Wordpress Installation gut absichern gegen Hacks
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
aktuell halten
anregung
art
artikel
datenbank
effektiv vorbeugen
einstellung
entfernen
erstellen
generator
halten
installation
netz
sensible dateien
standard
url
verschieben
version
verwenden
zugriff
-
Hallo,
musste heute nun zum dritten mal meine Wordpress Homepage hier bei Lima neu aufsetzen.
2015 das erste mal wegen Sicherheitslücke in einem Wordpress Theme und aktuell hat man mich per Hack komplett vom Dashboard "ausgesperrt".
Trotz Ninja Firewall als Beispiel, klar kann auch ein veraltetes Plugin gewesen sein welches Probleme macht.
Wie kann ich effektiv vorbeugen?
Gruß
Michael -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Vielleicht findest Du hier einige Anregungen https://www.netz-gaenger.de/blog/wordpress-tutorials/zugriff-auf-sensible-dateien-in-wordpress-entfernen/ und https://www.netz-gaenger.de/blog/wordpress-tutorials/wp-config-php-ebene-hoeher-verschieben/ Ausserdem solltest Du alle nicht benötigten Plugins und Templates entfernen. Wie gut Ninja Firewall ist - keine Ahnung. Ich setze momentan auf Anti-Malware from GOTMLS.NET da ist auch eine Firewall mit drin.
-
tempel-des-offler schrieb:
Vielleicht findest Du hier einige Anregungen https://www.netz-gaenger.de/blog/wordpress-tutorials/zugriff-auf-sensible-dateien-in-wordpress-entfernen/ und https://www.netz-gaenger.de/blog/wordpress-tutorials/wp-config-php-ebene-hoeher-verschieben/
Zum Thema "wp-config.php" eine Ebene nach oben verschieben: Ist hier leider nicht möglich. Man hat auch via PHP nur auf das Verzeichnis Zugriff auf das die Domain zeigt. open_basedir sei Dank.
Edit: Es ist theoretisch möglich Verzeichnise wie "wp-content" zu verschieben um z.B. automatische Untersuchungen zu erschweren. https://codex.wordpress.org/Editing_wp-config.php#Moving_wp-content_folder
Sollte man sich aber gründlich überlegen. Leider sind einige Plugin-Autoren zu doof mit solchen Fällen richtig umzugehen.
Beitrag zuletzt geändert: 19.2.2017 19:06:20 von muellerlukas -
tintetoner schrieb:
Wie kann ich effektiv vorbeugen?
Am Besten WordPress immer aktuell halten (automatische Updates aktivieren), ein sicheres Passwort verwenden und auch alle Plugins und Themes immer aktuell halten.
Ich betreibe einen Blog schon seit 2011 ohne auch nur einen Hack. Ohne irgendwelche Sicherheitsplugins, nur mit aktuellen Updates.
Externe Plugins / Themes sind mit das größte Sicherheitsrisiko neben alten WordPress Versionen. -
- HTTPS bei Anmeldung auf die wp-admin-Seite verwenden.
- WP und alle Plugins, Themes, usw. auf dem aktuellsten Stand halten.
- Nicht benötigte Plugins und Themes deinstallieren.
- Und ein Backup erstellen, damit Du das alte Passwort wieder einspielen kannst ;) -
Um es abzusichern ist es dann nicht auch besser ein backup immer zu machen ich weiß es aber nicht genau
-
mymomentart schrieb:
Um es abzusichern ist es dann nicht auch besser ein backup immer zu machen ich weiß es aber nicht genau
Ein Backup sollte man sowieso immer erstellen. Es kann ja z. B. auch sein, dass etwas bei Lima-city schiefläuft. Mir würde da noch einfallen, dass man den Admin Bereich noch extra mit HTACCESS und HTPASSWD Passwort schützen kann. Sonst sollte man immer alles auf dem neusten Stand halten, nicht Admin als Nutzernamen verwenden und immer sichere Passwörter nehmen. -
Schon bei der Einstellung solltest du in der wp-config.php folgende Keys nu generieren lassen, wenn du Wordpress aufgesetzt hast:
define('AUTH_KEY', '...'); define('SECURE_AUTH_KEY', '...'); define('LOGGED_IN_KEY', '...'); define('NONCE_KEY', '...'); define('AUTH_SALT', '...'); define('SECURE_AUTH_SALT', '...'); define('LOGGED_IN_SALT', '...'); define('NONCE_SALT', '...');
Das hat mit den Cookies zu tun, die Wordpress bei einem Login in dein Dashboard im Browser ablegt. Mit diesen werden die Logindaten verschlüsselt. Für neue Schlüssel gibt es im Internet schon reichlich Generatoren, die dir neue Zufallsschlüssel auswerfen.
Auf https://blog.art-supplies.de/sicherheitsschluessel-in-wordpress/ und findest du einen solchen generator. Einfach den Link öffnen und der generiert bei jedem Öffnen neue Schlüssel. Bei Verdacht auf eine Infektion deines Wordpressblogs kannst du natürlich dir dann auch neue Schlüssel holen.
Weiterhin sehr wichtig: Bei der Installation von Wordpress das Präfix, was in der Datenbank verwendet wird, ändern und nicht auf dem Standard wp_ belassen. Das hilft schon gegen Datenbankinjection.
Du solltest deinen Adminaccount gut absichern und nie mit diesem Beiträge und Artikel verfassen. Also keine Standardnamen und Passwörter für den Adminaccount nutzen, sondern etwas "Fantasievolles" und mit einem zweiten Account mit "eingeschränkten Rechten" (zum Bleistifft nur zum Schreiben und editieren) deine Artikel verfassen.
Das sind schon Dinge, die man bei der Installation von Wordpress einfach erledigen kann, dauert zwar 5 Minuten länger, bis Wordpress läuft, aber es ist sinnvoll.
Gegen Bruteforceattacken und Spam helfen beispielsweise Captchaplugins, oder solche Plugins, die bei falschen Anmeldedaten die Zeit fürs nächste anmelden hochsetzen. Gegen Spam hilft auch AntiSpamBee, die setzt für Kontaktformularspam noch unsichtbare zusätzliche Felder, die nur Spambots sehen und die dann automatisch ausfüllen. Akismet ist auch eine gute Alternative, aber Datenschutztechnisch bedenklich. Akismet gleicht beim Eintrag in den Kontaktbereich die IP-Adressen des Schreibers mit IP-Listen bekannter Spammer auf Servern in der USA ab. Da die Server im Ausland außerhalb der EU stehen und da auch die Nutzerdaten deiner Leser und Kommentatoren dorthin übertragen werden (zum Abgleich) ist das sehr bedenklich, denn die USA sehen es mit dem Datenschutz nicht so wie die Deutschen oder die Europäer.
Beitrag zuletzt geändert: 21.4.2017 21:17:18 von kalinawalsjakoff -
kalinawalsjakoff schrieb:
Schon bei der Einstellung solltest du in der wp-config.php folgende Keys nu generieren lassen, wenn du Wordpress aufgesetzt hast:[...]
Auf https://blog.art-supplies.de/sicherheitsschluessel-in-wordpress/ und findest du einen solchen generator. Einfach den Link öffnen und der generiert bei jedem Öffnen neue Schlüssel.
Spoiler: Seit einigen Versionen wird automatisch ein Zufallswert dafür generiert. Der Schritt ist also nicht mehr nötig direkt nach der Installation. Außerdem verlinkt der Artikel auf den Generator der direkt von Wordpress zur Verfügung gestellt wird und auch bereits in der wp_config.php verlinkt ist: https://api.wordpress.org/secret-key/1.1/salt
Weiterhin sehr wichtig: Bei der Installation von Wordpress das Präfix, was in der Datenbank verwendet wird, ändern und nicht auf dem Standard wp_ belassen. Das hilft schon gegen Datenbankinjection.
Ne, hilft es nicht. Bei mysql lassen sich z.B. alle Tabellennamen aus der DB "information_schema" auslesen.
Also eher eine Scheinsicherheit die im besten Falle nur Probleme mit manchen Plugins macht. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage