Bitte besuchen Sie unsere neuen Angebots-Seiten auf
macbay.net/sicherheit
Um Ihr WordPress gegen den Zugriff, die Entstellung oder gar den Missbrauch durch unbefugte Dritte zu schützen, führt Ihr mPress Admin zunächst ein Sicherheits-Audit durch und prüft auf etwaige Schwachstellen. Im nächsten Schritt werden diese Schwachstellen beseitigt:
Benutzername des Haupt-Benutzers sollte nicht “admin” lautenDas Datenbank-Präfix sollte nicht “wp_” lautenDie Anzeige des Verzeichnisinhalts für /wp-content/, /wp-content/plugins/, /wp-content/themes/ und /wp-content/uploads/ sollte verhindert werden (disable directory listing)Die Versions-Nummern von WordPress, der eingesetzten Plugins und Themes sowie der eingesetzten Code-Snippets, Skripte etc. in den Stylesheets sollten “versteckt” werden, da diese häufig Sicherheits-Lücken, die erst durch Updates behoben wurden. Indem die Version “versteckt” wird, kann ein Angreifer diese Sicherheitslücken nicht mehr ausnutzen
Vorige Version
Sensible Dateien und Ordner sollten vor externe Zugriffe schützen (disable directory listing)Ältere WordPress Version, Plugins, Themes oder auch eingesetzte Code-Snippets, Skripte etc. in den Stylesheets und enthalten immer Sicherheits-Lücken, die erst durch Updates behoben wurden. Indem die Version “versteckt” wird, kann ein Angreifer diese Sicherheitslücken nicht mehr ausnutzenMeta Tags verstecken (RSD & WLW / Real Simple Design & Windows Live Writer)Auffindbarkeit der Datenbank-Fehlerberichte (durch externen Zugriff) abschaltenAuffindbarkeit der PHP-Fehlerberichte abschaltenreadme / liesmich Dateien entfernenAdministrator username should not be “admin” – Wird als erstes versucht durch Angreifer erraten zu werdenSchutz gegen Brute-Force über fail2ban einrichtenWP-Backups einrichten – Sollte eine Infizierung oder ein fehlgeschlagenes Update die Wiederherstellung notwendig machen, muss nicht der gesamte Hosting-Acount zurück gesetzt werden, sondern lediglich die WP-SeiteAnti-Spambot zur Verschleierung der Email-Adresse im ImpressumAntispam Bee – gegen Spam über KommentarePost SMTP einrichten (für einen zuverlässigeren Mailversand vom WP an Admins)Trackbacks & Pingbacks deaktivierenDatenbank-Prefix ändern (z.B. von “wp_” zu “wpir_”)Inline-Editoren deaktivierenOffenlegung der Server-Konfig verhindern (Prevent Information Disclosure )Potentielle Plugin & Theme Sicherheitslücken schliessen (Prevent PHP Execution)Session Cookie Dauer verringern (von 14 auf 7 Tage / besser wäre tägliche Neuanmeldung mit User+PW, doch die meisten WP-User möchten sich nicht so häufig neu anmelden und nehmen das damit verbundene Risiko in Kauf) > Bitte anweisenXML-RPC Schnittstelle deaktivieren (erhöht den Schutz gegen DoS/DDoS)