So verbessern Sie die Sicherheit Ihres WordPress-Blogs
Veröffentlicht: 2022-02-26WordPress ist das beliebteste selbst gehostete Content-Management-System (CMS) im Internet und daher wie Microsoft Windows auch das beliebteste Ziel von Angriffen. Die Software ist Open Source, wird auf Github gehostet, und Hacker suchen immer nach Fehlern und Schwachstellen, die ausgenutzt werden können, um Zugriff auf andere WordPress-Sites zu erhalten.
Das Mindeste, was Sie tun können, um Ihre WordPress-Installation sicher zu halten, ist sicherzustellen, dass immer die neueste Version der WordPress.org-Software ausgeführt wird und auch die verschiedenen Themen und Plugins aktualisiert werden. Hier sind einige andere Dinge, die Sie tun können, um die Sicherheit Ihrer WordPress-Blogs zu verbessern:
#1. Melden Sie sich mit Ihrem WordPress-Konto an
Wenn Sie einen WordPress-Blog installieren, heißt der erste Benutzer standardmäßig „admin“. Sie sollten einen anderen Benutzer erstellen, um Ihren WordPress-Blog zu verwalten, und entweder den Benutzer „admin“ entfernen oder die Rolle von „Administrator“ zu „Abonnent“ ändern.
Sie können entweder einen völlig zufälligen (schwer zu erratenden) Benutzernamen erstellen oder eine bessere Alternative wäre, dass Sie Single Sign-On mit Jetpack aktivieren und Ihr WordPress.com-Konto verwenden, um sich bei Ihrem selbst gehosteten WordPress-Blog anzumelden.
#2. Bewerben Sie Ihre WordPress-Version nicht in der Welt
WordPress-Sites veröffentlichen immer die Versionsnummer, sodass die Benutzer leichter feststellen können, ob Sie eine veraltete Version von WordPress ohne Patch ausführen.
Es ist einfach, die WordPress-Version von der Seite zu entfernen, aber Sie müssen noch eine Änderung vornehmen. Löschen Sie die Datei readme.html aus Ihrem WordPress-Installationsverzeichnis, da sie auch Ihre WordPress-Version weltweit ankündigt.
#3. Lassen Sie andere nicht in Ihr WordPress-Verzeichnis „schreiben“.
Melden Sie sich bei Ihrer WordPress-Linux-Shell an und führen Sie den folgenden Befehl aus, um eine Liste aller „offenen“ Verzeichnisse zu erhalten, in die jeder andere Benutzer Dateien schreiben kann.
finden . -type d -perm -o=w
Möglicherweise möchten Sie auch die folgenden beiden Befehle in Ihrer Shell ausführen, um die richtigen Berechtigungen für alle Ihre WordPress-Dateien und -Ordner festzulegen (Referenz).
find /your/wordpress/folder/ -type d -exec chmod 755 {} \; find /your/wordpress/folder/ -type f -exec chmod 644 {} \;
Für Verzeichnisse bedeutet 755 (rwxr-xr-x), dass nur der Besitzer Schreibrechte hat, während andere Lese- und Ausführungsrechte haben. Für Dateien bedeutet 644 (rw-r—r—), dass Dateibesitzer Lese- und Schreibrechte haben, während andere die Dateien nur lesen können.
#4. Benennen Sie Ihr WordPress-Tabellenpräfix um
Wenn Sie WordPress mit den Standardoptionen installiert haben, haben Ihre WordPress-Tabellen Namen wie wp posts oder wp_users. Es ist daher eine gute Idee, das Präfix von Tabellen (wp ) in einen zufälligen Wert zu ändern . Mit dem Plugin Change DB Prefix können Sie Ihr Tabellenpräfix mit einem Klick in eine beliebige andere Zeichenfolge umbenennen.
#5. Verhindern Sie, dass Benutzer Ihre WordPress-Verzeichnisse durchsuchen
Das ist wichtig. Öffnen Sie die .htaccess-Datei in Ihrem WordPress-Root-Verzeichnis und fügen Sie oben die folgende Zeile hinzu.
Optionen -Indizes
Es verhindert, dass die Außenwelt eine Liste der in Ihren Verzeichnissen verfügbaren Dateien sieht, falls die standardmäßigen index.html- oder index.php-Dateien in diesen Verzeichnissen fehlen.
#6. Aktualisieren Sie die WordPress-Sicherheitsschlüssel
Gehen Sie hierher, um sechs Sicherheitsschlüssel für Ihren WordPress-Blog zu generieren. Öffnen Sie die Datei wp-config.php im WordPress-Verzeichnis und überschreiben Sie die Standardschlüssel mit den neuen.
Diese zufälligen Salze machen Ihre gespeicherten WordPress-Passwörter sicherer und der andere Vorteil ist, dass jemand, der sich ohne Ihr Wissen bei WordPress anmeldet, sofort abgemeldet wird, da seine Cookies jetzt ungültig werden.
#7. Führen Sie ein Protokoll über WordPress PHP- und Datenbankfehler
Die Fehlerprotokolle können manchmal starke Hinweise darauf geben, welche Art von ungültigen Datenbankabfragen und Dateianfragen Ihre WordPress-Installation treffen. Ich bevorzuge den Error Log Monitor, da er die Fehlerprotokolle regelmäßig per E-Mail sendet und sie auch als Widget in Ihrem WordPress-Dashboard anzeigt.
Um die Fehlerprotokollierung in WordPress zu aktivieren, fügen Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzu und denken Sie daran, /path/to/error.log durch den tatsächlichen Pfad Ihrer Protokolldatei zu ersetzen. Die error.log-Datei sollte in einem Ordner abgelegt werden, auf den der Browser nicht zugreifen kann (Referenz).
define('WP_DEBUG', true); if (WP_DEBUG) {define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Off'); @ini_set('error_log', '/path/to/error.log'); }
#9. Schützen Sie das Admin-Dashboard mit einem Kennwort
Es ist immer eine gute Idee, den wp-admin-Ordner deines WordPress mit einem Passwort zu schützen, da keine der Dateien in diesem Bereich für Personen bestimmt sind, die deine öffentliche WordPress-Website besuchen. Einmal geschützt, müssen selbst autorisierte Benutzer zwei Passwörter eingeben, um sich bei ihrem WordPress-Admin-Dashboard anzumelden.
10. Verfolgen Sie die Anmeldeaktivitäten auf Ihrem WordPress-Server
Sie können den Befehl „last -i“ in Linux verwenden, um eine Liste aller Benutzer zu erhalten, die sich zusammen mit ihren IP-Adressen auf Ihrem WordPress-Server angemeldet haben. Wenn Sie in dieser Liste eine unbekannte IP-Adresse finden, ist es definitiv an der Zeit, Ihr Passwort zu ändern.
Außerdem zeigt der folgende Befehl die Benutzeranmeldungsaktivität für einen längeren Zeitraum, gruppiert nach IP-Adressen (ersetzen Sie BENUTZERNAME durch Ihren Shell-Benutzernamen).
last -if /var/log/wtmp.1 | grep BENUTZERNAME | awk '{print $3}' | sortieren | uniq-c
Überwachen Sie Ihr WordPress mit Plugins
Das WordPress.org-Repository enthält einige gute sicherheitsrelevante Plugins, die Ihre WordPress-Site kontinuierlich auf Eindringlinge und andere verdächtige Aktivitäten überwachen. Hier sind die wesentlichen, die ich empfehlen würde.
- Exploit-Scanner – Er scannt schnell alle Ihre WordPress-Dateien und Blog-Beiträge und listet diejenigen auf, die möglicherweise bösartigen Code enthalten. Spam-Links können in Ihren WordPress-Blog-Beiträgen mit CSS oder IFRAMES versteckt sein und das Plugin wird sie ebenfalls erkennen.
- WordFence Security – Dies ist ein extrem leistungsfähiges Sicherheits-Plugin, das Sie haben sollten. Es vergleicht Ihre WordPress-Kerndateien mit den Originaldateien im Repository, sodass Änderungen sofort erkannt werden. Außerdem sperrt das Plugin Benutzer nach 'n' erfolglosen Anmeldeversuchen.
- WP Notifier - Wenn Sie sich nicht zu oft in Ihr WordPress-Admin-Dashboard einloggen, ist dieses Plugin genau das Richtige für Sie. Es sendet Ihnen E-Mail-Benachrichtigungen, wenn neue Updates für die installierten Themen, Plugins und das Kern-WordPress verfügbar sind.
- VIP-Scanner – Das „offizielle“ Sicherheits-Plugin scannt Ihre WordPress-Designs auf Probleme. Es erkennt auch Werbecode, der möglicherweise in Ihre WordPress-Vorlagen eingefügt wurde.
- Sucuri-Sicherheit – Es überwacht Ihr WordPress auf Änderungen an den Kerndateien, sendet E-Mail-Benachrichtigungen, wenn eine Datei oder ein Beitrag aktualisiert wird, und führt auch ein Protokoll der Benutzeranmeldungsaktivitäten, einschließlich fehlgeschlagener Anmeldungen.
Tipp: Sie können auch den folgenden Linux-Befehl verwenden, um eine Liste aller Dateien zu erhalten, die in den letzten 3 Tagen geändert wurden. Ändern Sie mtime in mmin, um Dateien anzuzeigen, die vor „n“ Minuten geändert wurden.
finden . -type f -mtime -3 | grep -v „/Maildir/“ | grep -v „/logs/“
Sichern Sie Ihre WordPress-Anmeldeseite
Ihre WordPress-Anmeldeseite ist für die ganze Welt zugänglich, aber wenn Sie verhindern möchten, dass sich nicht autorisierte Benutzer bei WordPress anmelden, haben Sie drei Möglichkeiten.
- Passwortschutz mit .htaccess – Dies beinhaltet den Schutz des wp-admin-Ordners Ihres WordPress mit einem Benutzernamen und einem Passwort zusätzlich zu Ihren regulären WordPress-Anmeldeinformationen.
- Google Authenticator – Dieses hervorragende Plugin fügt Ihrem WordPress-Blog eine zweistufige Verifizierung hinzu, ähnlich wie bei Ihrem Google-Konto. Sie müssen das Passwort und auch den auf Ihrem Mobiltelefon generierten zeitabhängigen Code eingeben.
- Anmeldung ohne Passwort – Verwenden Sie das Clef-Plugin, um sich bei Ihrer WordPress-Website anzumelden, indem Sie einen QR-Code scannen, und Sie können die Sitzung aus der Ferne mit Ihrem Mobiltelefon selbst beenden.
Siehe auch: Must-Have WordPress Plugins