Nach (oder bei) der Installation von WordPress sollte ein Schritt nie vergessen werden:
WordPress Login nur per SSL zulassen!!!
Oft greift man auf das WordPress Backend von unterwegs aus zu. Ob im Internetcafé, im W-Lan eines Bekannten oder im öffentlichen W-Lan am Bahnhof / in der U-Bahn oder am Flughafen.
Passiert das ungeschützt, also ohne SSL Verbindung, ist es ein Einfaches die Login Daten abzufangen. So einfach, dass es sogar ein für viele Dienste brauchbares Firefox Plugin gibt!
Dabei reichen bei WordPress zwei kleine Zeilen in der wp-config.php um die gröbsten Probleme zu beheben indem das Login und der Adminbereich nur mehr noch per SSL erreichbar sind:
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);Eingefüg werden diese zwei Zeilen VOR folgender Codestelle:
/* That's all, stop editing! Happy blogging. */
require_once(ABSPATH . 'wp-settings.php');Das funktioniert aber natürlich nur, wenn der entsprechende Host SSL Verbindungen und Zertifikate bereitstellt.
Mit nur wenig Aufwand hat man hier für sich selbst und seine Kunden einen Mehrwert in Punkto Sicherheit. Sehr einfach zu realisieren aber verdammt effektiv.
http://codex.wordpress.org/Administration_Over_SSL
