Werbung

WordPress schützenBotnets auf der ganzen Welt haben ihre Aufmerksamkeit vom Versenden von Spam-E-Mails auf das systematische Hacken in WordPress-Installationen gelenkt. Es ist ein lukratives Geschäft, da WordPress 40% aller Blogs unterstützt. Insbesondere wenn man bedenkt, dass selbst wir diesem Opfer zum Opfer gefallen sind, ist es an der Zeit, einen umfassenden Beitrag darüber zu verfassen, wie Sie Ihre selbst gehostete WordPress-Installation genau schützen können.

Hinweis: Dieser Hinweis gilt nur für Selbst gehostete WordPress-Installationen. Wenn Sie WordPress.com verwenden, müssen Sie sich im Allgemeinen nicht um die Sicherheit kümmern, da diese alles für Sie erledigt.Was ist der Unterschied zwischen WordPress.com und WordPress.org? Was ist der Unterschied zwischen dem Ausführen Ihres Blogs auf Wordpress.com und Wordpress.org?Da Wordpress jetzt 1 von 6 Websites mit Strom versorgt, müssen sie etwas richtig machen. Sowohl für erfahrene Entwickler als auch für Anfänger hat Wordpress etwas zu bieten. Aber gerade als du anfängst ... Weiterlesen

instagram viewer

Installieren Sie den zweistufigen Google-Authentifikator

Wenn für Ihr Google Mail-Konto oder andere Dienste bereits die zweistufige Authentifizierung aktiviert ist, können Sie dieselbe Authentifizierungs-App mit verwenden dieses Plugin für WordPress.

Zum Glück können Sie die zweistufige Authentifizierung so einschränken, dass sie nur für Konten der oberen Ebene verwendet wird, sodass Sie nicht alle Benutzer stören müssen.

WordPress schützen

Anmeldesperre

Ein altes Plugin, das aber immer noch wie vorgesehen funktioniert. Anmeldesperre Überprüft die IP-Adresse von Anmeldeversuchen und blockiert einen IP-Bereich für eine Stunde, wenn dieser innerhalb von 5 Minuten dreimal fehlschlägt. Einfach, effektiv.

Erstellen Sie regelmäßige Backups

Hacker ändern nicht nur eine Datei, sondern platzieren ihr eigenes Control Panel irgendwo anders versteckte Hintertüren - selbst wenn Sie den ursprünglichen Hack reparieren, kommen sie sofort wieder herein und erledigen alles nochmal. Nehmen Sie tägliche oder wöchentliche Backups vor, damit Sie problemlos einen Punkt wiederherstellen können, an dem keine Spur des Hackers mehr vorhanden war - und stellen Sie sicher, dass Sie alles patchen, was sie getan haben, um hineinzukommen. Persönlich habe ich gerade in 150 Dollar investiert Backup Buddy Entwicklerlizenz - Dies ist die einfachste und umfassendste Backup-Lösung, die ich bisher gefunden habe.

Schützen Sie die WordPress-Site

Indizierung von Ordnern verhindern

Überprüfen Sie das Stammverzeichnis Ihrer WordPress-Installation auf die .htaccess-Datei (beachten Sie den Punkt am Anfang - möglicherweise müssen Sie unsichtbare Dateien anzeigen, um dies anzuzeigen) und stellen Sie sicher, dass die folgende Zeile vorhanden ist. Wenn nicht, fügen Sie es hinzu - aber erstellen Sie zuerst ein Backup, da diese Datei sehr wichtig ist.

Optionen Alle -Indexe

Bleiben Sie auf dem Laufenden

Machen Sie nicht den gleichen Fehler wie wir: Aktualisieren Sie WordPress immer, sobald ein Update verfügbar ist. Manchmal enthalten die Updates kleinere Fehlerkorrekturen und keine Sicherheitskorrekturen. Gewöhnen Sie sich jedoch an, und Sie haben kein Problem. Wenn Sie mehr als eine WordPress-Installation haben und nicht alle verfolgen können, schauen Sie sich das an ManageWp.com, ein Premium-Dashboard für alle Ihre Blogs, das Sicherheitsscans enthält.

Nicht nur WordPress-Kerndateien, sondern auch Plugins: Einer der größten WordPress-Hacks der Vergangenheit war eine Sicherheitslücke in einem gängigen Thumbnail-Generator-Skript namens timthumb.phpund es gibt immer noch Themen, die die alte Version verwenden. Obwohl die Plugins schnell aktualisiert wurden, ist es natürlich schwieriger, die Themen auf dem neuesten Stand zu halten - WordPress wird es nicht sagen Sie, wenn Ihr Thema anfällig ist, und dafür eine Art Sicherheits-Scan-Plugin - scrollen Sie nach unten zu das Sicherheits-Plugins Abschnitt unten für einige Vorschläge.

Laden Sie niemals zufällige Themen herunter

Wenn Sie nicht wissen, was Sie mit PHP-Code tun, können Sie ganz einfach in die Falle tappen, ein schönes zufälliges Thema von herunterzuladen irgendwo, nur um herauszufinden, dass dort ein böser Code enthalten ist - am häufigsten Backlinks, die Sie nicht entfernen können, aber schlimmer sein können gefunden. Halten Sie sich an erstklassige und bekannte Themendesigner (sowie Smashing Magazine oder WPShower)oder für kostenlose Themen verwenden Sie nur das WordPress-Themenverzeichnis.

Löschen Sie nicht verwendete Plugins und Themes

Je weniger ausführbaren Code Sie auf Ihrem Server haben, desto besser - beseitigen Sie die Möglichkeit, alten, anfälligen Code zu haben, indem Sie Themen und Plugins löschen, die Sie nicht mehr verwenden. Wenn Sie sie deaktivieren, wird das Laden der Funktionalität mit WordPress einfach gestoppt, der Code selbst kann jedoch weiterhin von einem Hacker ausgeführt werden.

Entfernen Sie Tell-Tale Meta in Ihrem Header

Standardmäßig überträgt WordPress seine Version im Code Ihrer Header-Datei an die Welt - eine einfache Möglichkeit für Hacker, ältere Installationen zu identifizieren. Fügen Sie die folgenden Zeilen zu Ihrem Thema hinzu functions.php Datei zum Entfernen der WordPress-Version, Windows Live Writer-Informationen und eine Zeile, mit der Remoteclients Ihre XML-RPC-Datei finden können.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Entfernen Sie das Administratorkonto

Bei den meisten Brute-Force-Angriffen auf WordPress wird das wiederholt versucht Administrator Konto - die Standardeinstellung für alle WordPress-Installationen - und ein Wörterbuch mit gängigen Passwörtern. Wenn Sie sich entweder mit dem Administrator anmelden oder das Administratorkonto in Ihrer Benutzertabelle aufgeführt haben, sind Sie dafür anfällig.

Zwei Möglichkeiten, dies zu beheben: entweder verwenden wp-optimiertes Plugin - Ein großartiges Plugin, mit dem Sie unter anderem Post-Revisionen deaktivieren und Datenbankoptimierungen durchführen können - um das Administratorkonto umzubenennen. Oder erstellen Sie einfach ein anderes Konto mit Administratorrechten, melden Sie sich als neuer Benutzer an und löschen Sie dann das Administratorkonto. Weisen Sie Ihrem neuen Benutzer alle Beiträge zu.

Schützen Sie die WordPress-Site

Sichere Passwörter

Selbst wenn Sie das Administratorkonto deaktiviert haben, können Sie möglicherweise den Benutzernamen Ihres Administratorkontos identifizieren. Ab diesem Zeitpunkt sind Sie erneut für einen Brute-Force-Angriff anfällig. Erzwingen Sie eine strenge Kennwortrichtlinie mit 16 oder mehr zufälligen Zeichen, die aus Groß- und Kleinbuchstaben, Satzzeichen und Zahlen bestehen.

Oder benutzen Sie einfach die wirklich LongSentenceThatsEasyToRememberMethod.

Deaktivieren Sie die Dateibearbeitung in WordPress

Für diejenigen, die sich nicht über FTP anmelden möchten, enthält WordPress einen einfachen Editor im Admin-Dashboard für Themen- und Plugin-PHP-Dateien. Dies macht Ihre Installation jedoch anfällig, wenn jemand Zugriff erhält. Auf diese Weise gelang es jemandem, eine Malware-Umleitung in unseren Header einzufügen. Fügen Sie die folgende Zeile am Ende Ihres Feldes hinzu wp-config.php (im Stammordner), um alle Dateibearbeitungsfunktionen zu deaktivieren - und zu verwenden SFTP Was SSH ist und wie es sich von FTP unterscheidet [Technologie erklärt] Weiterlesen um sich stattdessen bei Ihrem Server anzumelden.

define ('DISALLOW_FILE_EDIT', true);

Anmeldefehler ausblenden

Ein falsches Passwort oder ein falscher Benutzername kann durch die Fehler beim Anmelden identifiziert werden, mit denen Konten für Brute-Forcing identifiziert werden können. Das ist natürlich nicht gut, also töte die Fehler mit diesem Zusatz zu deinem Thema functions.php Datei

Funktion no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Aktivieren Sie Cloudflare

CloudFlare beschleunigt nicht nur Ihre Website, sondern verhindert auch, dass viele bekannte Botnets und Scanner überhaupt zu Ihrem Blog gelangen. Lesen Alles über CloudFlare Schützen und beschleunigen Sie Ihre Website kostenlos mit CloudFlareCloudFlare ist ein faszinierendes Start-up der Entwickler von Project Honey Pot, das behauptet, es zu schützen Ihre Website vor Spammern, Bots und anderen bösen Web-Monstern - und beschleunigen Sie Ihre Website etwas... Weiterlesen Hier. Die Installation erfolgt mit einem Klick, wenn Sie bei gehostet werden MediaTempleAndernfalls benötigen Sie Zugriff auf die Domänensteuerung, um die Nameserver zu ändern.

Schützen Sie die WordPress-Site

Sicherheits-Plugins

  • Bessere WP-Sicherheit implementiert viele dieser Korrekturen für Sie und ist die umfassendste kostenlose Lösung, die es gibt.WordPress schützen
  • WordFence ist ein Premium-Paket, das Ihre Dateien aktiv nach Malware-Links, Weiterleitungen, bekannten Schwachstellen usw. durchsucht und diese behebt. Der Preis beginnt bei 18 USD / Jahr für 1 Website.
  • Login Sicherheitslösung Beides schränkt Anmeldeversuche ein und erzwingt sichere Passwörter.
  • BulletProof-Sicherheit ist ein umfassendes, aber komplexes Plugin, das sich mit einigen eher technischen Aspekten wie XSS-Injection und .htaccess-Problemen befasst. Eine Pro-Version des Plugins ist ebenfalls verfügbar, die einen Großteil des Prozesses automatisiert.

Ich denke, Sie werden mir zustimmen, dass dies eine ziemlich umfassende Liste von Schritten zum Härten von WordPress ist, aber ich schlage nicht vor, dass Sie sie implementieren alle von ihnen. Wenn ich all dies für jede Site tun müsste, die ich jemals eingerichtet habe, würde ich sie jetzt noch einrichten. Das Ausführen eines Systems jeglicher Art birgt ein Risiko, und es liegt letztendlich an Ihnen, das Gleichgewicht zwischen dem System zu finden Das gewünschte Sicherheitsniveau und die Anstrengungen, die Sie unternehmen möchten, um es zu sichern - nichts wird jemals zu 100% erreicht sichern. Die niedrig hängenden Früchte hier sind:

  • WordPress auf dem neuesten Stand halten
  • Administratorkonto deaktivieren
  • Hinzufügen einer zweistufigen Authentifizierung
  • Installieren eines Sicherheits-Plugins

Wenn Sie dies alleine tun, sollten Sie über 99% aller anderen Blogs da draußen liegen, was ausreicht, um potenzielle Hacker dazu zu bringen, zu einfacheren Zielen zu gelangen.

Glaubst du, ich habe etwas verpasst? Sag es mir in den Kommentaren.

James hat einen BSc in künstlicher Intelligenz und ist CompTIA A + und Network + zertifiziert. Er ist der Hauptentwickler von MakeUseOf und verbringt seine Freizeit mit VR-Paintball und Brettspielen. Er baut seit seiner Kindheit PCs.