WordPress-Sicherheit und -Härtung, der definitive Leitfaden
Veröffentlicht: 2021-01-26WordPress ist sehr beliebt. Etwa jede fünfte Website im Internet verwendet WordPress in irgendeiner Form. Sei es, um einen bescheidenen Blog oder ein Multi-Site-Content-Management-System (CMS) oder eine E-Commerce-Site zu betreiben. Daher ist es nicht verwunderlich, dass WordPress-Websites sowohl für erfahrene Hacker als auch für Skript-Kiddies ein sehr beliebtes Ziel sind.
Das Letzte, was ein Webmaster möchte, ist herauszufinden, dass seine Website gehackt wurde. möglicherweise als Geisel genommen und Teil eines Botnetzes ist, Malware verbreitet oder an Denial-of-Service-Angriffen (DoS) teilnimmt. In diesem Artikel teilen wir eine Reihe von Tipps und Strategien, die Ihnen helfen, Ihre WordPress-Website zu stärken.
Inhaltsverzeichnis
- Ist WordPress sicher?
- Plugins und Themen
- Führen Sie weniger Software aus
- Beachten Sie das am wenigsten privilegierte Prinzip
- Aktualisieren Sie Ihre WordPress-Plugins und -Themes
- Halten Sie sich von „genullten“ WordPress-Plugins und -Themes fern
- WordPress aktuell halten
- WordPress-Hosting
- WordPress-Dashboard
- Registrierung deaktivieren
- Referenzen
- Zwei-Faktor-Authentifizierung (2FA)
- Härten des WordPress-Kerns
- Debug-Protokollierung deaktivieren
- Deaktivieren Sie XML-RPC
- Beschränken Sie die WordPress-REST-API
- Offenlegung der WordPress-Version verhindern
- WordPress-Benutzeraufzählung verhindern
- Deaktivieren Sie den WordPress-Dateieditor
- Deaktivieren Sie die Design- und Plug-in-Verwaltung
- TLS (SSL)
- Schlussfolgerungen und nächste Schritte
Ist WordPress sicher?
Diese Frage stellen sich viele Systemadministratoren zu Recht. Während WordPress insgesamt gut aufgebaut und sicher ist, hat es den Ruf, anfällig für Sicherheitslücken zu sein und nicht „Unternehmensklasse“ zu sein. Dieser Ruf ist nicht gerade fair. Meistens liegt das Problem darin, dass WordPress ein unglaublich beliebtes Softwarepaket ist, das einfach einzurichten ist und gleichzeitig Sicherheitsabkürzungen verwendet. Das bringt uns zu unserem ersten Thema – Plugins und Themes.
Plugins und Themen
Das größte Problem, das die Sicherheit von WordPress plagt, macht es auch unglaublich beliebt. WordPress-Plugins und -Themes sind in Bezug auf Qualität und Sicherheit sehr unterschiedlich. Obwohl das WordPress-Team viel Arbeit geleistet hat, um Entwicklern beim Erstellen sichererer Plugins und Designs zu helfen, bleiben sie immer noch ein Sicherheitsalbtraum. Dies kann bei der Verwendung von schlecht gepflegten Plugins oder Plugins aus einer lückenhaften Quelle bemerkt werden.
Bevor wir mit der Erörterung von WordPress-Plugins und -Themes fortfahren, wollen wir zunächst verstehen, was ein WordPress-Plugin eigentlich ist. Plugins sind einfach benutzerdefinierter PHP-Code, den WordPress ausführt, um die Funktionalität von WordPress zu erweitern. Eine detailliertere und technische Erklärung finden Sie unter Was sind WordPress-Plugins.
In ähnlicher Weise ermöglichen WordPress-Themes die Anpassung der visuellen Aspekte Ihrer WordPress-Site. Aus Sicht eines Angreifers gibt es kaum einen Unterschied zwischen den beiden, da beide missbraucht werden können, um bösartigen Code auszuführen.
Führen Sie weniger Software aus
Wie können Sie also feststellen, ob ein Plugin bösartig ist oder nicht? Das ist eine komplizierte Frage, aber zum Glück haben wir eine Antwort für Sie. Wir haben ausführlich darüber geschrieben, wie Sie das beste WordPress-Plugin für Ihre WordPress-Website auswählen.
Auch wenn Sie alle notwendigen Nachforschungen anstellen, besteht die Möglichkeit, dass das Plugin immer noch eine Sicherheitsbedrohung darstellt. Eine Möglichkeit, Ihr Risiko zu verringern, besteht also darin, nur die Software auszuführen, die Sie unbedingt benötigen und der Sie vertrauen. Bevor Sie ein neues WordPress-Plugin installieren, fragen Sie sich, ob Sie dieses Plugin wirklich installieren müssen. Kann ein kleines Code-Snippet in einem seitenspezifischen Plugin ausreichen, oder benötigen Sie zu Recht ein vollwertiges Plugin?
Wichtig – Seien Sie sehr wachsam bei Codeschnipseln, die Sie im Internet finden. Verwenden Sie niemals ein Stück Code, wenn Sie nicht vollständig verstehen, was es tut – nur weil es auf StackOverflow ist, bedeutet das nicht, dass es sicher zu verwenden ist.
Wenn Sie ein Plugin wirklich ausführen müssen, stellen Sie sicher, dass es aktiv gewartet und regelmäßig aktualisiert wird, wie wir in unserem Leitfaden erläutern. Als Faustregel gilt: Je mehr Downloads und aktuelle Updates das Plugin oder Theme hat, zeigt an, dass es weit verbreitet ist und von seinen Autoren aktiv gepflegt wird. Dies bedeutet nicht, dass das Plugin niemals eine Schwachstelle aufweisen wird. Wenn jedoch eine Schwachstelle gefunden wird, wird der Entwickler schnell handeln und schnell einen Fix herausgeben.
Versuchen Sie, Plugins zu vermeiden, die nicht viele Downloads haben und die keine aktive Community und keine regelmäßigen Updates haben. Wenn etwas innerhalb eines Jahres kein Update erhalten hat, ist dies im Allgemeinen ein Warnsignal.
Beachten Sie das am wenigsten privilegierte Prinzip
WordPress muss nicht den MySQL-Root-Benutzer verwenden, um sich mit seiner Datenbank zu verbinden. Auch muss nicht jeder WordPress-Benutzer die Rolle eines Administrators haben. Ebenso ist es keine gute Idee, die meisten Programme als privilegierter Benutzer auszuführen, es sei denn, es gibt einen bestimmten Grund dafür.
Bewährte Sicherheitsverfahren schreiben immer vor, dass Anwendungen immer die geringstmöglichen Berechtigungen erhalten, damit sie ordnungsgemäß funktionieren, wobei alle zusätzlichen Berechtigungen deaktiviert sind. Diese Praxis wird gemeinhin als das Prinzip der geringsten Privilegien bezeichnet.
Nehmen wir hypothetisch an, dass WordPress sich mit einer Datenbank mit einem privilegierten Benutzerkonto verbindet. Im Falle eines WordPress-Plugins, das eine SQL-Injection-Schwachstelle enthält, kann ein Angreifer möglicherweise nicht nur SQL-Abfragen als Administrator ausführen, sondern in einigen Fällen sogar Betriebssystembefehle ausführen. Wenn es einem Angreifer gelingt, Betriebssystembefehle auszuführen, kann er möglicherweise Aufklärungsarbeit leisten und einen Angriff auf andere Systeme eskalieren.
Das Ausführen von Software mit Administratorrechten oder das Gewähren von mehr Zugriffsrechten für Benutzer als nötig ist problematisch. Es verstößt gegen ein bewährtes Prinzip der geringsten Rechte, da es einem Angreifer erlaubt, im Falle einer Sicherheitsverletzung mehr Schaden anzurichten.
Das Gute an WordPress ist, dass es eine Reihe von eingebauten Rollen hat, mit denen Sie verschiedenen Benutzern je nach Bedarf unterschiedliche Berechtigungen zuweisen können. Wir haben ausführlich darüber geschrieben, wie man WordPress-Benutzerrollen für verbesserte WordPress-Sicherheit verwendet.
Aktualisieren Sie Ihre WordPress-Plugins und -Themes
WordPress-Plugin- und Theme-Updates sind nicht nur wichtig, um von neuen Funktionen und Fehlerbehebungen zu profitieren, sondern auch um Sicherheitslücken zu schließen. Sowohl Plugins als auch Themes können innerhalb der WordPress-Oberfläche einfach aktualisiert werden.
Einige kommerzielle Plugins haben wahrscheinlich ihre eigenen Mechanismen, um Plugins auf dem neuesten Stand zu halten, aber in den meisten Fällen ist dies für die Benutzer transparent. Stellen Sie dennoch sicher, dass Sie Ihre Plugins und Designs auf dem neuesten Stand halten, unabhängig davon, welches Aktualisierungssystem verwendet wird.
Verwenden Sie keine „genullten“ WordPress-Plugins und -Designs
WordPress nutzt die GPL 1 . Ohne ins Detail zu gehen, erlaubt die GPL-Lizenz jedem, GPL-lizenzierte Software frei zu verteilen. Dies schließt kommerzielle/Premium-GPL-lizenzierte WordPress-Themes und -Plugins ein. Daher ist es möglicherweise nicht illegal, ein modifiziertes Premium-Theme oder -Plug-in herunterzuladen, das normalerweise als nulled bezeichnet wird, und es kostenlos zu verwenden.
Wie Sie jedoch vielleicht bereits erraten haben, ist es sehr unwahrscheinlich, dass Sie, abgesehen davon, dass Sie den Plugin-Entwickler nicht unterstützen, Updates für nulled Plugins erhalten. Darüber hinaus haben Sie keine Möglichkeit zu wissen, ob die Quelle dieses Plugins geändert wurde, um etwas Schändliches zu tun.
WordPress aktuell halten
So wie du deine Plugins und Themes auf dem neuesten Stand halten solltest, solltest du auch darauf achten, die Version von WordPress, die du verwendest, auf dem neuesten Stand zu halten. Glücklicherweise ist dies jetzt viel einfacher als in der Vergangenheit, da kritische Sicherheitsupdates automatisch durchgeführt werden. Natürlich, es sei denn, Sie deaktivieren diese Funktion explizit.
Abgesehen von neuen Funktionen, Verbesserungen und Fehlerbehebungen enthalten WordPress-Core-Updates auch Sicherheitskorrekturen, die Sie vor Angreifern schützen können, die Ihre WordPress-Website ausnutzen und sie für unrechtmäßige Gewinne verwenden.
WordPress-Hosting
Wo und wie Sie Ihre WordPress-Site hosten, hängt stark von Ihren Anforderungen ab. Es ist zwar nichts falsch daran, WordPress selbst zu hosten und zu verwalten, aber wenn Sie entweder nicht so technisch versiert sind oder sicherstellen möchten, dass Sie die meisten WordPress-Sicherheitsgrundlagen erfüllen, ohne viel schweres Heben zu tun, sollten Sie sich für a entscheiden verwalteter WordPress-Hosting-Anbieter wie Kinsta oder WP Engine.
Da wir Websites bei beiden Hosts gehostet haben, haben wir darüber geschrieben. In unseren Kundengeschichten heben wir unsere Erfahrungen mit ihnen hervor. Um mehr über deine Erfahrungen zu erfahren, lies unsere Kundengeschichte zu WP Engine und Kinsta. Verwaltetes WordPress-Hosting abstrahiert viele Sicherheitsentscheidungen und Konfigurationen, um die Sie sich sonst kümmern müssen.
Natürlich ist verwaltetes WordPress-Hosting möglicherweise auch nichts für Sie. Sie können sich dafür entscheiden, WordPress selbst zu hosten, insbesondere wenn Ihr Budget begrenzt ist. Selbsthostendes WordPress gibt Ihnen auch mehr Kontrolle über Ihre WordPress-Installation. Um mehr über die verschiedenen WordPress-Hosting-Optionen zu erfahren und was für Sie am besten funktioniert, lesen Sie den Leitfaden zur Auswahl von WordPress-Hosting.
WordPress-Dashboard
Das WordPress-Dashboard Ihrer Website ist ein Ort, an dem niemand Unbefugtes lauern soll. Während es einige Websites gibt, die berechtigte Gründe haben, öffentlichen Benutzern die Anmeldung über das WordPress-Dashboard zu ermöglichen, stellt dies ein enormes Sicherheitsrisiko dar und muss sehr sorgfältig abgewogen werden.
Glücklicherweise haben die meisten WordPress-Websites diese Anforderung nicht und sollten daher den Zugriff auf das WordPress-Dashboard verhindern. Es gibt mehrere Möglichkeiten, dies zu tun, und Sie sollten auswählen, was für Sie am besten funktioniert.
Eine gängige Praxis ist es, den Zugriff durch ein Passwort zu beschränken, das die WordPress-Admin-Seiten (wp-admin) schützt. Eine andere Lösung wäre, nur einigen ausgewählten IP-Adressen den Zugriff auf /wp-admin zu erlauben.
Registrierung deaktivieren
Standardmäßig erlaubt WordPress öffentlichen Benutzern nicht, sich auf Ihrer WordPress-Website zu registrieren. So bestätigen Sie, dass die Benutzerregistrierung deaktiviert ist:
- Gehen Sie zu Einstellungen > Allgemeine Seite in Ihrem WordPress-Dashboard-Bereich
- Navigieren Sie zum Abschnitt Mitgliedschaft
- Stellen Sie sicher, dass das Kontrollkästchen neben Jeder kann sich registrieren nicht aktiviert ist.
Referenzen
Wie bei jeder anderen Website ist der Zugriff auf Ihr WordPress-Dashboard nur so stark wie Ihre Anmeldeinformationen. Die Durchsetzung einer starken WordPress-Passwortsicherheit ist eine entscheidende Sicherheitskontrolle für jedes System, und WordPress ist keine Ausnahme.
Während WordPress keine Möglichkeit hat, eine Passwortrichtlinie standardmäßig festzulegen, ist ein Plugin wie WPassword ein absolutes Muss, um die Anforderungen an die Passwortstärke für alle Ihre Benutzer durchzusetzen, die Zugriff auf das WordPress-Dashboard haben.
Sobald Sie eine starke Passwortsicherheit auf Ihrer Website erzwingen, verwenden Sie WPScan, um auf schwache WordPress-Anmeldeinformationen zu testen, um sicherzustellen, dass kein Konto noch schwache Passwörter verwendet.
Zwei-Faktor-Authentifizierung (2FA)
Eine weitere wichtige Sicherheitskontrolle für Ihr WordPress-Dashboard ist die Anforderung einer Zwei-Faktor-Authentifizierung. Die Zwei-Faktor-Authentifizierung (2FA) macht es einem Angreifer erheblich schwerer, sich Zugriff auf Ihr WordPress-Dashboard zu verschaffen, falls es einem Angreifer gelingt, das Passwort eines Benutzers aufzudecken (z. B. kann ein Angreifer das Passwort eines Benutzers durch eine Datenschutzverletzung entdecken).
Glücklicherweise ist es sehr einfach, die Zwei-Faktor-Authentifizierung in WordPress einzurichten. Es gibt eine Reihe hochwertiger Plugins, mit denen Sie diese Funktionalität hinzufügen können. Lesen Sie die besten Zwei-Faktor-Authentifizierungs-Plugins für WordPress, um ein Highlight der besten 2FA-Plugins zu erhalten, die für WordPress verfügbar sind.
Härten des WordPress-Kerns
Auch wenn der Kern von WordPress eine sichere Software ist, heißt das nicht, dass wir ihn nicht weiter härten können. Im Folgenden finden Sie eine Reihe von Härtungsstrategien, die für den WordPress-Kern spezifisch sind.
Stellen Sie sicher, dass die Debug-Protokollierung deaktiviert ist
WordPress ermöglicht es Entwicklern, Debug-Meldungen in einer Datei zu protokollieren (dies ist standardmäßig /wp-content/debug.log). Während dies in einer Entwicklungsumgebung vollkommen akzeptabel ist, bedenken Sie, dass ein Angreifer auch leicht auf diese Datei zugreifen kann, wenn dieselbe Datei und/oder dieselben Einstellungen ihren Weg in die Produktion finden.
WordPress-Debug ist standardmäßig deaktiviert. Obwohl es immer besser ist, dies noch einmal zu überprüfen, stellen Sie sicher, dass die WP_DEBUG-Konstante nicht in Ihrer wp-config.php-Datei definiert ist, oder setzen Sie sie explizit auf „false“. Eine Liste aller Debugging-Optionen finden Sie im WordPress-Debug-Leitfaden.
Wenn Sie aus irgendeinem Grund die WordPress-Debug-Protokolle auf Ihrer Life-Website benötigen, melden Sie sich in einer Datei außerhalb des Stammverzeichnisses Ihres Webservers an (z. B. /var/log/wordpress/debug.log). Um das Pa zu ändern
define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');
Deaktivieren Sie XML-RPC
Die XML-RPC-Spezifikation von WordPress wurde entwickelt, um die Kommunikation zwischen verschiedenen Systemen zu ermöglichen. Das bedeutet, dass praktisch jede Anwendung mit WordPress interagieren kann. Die WordPress XML-RPC-Spezifikation war historisch wichtig für WordPress. Es ermöglicht die Interaktion und Integration mit anderen Systemen und Software.
Das Gute ist, dass XML-RPC durch die WordPress REST API ersetzt wurde. Um einige der Sicherheitsbedenken rund um XML-RPC hervorzuheben; Die Benutzeroberfläche war im Laufe der Jahre die Quelle zahlreicher Sicherheitslücken. Es kann auch von Angreifern für die Aufzählung von Benutzernamen und Brute-Force-Erzwingen von Passwörtern verwendet werden. oder Denial-of-Service (DoS)-Angriffe über XML-RPC-Pingbacks.
Daher sollten Sie XML-RPC deaktivieren, es sei denn, Sie verwenden XML-RPC aktiv und verfügen über geeignete Sicherheitskontrollen. Da dies leicht zu erreichen ist, ohne ein Plug-in eines Drittanbieters zu installieren, behandeln wir unten, wie das geht.
Während Sie Ihren Webserver einfach so konfigurieren können, dass er den Zugriff auf /xmlrpc.php blockiert, besteht eine bevorzugte Methode dafür darin, XML-RPC mithilfe eines integrierten WordPress- Filters explizit zu deaktivieren. Fügen Sie einfach Folgendes zu einer Plugin-Datei hinzu und aktivieren Sie es auf Ihrer Website.
add_filter('xmlrpc_enabled', '__return_false');
Kopf hoch
- Es ist eine gute Idee, ein WordPress-Plug- in zu verwenden, das für dieses und andere ähnliche Code-Snippets verwendet werden muss.
Beschränken Sie die WordPress-REST-API
Ähnlich wie XML-RPC ist die WordPress-API die moderne Möglichkeit für Anwendungen von Drittanbietern, mit WordPress zu kommunizieren. Obwohl die Verwendung sicher ist, ist es ratsam, einige Funktionen darin einzuschränken, um die Benutzeraufzählung und andere potenzielle Schwachstellen zu verhindern. Im Gegensatz zu XML-RPC bietet WordPress keine einfache, native Möglichkeit, die REST-API vollständig zu deaktivieren (früher war 2 , aber dies wurde veraltet, also ist es ratsam, dies nicht mehr zu tun), Sie können es jedoch einschränken.
Wie bei WordPress üblich, können Sie entweder ein Plugin verwenden, um dies zu erreichen, oder Sie können den folgenden Filter zu einer Plugin-Datei hinzufügen und auf Ihrer Website aktivieren. Der folgende Code deaktiviert die WordPress-REST-API für alle, die nicht angemeldet sind, indem er einen nicht autorisierten HTTP-Statuscode (Statuscode 401) mit dem WordPress-Hook rest_authentication_errors zurückgibt.
add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });
Darüber hinaus aktiviert die WordPress-REST-API standardmäßig JSONP. JSONP ist eine alte Technik zur Umgehung der gleichen Ursprungsrichtlinie des Browsers, bevor moderne Browser CORS (Cross-Origin Resource Sharing) unterstützten. Da dies möglicherweise als Angriffsschritt eines Angreifers verwendet werden könnte, gibt es keinen wirklichen Grund, dies zu aktivieren. Es wird empfohlen, es mit dem WordPress-Filter rest_jsonp_enabled mit dem folgenden PHP-Snippet zu deaktivieren.
add_filter('rest_enabled', '__return_false');
Weitere Informationen dazu finden Sie in der Dokumentation des Filters.
Offenlegung der WordPress-Version verhindern
Wie viele andere Webanwendungen gibt WordPress seine Version standardmäßig an mehreren Stellen bekannt. Versionsoffenlegung ist nicht gerade eine Sicherheitslücke, jedoch sind diese Informationen für einen Angreifer sehr nützlich, wenn er einen Angriff plant. Infolgedessen kann das Deaktivieren der Versionsoffenlegungsfunktionen von WordPress einen Angriff nur ein wenig erschweren.
WordPress gibt viele Versionsinformationen preis. Glücklicherweise bietet dieser GitHub-Gist eine umfassende Liste von WordPress-Filtern, die in Form eines WordPress-Plugins deaktiviert werden können. Natürlich können Sie diesen Code in alle vorhandenen seitenspezifischen oder obligatorischen Plugins integrieren, die Sie bereits haben.
WordPress-Benutzeraufzählung verhindern
WordPress ist anfällig für eine Reihe von Benutzeraufzählungsangriffen. Solche Angriffe ermöglichen es einem Angreifer, herauszufinden, welche Benutzer existieren, ob ein Benutzer existiert oder nicht. Dies mag zwar harmlos erscheinen, bedenken Sie jedoch, dass Angreifer diese Informationen als Teil eines größeren Angriffs verwenden können. Weitere Informationen zu diesem Thema finden Sie unter So zählen Sie WordPress-Benutzer mit WPScan auf.
Um die WordPress-Benutzeraufzählung zu verhindern, müssen Sie sicherstellen, dass die folgenden WordPress-Funktionen deaktiviert oder eingeschränkt sind.
- Beschränken Sie die WordPress-REST-API auf nicht authentifizierte Benutzer
- Deaktivieren Sie WordPress XML-RPC
- Setzen Sie /wp-admin und /wp-login.php nicht direkt dem öffentlichen Internet aus
Außerdem müssen Sie Ihren Webserver so konfigurieren, dass der Zugriff auf /?author=<Nummer> verhindert wird. Wenn Sie Nginx verwenden, können Sie die folgende Konfiguration verwenden, um die WordPress-Benutzeraufzählung zu verhindern.
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule .* - [R=403,L]
Wenn Sie Apache HTTP Server verwenden, können Sie alternativ die folgende Konfiguration verwenden, um die WordPress-Benutzeraufzählung zu verhindern.
if ( $query_string ~ "author=([0-9]*)" ) { return 403; }
Deaktivieren Sie den WordPress-Dateieditor
Eine der gefährlichsten Funktionen von WordPress ist die Möglichkeit, Dateien im WordPress-Dashboard selbst zu bearbeiten. Es sollte keinen legitimen Grund geben, warum ein Benutzer dies tun sollte, und schon gar nicht für den WordPress-Kern. Wenn überhaupt, möchten Sie sicherstellen, dass Sie genau wissen, welche Dateien sich geändert haben, indem Sie ein hochwertiges Sicherheits-Plugin zur Dateiintegritätsüberwachung (FIM) verwenden.
Um über Dateiänderungen benachrichtigt zu werden, verwenden Sie das von uns entwickelte Plugin Website File Changes Monitor.
Alle Dateiänderungen an Ihrer Website sollten entweder über eine sichere Verbindung (z. B. SFTP) erfolgen oder vorzugsweise in einem Versionskontroll-Repository nachverfolgt und mithilfe von CI/CD bereitgestellt werden.
Um den Dateieditor für Plugins und Themen im WordPress-Dashboard zu deaktivieren, fügen Sie einfach Folgendes zu Ihrer wp-config.php-Datei hinzu.
define('DISALLOW_FILE_EDIT', true );
Deaktivieren Sie die Design- und Plug-in-Verwaltung
Eine bewährte Vorgehensweise für die WordPress-Sicherheit besteht darin, die Plug-in- und Theme-Verwaltung über das WordPress-Dashboard zu deaktivieren. Verwenden Sie stattdessen Befehlszeilentools wie wp-cli, um diese Änderungen vorzunehmen.
Indem Sie Theme- und Plugin-Änderungen deaktivieren, reduzieren Sie die Angriffsfläche Ihrer WordPress-Website drastisch. In diesem Fall wäre ein Angreifer, selbst wenn er erfolgreich in ein Administratorkonto eindringt, nicht in der Lage, ein schädliches Plugin hochzuladen, um den Angriff über den Zugriff auf das WordPress-Dashboard hinaus zu eskalieren.
Die in wp-config.php definierte DISALLOW_FILE_MODS-Konstante deaktiviert Plugin- und Design-Updates und -Installationen über das Dashboard. Außerdem werden alle Dateiänderungen im Dashboard deaktiviert, wodurch der Design-Editor und der Plugin-Editor entfernt werden.
Um die Design- und Plugin-Änderungen im WordPress-Dashboard zu deaktivieren, fügen Sie Folgendes zu Ihrer wp-config.php-Datei hinzu.
define('DISALLOW_FILE_MODS', true );
WordPress-HTTPS (SSL / TLS)
Transport Layer Security (TLS) ist ein absolutes Muss für Ihre WordPress-Sicherheit, es ist kostenlos und einfach einzurichten. Hinweis: TLS ist das Protokoll, das Secure Socket Layer, SSL, ersetzt hat. Da der Begriff SSL jedoch sehr beliebt ist, bezeichnen viele TLS immer noch als SSL.
Wenn Sie Ihre Website über HTTPS (HTTP über TLS) besuchen, können die HTTP-Anforderungen und -Antworten von einem Angreifer nicht abgefangen und ausspioniert oder noch schlimmer verändert werden.
Während TLS mehr mit Ihrem Webserver oder Content Delivery Network (CDN) zu tun hat als mit Ihrer WordPress-Installation, ist einer der wichtigsten Aspekte von TLS (WordPress HTTPS) dessen Durchsetzung. Es gibt online eine Fülle von Informationen darüber, wie man WordPress HTTPS (SSL und TLS) einrichtet.
Wenn Sie Konfigurationsdateien nicht bearbeiten möchten und lieber mit einem Plugin zu WordPress HTTPS wechseln möchten, können Sie Really Simple SSL oder WP force SSL verwenden. Sie sind beide sehr gute und einfach zu bedienende Plugins.
Nächste Schritte für ein noch sichereres WordPress
Wenn Sie es so weit geschafft haben, großartig, aber das bedeutet nicht, dass es nicht noch mehr Härtung zu tun gibt. Im Folgenden finden Sie eine Reihe von Punkten, die Sie untersuchen können, um Ihre WordPress-Website noch weiter zu stärken.
- PHP härten. Da PHP eine Kernkomponente jeder WordPress-Website ist, ist das Härten von PHP einer der logischen nächsten Schritte. Wir haben darüber ausführlich in Best PHP Security Setup for WordPress Websites geschrieben.
- Verwenden Sie seriöse Sicherheits-Plugins. Hochwertige Sicherheits-Plugins bieten erweiterte Sicherheitsfunktionen, die nicht nativ in WordPress enthalten sind. Es gibt eine riesige Menge an WordPress-Sicherheits-Plugins da draußen. Achten Sie jedoch darauf, Plugins mit einem guten Ruf auszuwählen und idealerweise solche, für die Premium- oder kommerzieller Support verfügbar ist, wie unsere hochwertigen Sicherheits-Plugins für WordPress.
- Führen Sie eine Prüfung der Dateiberechtigungen durch. Bei WordPress-Websites, die unter Linux ausgeführt werden, können falsche Dateiberechtigungen dazu führen, dass nicht autorisierte Benutzer Zugriff auf potenziell sensible Dateien erhalten. Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur Konfiguration sicherer WordPress-Website- und Webserverberechtigungen.
- Führen Sie eine Sicherungsdateiprüfung durch. Sicherungsdateien, die versehentlich zugänglich gelassen wurden, können vertrauliche Informationen preisgeben. Dies schließt Konfigurationen ein, die Geheimnisse enthalten, die es Angreifern ermöglichen können, die Kontrolle über die gesamte WordPress-Installation zu erlangen.
- Härten Sie Ihren Webserver
- Härten Sie MySQL
- Fügen Sie die erforderlichen HTTP-Sicherheitsheader hinzu
- Stellen Sie sicher, dass Sie über ein funktionierendes WordPress-Backup-System verfügen.
- Verwenden Sie einen DDoS-Schutzdienst
- Implementieren Sie eine Inhaltssicherheitsrichtlinie
- Verwalten Sie exponierte Backups und nicht referenzierte Dateien.
Fazit – dies ist nur der erste Schritt der WordPress-Sicherheitsreise
Herzliche Glückwünsche! Wenn Sie alle oben genannten Ratschläge befolgt und alle empfohlenen Best Practices für die Sicherheit implementiert haben, ist Ihre WordPress-Website sicher. Die WordPress-Sicherheit ist jedoch keine einmalige Lösung – sie ist ein sich ständig weiterentwickelnder Prozess. Es gibt einen großen Unterschied zwischen dem Härten einer WordPress-Website (einmaliger Zustand) und dem jahrelangen Sichern.
Das Härten ist nur eine der vier Stufen im WordPress-Sicherheitsprozess (WordPress-Sicherheitsrad). Für eine ganzjährig sichere WordPress-Website müssen Sie den iterativen WordPress-Sicherheitsprozess von Testen > Härten > Überwachen > Verbessern befolgen. Sie müssen den Sicherheitsstatus Ihrer WordPress-Website kontinuierlich testen und überprüfen, die Software härten, das System überwachen und Ihr Setup basierend auf dem, was Sie sehen und lernen, verbessern. Beispielsweise:
- Ein Tool wie WPScan kann Ihnen helfen, die Sicherheitslage Ihrer WordPress-Website zu testen
- Eine WordPress-Firewall kann Ihre WordPress-Website vor böswilligen bekannten Hack-Angriffen schützen
- Ein WordPress-Aktivitätsprotokoll kann Ihnen dabei helfen, einen langen Weg zu gehen – indem Sie alle Änderungen aufzeichnen, die auf Ihrer Website auftreten, können Sie die Benutzerverantwortung verbessern, wissen, was jeder Benutzer vorhat, und auch alle Aktivitäten unter der Haube im Auge behalten
- Tools wie unsere WordPress-Sicherheits- und Verwaltungs-Plugins können Ihnen dabei helfen, die Sicherheit von Passwörtern zu gewährleisten, den WordPress-Sicherheitsprozess zu verstärken, sich über Dateiänderungen benachrichtigen zu lassen und vieles mehr
Sie haben alle richtigen Tools, um Ihre Website sicher zu halten. Auch wenn Sie eine kleine WordPress-Website betreiben, nehmen Sie sich die Zeit, diesen Leitfaden schrittweise durchzuarbeiten. Stellen Sie sicher, dass Sie nicht am Ende Arbeit in den Aufbau einer großartigen Website stecken, nur um sie von einem auf WordPress ausgerichteten Angriff durchwühlen zu lassen.
Eine 100 % wirksame Sicherheit gibt es nicht. Sie machen es einem Angreifer jedoch erheblich schwerer, Fuß zu fassen und Ihre WordPress-Website erfolgreich anzugreifen, indem Sie die verschiedenen Härtungstechniken anwenden, die in diesem Leitfaden behandelt werden. Denken Sie daran, dass Sie Angreifer, die ihr nächstes Opfer ins Visier nehmen, nicht überlisten müssen. Sie müssen nur sicherer sein als die nächste verwundbare Website!