mPress Sicherheits-Paket

Diese Seite wird noch aktualisiert

  • Sensible Dateien und Ordner vor externe Zugriffe schützen (disable directory listing)
  • Ältere WordPress Version, Plugins, Themes oder auch eingesetzte Code-Snippets, Skripte etc. in den Stylesheets und enthalten immer Sicherheits-Lücken, die erst durch Updates behoben wurden. Indem die Version „versteckt“ wird, kann ein Angreifer diese Sicherheitslücken nicht mehr ausnutzen
  • Meta Tags verstecken (RSD & WLW / Real Simple Design & Windows Live Writer)
  • Auffindbarkeit der Datenbank-Fehlerberichte (durch externen Zugriff) abschalten
  • Auffindbarkeit der PHP-Fehlerberichte abschalten
  • readme / liesmich Dateien entfernen
  • Administrator username should not be „admin“ – Wird als erstes versucht durch Angreifer erraten zu werden
  • Schutz gegen Brute-Force über fail2ban einrichten
  • WP-Backups einrichten – Sollte eine Infizierung oder ein fehlgeschlagenes Update die Wiederherstellung notwendig machen, muss nicht der gesamte Hosting-Acount zurück gesetzt werden, sondern lediglich die WP-Seite
  • Anti-Spambot zur Verschleierung der Email-Adresse im Impressum
  • Antispam Bee – gegen Spam über Kommentare
  • Post SMTP einrichten (für einen zuverlässigeren Mailversand vom WP an Admins)
  • Trackbacks & Pingbacks deaktivieren
  • Datenbank-Prefix ändern (z.B. von „wp_“ zu „wpir_“)
  • Inline-Editoren deaktivieren
  • Offenlegung der Server-Konfig verhindern (Prevent Information Disclosure )
  • Potentielle Plugin & Theme Sicherheitslücken schliessen (Prevent PHP Execution)
  • Session Cookie Dauer verringern (von 14 auf 7 Tage / besser wäre tägliche Neuanmeldung mit User+PW, doch die meisten WP-User möchten sich nicht so häufig neu anmelden und nehmen das damit verbundene Risiko in Kauf) > Bitte anweisen
  • XML-RPC Schnittstelle deaktivieren (erhöht den Schutz gegen DoS/DDoS)