- Apple Mouse beschleunigen: So wird die Maus schneller!
- Wordpress mit Virus infiziert: Finden und löschen (z.B. Stealrat)!
- Anrufer auf der Fritzbox sperren: So blockiert man nervige Anrufe
- Nacktbilder von Jennifer Lawrence & Kate Upton nach Hack: Apple sichert iCloud ab
- Foto / Design Forum & Hilfe
- Anrufer auf der Fritzbox sperren: So blockiert man nervige Anrufe
- Apple Mouse beschleunigen: So wird die Maus schneller!
WordPress schützen: so sichert man sein WordPress ab
WordPress Hacker haben es auf die Sicherheitssysteme in dem beliebten CMS oder den zahlreichen Plugins abgesehen, um einen Server mit Viren zu infizieren: Wir zeigen hier, wie man mit einer Firewall und den richtigen Schutz-Einstellungen einen Großteil der Angreifer abblocken und sein WordPress schützen kann. Haben die Angreifer allerdings schon Zugang zu dem eigenen Server gehabt, hilft dieser Artikel bei der Suche nach heimlich installierten Viren wie dem Spam-Bot “Stealrat”, der im Hintergrund über den eigenen Server massenhaft Spam zu versenden versucht.
WordPress schützen: Updates installieren
Nur ein regelmäßig gewartetes und aktuelles WordPress System ist einigermaßen sicher gegen Angreifer und WordPress Hacker. Aber nicht nur das WordPress System selber sollte stets auf die neueste Version aktualisiert werden, auch die verwendeten Plugins sollten regelmäßig überprüft werden. Das fällt dabei relativ leicht: WordPress zeigt im Admin-Bereich direkt an, wenn Plugins aktualisiert werden müssen, weil eine neue Version zur Verfügung steht:
Mit einem Klick auf “Plugins” wird dann angezeigt, welches WordPress Plugin erneuert werden muss – das Update geht dabei direkt aus WordPress heraus.
Aber auch bei WordPress selber warnt das System, wenn eine neue Version zur Verfügung steht. Diese lässt sich dann ebenfalls mit nur einem Klick installieren – das geht auch in den meisten Fällen gut. Kommt es trotzdem zu Problemen, kann man die aktuelle Version von Hand auf den Server laden und anschließend den WordPress Wartungsmodus manuell deaktivieren.
Wichtig: Sicheres Passwort
Bei neuen WordPress-Usern überprüft WordPress jetzt selbst, wie sicher das Passwort ist – ältere Passwörter bleiben aber unangetastet. Hier lohnt es sich, ein zu einfaches Passwort einmal zu aktualisieren: Sinnvoll ist eine Kombination aus Groß- und Klein-Buchstaben, Zahlen und Sonderzeichen wie “.” oder “,”. Wie man solche sicheren Passwörter findet und sie sich dann trotzdem noch merken kann, zeigen wir hier in unserem Passwort-Artikel.
Tipp: 2. Login mit .htaccess Schutz!
Eine weitere Hilfe ist es, einen zweiten Login vor den eigentlichen WordPress-Login zu setzen: Das macht es Angreifern deutlich schwerer, den WordPress-Zugriff per Brute-Force Methode zu knacken (und spart so auch ein bisschen Traffic und CPU-Last). Wie man einen einfachen, zweiten Passwortschutz per .htaccess einbaut, zeigen wir hier.
Mehr Sicherheit: Firewall und Viren-Schutz
Ein aktuelles WordPress ist trotzdem noch nicht unbedingt sicher: Unsichere User-Passwörter öffnen WordPress Hackern schnell die Türen, um unerwünschte Dateien über den Media-Upload auf den Server zu laden. So finden sich schnell ausführbare PHP Dateien in dem WordPress-Upload Ordner: Angreifer können diese dann ausführen, eine Shell installieren und haben ab sofort recht großen Zugriff auf den Server. So lassen sich dann schnell – und von dem Webmaster unbemerkt – Viren oder Spam-Programme installieren, die den eigenen Server für verschiedene Sachen missbrauchen können.
WordPress schützen mit Wordfence
Ein Schutz-Plugin für WordPress ist “Wordfence”: Selbst die kostenlose Version schützt mit einer integrierten Firewall vor unberechtigten Zugriffen, zu vielen falschen Login-Versuchen (durch das Erraten des Admin-Passworts) und verhindert mit einer Hatzen Regel, dass PHP Dateien in dem Uploads Ordner von WordPress ausgeführt werden dürfen.
Außerdem scannt es den Server und die WordPress-Installation nach bereits vorhandenen Sicherheitslücken und Viren – und Admins werden per Email benachrichtigt, wenn neue Versionen für WordPress oder die installierten Plugins zur Verfügung stehen. In der kostenlosen Version scannt Wordfence einmal pro Tag automatisch, man kann einen Scan aber jederzeit manuell von Hand anstoßen. Die Premium Version erlaubt es, die Uhrzeit des Scans selbst auch noch festzulegen.
Wichtige Wordfence Einstellungen
Wordfence bietet nicht nur eine schützende Firewall rund um die WordPress-Installation, einige Einstellungen schützen den Server zusätzlich gegen unliebsame WordPress Hacker und versuchen, ein Maximum an Sicherheit aus dem eigenen System herauszuholen.
WordPress mit Firewall schützen
Wordfence erlaubt verschiedene Firewall Einstellungen für WordPress: So lassen sich User direkt blockieren, wenn sie zu viele Seiten in kurzer Zeit aufrufen wollen – oder 404-Fehler erzeugen, weil sie nicht vorhandene Seiten laden wollen.
Wichtig ist hier, dass man verifizierten Google Crawlern immer vollen Zugriff auf die Seite gibt – allen anderen Crawler kann man, wenn man möchte, den Zugriff beschränken. Der letzte Punkt “If 404’s for known vulnerable URL’s exceed” sollte auf eine möglichst geringe Anzahl eingestellt werden: Damit lassen sich IP Adressen direkt sperren, wenn sie versuchen, bestimmte angreifbare Dateien auf dem eigenen WordPress-Server zu laden. Das sind dann hauptsächlich ausführbare PHP Dateien, die ein Angreifer heimlich in den Uploads-Ordner laden konnte.
WordPress Login sichern
Mit ein paar simplen Einstellungen lässt sich der WordPress Login absichern: So lassen sich alle IP-Adressen, die Anmelde-Fehler erzeugen (zum Beispiel wegen falschem Passwort oder Nutzer-Name) für eine bestimmte Zeit blockieren. Sinnvoll ist es auch, Nutzer auszusperren, die einen falschen Nutzer-Namen eingegeben haben: Wenn ein WordPress Hacker anhand des angezeigten Author-Namens versucht, den Login-Namen zu erraten, wird er dann direkt blockiert.
Ganz unten in den Einstellungen versteckt sich abschließend noch zwei wichtige Optionen: Zum Einen das Blockieren von gesendeten POST-Daten ohne angegeben Referrer. POST Daten werden zum Beispiel beim Anmelden und auch beim Schreiben und Kommentieren versendet, nicht aber bei der Suche. Aktiviert man diese Schutzfunktion, sperrt man allerdings auch manchmal User aus, die ihren Browser umgestellt haben – diese können sich dann so ebenfalls nicht mehr anmelden oder Beiträge kommentieren. Neben sehr wenigen echten Usern schützt man sein WordPress so aber auch zusätzlich vor Kommentar-Spam und vor automatisieren Login-Angriffen.
Die zweite sehr wichtige Option “Disable Code Execution for Uploads directory” versteckt sich weit unten: Sie verhindert das Ausführen von PHP Dateien im WordPress Uploads-Ordner. Schafft ein Angreifer es trotz Firewall, ein gefährliches Skript über die Upload-Funktion in den WordPress-Ordner zu laden, kann er es wenigstens nicht starten und ausführen.
- datenschutz (45x gelesen)
- windows-beschleunigen (39x gelesen)
- windows-schneller-starten-autostart-aufraeumen (34x gelesen)
- pc-einsteigerkurs (19x gelesen)
- Windows XP Reparatur: Windows reparieren (5x gelesen)
Mehr Tipps zu WordPress schützen: so sichert man ...
-
WordPress Plugin: File Upload Size anpassen
Standardmäßig ist in PHP die File Upload Size auf 50 Megabyte begrenzt: Definiert wird dies in den beiden Einstellungen "upload_max_filesize" und "post_max_size". Ist der Wert...
-
301 Redirect in WordPress: Einfache Weiterleitungen!
Was ist eine 301-Weiterleitung? Ein Redirect oder eine Weiterleitung ist eine einfache Möglichkeit, die Besucher von einer nicht mehr existierenden URL auf eine andere...
-
WordPress Backup + WordPress Seite umziehen auf neuen Server
Mit verschiedenen Backup Plugins kann man seine gesamte Wordpress Seite sichern: Auch das Umziehen auf einen anderen Server ist damit möglich. So kann man eine...
-
WordPress Backup + WordPress Seite umziehen auf neuen Server
Mit verschiedenen Backup Plugins kann man seine gesamte Wordpress Seite sichern: Auch das Umziehen auf einen anderen Server ist damit möglich. So kann man eine...
-
Windows 10 und Windows Server – die Unterschiede in der Übersicht
Foto von Windows auf Unsplash Die Betriebssysteme von Microsoft blicken auf eine beeindruckende Erfolgsgeschichte zurück und sind bei weltweiter Betrachtung auf den meisten Computern anzutreffen....
-
Raspberry Pi Standard-Passwort für Login
Nach dem ersten Einrichten der SD Karte kann man den Raspberry Pi starten: Hat er alle Dienste geladen, braucht man ein Passwort, um sich anzumelden:...
Wordpress schützen: so sichert man sein Wordpress ab