Sicherheitsmaßnahmen für WordPress

Kritische Sicherheitsmaßnahmen

Die folgenden Sicherheitsmaßnahmen gelten als kritisch für die Sicherheit von WordPress und werden vom WordPress Toolkit automatisch auf jede neu installierte WordPress-Instanz angewendet. Erkannte, importierte oder entfernte Instanzen, auf die diese Maßnahmen nicht angewendet werden, sind mit dem Label GEFAHR gekennzeichnet.

  • Konfigurieren Sie Sicherheitsschlüssel. WordPress verwendet Sicherheitsschlüssel (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY), um eine bessere Verschlüsselung der in den Cookies des Benutzers gespeicherten Informationen zu gewährleisten. Ein guter Sicherheitsschlüssel sollte lang (60 Zeichen oder länger), zufällig und komplex sein. Bei der Sicherheitsprüfung sollte überprüft werden, ob die Sicherheitsschlüssel eingerichtet sind und ob sie sowohl alphabetische als auch numerische Zeichen enthalten.
  • Ändern Sie das Standard-Präfix für Datenbanktabellen. WordPress-Datenbanktabellen haben in allen WordPress-Installationen die gleichen Standardnamen. Wenn das Standardpräfix wp_ für die Datenbanktabellennamen verwendet wird, ist die gesamte WordPress-Datenbankstruktur transparent, was es böswilligen Skripten leicht macht, Daten aus ihr zu erhalten. Mit dieser Sicherheitsmaßnahme wird der Präfix des Datenbanktabellennamens in einen anderen als den Standard-Präfix wp_ geändert.
  • Ändern Sie den Standard-Benutzernamen des Administrators. Während der Installation legt WordPress einen Benutzer mit administrativen Rechten und dem Benutzernamen admin an. Da Benutzernamen in WordPress nicht geändert werden können, ist es möglich, das Passwort dieses Benutzers zu knacken, um als Administrator auf WordPress zuzugreifen. Diese Sicherheitsmaßnahme erstellt ein WordPress-Administratorkonto mit einem zufälligen Benutzernamen und stellt sicher, dass es keinen Benutzer mit den administrativen Rechten und dem Benutzernamen admin gibt. Wenn der Admin-Benutzer gefunden wird, werden alle Inhalte, die diesem Benutzer gehören, dem neuen Administratorkonto zugewiesen und das Admin-Benutzerkonto wird entfernt.
  • Schränken Sie den Zugriff auf Dateien und Verzeichnisse ein. Wenn die Zugriffsrechte für Dateien und Verzeichnisse nicht sicher genug sind, können Hacker auf diese Dateien zugreifen und damit Ihre Website kompromittieren. Diese Sicherheitsmaßnahme setzt die Berechtigungen für die Datei wp-config.php auf 600 (nur Lese-/Schreibzugriff für den Eigentümer), für andere Dateien auf 644 (Lese-/Schreibzugriff für den Eigentümer, Nur-Lesezugriff für alle anderen) und für Verzeichnisse auf 755 (Lese-/Schreibzugriff für den Eigentümer, Nur-Lesezugriff für alle anderen).
  • Blockieren Sie das Durchsuchen von Verzeichnissen (kann rückgängig gemacht werden). Wenn das Durchsuchen von Verzeichnissen in den Webserver-Einstellungen aktiviert ist, können Hacker verschiedene Informationen über Ihre Website erhalten, die deren Sicherheit gefährden können. Standardmäßig ist das Durchsuchen von Verzeichnissen in Plesk ausgeschaltet, aber wenn es eingeschaltet ist, kann diese Sicherheitsmaßnahme es blockieren. Diese Maßnahme modifiziert die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows). Beachten Sie, dass benutzerdefinierte Direktiven in den Dateien .htaccess oder web.config dies außer Kraft setzen können.
  • Blockieren Sie den nicht autorisierten Zugriff auf wp-config.php (kann rückgängig gemacht werden). Die Datei wp-config.php enthält sensible Informationen wie Datenbankzugangsdaten, Sicherheitsschlüssel usw. Wenn aus irgendeinem Grund die Verarbeitung von PHP-Dateien durch den Webserver ausgeschaltet ist, können Hacker auf den Inhalt der Datei wp-config.php zugreifen. Diese Sicherheitsmaßnahme verhindert den unbefugten Zugriff auf die Datei wp-config.php. Mit dieser Maßnahme wird die Konfigurationsdatei des Servers (Apache, nginx für Linux oder web.config für Windows) geändert. Beachten Sie, dass benutzerdefinierte Direktiven in den Dateien .htaccess oder web.config dies außer Kraft setzen können.
  • Deaktivieren Sie die Ausführung von PHP in Cache-Verzeichnissen (kann rückgängig gemacht werden). Wenn eine kompromittierte PHP-Datei in einem der Cache-Verzeichnisse Ihrer Website landet, kann die Ausführung der Datei die gesamte Website gefährden. Diese Sicherheitsmaßnahme deaktiviert die Ausführung von PHP-Dateien in Cache-Verzeichnissen und verhindert so derartige Angriffe.

    Beachten Sie, dass einige Plugins oder Themes die Sicherheitsempfehlungen des WordPress-Sicherheitsteams ignorieren und gültige PHP-Dateien in ihrem Cache-Verzeichnis speichern können. Sie müssen diese Sicherheitsmaßnahme möglicherweise deaktivieren, wenn Sie solche Plugins oder Themes zum Laufen bringen müssen.

  • Zugriff auf sensible Dateien blockieren (kann rückgängig gemacht werden). Diese Sicherheitsmaßnahme verhindert den öffentlichen Zugriff auf bestimmte Dateien, die sensible Informationen enthalten können, wie z. B. Anmeldeinformationen für die Verbindung oder verschiedene Informationen, die verwendet werden können, um festzustellen, welche bekannten Exploits auf Ihre WordPress-Website anwendbar sind.

Empfohlene Sicherheitsmaßnahmen

Die folgenden Sicherheitsmaßnahmen werden empfohlen, gelten aber nicht als kritisch für die Sicherheit der Website und werden daher nicht standardmäßig angewendet.

  • Verbieten Sie die Ausführung von PHP-Skripten im Verzeichnis wp-includes (kann rückgängig gemacht werden). Das Verzeichnis ./wp-includes/ kann unsichere PHP-Dateien enthalten, die ausgeführt werden können, um Ihre Website zu übernehmen und auszunutzen. Diese Sicherheitsmaßnahme verhindert die Ausführung von PHP-Dateien im wp-includes-Verzeichnis. Diese Maßnahme ändert die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows). Beachten Sie, dass benutzerdefinierte Direktiven in den Dateien .htaccess oder web.config dies außer Kraft setzen können.
  • Verbieten Sie die Ausführung von PHP-Skripten im Verzeichnis wp-content/uploads (kann rückgängig gemacht werden). Das Verzeichnis ./wp-content/uploads/ kann unsichere PHP-Dateien enthalten, die ausgeführt werden können, um Ihre Website zu übernehmen und auszunutzen. Diese Sicherheitsmaßnahme verhindert die Ausführung von PHP-Dateien im Verzeichnis ./wp-content/uploads/. Diese Maßnahme ändert die Serverkonfigurationsdatei (Apache, nginx für Linux oder web.config für Windows). Beachten Sie, dass benutzerdefinierte Direktiven in den Dateien .htaccess oder web.config dies außer Kraft setzen können.
  • Blockieren Sie den Zugriff auf potenziell sensible Dateien (kann rückgängig gemacht werden). Diese Sicherheitsmaßnahme verhindert den öffentlichen Zugriff auf bestimmte Dateien (z. B. Protokolldateien, Shell-Skripte und andere ausführbare Dateien), die sich möglicherweise auf Ihrer WordPress-Website befinden. Der öffentliche Zugriff auf diese Dateien könnte die Sicherheit Ihrer WordPress-Website gefährden.
  • Blockieren Sie den Zugriff auf .htaccess und .htpasswd (kann rückgängig gemacht werden). Durch den Zugriff auf die Dateien .htaccess und .htpasswd können Angreifer Ihre Website für eine Vielzahl von Angriffen und Sicherheitsverletzungen missbrauchen. Diese Sicherheitsmaßnahme ändert die Konfiguration des Webservers, um sicherzustellen, dass die Dateien .htaccess und .htpasswd für Angreifer unzugänglich sind.
  • Deaktivieren Sie die Skriptverkettung für das WordPress-Administrationspanel (kann rückgängig gemacht werden). Diese Sicherheitsmaßnahme schaltet die Verkettung von Skripten aus, die im WordPress-Administrator-Panel ausgeführt werden, und verhindert so, dass Ihre Website von bestimmten Denial-of-Service-Angriffen (DoS) betroffen ist. Die Deaktivierung der Skriptverkettung kann die Leistung des WordPress-Administrator-Panels geringfügig beeinträchtigen, sollte aber aus Sicht der Besucher Ihrer WordPress-Website keinen Einfluss haben.
  • Deaktivieren Sie Pingbacks (kann rückgängig gemacht werden). Pingbacks ermöglichen es anderen WordPress-Websites, automatisch Kommentare unter Ihren Beiträgen zu hinterlassen, wenn diese Websites auf diese Beiträge verlinken. Pingbacks können genutzt werden, um DDoS-Angriffe (Distributed Denial-of-Service) auf Ihre Website zu starten. Diese Sicherheitsmaßnahme schaltet XML-RPC-Pingbacks für Ihre gesamte Website aus und deaktiviert auch Pingbacks für zuvor erstellte Beiträge mit aktivierten Pingbacks.
  • Aktivieren Sie den Hotlink-Schutz (kann rückgängig gemacht werden). Der Hotlink-Schutz verhindert, dass andere Websites Ihre Bilder anzeigen, verlinken oder einbetten. Diese Praxis wird als Hotlinking bezeichnet und kann Ihre Bandbreite schnell erschöpfen und Ihre Website unerreichbar machen.
  • Aktivieren Sie den Bot-Schutz (kann rückgängig gemacht werden). Diese Maßnahme schützt Ihre Website vor nutzlosen, bösartigen oder anderweitig schädlichen Bots. Sie blockiert Bots, die Ihre Website nach Schwachstellen durchsuchen und Ihre Website mit unerwünschten Anfragen überlasten, was zu einer Überbeanspruchung der Ressourcen führt. Beachten Sie, dass Sie diese Maßnahme vorübergehend deaktivieren sollten, wenn Sie planen, einen Online-Dienst zum Scannen Ihrer Website auf Schwachstellen zu verwenden, da diese Dienste ebenfalls solche Bots verwenden könnten.
  • Autoren-Scans blockieren (kann rückgängig gemacht werden). Autorenscans sind eine Form des Benutzer-ID-Phishings. Das Ziel dieser Scans ist es, Benutzernamen von registrierten Benutzern (insbesondere WordPress-Administratoren) zu finden und einen Brute-Force-Angriff auf die Anmeldeseite Ihrer Website durchzuführen, um Zugang zu erhalten. Diese Sicherheitsmaßnahme verhindert, dass solche Scans diese Benutzernamen herausfinden können.

    Beachten Sie, dass diese Maßnahme je nach der Permalink-Konfiguration auf Ihrer Website verhindern kann, dass Besucher auf Seiten zugreifen können, die alle Artikel eines bestimmten Autors auflisten.
  • Deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard (kann rückgängig gemacht werden). Durch die Deaktivierung der Dateibearbeitung in WordPress wird die Möglichkeit der direkten Bearbeitung der Plugin- und Themadateiquellen (d. h. ihrer PHP-Dateien) in der WordPress-Benutzeroberfläche entfernt. Diese Maßnahme bietet einen zusätzlichen Schutz für die WordPress-Website, falls eines der WordPress-Administratorkonten kompromittiert wird. Sie verhindert insbesondere, dass kompromittierte Konten auf einfache Weise bösartigen ausführbaren Code zu Plugins oder Themes hinzufügen können.
  • Deaktivieren Sie nicht verwendete Skriptsprachen. Diese Sicherheitsmaßnahme deaktiviert die Unterstützung für Skriptsprachen, die nicht von WordPress verwendet werden, wie z. B. Python und Perl. Durch die Deaktivierung wird sichergestellt, dass Ihre Website nicht durch Ausnutzung von Schwachstellen in diesen Skriptsprachen kompromittiert werden kann.

 

War diese Antwort hilfreich? 0 Benutzer fanden dies hilfreich (0 Stimmen)