So schützen Sie WordPress vor Eindringlingen Ihre Must-Read-Checkliste
Botnets auf der ganzen Welt haben ihre Aufmerksamkeit vom Senden von Spam-E-Mails bis hin zum systematischen Hacken in WordPress-Installationen gewendet. Es ist ein lukratives Geschäft, da WordPress 40% aller Blogs unterstützt. Insbesondere wenn man bedenkt, dass wir selbst Opfer geworden sind, ist es an der Zeit, einen umfassenden Beitrag zum genauen Schutz Ihrer selbst gehosteten WordPress-Installation zu veröffentlichen.
Hinweis: Dieser Hinweis gilt nur für selbst gehostete WordPress-Installationen. Wenn Sie WordPress.com verwenden, müssen Sie sich in der Regel nicht um die Sicherheit kümmern, da diese alles für Sie erledigt. Was ist der Unterschied zwischen WordPress.com und WordPress.org? Was ist der Unterschied zwischen dem Ausführen Ihres Blogs auf Wordpress.com und Wordpress.org? Was ist der Unterschied zwischen dem Ausführen Ihres Blogs auf Wordpress.com und Wordpress.org? Mit Wordpress wird jetzt jede sechste Website mit einer Leistung versorgt, und sie müssen etwas richtig machen. Wordpress bietet Ihnen sowohl für erfahrene Entwickler als auch für den kompletten Neuling etwas. Aber so wie Sie anfangen… Lesen Sie weiter
Installieren Sie den Google Authenticator in zwei Schritten
Wenn Sie für Ihr Google Mail-Konto oder andere Dienste bereits die zweistufige Authentifizierung aktiviert haben, können Sie dieselbe Authentifizierungs-App mit diesem Plugin für WordPress verwenden.
Glücklicherweise können Sie die zweistufige Authentifizierung nur für Konten auf höherer Ebene einschränken, sodass Sie nicht alle Benutzer ärgern müssen.
Login-Sperre
Ein altes Plugin, das aber wie vorgesehen funktioniert; Login Lockdown prüft die IP-Adresse der Anmeldeversuche und blockiert einen IP-Bereich für eine Stunde, wenn sie innerhalb von 5 Minuten dreimal ausfällt. Einfach und effektiv.
Nehmen Sie regelmäßige Sicherungen vor
Hacker ändern nicht nur eine Datei, sondern legen ihr eigenes Kontrollfeld irgendwo versteckt und andere versteckte Hintertüren ab - selbst wenn Sie den ursprünglichen Hack korrigieren, kommen sie gleich wieder rein und machen alles wieder. Nehmen Sie täglich oder wöchentlich Sicherungskopien vor, damit Sie problemlos bis zu einem Punkt wiederhergestellt werden können, an dem sich keine Spur des Hackers befand - und stellen Sie sicher, dass Sie den Patch für alles, was Sie tun, tun, um reinzukommen. Es ist die einfachste und umfassendste Backup-Lösung, die ich bisher gefunden habe.
Verhindern Sie die Indexierung von Ordnern
Suchen Sie im Stammverzeichnis Ihrer WordPress-Installation nach der .htaccess-Datei (beachten Sie den Zeitraum am Anfang - möglicherweise müssen Sie unsichtbare Dateien anzeigen, um dies anzuzeigen), und stellen Sie sicher, dass die folgende Zeile vorhanden ist. Wenn nicht, fügen Sie es hinzu - aber machen Sie zuerst ein Backup, da diese Datei sehr wichtig ist.
Options All -Indexes
Bleiben Sie auf dem Laufenden
Machen Sie nicht den gleichen Fehler wie wir: Aktualisieren Sie WordPress immer, sobald ein Update verfügbar ist. Manchmal enthalten die Updates kleinere Fehlerkorrekturen und keine Sicherheitsupdates, aber gewöhnen Sie sich an und Sie haben kein Problem. Wenn Sie mehr als eine WordPress-Installation haben und nicht alle nachverfolgen können, besuchen Sie ManageWp.com, ein Premium-Dashboard für alle Ihre Blogs, das Sicherheits-Scans enthält.
Nicht nur Kern-WordPress-Dateien, sondern auch Plugins: Einer der größten WordPress-Hacks der Vergangenheit betraf eine Sicherheitsanfälligkeit in einem gemeinsamen Skriptgenerator für Miniaturansichten timthumb.php, Es gibt immer noch Themen, die die alte Version verwenden. Obwohl Plugins schnell aktualisiert wurden, ist es natürlich schwieriger, die Themen auf dem neuesten Stand zu halten. WordPress kann Ihnen jedoch nicht sagen, ob Ihr Design anfällig ist Sicherheits-Plugins Abschnitt unten für einige Vorschläge.
Laden Sie niemals zufällige Themen herunter
Wenn Sie nicht wissen, was Sie mit PHP-Code tun, ist es sehr einfach, in die Falle zu geraten, ein beliebiges, beliebiges Design von irgendwo herunterzuladen, nur um herauszufinden, dass es dort einen bösen Code enthält - meistens Backlinks, die Sie nicht entfernen können aber schlimmer kann gefunden werden. Bleiben Sie bei erstklassigen und bekannten Designern (wie Smashing Magazine oder WPShower), oder für kostenlose Designs verwenden Sie nur das WordPress-Designverzeichnis.
Löschen Sie nicht verwendete Plugins und Designs
Je weniger Programmcode Sie auf Ihrem Server haben, desto besser: Entfernen Sie die Gefahr, dass Sie alten, anfälligen Code erhalten, indem Sie nicht mehr verwendete Designs und Plugins löschen. Wenn Sie sie deaktivieren, wird das Laden der Funktionalität mit WordPress einfach beendet. Der Code selbst kann jedoch noch von einem Hacker ausgeführt werden.
Entfernen Sie Tell-Tale-Meta in Ihrer Kopfzeile
Standardmäßig überträgt WordPress seine Version im Code Ihrer Header-Datei an die Welt - eine einfache Möglichkeit für Hacker, ältere Installationen zu identifizieren. Fügen Sie Ihrem Thema die folgenden Zeilen hinzu Functions.php Datei zum Entfernen der WordPress-Version, Windows Live Writer-Informationen und einer Zeile, mit der entfernte Clients Ihre XML-RPC-Datei finden können.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Entferne das “Administrator” Konto
Bei den meisten Brute-Force-Angriffen auf WordPress wird wiederholt versucht, die Administrator Konto - der Standard für alle WordPress-Installationen - und ein Wörterbuch mit gängigen Passwörtern. Wenn Sie sich entweder mit admin anmelden oder das Administratorkonto in Ihrer Benutzertabelle aufgeführt ist, sind Sie anfällig dafür.
Es gibt zwei Möglichkeiten, das Problem zu beheben: Verwenden Sie entweder das Plug-In "Wp-Optimize" - ein großartiges Plug-In, mit dem Sie nachträgliche Änderungen deaktivieren und die Datenbankoptimierung durchführen können, um das Administratorkonto umzubenennen. Oder erstellen Sie einfach ein anderes Konto mit Administratorrechten, melden Sie sich als neuer Benutzer an und löschen Sie das Konto “Administrator” Konto ordnen Sie alle Beiträge Ihrem neuen Benutzer zu.
Sichere Passwörter
Selbst wenn Sie das Administratorkonto deaktiviert haben, kann es möglich sein, den Benutzernamen Ihres Administratorkontos zu identifizieren. An diesem Punkt sind Sie erneut für einen Brute-Force-Angriff anfällig. Erzwingen Sie eine strikte Kennwortrichtlinie mit 16 oder mehr zufälligen Zeichen, bestehend aus Groß- und Kleinbuchstaben, Satzzeichen und Zahlen.
Oder verwenden Sie einfach die wirklichLongSentenceThatsEasyToRememberMethod.
Deaktivieren Sie die Dateibearbeitung in WordPress
Für diejenigen, die sich nicht gerne über FTP anmelden möchten, enthält WordPress einen einfachen Editor für PHP-Dateien für das Design und das Plugin im Admin-Dashboard. Dies macht Ihre Installation jedoch anfällig, wenn jemand Zugriff erhält. In der Tat hat es jemandem geschafft, eine Malware-Umleitung in unseren Header einzufügen. Fügen Sie die folgende Zeile unten in Ihrem ein wp-config.php (im Hauptordner), um alle Dateibearbeitungsfunktionen zu deaktivieren - und SFTP zu verwenden. Was ist SSH und wie unterscheidet es sich von FTP? [Technologie erklärt] Was ist SSH und wie unterscheidet es sich von FTP?.
define ('DISALLOW_FILE_EDIT', true);
Anmeldefehler ausblenden
Ein falsches Passwort oder ein falscher Benutzername können durch die beim Einloggen angegebenen Fehler identifiziert werden, die zur Identifizierung von Konten für Brute-Forcing verwendet werden können. Das ist offensichtlich nicht gut, also töte die Fehler mit diesem Zusatz zu deinem Thema Functions.php Datei
function no_errors_please () return 'Nope'; add_filter ('login_errors', 'no_errors_please');
Cloudflare aktivieren
CloudFlare beschleunigt nicht nur Ihre Website, sondern schützt auch viele bekannte Botnets und Scanner davon, dass Sie gar nicht erst zu Ihrem Blog gelangen. Lesen Sie alles über CloudFlare Schützen und beschleunigen Sie Ihre Website kostenlos mit CloudFlare Schützen Sie und beschleunigen Sie Ihre Website kostenlos mit CloudFlare CloudFlare ist ein faszinierendes Start-up von den Entwicklern von Project Honey Pot, das behauptet, Ihre Website vor Spammern, Bots und anderen zu schützen böse Web-Monster - und beschleunigen Sie Ihre Website etwas… Lesen Sie hier mehr. Die Installation erfolgt mit einem Klick, wenn Sie bei MediaTemple gehostet werden. Andernfalls benötigen Sie Zugriff auf das Domänensteuerungsfeld, um die Nameserver zu ändern.
Sicherheits-Plugins
- Bessere WP-Sicherheit implementiert viele dieser Korrekturen für Sie und ist die umfassendste kostenlose Lösung, die es gibt.
- WordFence ist ein Premium-Paket, das Ihre Dateien aktiv nach Malware-Links, Weiterleitungen, bekannten Sicherheitslücken usw. durchsucht und diese behebt. Der Preis beginnt bei 18 US-Dollar / Jahr für 1 Standort.
- Die Anmeldesicherheitslösung begrenzt Anmeldeversuche und erzwingt sichere Kennwörter.
- BulletProof Security ist ein umfassendes, aber komplexes Plugin, das einige der eher technischen Aspekte wie XSS-Injektion und .htaccess-Probleme behandelt. Es gibt auch eine Überprüfung des Plugins, die einen Großteil des Prozesses automatisiert.
Ich denke, Sie werden mir zustimmen, dass dies eine umfassende Liste von Schritten ist, um WordPress zu verhärten, aber ich schlage nicht vor, Sie umzusetzen alles von ihnen. Wenn ich all das für jede Site tun müsste, die ich jemals eingerichtet habe, würde ich sie jetzt noch einrichten. Das Ausführen eines beliebigen Systems birgt ein Risiko, und es liegt letztlich an Ihnen, das Gleichgewicht zwischen der gewünschten Sicherheitsstufe und dem Aufwand zu finden, den Sie bei der Sicherung des Systems einsetzen möchten - nichts ist zu 100% sicher. Die niedrig hängenden Früchte hier sind:
- Halten Sie WordPress auf dem neuesten Stand
- Deaktivieren des Administratorkontos
- Hinzufügen der Authentifizierung in zwei Schritten
- Sicherheits-Plugin installieren
Wenn Sie dies allein tun, sollten Sie über 99% aller anderen Blogs erreichen, was ausreicht, um potenzielle Hacker zu leichteren Zielen zu bewegen.
Glaubst du, ich habe etwas verpasst? Sag es mir in den Kommentaren.
Erfahren Sie mehr über: Online-Sicherheit, Webentwicklung, Webmaster-Tools, Wordpress.