WordPress-Sicherheits- und Härtungshandbuch
Lassen Sie uns zunächst WordPress im Hinblick auf die Sicherheitsmaßnahmen von WordPress definieren. WordPress ist ein Content-Management-System (CMS), mit dem Sie alle Arten von Inhalten erstellen und verwalten können, ohne über Programmierkenntnisse zu verfügen. Nach ein paar Installationsschritten können Sie Ihre Website ganz einfach mit einer Content-Management-Infrastruktur bereitstellen. Alles, was Sie brauchen, ist eine Domain und ein Hosting mit PHP- und MySQL-Unterstützung.
WordPress ist eine der beliebtesten Open-Source-CMS-Strukturen der Welt. Aktuellen Statistiken zufolge basieren 301 % der Websites weltweit auf der WordPress-Plattform. Man sieht, dass globale Konzerne, Regierungsinstitutionen, Zeitungen und viele ähnliche Unternehmen die WordPress-Plattform bevorzugen.
Sicherheitsmaßnahmen für WordPress Dieses System hat großen Erfolg und große Popularität erlangt. Einer der Faktoren, die mit seiner Popularität einhergehen, ist jedoch, dass es die Aufmerksamkeit von Cyber-Angreifern erregt. Cyber-Angreifer verfolgen im Allgemeinen beliebte Systeme, insbesondere Open-Source-Systeme. Es ist eine unvermeidliche Tatsache, dass einige der Cyber-Angriffe auf dieses CMS-Verwaltungssystem gerichtet sind, da ein Drittel der Websites weltweit über eine WordPress-Infrastruktur verfügen.
In diesem Artikel besprechen wir die Sicherheitsmaßnahmen, die nach der Installation von WordPress ergriffen werden müssen. Indem Sie diese Sicherheitsmaßnahmen und Härtungsschritte ergreifen, haben Sie die notwendigen Schritte unternommen, um Ihre WordPress-Infrastruktur vor Cyber-Angreifern zu schützen.
Hinweis: Dieses Handbuch basiert ausschließlich auf dem WordPress-Verwaltungssystem. Hosting-bezogene Probleme, PC-Probleme und andere ähnliche Quellen werden in diesem Artikel nicht behandelt.
WordPress-Sicherheits- und Härtungshandbuch
Nach der Installation von WordPress können Sie Ihr System absichern und Cyberangriffen einen Schritt voraus sein, indem Sie die unten beschriebenen Sicherheitsmaßnahmen ergreifen.
Wenn Sie eine WordPress-Infrastruktur haben, müssen Sie dieses Problem ernst nehmen und grundlegende Sicherheitsmaßnahmen gegen sich entwickelnde und ständig ändernde Cyberangriffe ergreifen. Andernfalls könnten Sie zum Ziel von Cyberangreifern werden oder Ihr Content-Management-System und Ihre Daten könnten kompromittiert werden.
Sicherheit ist ein Prozess und muss richtig gemanagt werden. Es ist wichtig, sich daran zu erinnern, dass Sicherheit nicht zu 100 % garantiert werden kann und dass die Verwaltung dieses Prozesses Ihr Risikoniveau senken kann.
Die Sicherung Ihres Privat- oder Firmencomputers, Ihres Online-Verhaltens und Ihrer internen Vorgänge ist einer der ersten Schritte zum Schutz Ihrer WordPress-Infrastruktur.
Sicherheit besteht aus drei Hauptbereichen: Menschen, Prozesse und Technologie.
Alle diese Elemente müssen in synchronisierter Harmonie miteinander stehen. Eine Schwachstelle in einem Bereich kann das gesamte System beeinträchtigen. Wenn Sie also über die Sicherheit von WordPress nachdenken, sollten Sie Ihre persönlichen Fehler, Schwachstellen in Hosting- und ähnlichen Hosting-Systemen, Prozessen und der Entwicklung der Technologie nicht übersehen.
Wie kann die Sicherheit von WordPress gewährleistet werden?
Nachfolgend finden Sie die WordPress-Sicherheitskontrollen und -maßnahmen, die Sie ergreifen müssen. Durch das Ergreifen dieser Maßnahmen können Sie Ihr System absichern und die Sicherheit erhöhen.
Allgemeine Sicherheitskontrollen für WordPress - Zugriffsbeschränkung: Sie können Ihre Sicherheit erhöhen, indem Sie die Anzahl der Konten mit Zugriff auf Ihre WordPress-Site minimieren und die Berechtigungen derjenigen, die darauf zugreifen, richtig anpassen. Denken Sie daran, dass mehrere „Administrator“-Berechtigungen in einem System Ihre Schwachstellen erhöhen.
Plugins und Themes: Entfernen Sie alle ungenutzten Plugins und Themes auf Ihrer WordPress-Site. Diese helfen dabei, Privatsphäre, Benutzerfreundlichkeit und Integrität mit mindestens privilegierten Prinzipien zu wahren. Auf diese Weise sind Sie nicht von Schwachstellen betroffen, die in ungenutzten Themes oder Plugins auftreten können.
Isolierung: Sie sollten Ihr System so konfigurieren, dass der Schaden, der bei einer Kompromittierung Ihres Systems entstehen kann, minimiert wird. Vermeiden Sie nach Möglichkeit, mehrere verschiedene Websites auf einem einzigen Hosting-Konto zu hosten. Wenn mehrere Websites auf einem Hosting gehostet werden, beachten Sie, dass das gesamte System durch die Schwachstellen anderer Websites beeinträchtigt wird.
Sichere Sicherung: Hosten Sie verifizierte Backups an sicheren Standorten. Überprüfen Sie regelmäßig die Integrität der Backups, um sicherzustellen, dass Sie Ihre Website wiederherstellen können, wenn sie beschädigt ist. Nach Cyberangriffen, die die Sicherheit Ihrer Website gefährden könnten, sollten Sie über einen Notfallwiederherstellungsplan verfügen.
Updates nicht vergessen: Geben Sie Ihr Bestes, um Ihre WordPress-Installation, einschließlich Plugins und Themes, auf dem neuesten Stand zu halten. Sie müssen die auf Ihrer Site installierten Themes und Plugins aktualisieren. Gleichzeitig empfehlen wir Ihnen, die WordPress-Version unverzüglich zu aktualisieren.
Sicherheitsupdates: Sicherheitslücken sind ein Problem, das jede Software betrifft. Eine Schwachstelle kann auf jedem System identifiziert und ausgenutzt werden. Dies kann nicht nur die gesamte Software und Hardware betreffen, sondern auch das Content-Management-System WordPress.
Verwenden Sie vertrauenswürdige Quellen: Installieren, laden oder verwenden Sie keine Plugins/Themes aus unzuverlässigen Quellen! Wenn Sie ein Plugin installieren möchten, laden Sie es unbedingt über WordPress.org auf Ihr System hoch. Halten Sie sich von Plugins und Themes fern, die von Websites Dritter vertrieben werden. Insbesondere auf illegalen Websites, die kostenpflichtige Themes oder Plugins kostenlos vertreiben, gibt es erhebliche Schwachstellen, Viren oder böswillige Hacker. Denken Sie daran, dass diese illegalen Websites, die Themes oder Plugins kostenlos vertreiben, Ihr System hacken können, indem sie bösartigen Code in Ihre Themes oder Plugins einfügen!
Sicherheitsschritte nach der WordPress-Installation
Nachdem Sie die WordPress-Installation abgeschlossen haben, können Sie eine Post-Installation-Härtungsmaßnahme durchführen, indem Sie die folgenden Richtlinien befolgen.
Sichern von wp-config.php
Die wichtigste Datei in der WordPress-Infrastruktur ist die Datei wp-config.php. Indem Sie einige Anpassungen in dieser Datei vornehmen, können Sie die Systemsicherheit verbessern. Zuerst müssen wir die Sicherheit der Datei wp-config.php überprüfen.
Um die Datei wp-config.php auf Apache-Servern abzusichern, fügen Sie dem Inhalt der .htaccess-Datei folgenden Code hinzu. Mit diesem Code kann der Inhalt der Datei wp-config.php nicht von außen aufgerufen werden und der Zugriff von außen wird unterbunden.
<files wp-config.php>
Befehl erlauben, verweigern
abgelehnt von allen
</files>
Darüber hinaus bietet das Verschieben der Datei wp-config.php mithilfe verschiedener Plugins außerhalb des HTML-Ordners zusätzlichen Sicherheitswert. Diese Datei ist die wichtigste Datei in WordPress-Protokollen. Die Datei wp-config.php enthält die erforderlichen Informationen für die Datenbankverbindung.
Verschlüsseln der Datei wp-config.php
Eine weitere Möglichkeit, den Zugriff auf eine andere wp-config.php-Datei einzuschränken, besteht darin, deren Inhalt zu verschlüsseln. Sie können ionCube, Zend Guard oder das einfachste und kostenlose Tool verwenden, das auf phpr.org zur Verschlüsselung verfügbar ist. Auf diese Weise können nur diejenigen mit Zugriff auf die verschlüsselten Daten diese anzeigen, wodurch Ihre Datenbankverbindungsinformationen vertraulich bleiben.
Ändern des Speicherorts der Datei wp-config.php
Da die Datei wp-config.php von entscheidender Bedeutung ist, können wir uns nicht ausschließlich auf die Verschlüsselung verlassen. Verschlüsselungsmethoden können schließlich von professionellen Angreifern geknackt werden. Wenn wir den Speicherort der Datei wp-config.php ändern, unternehmen wir einen weiteren wichtigen Schritt in Bezug auf die Zugriffskontrolle.
Wir können das Verzeichnis ändern, in dem sich die Datei wp-config.php befindet, oder den Namen der Datei direkt ändern. Dazu müssen wir die Datei wp-load.php im Stammverzeichnis unserer Site öffnen und die Stellen, an denen wp-config.php geschrieben wird, entsprechend unserem Ordnernamen ändern.
Hinweis: Sie können Plugins verwenden, die diese Einstellungen dauerhaft machen, da sie nach jedem Update auf die alten Einstellungen zurückgesetzt werden.
Blockieren des Zugriffs auf die Datei wp-load.php
Ein weiterer Schritt zur Sicherung von WordPress besteht darin, den Zugriff auf die Datei wp-load.php zu blockieren. So wie wir den Zugriff auf die Datei wp-config.php von außen mithilfe der .htaccess-Datei blockiert haben, können wir den Zugriff auf die Datei wp-load.php für potenzielle unbefugte Zugriffe einschränken.
<files wp-load.php>
Befehl erlauben, verweigern
abgelehnt von allen
</files>
Schutz des WordPress-Plugin-Verzeichnisses
Auch in den Plugins, die Sie in Ihrem WordPress-System verwenden, können Schwachstellen auftreten. Angreifer können sich unbefugten Zugriff auf Ihr System verschaffen, indem sie Schwachstellen in diesen Plugins ausnutzen. Daher müssen wir auch für den WordPress-Ordner „Plugins“ Sicherheitsmaßnahmen ergreifen. Unter normalen Umständen sollte der Inhalt dieses Verzeichnisses beim Zugriff darauf nicht aufgelistet werden. In einigen Versionen oder aufgrund eines Benutzerfehlers kann dieses Verzeichnis jedoch geöffnet sein und die darin enthaltenen Ordner können aufgelistet werden. Auf diese Weise können Angreifer Informationen über die auf dem System installierten Plugins erhalten. Wenn Sie verhindern möchten, dass Außenstehende Ihre Plugins sehen, können Sie in diesem Ordner eine leere Datei mit dem Namen index.html erstellen, um die Auflistung des Verzeichnisses zu verhindern.
Hinweis: In aktuellen WordPress-Versionen gibt es standardmäßig eine leere index.php-Datei.
Blockieren des Zugriffs auf die .htaccess-Datei von WordPress
Die .htaccess-Datei ist für WordPress auf Apache-Servern sehr wichtig. Diese Datei enthält normalerweise den Standard-Umleitungsinhalt von WordPress. Andererseits kann sie, wie oben erwähnt, auch verwendet werden, um unbefugten Zugriff zu blockieren. Wenn wir unserer .htaccess-Datei den folgenden Code hinzufügen, stellen wir die Sicherheit unserer .htaccess-Datei sicher:
Reihenfolge erlauben, verweigern verweigern von allen
Deaktivieren des WordPress-Debugging-Modus
Sie können potenzielle Schwachstellen verhindern, indem Sie WordPress-Fehlermeldungen deaktivieren. Sie können den Debug-Modus deaktivieren, indem Sie den folgenden Code zur Datei wp-config.php hinzufügen. Der Debug-Modus wird verwendet, um mögliche WordPress-Fehler anzuzeigen, und Entwickler aktivieren diesen Modus normalerweise, um Fehler im System zu untersuchen. Sie können den Modus deaktivieren, indem Sie den Wert „false“ im Code ändern oder ihn auf „true“ ändern, um den Debug-Modus erneut zu aktivieren.
definieren( 'WP_DEBUG', FALSCH );
Erzwingen der SSL-Veröffentlichung in WordPress
Wir empfehlen, Ihre WordPress-Site über SSL zu veröffentlichen. Um über SSL zu veröffentlichen, benötigen Sie ein SSL-Zertifikat. SSL-Zertifikate können gegen Gebühr verkauft werden oder sind in kostenlosen Versionen erhältlich. Sie können ein kostenloses SSL-Zertifikat erhalten, indem Sie Let’s Encrypt oder Cloudflare verwenden. Die Veröffentlichung Ihrer Site über SSL wirkt sich positiv auf Google aus und ist auch ein wichtiger Schritt gegen Angreifer. Nachdem Sie die SSL-Veröffentlichung für Ihre Site eingerichtet haben, können Sie SSL erzwingen, indem Sie der Datei wp-config.php den folgenden Code hinzufügen:
definieren('FORCE_SSL_ADMIN', WAHR);
Automatische WordPress-Updates aktivieren
Wenn in anderer Software Schwachstellen auftreten, treten diese auch in WordPress auf. Diese Schwachstellen werden vom WordPress-Team kontinuierlich erkannt und durch Updates behoben. Sie können diese Updates manuell oder automatisch durchführen, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen:
definieren(„WP_AUTO_UPDATE_CORE“, WAHR);
Definieren des temporären WordPress-Ordners
Genau wie bei WordPress-Updates werden auch bei Plugin- und Theme-Updates Vorgänge in einem TEMP-Ordner ausgeführt. Dieser Ordner muss beschreibbar sein. Sie können sicherstellen, dass Updates korrekt abgeschlossen werden, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen und das Upload-Verzeichnis angeben. Der Code sollte das Upload-Verzeichnis angeben und der Dateipfad sollte genau angegeben werden. Der folgende Code ist der Standardpfad für den WordPress-Upload-Ordner im CentOS-Betriebssystem:
definieren('WP_TEMP_DIR',„/var/www/html/wp-content/uploads/“);
In manchen Fällen werden WordPress-Dateien bei Plugin- und Theme-Updates möglicherweise nicht korrekt abgerufen oder es treten Fehler auf. Sie können sicherstellen, dass Updates mit Fehlern korrekt durchgeführt werden, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen:
Geplante Aufgaben deaktivieren
Eine der Funktionen von WordPress sind geplante Aufgaben. Geplante Aufgaben können Ihr System jedoch in manchen Fällen überlasten. Wenn Angreifer Ihr System infiltrieren, können sie andererseits die CRON-Funktion von WordPress nutzen, um hartnäckig zu bleiben. Sie können die geplanten Aufgaben von WordPress stoppen, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen:
definieren(„WP_CRON DEAKTIVIEREN“, WAHR);
Deaktivieren des Dateibearbeitungseditors
Sie können Designdateien mit dem Code-Editor im WordPress-Administrationsbereich verwalten. Diese Funktion kann jedoch eine Sicherheitslücke darstellen. Insbesondere haben wir Fälle gesehen, in denen Angreifer über eine Sicherheitslücke in Ihrem System schädlichen Code in Ihre Designdateien einschleusen. Sie können die Funktion zum Bearbeiten von Designdateien in WordPress deaktivieren, indem Sie den folgenden Code zu Ihrer Datei wp-config.php hinzufügen. Dies erhöht Ihre Sicherheit weiter:
definieren(„DATEIBEARBEITUNG VERBOTEN“, WAHR);
Ändern eindeutiger Authentifizierungsschlüssel
Die einzigartigen Authentifizierungsschlüssel von WordPress sind eine Reihe von Zufallsvariablen, die die Verschlüsselung der in den Cookies des Benutzers gespeicherten Informationen verbessern. Nach der Installation werden insgesamt vier Sicherheitsschlüssel erstellt:
AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY.
WordPress-Authentifizierungsschlüssel werden verwendet, um Berechtigungen in WordPress zu verschlüsseln. Sie tragen zur Sicherheit Ihrer Website bei und machen es schwieriger, sie zu knacken. Diese Schlüssel wirken sich auf verschiedene Aspekte aus, von der Verschlüsselung von Cookies bis hin zu Sicherheitsschlüsseln, die als „Nonces“ für AJAX-Operationen verwendet werden. In einer Standardinstallation werden Sie sie wie folgt antreffen:
definieren('AUTH_KEY', „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren(„SICHERER_AUTH_KEY“, „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren(„LOGGED_IN_KEY“ (Angemeldeter Schlüssel), „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren('NONCE_KEY', „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren('AUTH_SALT', „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren(„SECURE_AUTH_SALT“, „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren('LOGGED_IN_SALT', „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
definieren('NONCE_SALT', „Platzieren Sie hier Ihren einzigartigen Zeichensatz“);
Konfigurieren der Datei- und Verzeichnisberechtigungen für WordPress
Das Standardberechtigungsschema für WordPress sollte wie folgt aussehen:
Ordner – 750 / Dateien – 640
Sie können Ihre Site absichern, indem Sie Ihren Ordnern die Berechtigung 750 und Ihren Dateien die Berechtigung 640 erteilen. Sie können für diese Anpassung FileZilla oder ein ähnliches FTP-Tool verwenden oder sich an Ihren Hosting-Anbieter wenden. Bevor Sie Änderungen an den Berechtigungen vornehmen, sollten Sie dies mit Ihrem Hosting-Anbieter besprechen, da sich dies negativ auf die Leistung und Benutzerfreundlichkeit Ihrer Site auswirken kann. Stellen Sie außerdem sicher, dass keine Datei oder kein Verzeichnis die Berechtigung 777 hat, da dies eine Sicherheitslücke darstellt.
Sichern Sie den Upload-Ordner
Sie sollten den Upload-Ordner von WordPress, in den Bilder und andere Dateien hochgeladen werden, vor potenziellen Schwachstellen schützen, beispielsweise vor der Ausführung ausführbarer Dateien (z. B. Shell-Skripte). Angreifer können Schwachstellen, die sie in Ihrem System finden, ausnutzen, um schädliche Dateien in das Upload-Verzeichnis hochzuladen und Shell-Zugriff zu erhalten. Um dies zu verhindern, sollten Sie eine .htaccess-Datei im Verzeichnis /wp-content/uploads/ erstellen und den folgenden Code zur Datei /wp-content/uploads/.htaccess hinzufügen. Dadurch wird verhindert, dass Angreifer schädliche Dateien in Ihren Upload-Ordner herunterladen und ausführen.
# PHP-Ausführung beenden leugnen von allen
Benutzerkontorichtlinie
Während der WordPress-Installation wird ein Administratorkonto hinzugefügt. Wenn Sie die WordPress-Installation standardmäßig abgeschlossen haben, haben Sie ein Administratorkonto erstellt. Wir empfehlen jedoch, den Benutzernamen dieses Kontos zu ändern, um vor Brute-Force-Angriffen zu schützen. Außerdem erhöht das Vorhandensein mehrerer Administratorkonten die Sicherheitslücken. Wir empfehlen, ein einzelnes Administratorkonto zu verwenden und anderen Benutzern in Ihrem System die Rollen „Editor“, „Autor“ oder „Benutzer“ zuzuweisen. Benutzer verwenden häufig ihre Namen als Benutzernamen, was vorhersehbar sein und Sicherheitslücken schaffen kann. Daher raten wir Benutzern oder Administratoren davon ab, solche Benutzernamen zu verwenden.
Passwörter und Benutzerinformationen
WordPress wendet eine Standardrichtlinie für komplexe Passwörter auf die von Ihnen erstellten Benutzer an. Einige Benutzer erstellen jedoch möglicherweise unzuverlässige und vorhersehbare Passwörter wie „12345678“. Wir empfehlen, Benutzer dazu zu drängen, komplexe Passwörter zu erstellen, um ihre Konten zu schützen. Andernfalls besteht eine hohe Wahrscheinlichkeit, dass Angreifer diese Passwörter erraten und Zugriff auf Ihr System erhalten. Darüber hinaus ist es aus Sicherheitsgründen wichtig, Passwörter regelmäßig zu ändern.
Verhindern von WordPress-Pingback-Angriffen
Die Pingback-Funktion von WordPress kann von Angreifern missbraucht werden, um Ihr System übermäßig zu belasten, und kann für Distributed Denial of Service (DDOS)-Angriffe verwendet werden. Um dies zu verhindern, empfehlen wir, die Pingback-Funktion von WordPress zu deaktivieren, wenn Sie sie nicht verwenden. Sie können die Pingback-Funktion deaktivieren, indem Sie den folgenden Code an einer geeigneten Stelle in der Datei functions.php Ihres Designs hinzufügen.
// Pingback deaktivieren Funktion remove_x_pingback($headers) { nicht gesetzt($headers['X-Pingback']); zurückkehren $headers; } Filter hinzufügen('wp_headers', „remove_x_pingback“);
Deaktivieren des WordPress XML-RPC-Zugriffs
Die XML-RPC-Datei von WordPress wurde in der Vergangenheit bereits mehrfach missbraucht. Angreifer nutzen häufig zwei große Schwachstellen in dieser Datei aus. Erstens wird sie bei Brute-Force-Angriffen verwendet, um sich durch das Ausprobieren von Benutzernamen- und Passwortkombinationen unbefugten Zugriff auf Ihre Website zu verschaffen. Zweitens können Angreifer die XML-RPC-Datei verwenden, um Denial-of-Service-Angriffe (DDOS) auf Ihr System zu starten.
Zum Schutz vor diesen Angriffen empfehlen wir, der Datei functions.php Ihres Designs den folgenden Code hinzuzufügen, um die XML-RPC-Funktion zu deaktivieren.
// XML-RPC deaktivieren Filter hinzufügen(„xmlrpc_aktiviert“, '__return_false');
Sie können den XML-RPC-Zugriff auch über .htaccess deaktivieren. Fügen Sie Ihrer .htaccess-Datei im Stammverzeichnis den folgenden Code hinzu und ersetzen Sie „123.123.123.123“ durch Ihre tatsächliche IP-Adresse, um nur den Zugriff von dieser IP-Adresse aus zuzulassen.
# Blockieren Sie WordPress xmlrpc.php
<Files xmlrpc.php>
Befehl verweigern, erlauben
abgelehnt von allen
erlauben von 123.123.123.123
</Files>
Deaktivieren der WordPress REST API-Funktion
Wenn Sie die in WordPress 4.4 eingeführte REST-API-Funktion nicht verwenden, empfehlen wir, sie zu deaktivieren, um einen möglichen Missbrauch durch böswillige Akteure zu verhindern, der zu einer Systemüberlastung und möglichen Dienstunterbrechungen führen kann. Um die REST-API-Funktion zu deaktivieren, fügen Sie der Datei functions.php Ihres Designs den folgenden Code hinzu.
// REST-API deaktivieren
Filter hinzufügen( „json_aktiviert“, '__return_false' );
Filter hinzufügen( „json_jsonp_aktiviert“, '__return_false' );
Filter hinzufügen( „rest_aktiviert“, '__return_false' );
Filter hinzufügen( „rest_jsonp_aktiviert“, '__return_false' );
Achten Sie auf den Codeblock, um „Info“-Informationen aus Anfragen zu entfernen und so zu verhindern, dass Angreifer Informationen sammeln.
// REST-API-Informationen aus Kopf und Headern entfernen
remove_action( „xmlrpc_rsd_apis“, 'rest_output_rsd' );
remove_action( 'wp_kopf', 'rest_output_link_wp_head', 10 );
remove_action( „Vorlagen-Umleitung“, 'rest_output_link_header', 11 );
Deaktivieren der WordPress-Versionsinformationen
remove_action('wp_kopf', 'wp_generator');
# Verzeichnisliste deaktivieren
Optionen Alle -Indizes
# Serversignatur entfernen ServerSignature Off
# Datei-Uploadgröße auf 10 MB begrenzen
LimitRequestBody 10240000
Implementierung der Zwei-Faktor-Authentifizierung
Sie können die Sicherheit der Anmeldung beim WordPress-Admin-Panel erhöhen, indem Sie Anwendungen zur Zwei-Faktor-Authentifizierung (2FA) implementieren. Diese Anwendungen generieren Einmalkennwörter, nachdem Sie Ihr Kennwort eingegeben haben, und fügen Administrator- oder Benutzeranmeldungen eine zusätzliche Sicherheitsebene hinzu. Die folgenden Anwendungen bieten Zwei-Faktor-Authentifizierung und können als Plugins installiert werden, um eine sichere Authentifizierung bereitzustellen:
- Authy
- Duo
- Rublon
- Zwei-Faktor
WordPress-Backup-Strategie
Eine robuste Backup-Strategie sollte regelmäßig geplante Snapshots Ihrer gesamten WordPress-Installation (einschließlich WordPress-Kerndateien und Ihrer Datenbank) umfassen, die an einem zuverlässigen Ort gespeichert sind. Durch regelmäßiges Sichern Ihrer WordPress-Datenbank und FTP-Dateien können Sie Ihr System im Falle von Problemen wiederherstellen.
Um regelmäßige Backups durchzuführen, können Sie WordPress-Backup-Plugins verwenden oder manuell Backups über SSH und ähnliche Systeme erstellen.
Sicherheits-Plugin verwenden
Wp Safe Zone ist ein sicherheitsorientiertes WordPress-Plugin, das eine umfassende Lösung zum Schutz Ihrer Website bietet. Dieses Plugin bietet eine Reihe von Funktionen, um die Sicherheit Ihrer Website zu verbessern und potenzielle Angriffe zu verhindern.
Wp Safe Zone überwacht kontinuierlich den Sicherheitsstatus Ihrer Website und erkennt potenzielle Bedrohungen. Mit automatischen Updates und regelmäßigen Scans können Sie Sicherheitslücken schnell identifizieren und beheben.
Darüber hinaus überwacht die erweiterte Sicherheitsfirewall (WAF) von Wp Safe Zone Ihren Website-Verkehr, um Schutz vor böswilligen Angriffen zu bieten. Die Firewall filtert böswillige Anfragen und blockiert schädliche Inhalte, um die Sicherheit Ihrer Website zu gewährleisten.
Mit seiner benutzerfreundlichen Oberfläche ermöglicht Ihnen Wp Safe Zone, den Sicherheitsstatus Ihrer Website einfach zu verwalten und notwendige Maßnahmen zu ergreifen. Darüber hinaus können Sie mit den Berichts- und Protokollierungsfunktionen des Plugins potenzielle Sicherheitsverletzungen schnell erkennen und darauf reagieren.
Abschließend, WP Safe Zone bietet eine zuverlässige Lösung zum Schutz und zur Absicherung Ihrer Website. Dank der umfassenden Funktionen und der Benutzerfreundlichkeit wird das Erkennen und Beheben von Sicherheitslücken auf Ihrer Website einfacher und effektiver.
Vorfallerkennung und Betriebszeitüberwachung
Ihre Website kann aufgrund von Angriffen durch Cyberkriminelle oder Hosting-basierten Problemen ausfallen. Um über solche Vorfälle auf dem Laufenden zu bleiben, können Sie kostenlose Websites verwenden, die Ihre Website auf Ausfallzeiten überwachen und Ihnen E-Mail-Benachrichtigungen über etwaige Unterbrechungen senden.
Laden Sie Wp Safe Zone noch heute herunter und stärken Sie Ihre WordPress-Site mühelos mit erweiterten Sicherheitsfunktionen.