Wenn man VaultPress benutzen will, muss ein WordPress Plugin installiert werden, welches dann mit dem Dienst kommuniziert. Dadurch lässt sich jedes noch so kleine Detail des Blogs speichern. Bei herkömmlichen Backup Plugins wird ja meistens nur die Datenbank gesichert, VaultPress geht hier einen Schritt weiter und speichert sogar alle Themes und Plugins. Ausserdem wird der Blog bei auftretenden Sicherheitslücken direkt mit Hot-Fixes geschützt.

Das meint übrigens Matt Mullenweg, Gründer von Automattic, zu VaultPress (zu lesen im VaultPress Blog):

The vision of VaultPress is to ensure that blogs and sites under its care are always completely secure, regardless of what happens. Today, this means every bit of content will be safe, from plugins and themes to the smallest comment or post revision, with WordPress-aware, real-time, multi-cloud backups. This is some of the most advanced technology I’ve seen interact with WordPress.

In the future, if your site is tampered with in any way, we’ll know within minutes and can take appropriate steps. The VaultPress core engine will be able to protect you against zero-day security vulnerabilities by updating your blog with hot-fixes, even while you sleep.

Nicht zu vergessen: Wenn WordPress nicht alleine auf dem Server ist, lohnt es sich, andere Software ebenso auf Sicherheitslöcher zu überprüfen, weil dadurch WordPress auch geschädigt werden könnte.

Hilfsmittel und Plugins

BlogSecurity / WP Scanner

Ein Plugin allein kann längst nicht alles. Deshalb beginne ich hier auch mit einem aussenstehenden Sicherheits-Werkzeug. Es nennt sich WP Scanner und stammt von BlogSecurity, wo regelmässig auch Sicherheitslücken von WordPress und dessen Plugins (WP Contact Form Plugin) aufgedeckt werden. Um das eigene Blog zu scannen, muss lediglich dieser Kommentar in die header.php eingefügt werden: <!-- wpscanner -->

WP Scanner starten

Blogwatch (Sicherheitslücken in WordPress)

WP Security Scan

Dieses Plugin prüft einerseits die Passwortstärke und Dateirechte (chmod) und verschleiert andererseits die Versionsnummer im Quellcode. Aber das ist noch nicht alles, in Zukunft soll auch Cross Site Scripting verhindert werden.

Zum Download

Anonyme WordPress Plugin Updates

Dank diesem kleinen Leckerli ist es möglich, die Informationen zu verschleiern, die normalerweise beim automatischen Plugin Update an WordPress.org gesendet werden. Das betrifft die URL, die Versionsnummer und die Liste aller aktiver Plugins. Für Sicherheits-Freaks mit Abstand die beste Lösung!

Zum Download

BackUpWordPress

Bestimmt kennst du den Spruch "Backup early, Backup often". Nun, mit genau diesem Plugin lassen sich diese Wort in die Tat umsetzen. Alleine im EasyMode lässt sich praktisch alles einrichten, was man für optimale Backups braucht. Noch besser: Nicht nur die Datenbank, sondern gleich die ganze Ordnerstruktur wird gesichert.

Zum Download

AskApache Passwortschutz

Mit diesem Plugin lassen sich alle Verzeichnisse wie wp-admin/ und wp-content/ durch .htaccess und .htpasswd Dateien schützen. Keine Angst, das Passwort muss man nur einmal eingeben, dafür ist WordPress dann auch richtig gut geschützt!

Zum Download

WP Introdusion Detection System

WP Introdusion Detection System, kurz WPIDS, schützt WordPress vor schädlichen Code Injections und ist auf dem bekannten PHPIDS aufgebaut. Jeder verdächtige Seitenaufruf wird in der Datenbank gespeichert und - falls gewünscht - per E-Mail an den Administrator gesendet. Zusätzlich können Angreifer für eine gewisse Zeit ausgesperrt werden, was bestimmt die nützlichste Funktion ist, die dieses Plugin zu bieten hat.

Zum Download

Login LockDown

Login LockDown macht nichts weiter, als IP-Adressen und Timestamp bei fehlgeschlagenen Anmeldeversuchene zu speichern. Nach einer gewissen Anzahl Fehlversuchen einer einzelnen IP wird die Login-Funktion abgeschaltet und der Angreifer hat keine Chance mehr.

Zum Download

Sicherheitsplugins im Dreierpack

Das Weblog Herself's Webtools hat gleich drei hervorragende WordPress Plugins geschrieben:

• Bot Block Plugin - Domains, Email- und IP-Adressen von der Registration ausschliessen.
• WordPress Security Plugin - Eine optimale Ergänzung zum WP Security Scan. Blockiert Cross Site Scripting und bietet eine Blacklist um Useragents und IP-Adressen von verdächtigen Bots auszusperren.
• Tripwire Plugin - Zeigt alle Dateien an, die in den vergangenen x Tagen geändert wurden, wobei man x selbst definieren kann.

Zum Download aller Plugins (einzeln)

Weiterführende Links

• Frank Bültge - WordPress sicherer machen
• Texto.de - 9 Quick Tipps zur Sicherheit
• Noch mehr Plugins für noch mehr Sicherheit
• Schutz, den dir kaum ein Plugin bieten kann

Das WordPress Deutschland Blog wird die übersetzte Version sowie eine umfangreiche Liste aller Neuheiten dieser Version veröffentlichen. Wer darauf nicht warten kann, findet im Development Blog die passenden Infos. Ich wünsche viel Spass mit "Tyner" ;)

1. Lokale Sicherheitskopie von wichtigen Ordnern
2. Backup der kompletten Datenbank

Danach kann man mit einem guten Gewissen einen Schritt weiter gehen. Momentan ist die endgültige Version von WordPress 2.5 noch nicht erschienen, sondern nur ein Release Candidate 1 und seit heute morgen auch ein Release Candidate 2, welcher auch schon problemlos eingesetzt werden kann. Aber ich kann dir versichern, dass der Unterschied vom RC2 zur fertigen Version nicht bedeutend sein wird.
Auf jeden Fall besteht der nächste Schritt darin, alle Dateien ausser wp-config.php hochzuladen. Jetzt muss man nur noch das Admin-Verzeichnis öffnen und die Datenbank auf den neusten Stand bringen. Wenn du alles richtig gemacht hast, wird kein Backup nötig sein und alle Umlaute sind geblieben. Im Notfall hast du aber immer noch die Sicherheitskopie lokal gespeichert.

Ps. Eine Sprachdatei für WordPress 2.5 ist schon vorhanden, aber noch in Bearbeitung. Dies erklärt die zum Teil noch nicht übersetzten Textpassagen. Ich kann übrigens auch sagen, dass bei mir ausnahmsweise kein Backup erforderlich war - aber was nicht ist, kann noch werden.