Springe zum Hauptinhalt

WordPress-Entwicklerhandbuch zur Sicherheit: Verwaltung und Verbindungen

Divi: das am einfachsten zu verwendende WordPress-Theme

Divi: Das beste WordPress-Theme aller Zeiten!

Mehr 901.000 Downloads, Divi ist das beliebteste WordPress-Theme der Welt. Es ist vollständig, einfach zu bedienen und enthält mehr als 62-freie Vorlagen. [Empfohlen]

Willkommen zum dritten Teil unserer Serie, die sich mit allem rund um die WordPress-Sicherheit befasst. Wenn Sie diese Sammlung von Artikeln gelesen haben, haben Sie hoffentlich eine klarere Vorstellung davon, wie Sie die richtigen Sicherheitsprotokolle für Ihre Website einrichten und diese beibehalten, während das CMS einige Probleme durchläuft.

Ich möchte, dass Sie am Ende ein Sicherheitsprofi sind! Okay, also vielleicht nicht a PRO, aber die wichtigsten Elemente müssen Sie unbedingt beherrschen!

Hier ist ein praktisches Inhaltsverzeichnis für Sie, falls Sie einen früheren Artikel verpasst haben oder weiter springen möchten:

Im heutigen Artikel werde ich untersuchen, wie Sie eine Website für eine Weile sicher halten und Verbindungen besser verwalten können. Wir gehen hier über den Ratschlag „Wählen Sie ein hartes Passwort“ hinaus, um ein wenig tiefer in die Details einzutauchen. Sind Sie bereit?

Verbindungen begrenzen

Eines der ersten Dinge, die Sie tun können, um die WordPress-Sicherheit zu verwalten, besteht darin, die Anzahl der Anmeldeversuche zu begrenzen. Wie ich in einem früheren Artikel erwähnt habe, verwenden viele Hacker Brute-Force-Angriffe, um zu versuchen, Ihren Benutzernamen und / oder Ihr Passwort zu knacken. Auch wenn diese Angriffe nicht erfolgreich sind, kann die Wiederholung der Angriffe Ihren Server stark belasten.

Indem Sie die Verbindungen einschränken, verhindern Sie, dass ein Hacker auch nur einen Brute-Force-Angriff versucht. Er könnte es zwei- bis dreimal versuchen, dann wäre seine IP gesperrt. Sie können dies ganz einfach mit dem Plugin Limit Login Attempts einrichten, so Ryan Burr, ein Experte für Technologiedienstleistungen und WordPress-Entwickler bei One Stop Tek Shop. Dieses Plugin wurde jedoch seit über zwei Jahren nicht mehr aktualisiert. Obwohl seine Funktionen großartig sind, möchten Sie es vielleicht weitergeben, damit Sie sich nicht für zusätzliche Sicherheitslücken öffnen.

Ich empfehle stattdessen Login Lockdown. Da Sie mit diesen beiden Plugins die Anzahl der erfolglosen Anmeldeversuche eines Benutzers begrenzen können, bevor seine IP-Adresse für die von Ihnen festgelegte Anzahl von Stunden gesperrt wird, wären „Brute-Force-Angriffe viel höher. „Der Angreifer würde viele verschiedene Proxys benötigen, da das Plugin diese IP-Adresse nach mehreren fehlgeschlagenen Anmeldeversuchen weiterhin sperren würde“, sagt er und weist darauf hin, dass Sie hier eine Vielzahl von Einstellungen anpassen können, um die optimale Sicherheitskonfiguration für Ihre Site zu erstellen .

Benutzer nicht zulassen, die versuchen, Admin als Benutzernamen zu verwenden

Es ist eine Sache, sicherzustellen, dass Sie nicht admin als Ihren Benutzernamen verwenden. Es ist eine andere, um zu verhindern, dass andere Leute versuchen, sich damit zu verbinden. Da "admin" heutzutage solche Brute-Force-Angriffskonnotationen hat, sind die zufälligen Leute, die versuchen, sich damit bei Ihrer Site anzumelden, oft Hacker. Sie können ihre Versuche jedoch stoppen, indem Sie jedem, der versucht, "admin" zu verwenden, die Anmeldung verbieten, sagt Damon Burton von SEO National.

Erstellen Sie ganz einfach Ihre Website mit Elementor

Mit Elementor können Sie auf einfache Weise jedes Website-Design mit einem professionellen Look erstellen. Zahlen Sie nicht mehr teuer für das, was Sie selbst tun können. [Kostenlos]

Er schlägt vor, Wordfence zu verwenden, um diese automatische Sperrfunktion zu konfigurieren. Natürlich enthält dieses Plugin viele weitere Funktionen wie die Zwei-Faktor-Authentifizierung, das Blockieren bekannter Angreifer usw. Ich werde in unserem nächsten Artikel mehr über dieses Plugin sprechen.

Richten Sie die richtigen Dateiberechtigungen ein

Eine andere Sache, die Sie tun möchten, ist, die richtigen Dateiberechtigungen auf Ihrer Site einzurichten. Laut WordPress.org könnte das Festlegen eines Verzeichnisses mit Berechtigungen von 777 es einem Hacker oder einer anderen böswilligen Einheit ermöglichen, Ihre Dateien zu ändern oder sogar neue Dateien wie Malware hochzuladen. Ihre wp-config.php die Datei muss auf 600 gesetzt werden; Ihre normalen Dateien sollten auf 640 oder 644 eingestellt sein; und Ihre Verzeichnisse sollten auf 750 oder 755 eingestellt sein. Obwohl Sie diese Änderung nicht auf jedem Host vornehmen müssen, sollten Sie sie dennoch im WordPress-Leitfaden zum Ändern von Dateiberechtigungen überprüfen.

Erstellen Sie eine .htaccess-Datei

Wenn Sie schöne Permalinks auf Ihrer Site haben möchten, benötigen Sie sowieso eine .htaccess-Datei. Aber das Hinzufügen eines kann Ihre Sicherheit tatsächlich ein wenig erhöhen. Auch dies ist keine Gesamtlösung für sich allein, aber es funktioniert gut in Kombination mit anderen Methoden.

Burr hat ein großartiges Tutorial zum Erstellen einer .htaccess-Datei vorgeschlagen, auf das ich hier verlinken muss, weil es so umfassend ist und zusätzlich eine herunterladbare .htaccess-Datei bietet, die Sie sofort auf Ihrer Site verwenden können. Nachdem Sie die grundlegenden Einrichtungsanweisungen befolgt haben, können Sie den Zugriff auf bestimmte Dateien in Ihrem WordPress-Verzeichnis blockieren. Wenn Personen diese Dateien weder direkt noch indirekt hochladen können, können die Dateien nicht manipuliert werden. Um Ihre WordPress-Installation zu "härten", müssen Sie einige Codezeilen hinzufügen, um den Zugriff auf einige bestimmte Dateien zu blockieren, darunter:

  • wp-config.php
  • readme.html
  • lizenz.txt
  • wp-enthält Verzeichnis

Sie können nicht nur den Zugriff auf bestimmte Dateien blockieren, sondern auch den Zugriff auf bestimmte Dateitypen blockieren. Zu den typischen zu blockierenden Dateitypen gehören Sicherungen, Konfigurationsdateien, TXT und Protokolle. Grundsätzlich sollte alles blockiert werden, was im Backend für Design, Entwicklung oder Dokumentation verwendet wird.

Wenn Sie den Zugriff auf bestimmte Plugin- oder Theme-Verzeichnisse oder ein anderes Verzeichnis auf Ihrer Site blockieren möchten, können Sie auch das gesamte Verzeichnis blockieren. Dies ist eine kluge Entscheidung für jedes Verzeichnis, das keine Indexdatei enthält. Verzeichnisse ohne Indexdateien listen beim Zugriff alle Seiten und alle darin enthaltenen Dateien auf. Dadurch erhalten Hacker Informationen, die sie nicht benötigen, also verstecken Sie sie!

Suchst du nach den besten WordPress Themes und Plugins?

Laden Sie die besten Plugins und WordPress-Themes auf Envato herunter und erstellen Sie ganz einfach Ihre Website. Schon mehr als 49.720.000 Downloads. [EXCLUSIVE]

Login-Seite ausblenden

Dies ist eine weitere Modifikation von .htaccess, aber sie unterscheidet sich ein wenig von den anderen, daher dachte ich, dass sie einen eigenen Untertitel verdient. Sie können den Zugriff auf die Anmeldeseite Ihrer WordPress-Site vollständig verweigern. Dies funktioniert natürlich nur, wenn Ihre Site nur einen Autor hat und sich die IP-Adresse dieses Autors kaum ändert. Einige weitere Codezeilen in der .htaccess-Datei verweigern allen außer den von Ihnen angegebenen IP-Adressen den Zugriff auf die Anmeldeseite.

Sichere versteckte VerbindungWenn Sie sich die Optionen zum späteren Hinzufügen von Autoren zu Ihrer Site offen halten möchten, können Sie jederzeit ein Plugin verwenden, um die Anmeldeseite einfach vor nicht autorisierten Benutzern zu verbergen. Secure Hidden Login ist eine dieser Optionen. Sie können es zwar so konfigurieren, dass der Anmeldebildschirm angezeigt wird, wenn Sie auf das "WordPress"-Logo klicken, eine sicherere Option wäre jedoch die Einstellung der Tastaturaktivierung. Jemand geht also auf die wp-Login-Seite Ihrer Website und kann dort nichts finden. Sie konnte die Felder für Benutzername und Passwort aktivieren, indem sie eine Tastenkombination drückte.

Builder-Tag-Informationen entfernen

Hacker unternehmen alle möglichen Dinge, um auf WordPress-Sites zuzugreifen. Eine davon ist das Ausführen von Skripten, um WordPress-Installationen im Internet anhand von Fingerabdrücken zu finden. „Fußabdrücke sind identifizierbare oder wiederkehrende Text- oder Codezeilen, die erkennen lassen, dass eine Website einen bestimmten Codesatz verwendet“, sagt Burton. WordPress ist ein Beispiel für „wiederkehrende Text- oder Codezeilen“. Darüber hinaus erkennt WordPress standardmäßig, dass die von Ihnen angezeigte Website auf WordPress erstellt wurde.

Der Quellcode einer WordPress-Site wird ungefähr so ​​​​aussagen, sagt Burton:


Sie können dieses Tag jedoch aus Ihrem Quellcode entfernen, was Hackern eine Möglichkeit gibt, Ihre Website zu finden (und anzusprechen). „Webmaster können ihrer Datei „functions.php“ die folgende Codezeile hinzufügen:

remove_action ( 'wp_head', 'wp_generator');

Laut Burton bedeutet das Entfernen des Generator-Tags, dass sich Ihre Website nicht mehr als WordPress identifiziert.

Aktivieren Sie die zweistufige Authentifizierung

Eine andere Sache, die Sie tun können (und sollten), um Ihre Site zu schützen, ist die Einrichtung einer zweistufigen Authentifizierung. Indem die Benutzer Ihrer Website gezwungen werden, sich in zwei Schritten anzumelden, werden Brute-Force-Angriffe und die meisten Hacker im Allgemeinen abgeschreckt. Ihre Website würde als zu schwer zu hacken angesehen, was definitiv eine gute Sache ist!

Es gibt mehrere Plugins, die diese Funktion auf Ihrer Website aktivieren. Einige besondere Favoriten sind:

  • Notenschlüssel: Nach der Konfiguration müssen Sie lediglich die Clef-Anwendung auf Ihrem Mobiltelefon öffnen und die Kamera auf ein bewegtes Bild auf Ihrem Computerbildschirm fokussieren. Es wird „einrasten“ und Sie werden eingeloggt.
  • Duo-Zwei-Faktor-Authentifizierung: Nachdem Sie Ihr Passwort über das normale Login-Formular eingegeben haben, müssen Sie einen zweiten Schritt zur Anmeldung durchführen, z. B. die Bestätigung in einer Telefon-App, in einer SMS oder während eines Telefonats. Logo-Managerwp
  • VerwaltenWP: Ja, wir bieten auch eine Zwei-Faktor-Authentifizierung an. Nachdem Sie sich wie gewohnt angemeldet haben, müssen Sie die Verbindung durch Eingabe eines Bestätigungscodes bestätigen, der Ihnen per E-Mail oder SMS zugesendet wird.

Fazit

Die Verwaltung der Sicherheit auf Ihrer WordPress-Site und das Einrichten von Verbindungen, die so gesperrt wie möglich sind, wird einige Zeit in Anspruch nehmen. Aber sobald alle diese Maßnahmen getroffen sind, wird Ihre Website für ihre Benutzer viel zuverlässiger sein. Und Sie haben die Gewissheit, dass eine böswillige Entfernung unwahrscheinlich ist. All die guten Sachen!

Erstellen Sie einfach Ihren Online-Shop

Laden Sie kostenlos WooCommerce herunter, die besten E-Commerce-Plugins, um Ihre physischen und digitalen Produkte auf WordPress zu verkaufen. [Empfohlen]

Verwenden Sie eine der oben genannten Sicherheitsmethoden? Machen Sie sonst noch etwas, das in den Bereich des Managements und der Verbindungen fällt? Ich würde gerne Ihre Meinung unten hören! Und vergessen Sie nicht, nächste Woche für den vierten Teil unserer Sicherheitsserie wiederzukommen. Bis da!

Quelle Link

Dieser Artikel enthält Kommentare 0

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.

Zurück nach oben
0 Aktien
Aktie
tweet
Registrieren