken.

Das Tool wpscan wird nach Installation wie folgt aufgerufen:

ruby wpscan.rb --update
ruby wpscan.rb --url {mein Domainname}

Dann läuft der Scan los und erzeugt diverse Meldungen.

Die Meldungen sollten ernst genommen werden.

Oft ist es erlaubt, interne Verzeichnisinhalte aufzulisten. Hierüber könnten Angreifer Sicherheitslücken aufspüren. Betroffen sind praktisch die beiden Verzeichnisse ./wp-include/ und ./wp-content/ mit ihren Unterverzeichnissen.

Abhilfe

In Froxlor kann die Sichtbarkeit von Verzeichnisinhalten gesteuert werden. Das sollte man eben auch tun.

Es genügt, dies für die beiden betroffenen Verzeichnisse zu definieren.

Ein neuer Lauf von wpscan sollte diese Fehlermeldungen nicht mehr enthalten.

Für andere Tool gilt das Verfahren analog. Verzeichnisinhalte von Programmverzeichnissen sollten nicht auflistbar sein.