Springe zum Hauptinhalt

WordPress-Entwicklerhandbuch zur Sicherheit: Installation

Divi: das am einfachsten zu verwendende WordPress-Theme

Divi: Das beste WordPress-Theme aller Zeiten!

Mehr 901.000 Downloads, Divi ist das beliebteste WordPress-Theme der Welt. Es ist vollständig, einfach zu bedienen und enthält mehr als 62-freie Vorlagen. [Empfohlen]

WordPress-Entwickler: Komm eins, komm alle! Ich habe etwas Besonderes für dich.

In den nächsten Wochen werden wir eine Reihe zur WordPress-Sicherheit in Bezug auf Entwickler veröffentlichen. Im Ernst, alles was du schon immer wissen wolltest – oder auch nicht wissen Sie wissen wollten - wird hier ausführlich behandelt. Und es wird viele Ideen von echten Sicherheitsexperten geben, um alles legitim zu halten.

Teil XNUMX dieser fünfteiligen Serie behandelt Ihren ersten Schritt zur Sicherung von WordPress: die Installation. Wenn weitere Artikel der Serie veröffentlicht werden, werde ich diesen Artikel mit den entsprechenden Links unten aktualisieren.

  • Teil 1: Installation
  • Teil 2: Aktualisierungen
  • Teil 3: Management und Verbindungen
  • Teil 4: Sicherheits- und Backup-Plugins
  • Teil 5: Sammeln

Schnappen Sie sich jetzt Stift und Papier und machen Sie sich bereit, einige Notizen zu machen. Es ist Zeit, über WordPress-Sicherheit zur Schule zu gehen. Und alles, was mit der Installation zu tun hat, wird heute mein Fokus sein.

Wählen Sie den richtigen Gastgeber

Eine sichere WordPress-Installation beginnt mit der Auswahl des richtigen Hosts. Ohne einen seriösen und sicheren Host, auf dem Sie Ihre Site platzieren können, können Ihre Sicherheitsbemühungen nicht weiter gehen. Da WordPress PHP und MySQL verwendet, würde technisch gesehen jeder Host ausreichen, der eine Linux-Umgebung anbietet, erklärt Damon Burton, Director of National SEO. Er schlägt jedoch vor, GoDaddy und Yahoo! als Gastgeber. „Ihre Hosting-Umgebungen zielen darauf ab, von Natur aus so einfach zu sein, dass sie dadurch restriktiv werden“, sagt er. „Das bedeutet, dass sie nicht benutzerfreundlich sind, um etwas anderes als die Grundlagen von WordPress zu tun. "

Wenn Sie also versuchen würden, die Einstellungen manuell zu ändern, um die Sicherheit zu verbessern, wäre dies auf diesen restriktiven Hosttypen sehr schwierig.

Erstellen Sie ganz einfach Ihre Website mit Elementor

Mit Elementor können Sie auf einfache Weise jedes Website-Design mit einem professionellen Look erstellen. Zahlen Sie nicht mehr teuer für das, was Sie selbst tun können. [Kostenlos]

„Bei Shared Hosting muss man sich vor allem Gedanken machen“, sagt Marcus Hildum, Chief Security Engineer bei DreamHost, „ist sicherzustellen, dass Ihr Provider über die richtigen Unix-Berechtigungen verfügt. Grundsätzlich möchten Sie keinen Zugriff auf die Dateien anderer Personen haben oder umgekehrt. „Danach“, sagt Hildum, gibt es mehrere Dinge, die Sie tun können, um eine WordPress-Installation sicherer zu machen, wie zum Beispiel „Webanwendungs-Firewalls, einfache SSL-Unterstützung und regelmäßige Site-Scans“.

Die meisten Sicherheitsexperten empfehlen die Verwendung eines Webhosts, der VPS anbietet. Tatsächlich nutzt Tony Perez, Mitbegründer und CEO von Sucuri, genau das. Es verwendet auch eine Website-Firewall, um "Angriffe abzuwehren, bevor sie meinen Server erreichen", sagt er und fügt hinzu: "Sie behebt eine Reihe von Problemen, insbesondere Software-Schwachstellen. [ …] Und es hilft mir auch, Serverressourcen zu sparen. Diese Effekte fallen alle unter die WordPress-Sicherheitskategorie "Schutz". Leider hören hier viele Leute auf und es ist einfach nicht genug.

Er führt es aus, indem er es mit der physischen Sicherheit vergleicht: „… sie haben Kameras, Sicherheitspersonal, Metalldetektoren, aber Diebstahl kommt immer noch vor“. Um die Sicherheit weiter zu verbessern, verwendet Perez Tools, um den Sicherheitsstatus seiner Website im Auge zu behalten. Diese Tools zeigen ihm, wer sich anmeldet, wer Beiträge ändert usw. Es zeigt auch WHOIS-, DNS- und Malware-Aktivitäten an. „Jedes dieser Dinge soll verschiedene Aspekte des Sicherheitsspektrums erfassen und Dinge, die viele Leute ignorieren“, sagt er. Er empfiehlt Sucuri Scanner für die Durchführung von Site-Audits, stellt jedoch fest, dass es auch andere Plugins gibt, die diese Aufgabe erfüllen.

Das Problem mit der Ein-Klick-Installation

Viele Webhoster bieten mittlerweile eine "Ein-Klick"-Installation für WordPress an, was sehr praktisch ist und vielen Leuten ermöglicht, schneller auf WordPress zuzugreifen als normalerweise. Natürlich kann die Einfachheit des Prozesses ihren Preis haben, sagt Mike Murphy, Inhaber von Erion Media, einem Webdesign- und Entwicklungsunternehmen.

„… Sie erstellen diese Installationen fast immer mit dem Standardbenutzer ‚admin‘“, sagt Murphy, was Ihre Site anfällig für Brute-Force-Angriffe macht. Und sie neigen auch dazu, "wp_" als bevorzugtes Datenbanktabellen-Präfix zu verwenden. Da dies in den meisten Dokumenten die Standardeinstellung ist, bedeutet dies, dass Hacker es bereits kennen. „Ein Angreifer kann sich auf Tabellennamen wie wp_users verlassen“, sagt Murphy, was „jegliches Rätselraten des Angreifers, wo die Daten einer Website gespeichert sind, eliminiert.“

Suchst du nach den besten WordPress Themes und Plugins?

Laden Sie die besten Plugins und WordPress-Themes auf Envato herunter und erstellen Sie ganz einfach Ihre Website. Schon mehr als 49.720.000 Downloads. [EXCLUSIVE]

Während Sie den Benutzernamen und das Tabellenpräfix leicht ändern können – worauf wir später noch ausführlicher eingehen werden – ist das Problem hier die Annahme, dass Installationen mit einem Klick erstellt werden. Da Ihr Gastgeber es anbietet, denken viele Leute, dass es sicher und geschützt ist. Leider ist dies nicht der Fall, was bedeutet, dass ein manueller Ansatz wahrscheinlich die bessere Idee ist.

Wie installiere ich WordPress

Wenn Sie keinen Ein-Klick-Installationsprozess verwenden, sollte die Installation von WordPress auf Ihrem Host etwa 10 Minuten dauern, erklärt Burton. Sie benötigen ein grundlegendes Verständnis von FTP und Datenbanken. Es gibt mehrere Tutorials, um diesen Prozess zu verfolgen, von der Auswahl eines FTP-Programms über das Hochladen von Dateien bis hin zum Einrichten einer Datenbank. Da hier der Fokus auf Sicherheit liegt, werde ich mich in diesem Artikel nicht mit diesen Details verzetteln.

Nachdem alle Ihre Dateien heruntergeladen und die Datenbank erstellt wurden, werden Sie aufgefordert, einen Benutzernamen und ein Kennwort zu konfigurieren. Der Standardbenutzername war früher "admin", aber zum Glück fügen neuere Versionen von WordPress ihn nicht automatisch ein. Trotzdem wird empfohlen, einen komplizierten und schwer zu erratenden Benutzernamen für einen Hacker zu wählen. Das heißt also: mach es nicht zu deinem Namen oder so etwas zu erraten.

Dito für Ihr Passwort. Komplizierte Dinge aus Liebe zu allem Heiligen! Ich weiß, es ist ärgerlich, aber es ist ein Muss. Hacker starten Brute-Force-Angriffe, um Passwörter zu knacken, was bedeutet, dass sie Skripte ausführen, die Ihr Passwort immer wieder erraten, bis sie Ihre Website betreten und Zugriff darauf erhalten. Je komplizierter das Passwort ist, desto länger dauert es, es zu erraten. Aber im Allgemeinen geben Hacker den Versuch auf, eine Website mit einem super komplizierten Passwort zu hacken, weil es so viele andere mit einem Passwort "Passwort" gibt, die sie ausnutzen können.

Ändern Ihres "Admin"-Benutzernamens

PhpMonAdmin_logoIch habe bereits darüber gesprochen, wie wichtig es ist, "admin" als Benutzernamen zu vermeiden und warum Sie ein kompliziertes Passwort benötigen. Aber nehmen wir an, Sie haben vor einiger Zeit mit WordPress angefangen und der Standardbenutzername war 'admin'. Wie bereits erwähnt, können Sie jederzeit einen neuen Admin für Ihre Site erstellen und dann den Standardbenutzernamen entfernen, aber wenn Sie bereits viele Beiträge und Seiten mit dem Autor "admin" haben, möchten Sie diese Änderung vielleicht über PHPMyAdmin vornehmen.

Verbinden Sie sich dazu mit Ihrem cPanel (vorausgesetzt, Sie haben hier eine), dann navigieren Sie zu PHPMonAdmin. Wählen Sie dann Ihre WordPress-Datenbank aus und scrollen Sie zu wp_users malen. Suchen Sie nach "admin" und klicken Sie auf bearbeiten. Dann geben Sie einfach den gewünschten neuen Benutzernamen in das ein Online Benutzer Domain. Ihre Beiträge und Seiten werden automatisch so konfiguriert, dass dieser Name als Autor angezeigt wird, Sie müssen nichts löschen und reduzieren das Risiko von Brute-Force-Angriffen. Und es dauert wie, was? Höchstens zwei Minuten.

Fazit

Meistens scheinen die Leute zu denken, dass WordPress-Sicherheit etwas ist, das nachträglich durch ein Plugin hinzugefügt wird. Und obwohl dies sicherlich ein wichtiger Teil des Puzzles ist, müssen Sie während der Installation noch einige Dinge tun, um sicherzustellen, dass alles von Anfang an sicher ist.

Erstellen Sie einfach Ihren Online-Shop

Laden Sie kostenlos WooCommerce herunter, die besten E-Commerce-Plugins, um Ihre physischen und digitalen Produkte auf WordPress zu verkaufen. [Empfohlen]

Vergessen Sie nicht, bald für den nächsten Teil dieser Reihe wiederzukommen. Ich werde über die Sicherheit von WordPress sprechen, wenn es um die Verwaltung von Verbindungen und Ihrer Website im Allgemeinen geht. Aber habe ich in der Zwischenzeit etwas übersehen? Haben Sie nützliche Tipps zur WordPress-Installation und -Sicherheit? Fühlen Sie sich frei, in den Kommentaren unten zu teilen!

Bildquelle: David Goehring

Quelle Link

Dieser Artikel enthält Kommentare 0

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.

Zurück nach oben
0 Aktien
Aktie
tweet
Registrieren