Die Befassung mit der Sicherheit und den Funktionsrelationen sind von nutzen, bspw. um der Einstellung von Plug-ins eine Ahnung zu haben. So Begriffe wie 'XML-RPC Deaktivieren', 'Datei-Bearbeitung verhindern' und deren ZusammenhÀnge gehören dazu. Um zu wissen, wie-wo es lang geht.
Voranstellend!
Fragestellung an Web-Host-Server bplaced
So auf wegerl.at ist das Plug-in NinjaFirewall installiert. Nun die Frage, ob so Plug-ins im Share-Hosting wie hier bei bplaced notwendig sind? â da ja Share Hosting das Gesamte managet beinhaltet.
Die Antwort
Das Plug-in ist soweit auf einer anderen Ebene, also gar nicht systemnah. Es kann aber sicherlich durch diverse Taktiken zur Abwehr von Bots beitragen, … kann also bleiben.
Plug-in NinjaFirewall
 WP-SicherheitÂ
Bspw. von Plug-in Limit Login Attempts Reloaded deren Nutzen sind auch ĂŒber ĂŒber NinjaFirewall einstellbar.
- Das Plug-in NINJAFIREWALL, im Titel  Geheimtipp der Security Plugins.
WAF-WP-Modus
Damit NinjaFirewall anstatt WAF-WP-Modus  im vollstĂ€ndigen WAF*-Modus ausgefĂŒhrt werden kann, muss der Server die Verwendung der PHP-Direktive auto_prepend_file
zulassen.
*WAF ist eine Web Application Firewall oder Web Schild, ein Verfahren, das Webanwendungen vor Angriffen ĂŒber das Hypertext Transfer Protocol (HTTP) schĂŒtzen soll. S. Web Application Firewall
- Mehr, insbesondere zur Konfiguration! â bietet dieser Link zu tekki-tipps.de
Betreff WAF-WP-Modus die Nachfrage Host-Support bplaced
FĂŒr Plug-in NinjaFirewall vollstĂ€ndigen WAF-Modus wĂŒrde die PHP-Direktive auto_prepend_file
gebraucht. Meine Frage: Ist das ĂŒber Webhosting âbplaced proâ möglich?
Dem sollte soweit nichts im Wege stehen, auto_prepend_file
ist in der PHP-Installation aber standardmÀssig auf no value gestellt.
S. auch phpinfo.bplaced.net
Du kannst da selbst eine .php.ini
Datei (der Punkt vor dem PHP ist wichtig, damit sie als Systemdatei erkannt wird) erstellen, mit folgendem Eintrag:
php_value auto_prepend_file on
⊠und in das Webseitenverzeichnis â also in den Ordner www
 â uploaden. Auf dem Webspace sollte nach einigen Minuten die Funktion aktiv sein.
Verzeichnisschutz
Mithin ist dies fĂŒr Websites geeignet, welche keine Registrierung und damit auch kein Log-in fĂŒr Nutzer anbietet. S. zum Beitrag im Titel Verzeichnisschutz mittels bplacedlive access.
Das nun Folgende ist meine Fachsimpelei, wo welche auch zu den Einstellungen von Plug-in NinjaFirewall von Nutzen sein können. Von da weg ist es aber nur mehr ein Merkzettel meinerseits. Zudem ich dich aber auch zum Mitlesen einlade. Aber Merke! â Das Thema habe ich bis heute nicht ganz in die Reihe bekommen.
Meine Fachsimpelei
Funktionsrelationen zur WP-Sicherheit
Fulminant! â ob dies fastwp.de (zur WordPress Sicherheit)
das fastwp.de (weitere Tipps zur Sicherheit des WordPress Blogs).
⊠oder jenes drweb.de … im Vergleich FastWP â gleiches Ergebnis.
WordPress Sicherheit via .htaccess
Siehe im separaten Beitrag .htaccess
Block Bad Queries (BBQ) Plug-in
 WP-SicherheitÂ
Installieren, aktivieren âŠ
Erst mal: fastwp.de. â FĂŒr AnfĂ€nger wĂ€re das wieder mal ein weitlĂ€ufiges Thema â aber Dank FastWP ist ein Durchblick gegeben.
OriginĂ€r FastWP: ⊠viele blocken ĂŒber die .htaccess. Doch das hat Nachteile, u. a. muss die Liste aktuell gehalten werden. Das Plugin BBQ ĂŒbernimmt diese Aufgabe nun vollauomatisch und damit auch sehr zuverlĂ€ssig.
Bevor ich lĂ€nger herum-philosophiere, nĂ€chst Links anklicken (klicken âŠ) und lesen!
Die Linkhinweise sind in Translation:
- WordPress.org: Plug-in Block Bad Queries (BBQ)Â (kostenloses Plugin)
- BBQ Pro (Premium-Plugin mit erweiterten Sicherheitsfunktionen)
Beide Plugins integrieren die 5G/6G-Technologie und bieten einen krĂ€ftigen Firewall-Schutz fĂŒr WordPress-basierte Website. Die Plug-ins gehen einher mit Firewalls perishablepress.com/6g/.
Gut zu wissen ist, mit Aktivierung des Plug-ins, seinereiner Free-Version erfolgt im Falle der Websites Begriffssuche von Namen .htaccess kein Suchergebnis, denn weiĂer Bildschirm. Dies stellt keinen Bug dar â so bin ich der Annahme â die typische FunktionalitĂ€t zur Sicherheit beinhaltet ⊠Die Herstellung der Website ist mit Browsers ZurĂŒck-Button getan, wie, erneuter Eingabe des Suchbegriffs htaccess ohne Punkt voran, dessen Begriffssuche funktionell ist.
Plug-in BBQ und 6G Firewall in .htaccess?
Beispiels gehe ich davon aus, dass WordPress, wie es sich gehört, in eigenem Ordner wordpress
auf dem Webspace befindet. Hiermit am Host bplaced vornehmlich im Ordner "www
". Im Konsens mit Web-Host bplaced:
Meine Frage an Host-Support: Ist die 6G FIREWALL/BLACKLIST im Rootverzeichnis wordpress
richtig eingefĂŒgt, also www
/wordpress
/.htaccess
, oder sollte diese, davor im Ordner www
sein? Ich habe vorerst im Ordner wordpress
die 6G Firewall in die .htaccess
am Anfang der Datei eingefĂŒgt und funktioniert soweit. â die Frage der Ordnung halber.
Baldige Antwort:
hallo Ditmar, ich wĂŒrde im Hauptverzeichnis /www
/ eine neue .htaccess
-Datei anlegen und die Daten der 6G Blacklist einfĂŒgen. Soweit ich das verstehe, gilt diese, so, fĂŒr dein Worpress-Verzeichnis und nicht fĂŒr den ganzen Webspace. Wenn du diese Blacklist ins Verzeichnis /www
/ schreibst, dann gilt sie fĂŒr den kompletten Webspace.
- Der 6G Firewall in eigener
.htaccess
fĂŒr den Ordnerwww
ist ebenso # BEGIN WordPress ⊠# END WordPress anzufĂŒgen.
Benutzernamen des Admins Àndern
Evtl. auch mit Plug-in Admin renamer extended
Plugin, um Standard-Admin-Benutzernamen zu Ă€ndern (mit GUI, um alle anderen Admin-Namen zu Ă€ndern). GeprĂŒft fĂŒr: * Leere Namen * Vorhandene Benutzernamen * GĂŒltiger Benutzername (keine funky Sonderzeichen). Wie immer -> zuerst eine Sicherung.
WP-Admin sperren
 WP-SicherheitÂ
… nur wenn keine Benutzer registriert sind, die sich selbstĂ€ndig einloggen dĂŒrfen. fastwp.de
Unnötige Links im Header entfernen
Snippet fĂŒr die functions.php.
 Wp-Sicherheit  und  PerformanceÂ
Snippet fĂŒr die functions.php. fastwp.de
XML-RPC Deaktivieren +Â XML-RPC aus dem HTTP-Header entfernen
 WP-Sicherheit  und  PerformanceÂ
XML-RPC Abschalten: aber mit Plug-in WP-Jetpack nicht funktionell, weil das Plug-in die Schnittstelle zwingend voraussetzt. S. fastwp.de.
Was ist XML-RPC?
FĂŒr AnfĂ€nger, ausfĂŒhrlich wie verstĂ€ndlich: wp-bistro.de
drweb.de: Die Schnittstelle ist ein Werkzeug fĂŒr die Verwaltung von Inhalten. Sie dient dazu, dass man mittels der Desktopâ und der Smartphone-Apps die Website verwalten und Artikel verfassen kann. Ebenso kĂŒmmert sie sich um Pingbacks … Die meisten Nutzer brauchen diese Schnittstelle jedoch nicht, weil sie ihre Artikel direkt in WordPress verfassen. Und auf die Pingbacks von anderen Blogs könnte man auch verzichten.
Deaktivieren
Deaktivieren von XML-RPC nach fastwp.de + drweb.de
… folgend des Links:
 functions.php
add_filter( 'xmlrpc_enabled', '__return_false' );
add_filter( 'wp_headers', 'FastWP_remove_x_pingback' ); function FastWP_remove_x_pingback( $headers ) { unset( $headers['X-Pingback'] ); return $headers; }
⊠und deaktivieren von XML-RPC ist funktionell + dieses Snippet
.htaccess
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
… und xmlrpc.php ist via .htaccess geblockt.
⊠sowie aus dem HTTP-Header entfernen?
Mit den Snippets ist also die xml-rpc Schnittstelle abgeschaltet sowie aus dem HTTP-Header entfernt. Somit könnte man den unnötigen Link (Remove rel=âpingbackâ meta tag) im HTML-Header zu entfernen â anzeigend im DOM:
<link>Href:http://www.domainname/xmlrpc.php
Rel: pingback
Theme/header.php:
<link rel="pingback" href="<?php bloginfo( 'pingback_url' ); ?>">
… diese Zeile entfernen. â Dateisicherung vor dem Editieren nicht vergessen auch, falls man dies Mal zurĂŒckstellen möchte.
Anderer Version mit Snippet (s. infoheap oder GitHub, Inc.) verbleibt im HTML-Header (s. DOM) der Eintrag:
<link> Href: Rel: pingback
Hinweise nach drweb.de (die-8 nĂŒtzlichsten .htaccess Tricks fĂŒr WordPress)
Datei-Bearbeitung verhindern
 WP-Sicherheit  und  PerformanceÂ
Nicht so empfehlenswert!
wp-config.php
define('DISALLOW_FILE_EDIT', true);
… z. B. kann hiermit im Backend ein Plug-in nicht ĂŒber Dashboard / Plugins / Editor bearbeitet oder ĂŒber Plugins / Installierte Plugins zur Bearbeitung aufgerufen werden, weil schon allein die SchaltflĂ€chen nicht angezeigt sind. Bei Bedarf einer Editierung von Plug-in oder Theme kann man ja obiges vorĂŒbergehend /* auskommentieren */
Plug-ins Limit Login Attempts Reloaded und Antispam Bee
 Sicherheit und  PerformanceÂ
Siehe im separaten Beitrag.
Hinweis: In Anwendung von Plug-in NinjaFirewall ist das Plug-in Limit Login Attemts Reloaded obsolet.
⊠Und wie ist dein Erfolg des Beitrags?
⊠und dann gern Dein Sagen auch kleine Frage.
Wenn du hier nach dem Voten noch was schreibst,
so ist das und wird der Form nicht öffentlich.
⊠das Voting oder auch nicht?
Clker-Free-Vector-Images
+ Tierstimmenarchiv
Ton â â onmouseover
ja'
oder so
'Na ja
⊠aber nichts fĂŒr ungut! â So sehr mir des Lesers voten durch das Feedback-Plug-in Helpful auch gefragt ist! â so ist im "Erkenne dich selbst" da die Zeit in eile ⊠Da solls nun mit so Schuss von Humor und Witz? â und geht gar in die Komik. Ja, weil das wĂŒnsch ich all den von besuche!
WordPress Hello Dolly