Katze-WordPress absichern
EWP, WP-Performance

WordPress absichern

Schreibe einen Kommentar

Bild, Katze Lilli

Fulminant! – ob dies fastwp.de (zur WordPress Sicherheit)
das fastwp.de (weitere Tipps zur Sicherheit des WordPress Blogs).

… oder jenes drweb.de … im Vergleich FastWP – gleiches Ergebnis.

Bitte Merke: Speziell Beitrag „WordPress absichern“ definiert einen Merkzettel für meine Website wegerl.at und der Empfehlung für Studium von FastWP sowie Dr.Web, im Motto: Ein Gleis – aber herzliche Einladung meiner einem Verständnis zu folgen …



Voranstellung

NinjaFirewall

 WP-Sicherheit 

Das Plug-in NINJAFIREWALL, im Titel  Geheimtipp der Security Plugins.

Hinweis

Damit NinjaFirewall anstatt WAF-WP-Modus  im vollständigen WAF*-Modus ausgeführt werden kann, muss der Server die Verwendung der PHP-Direktive auto_prepend_file zulassen.

*WAF ist eine Web Application Firewall oder Web Schild, ein Verfahren, das Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP) schützen soll. S. Web Application Firewall

Mehr, insbesondere zur evtl. Konfiguration! – bietet dieser Hinweis zu tekki-tipps.de

Nachfrage Host-Support bplaced

Für Plug-in NinjaFirewall vollständigen WAF-Modus würde die PHP-Direktive auto_prepend_file gebraucht. Meine Frage: Ist das über Webhosting „bplaced pro“ möglich?

Dem sollte soweit nichts im Wege stehen, auto_prepend_file ist in der PHP-Installation aber standardmässig auf no value gestellt. S. auch phpinfo.bplaced.net

Du kannst da selbst eine .php.ini Datei (der Punkt vor dem PHP ist wichtig, damit sie als Systemdatei erkannt wird) erstellen, mit folgendem Eintrag:

php_value auto_prepend_file on

… und in das Webseitenverzeichnis – also in den Ordner www – uploaden. Auf dem Webspace sollte nach einigen Minuten die Funktion aktiv sein.

Snippets, nach FastWP:  „XML-RPC Deaktivieren“, „Datei-Bearbeitung verhindern“ und „Plug-in Limit Login Attempts Reloaded“ sind u. a. über NinjaFirewall der Free-Version einstellbar, aber zum Verständnis Funktionsrelationen zur Empfehlung.

WordPress Sicherheit via .htaccess

Siehe im separaten Beitrag .htaccess

Block Bad Queries (BBQ) Plug-in

 WP-Sicherheit 

Installieren, aktivieren …

Erst mal: fastwp.de. – Für Anfänger wäre das wieder mal ein weitläufiges Thema – aber Dank FastWP ist ein Durchblick gegeben.

Originär FastWP: … viele blocken über die .htaccess. Doch das hat Nachteile, u. a. muss die Liste aktuell gehalten werden. Das Plugin BBQ übernimmt diese Aufgabe nun vollauomatisch und damit auch sehr zuverlässig.

Bevor ich länger herum-philosophiere, nächst Links anklicken (klicken …) und lesen!

Die Linkhinweise sind in Translation:

Beide Plugins integrieren die 5G/6G-Technologie und bieten einen kräftigen Firewall-Schutz für WordPress-basierte Website. Die Plug-ins gehen einher mit Firewalls perishablepress.com/6g/.

Gut zu wissen ist, mit Aktivierung des Plug-ins, seinereiner Free-Version erfolgt im Falle der Websites Begriffssuche von .htaccess kein Suchergebnis, denn weißer Bildschirm. Dies stellt keinen Bug dar – so bin ich der Annahme – die typische Funktionalität zur Sicherheit beinhaltet … Die Herstellung der Website ist mit Browsers Zurück-Button getan, wie, erneuter Eingabe des Suchbegriffs htaccess ohne Punkt voran, dessen Begriffssuche funktionell.

Plug-in BBQ und 6G Firewall in .htaccess?

 

↑ Inhalsverz. 

Benutzernamen des Admins ändern

Evtl. auch mit Plug-in Admin renamer extended

Plugin, um Standard-Admin-Benutzernamen zu ändern (mit GUI, um alle anderen Admin-Namen zu ändern). Geprüft für: * Leere Namen * Vorhandene Benutzernamen * Gültiger Benutzername (keine funky Sonderzeichen). Wie immer -> zuerst eine Sicherung.

WP-Admin sperren

 WP-Sicherheit 

… nur wenn keine Benutzer registriert sind, die sich selbständig einloggen dürfen. fastwp.de

Unnötige Links im Header entfernen
Snippet für die functions.php.

 Wp-Sicherheit  und  Performance 

Snippet für die functions.php. fastwp.de

↑ Inhalsverz. 

XML-RPC Deaktivieren + XML-RPC aus dem HTTP-Header entfernen

 WP-Sicherheit  und  Performance 

XML-RPC Abschalten: aber mit Plug-in WP-Jetpack nicht funktionell, weil das Plug-in die Schnittstelle zwingend voraussetzt. S. fastwp.de.

Was ist XML-RPC?

Deaktivieren

Deaktivieren von XML-RPC nach fastwp.de + drweb.de

… folgend des Links:

 functions.php
add_filter( 'xmlrpc_enabled', '__return_false' );
add_filter( 'wp_headers', 'FastWP_remove_x_pingback' );
 function FastWP_remove_x_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

… und deaktivieren von XML-RPC ist funktionell + dieses Snippet

.htaccess
<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

… und xmlrpc.php ist via .htaccess geblockt.

… sowie aus dem HTTP-Header entfernen?

↑ Inhalsverz. 

Datei-Bearbeitung verhindern

 WP-Sicherheit  und  Performance 

Punkt 7. Datei-Bearbeitung verhindern: fastwp.de

wp-config.php
define('DISALLOW_FILE_EDIT', true);

… z. B. kann hiermit im Backend ein Plug-in nicht über Dashboard/Plugins/Editor bearbeitet oder über Plugins/Installierte Plugins zur Bearbeitung aufgerufen werden, weil schon allein die Schaltflächen nicht angezeigt sind. Bei Bedarf einer Editierung von Plug-in oder Theme kann man ja obiges vorübergehend /* auskommentieren */

Plug-ins Limit Login Attempts Reloaded und Antispam Bee

 Sicherheit  und  Performance 

Siehe bitte im separaten Beitrag.

 ↑ Inhalsverz. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

DSGVO: Blog Website wegerl.at bedient sich dem Dienst Gravatar der Automattic Inc. In Angabe der E-Mail-Adresse, welche deiner Nutzung von Gravatar, erfolgt der Service nach Art. 6 Abs. 1 lit. f) DSGVO. – und nachdem dein Kommentar von wegerl.at freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.