Katze-WordPress absichern

WordPress absichern

Bild, Katze Lilli

Fulminant! – ob dies https://fastwp.de/2432/
das https://fastwp.de/9405/

… oder jenes https://www.drweb.de/ … im Vergleich FastWP – gleiches Ergebnis.

Bitte Merke: Speziell Beitrag WordPress absichern definiert einen Merkzettel für sich und der Empfehlung für Studium von FastWP sowie DrWeb, im Motto: Ein Gleis.


1. Schutz vor Script Injections Options +FollowSymLinks (betrifft .htaccess-Datei)

Aber: Dieses Snippet Options +FollowSymLink in der .htaccess-Datei Server-Rootverzeichnis erfolgt meiner Website ein Server-Error, wie für in Ordner „wordpress.“ befindlichen .htaccess-Datei ungeeignet, da zwar kein Error erfolgt, aber das jQuery Accordion Menü ungeeignet dargestellt ist.

Kl. Versuchs im Ordner „wp-admin“ erstellten .htaccess Datei, ist das Menü richtig vorhanden und es erfolgt für die Website kein Server-Error, aber Aufruf zur Bearbeitung eines Beitrags ist Server-Error.

2. Block Bad Queries (BBQ) Plug-in

Installieren, aktivieren und fertig! Leistungsstarker Schutz vor dem schnellsten Firewall-Plugin von WP.

Erst mal: https://fastwp.de/2298/. Das wäre wieder mal für Anfänger ein weitläufiges Thema – aber Dank FastWP ist ein Durchblick für fortgeschittene Anfänger gegeben. Nämlich, dass dieses Plug-in mit den Firewalls, s. https://perishablepress.com/6g/, einhergeht. – FastWP bevorzugt das Plug-in vor Code in .htaccess-Datei, somit hat das Plug-in der PRO-Version seine Autorisation! Also, 5G / 6G Firewall basierend der PRO-Version.

Somit zur Wirksamkeit in Benützung der Free-Version, ist die Firewall (mittlerweile 6G) in die .htaccess-Datei im Serverrootverzeichnis zu editieren. Dies ist am Anfang der Datei einzufügen1).

1) Code für Adresse-Umleitung ist unter der Firewall funktionell. S. Adresse umleiten, Serverrootverzeichnisses .htaccess-Datei.

Bemerkung: Gut zu wissen ist, mit Aktivierung des Plug-ins erfolgt im Falle der Websites Begriffssuche von .htaccess kein Suchergebnis, denn weißer Bildschirm. Dies stellt keinen Bug dar – so bin ich der Annahme – weil die Herstellung der Website mit Browsers Zurück-Button getan wie erneuter Eingabe des Suchbegriffs htaccess ohne Punkt voran dessen Begriffssuche funktionell ist.

Beschreibung originär:

Block Bad Queries (BBQ) ist ein einfaches, super schnelles Plugin, das Ihre Website vor schädlichen URL-Anfragen schützt. BBQ überprüft alle eingehenden Datenverkehr und blockiert leise schlechte Anfragen mit bösen Sachen wie eval (, base64_, und übermäßig lange Anforderung-Strings. Dies ist eine einfache, aber solide Lösung für Websites, die nicht in der Lage, eine starke .htaccess-Firewall verwenden.

Geniale Eigenschaften
  • 100% Plug-n-Play-Funktionalität.
  • Keine Konfiguration erforderlich (es funktioniert)
  • Innovation von Geschwindigkeit und Einfachheit, kein Schnickschnack.
  • 100% konzentriert sich auf Sicherheit und Leistung.
  • Blockiert eine Vielzahl von böswilligen Anfragen. Basierend auf der 5G / 6G Firewall.
  • Scannt alle eingehenden Datenverkehr und blockiert schlechte Anfragen.
  • Scannt alle Arten von Anfragen: GET, POST, PUT, DELETE usw.

Arbeitet leise hinter den Kulissen, um Ihre Website zu schützen.
Müheloses Sicherheits-Plugin, das einfach zu bedienen ist.
Gründlich getestet, fehlerfrei.
Kompatibel mit anderen Sicherheits-Plugins.

Pro: Passen Sie blockierte Zeichenfolgen über Whitelist / Blacklist-Plugins an – Pro Version, für fortgeschrittenen Schutz und tolle Features, check out BBQ Pro.

3. Benutzernamen des Admins ändern
(auch Plug-in möglich)

Evtl auch mit Plug-in Admin renamer extended

Plugin, um Ihren Standard-Admin-Benutzernamen zu ändern (mit GUI, um alle anderen Admin-Namen zu ändern). Geprüft für: * Leere Namen * Vorhandene Benutzernamen * Gültiger Benutzername (keine funky Sonderzeichen). Wie immer -> machen Sie zuerst eine Sicherung.

4. WP-Admin sperren

… nur wenn keine Benutzer registriert sind, die sich selbständig einloggen dürfen.

https://fastwp.de/4508/

5. Dateien mittels .htaccess schützen

# Dateien vor Zugriff schützen
<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

<files readme.html>
Order Allow,Deny
Deny from all
</Files>

6. Durchsuchen von Verzeichnissen deaktivieren

der .htaccess hinzugefügt (hier am Host „bplaced-Server“ nicht als „Options All -Indexes“, wie es meist empholen ist):

Options -Indexes

… ist funktionell.

7. Unnötige Links im Header entfernen
Snippet für die functions.php.

Unnötige Header-Einträge entfernen ⇔ Das ist im Zuge PageSpeed erfolgt.

8. XML-RPC Abschalten
Snippet für die functions.php

XML-RPC Abschalten ⇔: Das ist im Zusammenhang PageSpeed erfolgt, aber im Zusammenhang Plug-in WP-Jetpack nicht funktionell, weil das Plug-in die Schnittstelle zwingend voraussetzt. (S. u. a. https://fastwp.de/6392/.) Gute Erklärung bietet ebenso kilobyte.bplaced.net

9. WordPress Sicherheit via .htaccess

https://fastwp.de/2197/

Dateien vor Zugriff schützen

Siehe oben, Punkt 5. Dateien mittels .htaccess schützen.

Ordneransicht verbieten

Siehe oben, Punkt 6. Durchsuchen von Verzeichnissen deaktivieren.

WP-Content schützen

Im Ordner „wp-content“ entsprechende .htaccess mit dessen Snippet funktioniert das „jQuery Accordion Menü“ nicht mehr – meiner Website also ungeeignet.

XXS Security, nosniff und mehr
WP-Include Dateien blocken in der .htaccess

# XXS Security, nosniff und mehr
<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options: "nosniff"
</ifModule>

# WP-Include Dateien blocken
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Nächst, informativ: 11 Schritte zum sicheren WordPress Blog, Punkt 7. Datei-Bearbeitung verhindern: https://fastwp.de/4538/

wp-config.php
define('DISALLOW_FILE_EDIT', true);

… z. B. kann hiermit im Backend ein Plug-in nicht über Dashboard/Plugins/Editor bearbeitet oder über Plugins/Installierte Plugins zur Bearbeitung aufgerufen werden, weil schon allein die Schaltflächen nicht angezeigt sind.

10. Plug-ins Limit Login Attempts Reloaded und Antispam Bee

Siehe bitte im Beitrag.