Categories
IT-Stuff

Hardening WordPress

most of the time when it comes to hardening an existing #wordPress installation or site, we are all used to listen to the same old tunes.

  • run update to the latest version
  • remove unused PlugIns
  • run update on used PlugIns
  • check twice if you need the PlugIn for real (else get rid of it)
  • disable PlugIns that run out of updates or look forward to replace them
  • minimize user permissions (not all yout users need to get admin privileges)
  • sort out users (users that no longer need access have to be removed)
  • use 2FA (google authenticator does the trick pretty well)
  • protect your login page
  • limit login attempts

But here are commin the new tunes …..

Disable PHP error display:
a simple edit of the site’s wp-config.php file with this code should do the trick

define ( 'WP_DEBUG' , false); 

Disable PHP execution in untrusted folders:
this is a pretty new one for me, that you can guard against it with a simple access control file.
just a little code is needed in .htaccess
We have to test this well, because I think, you can pretty fast overusing this restrictions, and most of WordPress involves PHP execution.

<FilesMatch "\.(php|php\.)$">
Order Allow,Deny
Deny from all
</FilesMatch
Categories
islba-company

a new week

I can’t care less if this was ever a friday afternoon problem. Let’s go!

And the Week starts with something like this …...

  • 2FA for VPN clients
  • what kind of VPN do you really want
  • video conferencing tools
  • and meetings lots of online meetings
  • and again thinkin about mailed in log reports of VPN usage per user
Categories
IT-Stuff

Kommentare #DSGVO Part II

Die Vermeidung der unnötigen Verspeicherung von personenbezogenen Daten ist gem. DSGVO notwendig. Der sicherste Weg ist auf jeden Fall, die IP-Adressen der bestehenden Kommentare aus der Datenbank zu entfernen.
Ob die Löschung dieser IP-Adressen, sich nicht gegen ein berechtigtes Interesse zur abwehr von Schaden gegen das Unternehmen richtet muss von Fall zu Fall analysiert ung besprochen werden. (ggf. bieten die von eingesetzten WordPress Instanzen bereits Möglichkeiten um diese manuellen Eingriffe zu ersetzen)

Wurde die Entscheidung getroffen, die Daten zu löschen wird der Zugriff auf die Datenbank des Hoster benötigt. Die meisten Hoster stellen das Tool phpMyAdmin zur Verfügung und an diesem Beispiel sei der Vorgang nun hier beschrieben um die IP-Adressen der Kommentare aus der WordPress-Datenbank zu entfernen. Vor Anpassungen an der Datenbank, ist diese zu sichern. (ein Backup der Datenbank erstellen)

Methode 1:
Manuell, lohnt sich nur bei wenigen Kommentaren

Methode 2:
mittel SQL-Befehl den Inhalt mit einem leeren Wert zu überschreiben.

Die Kommentare werden in der Datenbanktabelle xx_comments gespeichert. xx_ steht für das bei der Installation angegebene Datenbank-Prefix. Bei einem großteil der Installationen dürfte hier wp_comments vergeben sein.

In dieser Tabelle (wp_comments) befidet sich die Spalte comment_author_IP
Aus dieser Spalte müssen nun die IP-Adressen entfernt werden. Dies kann durch 2 Methoden umgesetzt werden.

Disclaimer:
[Die Verwendung des hier bereitgestellten Codes erfolt ohne Ausnahme auf eigene Gefahr. Das Code Beispiel dient als proof of Concept für die hier beschriebene Aufgabe]

UPDATE xx_comments SET comment_author_IP = ' ';

Zusammenfassung:
Es werden nach dieser Umsetzung keine IP Adressen verspeichert was man als lobenswert bezeichenen könnte, jedoch hat man auch keine Möglichkeit mehr sich gegen Bedrohungen zu wehren bzw. diese zu dokumentieren (sollte klar unter den Breich berechtigtes Interesse fallen). Die Frage ob eine nachträgliche Anonymisierung zu bevorzugen wäre gilt es einer gesonderten Erörterung zuzuführen. Somit gilt wie bereits in https://islba.co.at/kommentare-dsgvo-part-1/(opens in a new tab), “Wo Licht, Da auch Schatten

Categories
IT-Stuff

Kommentare #DSGVO Part I

WordPress speichert per default die IP-Adressen der User die Kommentare verfassen. Die Erfassung der IP-Adresse kann je nach Interpretation der #DSGVO problematisch sein bzw. werden (Stichwort Verarbeitung von personenbezogenen Daten). Mithilfe einer Anpassung in der functions.php wird das zukünftige Speichern der IP-Adressen verhindert. (ggf. bieten die von eingesetzten WordPress Instanzen bereits Möglichkeiten um diese manuellen Eingriffe zu ersetzen)