WordPress ist mit Abstand die beliebteste Blogging-Plattform.
Aufgrund seiner Beliebtheit hat es auch positive und negative Auswirkungen mit sich gebracht. Die Tatsache, dass fast jeder es nutzt, erleichtert das Auffinden von Schwachstellen. WordPress-Entwickler leisten viel Arbeit und veröffentlichen Korrekturen und Patches, wenn neue Fehler entdeckt werden. Das bedeutet jedoch nicht, dass Sie es einfach installieren und vergessen können.
In diesem Artikel stellen wir einige der gängigsten Möglichkeiten zum Schutz und zur Stärkung Ihrer WordPress-Website vor.
Verwenden Sie beim Anmelden im Backend immer SSLEs versteht sich von selbst, dass Sie immer SSL verwenden sollten, wenn Sie nicht nur einen Gelegenheitsblog erstellen möchten. Wenn Sie sich ohne verschlüsselte Verbindung auf Ihrer Website anmelden, werden Ihr Benutzername und Ihr Passwort offengelegt. Jeder, der den Datenverkehr ausspioniert, könnte Ihr Passwort entdecken. Dies gilt insbesondere dann, wenn Sie WLAN nutzen oder sich mit einem öffentlichen Hotspot verbinden, wo die Gefahr eines Hackerangriffs höher ist. Hier können Sie ein vertrauenswürdiges kostenloses SSL-Zertifikat erhalten.
Sorgfältig ausgewählte Add-on-PluginsDie Qualität und Sicherheit jedes Plugins wurde von Drittentwicklern entwickelt und ist immer fraglich und hängt nur von der Erfahrung seiner Entwickler ab. Wenn Sie zusätzliche Plugins installieren, sollten Sie diese sorgfältig auswählen und deren Beliebtheit sowie die Häufigkeit der Wartung des Plugins berücksichtigen. Schlecht gewartete Plugins sollten vermieden werden, da sie anfälliger für Fehler und Schwachstellen sind, die leicht ausgenutzt werden können.
Dieses Thema ergänzt auch das vorherige über SSL, da viele Plugins Skripte enthalten, die Anfragen über unsichere Verbindungen (HTTP) stellen. Solange auf Ihre Website über HTTP zugegriffen wird, scheint alles in Ordnung zu sein. Sobald Sie sich jedoch für die Verschlüsselung entscheiden und den SSL-Zugriff erzwingen, wird die Funktionalität der Website sofort beeinträchtigt, denn wenn Sie über HTTPS auf andere Websites zugreifen, werden die Skripte dieser Plugins weiterhin Anfragen über HTTP bearbeiten.
Installieren Sie WordfenceWordfence Wordfence wurde von Feedjit Inc. entwickelt und ist derzeit das beliebteste WordPress-Sicherheits-Plugin und ein Muss für jede ernsthafte WordPress-Website, insbesondere für diejenigen, die WooCommerce oder andere WordPress-E-Commerce-Plattformen verwenden.
Wordfence ist mehr als nur ein Plugin, denn es bietet eine Reihe von Sicherheitsfunktionen, die Ihre Website stärken. Es verfügt über eine Webprogramm-Firewall, Malware-Scans, einen Echtzeit-Verkehrsanalysator und verschiedene andere Tools, die die Sicherheit Ihrer Website verbessern können. Die Firewall blockiert standardmäßig böswillige Anmeldeversuche und kann sogar so konfiguriert werden, dass der Zugriff auf ganze Länder nach IP-Adressbereich blockiert wird. Was uns an Wordfence wirklich gefällt, ist, dass Wordfence nach der Installation infizierte Dateien auf Ihrer Website scannen und bereinigen kann, selbst wenn Ihre Website aus irgendeinem Grund kompromittiert ist, beispielsweise durch ein bösartiges Skript.
Das Unternehmen bietet sowohl kostenlose als auch kostenpflichtige Abonnements für dieses Plugin an, aber selbst mit dem kostenlosen Plan wird Ihre Website immer noch ein zufriedenstellendes Niveau erreichen.
Sperren Sie /wp-admin und /wp-login.php mit einem zusätzlichen PasswortEin weiterer Schritt zum Sichern Ihres WordPress-Backends besteht darin, ein zusätzliches Passwort zu verwenden, um alle Verzeichnisse (d. h. URLs) zu schützen, die niemand außer Ihnen verwenden darf. Das Verzeichnis /wp-admin gehört zu dieser Liste der Schlüsselverzeichnisse. Wenn Sie regulären Benutzern die Anmeldung bei WordPress nicht erlauben, sollten Sie den Zugriff auf die Datei wp.login.php mithilfe eines Passworts einschränken. Unabhängig davon, ob Sie Apache oder Nginx verwenden, können Sie diese beiden Artikel lesen, um zu erfahren, wie Sie Ihre WordPress-Installation zusätzlich sichern können.
Benutzeraufzählung deaktivieren/stoppenDies ist eine ziemlich einfache Möglichkeit für einen Angreifer, gültige Benutzernamen auf Ihrer Website zu entdecken (d. h. den Administrator-Benutzernamen herauszufinden). Wie funktioniert es also? das ist ganz einfach. Folgen Sie einfach der Haupt-URL auf einer beliebigen WordPress-Site mit /?author=1. Zum Beispiel: wordpressexample.com/?author=1.
Um Ihre Website davor zu schützen, installieren Sie einfach das Stop User Enumeration-Plugin.
XML-RPC deaktivierenRPC steht für Remote Procedure Call, ein Protokoll, mit dem Dienste von einem Programm angefordert werden können, das sich auf einem anderen Computer im Netzwerk befindet. Für WordPress ermöglicht Ihnen XML-RPC das Veröffentlichen von Beiträgen in Ihrem WordPress-Blog mit beliebten Web-Blogging-Clients wie Windows Live Writer, was auch erforderlich ist, wenn Sie die mobile WordPress-App verwenden. XML-RPC war in früheren Versionen deaktiviert, aber ab WordPress 3.5 ist es standardmäßig aktiviert, sodass Ihre Website größeren Angriffsmöglichkeiten ausgesetzt ist. Während verschiedene Sicherheitsforscher darauf hinweisen, dass dies kein großes Problem darstellt, sollten Sie den XML-RPC-Dienst deaktivieren, wenn Sie nicht vorhaben, den Web-Blogging-Client oder die mobile App von WP zu verwenden.
Es gibt mehrere Möglichkeiten, dies zu tun. Die einfachste besteht darin, das Disable XML-RPC-Plugin zu installieren.
Das obige ist der detaillierte Inhalt von5 praktische Möglichkeiten, die Sicherheit Ihrer WordPress-Website zu erhöhen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!