Best Practices für WordPress-Sicherheit – TODO-Liste – Wie sichert man sein WordPress-Blog?

Veröffentlicht: 2015-05-25

Nimm die WordPress-Sicherheit ernst

WordPress ist eine der beliebtesten Plattformen für selbst gehostete Blogs und Websites. Während WordPress von Anfang an ziemlich sicher ist, wird es immer Personen geben, die Ärger machen wollen, indem sie einen Weg finden, in Konten oder Websites einzudringen, um Schaden anzurichten oder versteckte Spam-Links einzufügen. Deshalb ist es wichtig sicherzustellen, dass Ihre WordPress-Installation so sicher wie möglich ist. WordPress-Sicherheitstipps .

TechCrunch, der weltweit größte Blog, wurde innerhalb eines kurzen Zeitraums von acht Stunden (im Jahr 2012) zweimal gehackt. Laut dem leitenden Programmierer von WordPress, Mark Jaquith, war der Hack höchstwahrscheinlich auf ein unsicheres WordPress-Plugin zurückzuführen, das es dem Hacker ermöglichte, die Methode der PHP-Injektion zu verwenden, um Tech Crunch zu hacken. Es war kein serverseitiges Hacking. Ich hoffe, dass all diese detaillierten Informationen Ihnen helfen werden, Ihren WordPress-Blog zu schützen.

Haben Sie eine Frage zu den folgenden Fragen?

  • WordPress-Sicherheits-Plugins Bewertungen
  • WordPress Sicherheitslücken
  • Best Practices für WordPress-Sicherheit
  • WordPress-Sicherheitsprobleme
  • WordPress-Sicherheitstipps
  • Bestes WordPress-Sicherheits-Plugin
  • WordPress-Sicherheitsscan
  • WordPress-Sicherheitscheck

Dann sind Sie hier genau richtig. Bewertungen von Sicherheits-Plugins von Crunchify.

Hier sind einige Tipps, wie Sie Ihre WordPress-Website oder Ihren Blog sicherer und weniger anfällig für böswillige Angriffe machen können. Diese Schritte helfen uns, unseren Blog zu sichern, indem wir die bösen Jungs fernhalten.

1) Aktualisieren Sie auf die neueste Version von WordPress

Kein Softwaresystem ist immun gegen Fehler und Schwachstellen. Sicherheitslücken werden entdeckt und Bösewichte werden ihr Bestes tun, um sie auszunutzen. Halten Sie Ihre Software auf dem neuesten Stand, um Angriffe abzuwehren, da zuverlässige Softwareanbieter ihre Produkte reparieren, sobald Sicherheitslücken gefunden werden.

Glücklicherweise ist es eines der einfachsten Dinge, die Sie tun können, Ihre WordPress-Site auf dem neuesten Stand zu halten. Für die letzten paar Versionen hat WordPress die Möglichkeit eingebaut, automatische Updates zu installieren. Darüber hinaus werden Websites jedes Mal benachrichtigt, wenn ein neues Upgrade verfügbar wird.

Wenn Sie nicht die neueste Version von WordPress verwenden, führen Sie jetzt ein Upgrade durch. Wenn Sie Ihre Website auf einer alten Version belassen, ist das so, als ob Sie Ihre Tür unverschlossen halten, wenn Sie in den Urlaub fahren.

WordPress-Update

2) Legen Sie eine leere index.php-Datei ab

Wenn Sie dachten, dass das Einrichten von Verzeichnisberechtigungen mehr als genug ist, würde ich sagen, dass es einfach nicht so einfach ist, Kumpel! Ich würde vorschlagen, dass man eine leere HTML- oder PHP-Datei ( ensure that the name should be index.php ) im Ordner wp-content/themes/ & wp-content/plugins/ ablegt. Auf diese Weise wird, wenn jemand versucht, den Inhalt dieser Ordner zu sehen, eine leere Seite und sonst nichts angezeigt. Ist das nicht ein kluger Schachzug?

Dateiinhalt:

index.php
1
2
3
<?php
// Silence is golden.
?>

Legen Sie eine leere index.php-Datei in jeden Ordner

3) Verwenden Sie geheime Schlüssel in Ihrer WP-Config-Datei

In WordPress ist die Datei wp-config.php die Datei, die die Datenbankinformationen speichert, die WordPress sozusagen benötigt, um seine Schaltung zu verbinden. Diese Datei enthält den Namen, die Adresse und das Passwort der MySQL-Datenbank, in der alle Ihre Benutzerinformationen, Blogbeiträge und andere wichtige Inhalte gespeichert sind.

Mit einem geheimen Schlüssel können Sie es jemandem noch schwerer machen, sich Zugang zu Ihrem Konto zu verschaffen.

Gehen Sie zu https://api.wordpress.org/secret-key/1.1/ und copy the results into this section of your wp-config.php Datei, wenn Sie noch keinen geheimen Schlüssel eingerichtet haben.

4) Halten Sie Ihre .htaccess-Datei in Schach

Mithilfe einer .htaccess -Datei können Sie Zugriffsbeschränkungen auf bestimmte Verzeichnisse festlegen. Sie können diese Beschränkungen an eine bestimmte IP-Adresse binden, was bedeutet, dass nur Personen von diesem Standort auf Ihre Informationen zugreifen können.

Es ist immer ratsam, dass Sie sich bei der Auswahl Ihres Webhosts von ihm bestätigen lassen, welche Version von MySQL, Apache und PHP sie verwenden.“

Probe:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Verwenden Sie starke Passwörter für WordPress-Konten

Zusätzlich zum Hinzufügen eines geheimen Schlüssels zu deiner wp-config.php Datei solltest du auch in Betracht ziehen, dein Benutzerpasswort in etwas zu ändern, das stark und einzigartig ist. WordPress wird Ihnen die Stärke Ihres Passworts mitteilen, aber ein guter Tipp ist, allgemeine Phrasen zu vermeiden, Groß- und Kleinbuchstaben zu verwenden und Zahlen einzuschließen. Es ist auch eine gute Idee, Ihr Passwort regelmäßig zu ändern – etwa alle zwei Monate.

6) Serverumgebung und Plugins aktualisieren

Die Aktualisierung von Plugins und Designs, sobald sie veröffentlicht werden, liegt in Ihrer Verantwortung. Ich würde vorschlagen, Ihr Plugin regelmäßig zu aktualisieren. Werfen Sie einen Blick auf den CSRF-Artikel, den ich vor einiger Zeit veröffentlicht habe.

Die Serverumgebung liegt nicht in Ihren Händen, sondern in den Händen des Webhosters. Es ist immer ratsam, dass Sie bei der Auswahl Ihres Webhosts von ihm bestätigen sollten, welche Version von MySQL, Apache und PHP sie verwenden. Gleichen Sie sie mit der neuesten Version ab, die auf ihren jeweiligen Websites erwähnt wird, und wenn sie veraltet sind, sollten Sie sie bitten, sie zu aktualisieren (sehr unwahrscheinlich) oder den Webhost so schnell wie möglich zu ändern.

7) Verwenden Sie niemals „admin“ als Ihren Benutzernamen

Nach der Installation von WordPress sollten Sie den Administrator-Benutzernamen ändern.

8) Ändern Sie das WP prefix von Datenbanktabellen

Es wird Sie vor SQL-Injection-Hacking bewahren.

9) Installieren Sie WordPress nicht im Stammverzeichnis

Installieren Sie es in einem Ordner mit einem seltsamen Namen, der nicht leicht zu erkennen ist. So etwas wie 442testXYZ . Dadurch wird Ihre WordPress-Installation sowohl vor Bots als auch vor Hackern geschützt.

10) Blockiere bösartige Bots

Sie wissen nie, wann Ihre Website von bösartigen Bots gecrawlt wird. Lösung ist einfach. Versuchen Sie, unten in Ihre .htaccess -Datei einzufügen, um bösartige Bots zu blockieren.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Zusammenfassung

Wir sind uns alle einig, dass ein sicherer WordPress-Blog unsere erste Priorität sein sollte, wenn wir einen erfolgreichen Blog führen. WordPress ist eine großartige Veröffentlichungssoftware und Automattic (das Unternehmen hinter WordPress) ist immer bemüht, es zu sichern, damit Millionen von Blogs vor Hackerbedrohungen geschützt sind.

Es gibt so viele Möglichkeiten, wie wir die WordPress-Sicherheit verbessern können. Diese Änderungen sind klein und viele dieser Empfehlungen können innerhalb weniger Minuten umgesetzt werden. Sie können sich darauf verlassen, dass Ihre WordPress-Site etwas sicherer vor Eindringlingen und Hackern ist.