mPress Sicherheits-Paket

Diese Seite wird noch aktualisiert

Um Ihr WordPress gegen den Zugriff, die Entstellung oder gar den Missbrauch durch unbefugte Dritte zu schützen, führt Ihr mPress Admin zunächst ein Sicherheits-Audit durch und prüft auf etwaige Schwachstellen. Im nächsten Schritt werden diese Schwachstellen beseitigt:

  • Benutzername des Haupt-Benutzers sollte nicht „admin“ lauten
  • Das Datenbank-Präfix sollte nicht „wp_“ lauten
  • Die Anzeige des Verzeichnisinhalts für /wp-content/, /wp-content/plugins/, /wp-content/themes/ und /wp-content/uploads/ sollte verhindert werden (disable directory listing)
  • Die Versions-Nummern von WordPress, der eingesetzten Plugins und Themes sowie der eingesetzten Code-Snippets, Skripte etc. in den Stylesheets sollten „versteckt“ werden, da diese häufig Sicherheits-Lücken, die erst durch Updates behoben wurden. Indem die Version „versteckt“ wird, kann ein Angreifer diese Sicherheitslücken nicht mehr ausnutzen

Vorige Version

  • Sensible Dateien und Ordner sollten vor externe Zugriffe schützen (disable directory listing)
  • Ältere WordPress Version, Plugins, Themes oder auch eingesetzte Code-Snippets, Skripte etc. in den Stylesheets und enthalten immer Sicherheits-Lücken, die erst durch Updates behoben wurden. Indem die Version „versteckt“ wird, kann ein Angreifer diese Sicherheitslücken nicht mehr ausnutzen
  • Meta Tags verstecken (RSD & WLW / Real Simple Design & Windows Live Writer)
  • Auffindbarkeit der Datenbank-Fehlerberichte (durch externen Zugriff) abschalten
  • Auffindbarkeit der PHP-Fehlerberichte abschalten
  • readme / liesmich Dateien entfernen
  • Administrator username should not be „admin“ – Wird als erstes versucht durch Angreifer erraten zu werden
  • Schutz gegen Brute-Force über fail2ban einrichten
  • WP-Backups einrichten – Sollte eine Infizierung oder ein fehlgeschlagenes Update die Wiederherstellung notwendig machen, muss nicht der gesamte Hosting-Acount zurück gesetzt werden, sondern lediglich die WP-Seite
  • Anti-Spambot zur Verschleierung der Email-Adresse im Impressum
  • Antispam Bee – gegen Spam über Kommentare
  • Post SMTP einrichten (für einen zuverlässigeren Mailversand vom WP an Admins)
  • Trackbacks & Pingbacks deaktivieren
  • Datenbank-Prefix ändern (z.B. von „wp_“ zu „wpir_“)
  • Inline-Editoren deaktivieren
  • Offenlegung der Server-Konfig verhindern (Prevent Information Disclosure )
  • Potentielle Plugin & Theme Sicherheitslücken schliessen (Prevent PHP Execution)
  • Session Cookie Dauer verringern (von 14 auf 7 Tage / besser wäre tägliche Neuanmeldung mit User+PW, doch die meisten WP-User möchten sich nicht so häufig neu anmelden und nehmen das damit verbundene Risiko in Kauf) > Bitte anweisen
  • XML-RPC Schnittstelle deaktivieren (erhöht den Schutz gegen DoS/DDoS)