WordPress absichern

WordPress absichern. – so Recherche zum überblicke

Bild, Katze Lilli
Info echo
OpenClipart-Vectors-katze-1

Ist der Classic-Editor schon zu kennen? –
“Advanced Editor Tools – ist so klasse!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-2

Anklickt Classic-Editor mit Advanced Editor Tools
“Advanced Editor Tools – ist das ausgezeichnete!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-3

Klassischen Editor anwenden! – und …
“Advanced Editor Tools – ist so sehr gut !”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-7

… die Welt gehört dem, der sie genießt.
“Advanced Editor Tools – und tut sehr gut!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-4

Advanced Editor Tools aktive Installationen: 2+ Millionen
“Advanced Editor Tools – ist so fabelhaft!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-5

Ansprechend! – so gehts hier zur Lancierung
“Advanced Editor Tools – ist de luxe!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-6

… und NEU! – Classic Widgets
“Classic Widgets – sind so grandiose!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Info echo
OpenClipart-Vectors-katze-8a

Werkraum ist Werkraum und Frontend ist Frontend
Katzen SVG OpenClipart-Vectors; Ticker von Ditty News Ticker
“Advanced Editor Tools – ist so fein!”
Anklickt! – Advanced Editor Tools; und NEU! – Classic Widgets

Hier geht es um WordPress absichern. Dazu ist die Befassung mit den Funktionsrelationen sehr von nutzen, bspw um der Einstellung von Sicherheit-Plug-ins eine Ahnung zu haben. So Begriffe wie ‘XML-RPC deaktivieren’, ‘Datei-Bearbeitung verhindern’ und deren Zusammenhänge gehören dazu, um zu wissen, wie-wo es lang geht. Weiter ist dann das mit Plug-in NinjaFirewall im Beschrieb.

NinjaFirewall WP
– Security Plug-in

Des Erklärlichen siehe dem Beitrag von einst zum jetzt im Titel Altmeister WP NinjaFirewall – Security Plug-in.


WordPress absichern durch Verzeichnisschutz?

Mithin ist dies für Websites geeignet, welche keine Registrierung und damit auch kein Log-in für Nutzer anbietet. S. zum Beitrag im Titel Verzeichnisschutz mittels bplacedlive access.


Das nun Folgende ist meine Recherche, wo welche auch zu den Einstellungen von Plug-in NinjaFirewall von Nutzen sein können. Von da weg ist es aber nur mehr ein Merkzettel meinerseits. Zudem ich dich aber auch zum Mitlesen einlade. Aber Merke! – Das Thema ist sehr viel komplexer, als es hier aussieht.

Eine Übersicht zum WordPress absichern

Fulminant! – ob dies fastwp.de (zur WordPress Sicherheit)
das fastwp.de (weitere Tipps zur Sicherheit des WordPress Blogs).

… oder jenes drweb.de … im Vergleich FastWP – gleiches Ergebnis.

Speziell Beitrag “WordPress absichern” definiert einen Merkzettel nach Studium von FastWP sowie Dr.Web.

In Sache Recherche …

WordPress Sicherheit via .htaccess

Siehe im separaten Beitrag .htaccess

Block Bad Queries (BBQ) Plug-in

 WP-Sicherheit 

Installieren, aktivieren …

Erst mal: fastwp.de. – Für Anfänger wäre das wieder mal ein weitläufiges Thema – aber Dank FastWP ist ein Durchblick gegeben.

Originär FastWP: … viele blocken über die .htaccess. Doch das hat Nachteile, u. a. muss die Liste aktuell gehalten werden. Das Plug-in BBQ übernimmt diese Aufgabe nun vollautomatisch und damit auch sehr zuverlässig.

Bevor ich länger herum-philosophiere, nächst Links anklicken (klicken …) und lesen!

Die Linkhinweis sind in Translation:

Beide Plug-ins integrieren die 5G/6G-Technologie und bieten einen kräftigen Firewall-Schutz für WordPress-basierte Website. Die Plug-ins gehen einher mit Firewalls perishablepress.com/6g/.

Gut zu wissen ist, mit Aktivierung des Plug-ins, seiner-einer Free-Version erfolgt im Falle der Websites Begriffssuche von Namen .htaccess kein Suchergebnis, denn weißer Bildschirm. Dies stellt keinen Bug dar – so bin ich der Annahme – die typische Funktionalität zur Sicherheit beinhaltet … die Herstellung der Website ist mit Browsers Zurück-Button getan, wie, erneuter Eingabe des Suchbegriffs htaccess ohne Punkt voran, dessen Begriffssuche funktionell ist.

Plug-in BBQ und 6G Firewall in .htaccess?

Beispiels gehe ich davon aus, dass WordPress, wie es sich gehört, in eigenem Ordner wordpress auf dem Webspace befindet. Hiermit am Host bplaced vornehmlich im Ordner “www“. Im Konsens mit Web-Host bplaced:

Meine Frage an Host-Support: Ist die 6G FIREWALL/BLACKLIST im Rootverzeichnis wordpress richtig eingefügt, also www/wordpress/.htaccess, oder sollte diese, davor im Ordner www sein? Ich habe vorerst im Ordner wordpress die 6G Firewall in die .htaccess am Anfang der Datei eingefügt und funktioniert soweit. – die Frage der Ordnung halber.

Baldige Antwort:

hallo Ditmar, ich würde im Hauptverzeichnis /www/ eine neue .htaccess-Datei anlegen und die Daten der 6G Blacklist einfügen. Soweit ich das verstehe, gilt diese, so, für dein Worpress-Verzeichnis und nicht für den ganzen Webspace. Wenn du diese Blacklist ins Verzeichnis /www/ schreibst, dann gilt sie für den kompletten Webspace.

  • Der 6G Firewall in eigener .htaccess für den Ordner www ist ebenso # BEGIN WordPress … # END WordPress anzufügen.
Benutzernamen des Admins ändern

Evtl. auch mit Plug-in Admin renamer extended

Plug-in, um Standard-Admin-Benutzernamen zu ändern (mit GUI, um alle anderen Admin-Namen zu ändern). Geprüft für: * Leere Namen * Vorhandene Benutzernamen * Gültiger Benutzername (keine funky Sonderzeichen). Wie immer -> zuerst eine Sicherung.

WP-Admin sperren

 WP-Sicherheit 

… nur wenn keine Benutzer registriert sind, die sich selbständig einloggen dürfen. fastwp.de

Unnötige Links im Header entfernen
Snippet für die functions.php.

 Wp-Sicherheit  und  Performance 

Snippet für die functions.php. fastwp.de

XML-RPC Deaktivieren + XML-RPC aus dem HTTP-Header entfernen

 WP-Sicherheit  und  Performance 

XML-RPC abschalten: aber mit Plug-in WP-Jetpack nicht funktionell, weil das Plug-in die Schnittstelle zwingend voraussetzt. S. fastwp.de.

Was ist XML-RPC?

Für Anfänger, ausführlich wie verständlich: wp-bistro.de

drweb.de: Die Schnittstelle ist ein Werkzeug für die Verwaltung von Inhalten. Sie dient dazu, dass man mittels der Desktop– und der Smartphone-Apps die Website verwalten und Artikel verfassen kann. Ebenso kümmert sie sich um Pingbacks … Die meisten Nutzer brauchen diese Schnittstelle jedoch nicht, weil sie ihre Artikel direkt in WordPress verfassen. Und auf die Pingbacks von anderen Blogs könnte man auch verzichten.

Deaktivieren

Deaktivieren von XML-RPC nach fastwp.de + drweb.de

… folgend des Links:

 functions.php
add_filter( 'xmlrpc_enabled', '__return_false' );
add_filter( 'wp_headers', 'FastWP_remove_x_pingback' );
 function FastWP_remove_x_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

… und deaktivieren von XML-RPC ist funktionell + dieses Snippet

.htaccess
<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

… und xmlrpc.php ist via .htaccess geblockt.

… sowie aus dem HTTP-Header entfernen?

Mit den Snippets ist also die xml-rpc Schnittstelle abgeschaltet sowie aus dem HTTP-Header entfernt. Somit könnte man den unnötigen Link (Remove rel=”pingback” meta tag) im HTML-Header zu entfernen – anzeigend im DOM:

<link>Href:http://www.domainname/xmlrpc.php
Rel: pingback

Theme/header.php:
<link rel="pingback" href="<?php bloginfo( 'pingback_url' ); ?>">

… diese Zeile entfernen. – Dateisicherung vor dem Editieren nicht vergessen, auch, falls man dies Mal zurückstellen möchte.

Anderer Version mit Snippet (s. infoheap oder GitHub, Inc.) verbleibt im HTML-Header (s. DOM) der Eintrag:

<link> Href:
 Rel: pingback

Hinweise nach drweb.de (die-8 nützlichsten .htaccess Tricks für WordPress)

Datei-Bearbeitung verhindern

 WP-Sicherheit  und  Performance 

Nicht so empfehlenswert!

wp-config.php
define('DISALLOW_FILE_EDIT', true);

… z. B. kann hiermit im Backend ein Plug-in nicht über Dashboard / Plug-ins / Editor bearbeitet oder über Plug-ins / Installierte Plug-ins zur Bearbeitung aufgerufen werden, weil schon allein die Schaltflächen nicht angezeigt sind. Bei Bedarf einer Editierung von Plug-in oder Theme kann man ja obiges vorübergehend /* auskommentieren */

Plug-ins Limit Login Attempts Reloaded
und Antispam Bee

 Sicherheit  und  Performance 

Siehe im separaten Beitrag.

Hinweis: In Anwendung von Plug-in NinjaFirewall ist das Plug-in Limit Login Attemts Reloaded obsolet.


Aktualisiert im Jahr 2022-April