Autor Thema: Wordpress Security erhöhen  (Gelesen 5247 mal)

Offline A.Büggeln - Profihost

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 503
    • Profil anzeigen
Wordpress Security erhöhen
« am: 18.11.2014 10:44 »
Immer wieder liest man über eine Lücke in CMS, die Spam Versand oder das Auslesen von Daten ermöglicht. Gerade Spam Versand kann den E-Mail Verkehr eines Servers empfindlich stören, sodass man Spam Versand grundsätzlich vermeiden bzw. bei Bekanntwerden eines Problems sofort abstellen muss.

In diesem Beitrag sollen einige kurze Hinweise für das Wordpress Blog genannt sein, mit denen man die Sicherheit erhöhen kann:

Updates

Das Wordpress und sämtliche Themen/Plugins sollten bei Erscheinen eines Updates umgehend mit den Updates versorgt werden. In neueren Versionen erinnert Wordpress hier selbst über Updates

Wordfence

Das Sicherheits-Plugin Wordfence kann mit wenig Aufwand installiert werden:

https://wordpress.org/plugins/wordfence/installation/

Damit lässt sich die Sicherheit erhöhen und nach eigener Aussage sogar die Geschwindigkeit der Seite erhöhen.

xmlrpc.php Zugriff sperren

Die Datei xmlrpc.php stellt eine Schnittstelle für das Wordpress zur Verfügung. Nutzt man diese Schnittstelle nicht, sollte man den Zugriff auf die Datei absichern.

Informationen dazu:

http://codex.wordpress.org/XML-RPC_Support

Eine Sperre kann einfach per .htaccess erfolgen:

<IfModule mod_authz_core.c>
<Files xmlrpc.php>
  # Apache 2.4
    Require all denied
</Files> 
</IfModule>
<IfModule !mod_authz_core.c>
<Files xmlrpc.php>
    # Apache 2.2
    Order Deny,Allow
    Deny from all
</Files> 
</IfModule>

Diesen Code können Sie in einer neuen Datei ".htaccess" eintragen oder in eine bestehende .htaccess einfügen. Die Datei sollte im Verzeichnis des Blogs liegen, gilt aber auch rekursiv für alle Unterverzeichnisse.

wp-admin absichern

Der Wordpress-Admin Bereich kann via GeoIP über die .htaccess abgesichert werden.
Mit folgendem Code ist der Zugriff nur aus DE, AT und CH möglich:

<IfModule mod_geoip.c>
GeoIPEnable On
SetEnvIf GEOIP_COUNTRY_CODE DE AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE AT AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE CH AllowCountry

  Require env AllowCountry
</IfModule>

Alternativ kann der Admin auch auf bestimmte IPs beschränkt werden. Wie dies funktioniert, ist hier beschrieben: https://www.profihost.com/forum/webhosting/wie-kann-ich-den-zugriff-auf-meine-seite-sperren-1707/msg8075/#msg8075
« Letzte Änderung: 15.11.2017 16:42 von C. Grommel - Profihost »
Mit freundlichen Grüßen
Andreas Büggeln
Profihost Team

Impressum