Kategorien
Security

WordPress-Security (4): Meta-Widget entfernen

Das Meta-Widget
Das Meta-Widget lockt Angreifer ins Backend

Frisch nach der Installation von WordPress befinden sich schon einige Widgets in der Seitenleiste. Eines davon ist das  Meta-Widget. Es erleichtert Anfängern den Einstieg in WordPress, enthält aber neben brauchbaren Links auch einen höchst gefährlichen. In diesem Beitrag geht es um die richtige Entsorgung: Die verwertbaren Links werden dem Recyling zugeführt, ehe das Meta-Widget aus der Sidebar entfernt wird!

Inhalt

Sicherheitsrisko Admin-URL

Das Wichtigste zuerst: Der Link zur Admin-URL muss weg! Wer darauf klickt, landet nämlich gleich auf der Login-Schirm für das Backend. Dieser sicherheitsrelevante Bereich muss für Besucher natürlich tabu sein! Was noch schlimmer ist: Die Bots der Hacker finden über diesen Link ganz fix zu ihrem bevorzugten Angriffsziel!

Was ist also zu tun? Gehe nicht über das Widget auf deinen Anmeldeschrirm, sondern direkt über die Anmelde-URL! Die Adresse ist leicht zu merken:

  • http://www.domainname.de/wp-admin bzw.
  • https://www.domainname.de/wp-admin für einen Onlineshop, denn dieser sollte über eine SSL-Verschlüsselung verfügen!

Ebenso überflüssig wie der Administrationslink, aber etwas weniger gefährlich, ist der Abmeldelink. Weg müssen beide!

Die RSS-Links

Die beiden RSS-Links sind für Leute interessant, die neue Nachrichten und Kommentare deiner Site über einen RSS-Reader abonnieren möchten. Wenn du diesen Interessenten etwas entgegen kommen willst, dann platzierte in einem Textwidget diese beiden Links:

  • http://www.domainname.de/feed
  • http://www.domainname.de/comments/feed

Für verschlüsselte Seiten:

  • https://www.domainname.de/feed
  • https://www.domainname.de/comments/feed

Der Link zu wordpress.org

WordPress ist kostenlos, und da kann man ruhig einen Link auf die Herstellerseite setzen. Außerdem findest du auf wordpress.org als Admin jede Menge nützlicher Infos. Allerdings kann Link deine Kunden auf Abwege bringen. In einem klassischen Kaufhaus führt ja auch keine Rolltreppe in die Buchhaltung. Wenn du WordPress etwas gutes tun willst, dann lass den Link „powered by WordPress“ im Footer, das genügt. Oder beteilige dich an einem Meetup oder WordCamp.

Meta-Widget entfernen

Meta-Widget löschen
Meta-Widget löschen

Fazit: Meta, das Widget mit dem philosophischen anmutenden Namen, muss weg! Gehe auf Design > Widgets und überprüfe die Standard-Seitenleiste, und je nach Theme auch zusätzliche Widgetbereiche. Wo du das Meta-Widget findest: Klicke rechts neben dem Widgetnamen auf den Pfeil und verbanne es aus WordPress. Für immer!

2 Antworten auf „WordPress-Security (4): Meta-Widget entfernen“

Kommentar verfassen