Symbolbild, WordPress-Sicherheit, CC0 von Pixabay

Sicherheit: WordPress absichern, Edition 2018

Mir ist bewusst, dass das Thema Sicherheit und somit auch die WordPress-Sicherheit bei den meisten kein Lieblingsthema sein dürfte und es daher von vielen gerne ignoriert wird. Aber hier muss man meiner Meinung nach durch. Das Thema ist einfach zu wichtig als, dass man es lange ignorieren kann.

Um sich zu motivieren, sich dennoch mit dem Thema ausführlicher zu beschäftigen, sollte man es ein bisschen wie die Kraftsportler sehen.

Nur die wenigsten mögen das Aufwärmen, obwohl es wichtig ist. Alle wollen sofort mit den Gewichten loslegen. In unserer Analogie: alle wollen an Content und Design.

Was hat WordPress-Sicherheit mit Aufwärmen vor dem Krafttraining zu tun?

Aber das Vernachlässigen von Aufwärmen, Dehnen und diversen Mobilitätsübungen kann sich unter Umständen schnell rächen: Das Verletzungsrisiko steigt und man muss im Fall der Fälle Wochen oder sogar Monate das eigentliche Training ausfallen lassen und sich der Heilung der Verletzung widmen.

Weiter …

Umfangreiche WordPress-Websites auf https umstellen

Ich habe bereits im April letzten Jahres beschreiben, wie man Dank der kostenlosen SSL-Zertifikaten bei all-inkl seine Website auf https umstellen kann. Dort bin ich auch ein bisschen auf die WordPress-spezifischen Punkte eingegangen. Eigentlich wollte ich damals recht zügig auch diese Website auf https umstellen, aber wie sagte das mal jemand treffend:

Leben ist das, was passiert, während du eifrig dabei bist, andere Pläne zu machen

Daher bin ich erst jetzt dazu gekommen, diese WordPress-Installation auf https umzustellen. Dadurch, dass diese Website knapp 3.000 Blogbeiträge und knapp 30 weitere Unterseiten hat, kann man die schon als eine umfangreiche Website sehen. Ich habe mich an meiner eigenen Anleitung gehalten und daher werde ich diesem Blogartikel nur auf die Unterschiede eingehen.

Weiter …

Login LockDown richtig konfigurieren und die Sicherheit von WordPress erhöhen

Wie bereits gestern versprochen folgt eine Anleitung zu der Konfiguration von Login LockDown.

Eine äußerst sinnvolle und auch schnell eingerichtete Sicherheitsmaßnahme für WordPress, ist die Einschränkung der Login-Versuche für einen festgelegten Zeitraum. Damit erschwert man die automatisierten Angriffe auf die Installation (engl. Brute Force), mit denen der Angreifer versucht, die richtige Kombination aus Benutzernamen und Passwort zu erraten.

Weiter …

Sinnvolle Sicherheitsmaßnahmen für WordPress

Im folgenden will ich euch einige grundlegende und meiner persönlicher Meinung und Erfahrung nach, sinnvolle Sicherheitsmaßnahmen für WordPress vorstellen.

WordPress ist das beliebteste CMS und beherrscht den Markt der Content-Management-Systeme mit knapp 60% und 26,6% aller Websites läuft mit WordPress. Durch die hohe Verbreitung, einer hohen Anzahl an Plugins und Themes ist WordPress ein lohnenswertes Ziel für potenzielle Angreifer.

In der Standardinstallation und ohne Plugins ist WordPress eine relativ sichere Sache, und mit wenigen, einfachen Schritten, die ich im Folgenden nennen werde, kannst du die eingerichtete Installation zusätzlich absichern und es einem Angreifer noch schwerer machen in dein System einzudringen.

Maßnahme Nr. 1: Tabellenpräfix ändern

Die Erhöhung der Sicherheit fängt schon während des Installationsprozesses an. Alles was dich der breiten Masse abhebt, dient auch deiner Sicherheit, da du eine kleinere Angriffsfläche für automatisierte Attacken bietest.

Die Standardeinstellung für das Präfix in den Datenbanktabellen ist wp_. Daraus ergibt sich später zum Beispiel die Tabelle wp_options in der die Optionen der Installation gespeichert werden.

WordPress-Installation: Tabellenpräfix ändern
WordPress-Installation: Tabellenpräfix ändern

Ich würde dir empfehlen, hier einen individuelles Präfix zu wählen, das ungefähr so aussehen könnte: projekt_name_. Es ist eine kleine Maßnahme, schnell durchgeführt, erhöht aber dennoch den Schutz gegen automatisierte Datenbank-Attacken.

Weiter …

WordPress: Websites auf all-inkl.com mit kostenlosen SSL-Zertifikaten ausstatten

Auf das Thema bin ich via Facebook und dann über den folgenden Artikel aufmerksam geworden und ich habe es bereits an mehreren Websites durchgeführt.

Es geht darum, dass der Webhoster all-inkl.com seit dem 08 April kostenlose SSL-Zertifikate von Let’s Encrypt anbietet. Im folgenden Artikel werde ich daher nicht nur erklären, wie man das generell umsetzt sondern auch worauf man bei Websites, die mit WordPress betrieben werden achten muss. Daher habe ich mich entschieden dieses Thema hier in diesem Weblog zu veröffentlichen.

Die Aktivierung bei all-inkl.com

Wer bei all-inkl mindestens den Tarif PrivatPlus hat, hat die Möglichkeit von der neuen Funktion Gebrauch zu machen. Einfach im KAS die jeweilige Domain oder Subdomain auswählen, dann auf Bearbeiten gehen und dort dann auf SSL Schutz → Bearbeiten gehen:

Bei all-inkl.com die SSL-Einstellungen ansteuern

Im nächsten Schritt steuert man den Tab “Let’s Encrypt”. Dort aktiviert man das Häckchen bei Haftungsausschluss und schickt das ganze ab:

Weiter …

AntiVirus für WordPress & Google Safe Browsing

Mal wieder etwas zum Thema WordPress und Sicherheit. Kaum habe ich gestern darüber berichtet, dass Sergej das Plugin Antispam Bee um eine Anti-Malware-Maßnahme nachgerüstet hat, da legt der Kerl schon wieder nach. 😉 Er hat ja vor einiger Zeit das Plugin AntiVirus für WordPress veröffentlicht, welches die Installation oder besser gesagt die Themes vor Viren, … Weiter …

WordPress-Links: Nutzeraccount vorübergehend deaktivieren, 10. Geburtstag, Feed für Entwürfe, Shortcodes, Attacken gegen WP-Installationen

Hier ein paar Links zum Thema WordPress, die sich in meinem Browser in den letzten Tagen angesammelt haben: Mit Hilfe des Plugins User Locker kann man einen Nutzer-Account (vorübergehend) deaktivieren, wenn eine bestimmte Anzahl an ungültigen Loginversuchen verzeichnet wird. Am 27. Mai feiert WordPress seinen 10. Geburtstag. Wer weiß, vielleicht wird an diesem Tag, quasi … Weiter …