18 Wordpress-Sicherheits-Plugins und Tipps zum Sichern Ihres Blogs

Werbung

Ohne Zweifel ist WordPress für ein selbst gehostetes Blog das beste Blog-CMS, das Sie bekommen können. Als beliebte Open-Source-Software bedeutet dies jedoch auch, dass Hacker uneingeschränkten Zugriff auf die Software haben Code, den sie überprüfen können, um Exploits zu finden, mit denen sie sich in WordPress-fähige Funktionen hacken können Seite? ˅.

Auf der guten Seite ist eines der besten Dinge an WordPress das Plugin-System, das es jedem erlaubt Installieren Sie Plugins oder erstellen Sie eigene Plugins, um deren Funktionalität zu erweitern, einschließlich Verbesserungen Sicherheit.

Hier habe ich einige WordPress-Sicherheits-Plugins (und einige Tricks) aufgelistet, mit denen Sie WordPress-Blogs sichern können.

Alle unten aufgeführten Plugins und Tricks sind für WP 2.7 und höher gedacht. Wenn Sie noch eine ältere Version von WordPress verwenden, ist es Zeit, Ihr Blog zu aktualisieren.

Schützen Sie Ihr Login

Dieses Plugin verwendet die KERL Protokoll zum Verschlüsseln Ihres Passworts. Das Kennwort wird zuerst mit einer von der Sitzung generierten Zufallszahl (Nonce) gesalzen, gefolgt vom MD5-Transformationsalgorithmus. Dieses Ergebnis wird dann an den Server gesendet, wo es entschlüsselt und authentifiziert wird. Dies ist ein Plugin ohne Konfiguration, dh Sie können es sofort nach der Aktivierung verwenden.

2. Stealth Login

Stealth Login verschleiert Ihre Anmeldeseite, indem Sie eine benutzerdefinierte Anmeldeseite anstelle der Standard-wp-login.php definieren können. Für den Fall, dass Ihr Passwort durchgesickert ist, fällt es dem Hacker auch schwer, die richtige Anmelde-URL zu finden. Eine gute Verwendung besteht darin, zu verhindern, dass böswillige Bots auf Ihre Datei wp-login.php zugreifen und versuchen, einzudringen.

Login Lockdown ist nützlich, um einen Brute-Force-Angriff zu verhindern. Login LockDown zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs auf. Wenn innerhalb kurzer Zeit mehr als eine bestimmte Anzahl von Versuchen aus demselben IP-Bereich erkannt wird, wird die Anmeldefunktion gesperrt und verhindert, dass sich Personen aus diesem IP-Bereich anmelden.

Dieses Plugin fügt eine zusätzliche HTTP-Authentifizierung hinzu, um eine zweite Verteidigungsebene für Ihr Blog bereitzustellen. Sie können den Kennwortschutz für Ihr Blog mithilfe der HTTP-Basisauthentifizierung einrichten oder die sicherere HTTP-Digestauthentifizierung verwenden.

Beachten Sie, dass dieses Plugin je nach Serverfähigkeit möglicherweise nicht funktioniert. Wenn Ihre Site die AskApache-Konfigurationstests nicht besteht (die vom Plugin durchgeführten Tests, um sie zu erkennen Wenden Sie sich an Ihren Webhost, um zu prüfen, ob er Änderungen am Server vornehmen kann Seite.

Dieses Plugin bietet eine "semisecure" Login-Umgebung, indem Sie Ihr Passwort mit dem verschlüsseln RSA-Kryptographie

Schutz Ihrer Datenbank

Für einige von Ihnen könnte das Sichern einer Datenbank möglicherweise eine mühsame technische Aufgabe bedeuten. Mit WP-DB-Backup müssen Sie es nur einmal konfigurieren und es in regelmäßigen Abständen automatisch ausführen lassen.

Mit diesem Plugin wird die Sicherung Ihrer Datenbank automatisiert und an Ihren E-Mail-Posteingang gesendet. Neben der von WordPress erstellten Standardtabelle können Sie auch benutzerdefinierte Tabellen sichern, die von Plugins erstellt wurden. Falls Ihr Konto abstürzt, können Sie die Datenbank mit der Sicherung problemlos importieren und wiederherstellen.

Wp-DBManager ist wie ein phpmyadmin in Ihrem Dashboard. Sie können Ihre Datenbank ganz einfach direkt in Ihrem Dashboard verwalten. Es gibt nützliche Funktionen wie das Optimieren / Reparieren / Sichern / Wiederherstellen Ihrer Datenbank. Wenn Sie technisch genug sind, können Sie auf der Optionsseite sogar Ihre eigene SQL-Abfrage ausführen.

Auf der schlechten Seite, wenn es Hackern gelingt, sich auf Ihrer Site anzumelden, wird dieses Plugin ein Gateway für sie sein, um Chaos in Ihrer Datenbank zu verursachen.

8. Ändern Sie das Präfix der Datenbanktabelle

Das von WordPress verwendete Standardpräfix ist "wp". Sie können das Präfix leicht in andere Begriffe ändern, die mit dem schwer zu erraten sind WP-Security-Scan. Weitere Details zu diesem Plugin finden Sie weiter unten.

9. Schützen Sie Ihre Datei wp-config.php

Ihre Datei wp-config.php enthält alle Anmeldeinformationen für Ihre Datenbank und sollte unter allen Umständen für die Öffentlichkeit nicht sichtbar sein. Geben Sie in Ihrer htaccess-Datei folgende Zeile ein:

bestellen erlauben, verweigern. abgelehnt von allen. 

um zu verhindern, dass jemand die Datei wp-config.php anzeigt.

Schützen Sie Ihre Admin-Seite

Dieses Plugin erzwingt SSL auf allen Seiten, auf denen Passwörter eingegeben werden können, damit alle übertragenen Informationen verschlüsselt werden.

Eine Sache ist jedoch, dass Sie ein SSL-Zertifikat besitzen müssen, bevor Sie dies tun können. Wenn Sie nicht bereit sind, das zusätzliche Geld für den Kauf eines privaten SSL-Zertifikats auszugeben, können Sie Ihren Webhost nach Shared SSL fragen. Die meisten Webhosts bieten Shared SSL für alle ihre Clients und es ist einfach zu konfigurieren.

11. Ändern Sie den Login-Benutzernamen

Die Verwendung von "admin" als Login-Benutzername ist das Letzte, was Sie tun möchten. Wenn Sie WordPress zum ersten Mal installiert haben, sollten Sie sofort ein anderes Administratorkonto mit Ihrem eigenen Benutzernamen und Passwort erstellen und das Administratorkonto löschen.

Verhindern Sie, dass andere Benutzer Ihre interne Dateistruktur anzeigen

12. Ausblenden der WP-Version

In den meisten WordPress-Themes unter dem

In diesem Abschnitt gibt es immer eine Codezeile, die die von Ihnen verwendete WordPress-Version anzeigt. Wenn Sie Ihre WordPress-Versionsnummer preisgeben, müssen Sie dem Hacker mitteilen, welchen Exploit er zum Hacken in Ihre Website verwenden soll.

Seit WP2.6.5 hat WordPress das Entfernen der wp-Version noch schwieriger gemacht, da diese Informationen in die eingebettet werden wp_header Etikett. Ein Plugin, mit dem Sie diese Informationen entfernen können, ist WP-Security-Scan.

13. WP-Inhalt ausblenden

Im WP-Inhaltsordner haben Sie alle Ihre Plugins und Themendateien gespeichert. Dies ist der Ort, an dem Sie verhindern möchten, dass andere Personen nachsehen. Sie können entweder ein Leerzeichen hochladen index.html Datei in den Ordner wp-content oder erstellen Sie eine .htaccess-Datei im Ordner wp-content und fügen Sie diese Zeile hinzu:

Optionen Alle -Indexe
14. Blockieren Sie die Indizierung des wp-Ordners durch Suchmaschinen
Während Sie möchten, dass die Suchmaschinen Ihr Blog indizieren und viel Verkehr einbringen, möchten Sie als letztes sehen, dass die Suchmaschinen Ihre interne Dateistruktur der Öffentlichkeit zugänglich machen. Sie können die Indizierung Ihres gesamten wp-Ordners durch die Suchmaschine blockieren, indem Sie der robot.txt die folgenden Einträge hinzufügen:
Nicht zulassen: / wp- * 
Instandhaltung
Ich habe dieses Plugin mehrmals erwähnt, daher ist es Zeit für mich zu erklären, was es tut. WP-Security-Scan überprüft Ihr WordPress auf Sicherheitslücken und schlägt Korrekturmaßnahmen vor. Die Korrekturmaßnahmen umfassen das Ändern Ihres Datenbankpräfixes, das Ausblenden der WordPress-Versionsnummer aus dem Header und das Testen der Stärke Ihres Passworts.
Hin und wieder ist es eine gute Idee, den eingebauten Sicherheitsscanner auszuführen und Ihr Blog auf Sicherheitslücken zu überprüfen.
16. Ändern Sie das Passwort regelmäßig
Sie sollten Ihr Passwort nicht nur regelmäßig ändern, sondern auch sicherstellen, dass es sicher ist. Wenn Sie Schwierigkeiten haben, eine zu erstellen, finden Sie eine, wie Sie können Erstellen Sie sichere Passwörter, an die Sie sich leicht erinnern können So erstellen Sie sichere Kennwörter, an die Sie sich leicht erinnern können Weiterlesen .
17. Aktualisieren Sie WordPress und alle Plugins auf die neueste Version
Ein Upgrade auf die neueste Version von WordPress und Plugins ist natürlich der beste Schutz.
Schützen Sie Ihre Verbindung
18. SFTP
Das Übertragen von Dateien auf Ihr Online-Konto ist eine häufige Aufgabe. Anstelle des ungesicherten FTP sollten Sie jedoch verwenden SFTP (Sicheres FTP). Dadurch wird eine SSH-Verbindung hergestellt und alle Ihre Dateien verschlüsselt an den Server gesendet. Wenn Sie Hilfe beim Erstellen einer SFTP-Verbindung benötigen, finden Sie hier die leiten.
Die oben genannten Informationen sollten ausreichen, um ein sicheres WordPress-Blog zu erstellen. Wenn Sie keines davon implementiert haben, möchte ich Sie dringend bitten, dies jetzt zu tun.
Welche anderen Methoden verwenden Sie, um Ihr WordPress-Blog zu sichern?