WordPress-Security (4): Meta-Widget entfernen

Das Meta-Widget

Das Meta-Widget lockt Angreifer ins Backend

Frisch nach der Installation von WordPress befinden sich schon einige Widgets in der Seitenleiste. Eines davon ist das skurrile Meta-Widget –  es enthält nämlich neben halbwegs brauchbaren Links auch einen höchst gefährlichen. In diesem Beitrag geht es um die richtige Entsorgung: Die verwertbaren Links werden dem Recyling zugeführt, ehe das Meta-Widget auf die Mülldeponie wandert!

Sicherheitsrisko Administration

Das Wichtigste zuerst: Der Administrations-Link muss weg! Wer darauf klickt, landet nämlich gleich auf der Login-Schirm für das Backend. Dieser sicherheitsrelevante Bereich muss für Besucher natürlich tabu sein! Was noch schlimmer ist: Die Bots der Hacker finden über diesen Link ganz fix zu ihrem bevorzugten Angriffsziel!

Was ist also zu tun? Gehe nicht über das Widget auf deinen Anmeldeschrirm, sondern direkt über die Anmelde-URL! Die Adresse ist leicht zu merken:

  • http://www.domainname.de/wp-admin bzw.
  • https://www.domainname.de/wp-admin für eine Onlineshop, denn dieser sollte über eine SSL-Verschlüsselung verfügen!

Ebenso überflüssig wie der Administrationslink, aber etwas weniger gefährlich, ist der Abmeldelink. Weg müssen beide!

Die RSS-Links

Die beiden RSS-Links sind für Leute interessant, die neue Nachrichten und Kommentare deiner Site über einen RSS-Reader abonnieren möchten. Wenn du diesen Interessenten etwas entgegen kommen willst, dann platzierte in einem Textwidget diese beiden Links:

  • http://www.domainname.de/feed
  • http://www.domainname.de/comments/feed

Für verschlüsselte Seiten:

  • https://www.domainname.de/feed
  • https://www.domainname.de/comments/feed

Der Link zu wordpress.org

Dieser Link ist Geschmackssache, denn immerhin ist WordPress ja kostenlos, und da kann man ruhig einen Link auf die Herstellerseite setzen. Allerdings wirkt sowas auf einer Shopseite nicht sehr profesionell, und der Link irritiert deine Kunden. In einem klassischen Kaufhaus führt ja auch keine Rolltreppe in die Buchhaltung oder den Heizungskeller. Wenn du WordPress etwas gutes tun willst, dann lass den kleinen Link „powered by WordPress“ im Footer drin, das genügt.

Meta-Widget entfernen

Meta-Widget löschen

Meta-Widget löschen

Fazit: Meta, das Widget mit dem philosophischen anmutenden Namen, muss weg! Gehe auf Design > Widgets und überprüfe die Standard-Seitenleiste, und je nach Theme auch zusätzliche Widgetbereiche. Wo immer du ein Meta-Widget findest: Klicke rechts neben dem Widgetnamen auf den Pfeil und verbanne es aus WordPress. Für immer!

Ähnliche Beiträge auf onlineshop-DIY:

2 Gedanken zu „WordPress-Security (4): Meta-Widget entfernen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.