Vorschau auf Wordpress 2.6: Verschlüsselter Admin-Bereich

Die kommende Version 2.6 des beliebten Blog- und Content Management Systems Wordpress wird eine ganze Reihe an sehnsüchtig erwarteten Änderungen bringen. Eine davon ist der verschlüsselte Zugang zum Administrationsbereich einer mit Wordpress betriebenen Website:

Anstatt wie bisher per HTTP (Hypertext Transfer Protocol) ermöglicht die Entwicklerversion 2.6 jetzt auch eine Anmeldung über das sichere Protokoll S-HTTP (Secure Hypertext Transfer Protocol). Bei einer über dieses Protokoll hergestellten Verbindung werden der bei der Anmeldung übertragene Benutzername und das Passwort nicht wie beim HTTP Protokoll im Klartext übermittelt. Stattdessen werden die Daten nach dem SSL-Standard verschlüsselt, der auch beim Onlinebanking und anderen sicherheitskritischen Datentransfers zum Einsatz kommt.

Die optionale Verwendung des sicheren Protokolls macht - so die Hoffnung der Entwickler - den Einsatz von Wordpress in sicherheitskritischen Umgebungen wie z.B. Firmennetzwerken risikoloser und damit interessanter.

Auch bei aktivierter Anmeldung über S-HTTP ist das Einloggen über das bisher zum Einsatz kommende HTTP Protokoll weiterhin möglich. Um die Sicherheit zu maximieren kann der Administrator einer Wordpress Installation jedoch durch das Hinzufügen der Zeile

define (’FORCE_SSL_LOGIN’, true);

die Anmeldung per SSL erzwingen und eine nicht verschlüsselte Übertragung von sensitiven Benutzernamen und Passwörtern damit ausschließen.

Bookmark: