WordPress schnell sichern

Herzliche Glückwünsche ! Ihre Website wächst, der Traffic steigt und Sie haben immer mehr Besucher.
Gut gemacht, du hast auch immer mehr Hackversuche und andere Einbrüche gewonnen ? So ist es, es geht mit …
Wenn du nicht überzeugt bist, schau in deine Logs, du wirst Überraschungen erleben …
Für die meisten lösen Um die Probleme zu lösen, gibt es einige sehr einfache Tipps, um Ihre WordPress-Site zu sichern.

Durch die Verwendung der Datei können .htaccess Sie den Zugriff auf einige sensible Dateien verhindern. Dies verhindert Brute-Force-Angriffe oder sogar Fehler, die durch Fehler in Plugins verursacht werden.

Bevor Sie fortfahren, muss der Kontext klar definiert werden.
Wer .htaccess sagt, sagt als erstes Apache. Wenn sich Ihr Server beispielsweise unter Nginx befindet, müssen Sie Zugriff auf die globale Konfiguration haben, um diese Einschränkungen einzurichten.
Zweitens, wenn wir Beschränkungen nach IP einrichten (wie wir unten sehen werden), müssen wir uns dessen bewusst sein, was wir tun, und wir werden diesen Modus plus für den Fall verwenden, dass es ein / zwei Administratoren gibt. Sonst ist es nicht zu handhaben.

Contents

Auflisten von Ordnern verhindern

Dies ist keine Funktion von WordPress, aber es ist eine gute Praxis, sie zu implementieren.
Normalerweise listen die standardmäßigen Apache 2.2-Konfigurationen Ordner auf. Auch wenn an sich kein großes Risiko besteht, kann es ein Problem darstellen, wenn bestimmte Dateien privat bleiben müssen.
Wenn wir WordPress nehmen, gibt es einen bekannten Ordner, den Sie frei konsultieren können, wenn wir nicht aufpassen, es ist der Ordner, in dem /wp-content/uploads/ alle von Ihnen eingefügten Medien gespeichert sind.
Um die Auflistung von Ordnern zu blockieren, fügen Sie eine einzelne Zeile in der .htaccess hinzu:

 Optionen -Indizes 

Versuchen Sie, auf diesen Ordner zuzugreifen, und jetzt sehen Sie einen schönen 403-Fehler.

Zugriff auf die Datei readme.html verbieten

Wir bleiben im Licht. Wir müssen die im Header integrierte WordPress-Version entfernen. Dadurch wird vermieden, dass ihre Version preisgegeben wird, wenn sie jemals als verletzlich bekannt wird.
Aber schauen Sie sich die Wurzel Ihres WordPress an. Es gibt eine schöne readme.html-Datei, in der wir die Versionsnummer groß sehen …
Beachten Sie, dass wir die Datei einfach löschen könnten. Fehler ! Beim nächsten WordPress-Update wird es ausgeliefert!
Gehen Sie also zurück zu Ihrer .htaccess und fügen Sie den folgenden Block hinzu:

 <Dateien readme.html> Befehl verweigern, zulassen abgelehnt von allen </Dateien> 

Gehen Sie zu yourreurl.tld / readme.html, und wenn alles wieder in Ordnung ist, erhalten Sie einen 403-Fehler.

Zugriff auf die Datei wp-config.php blockieren

Jetzt wird es ernst!
Die Datei wp-config.php enthält die wichtigsten Parameter Ihrer Site, beginnend mit den Datenbank-IDs.
Der Zugriff auf diese Datei muss verboten werden. Wir haben es kürzlich mit dem Fehler im Slider Revolution-Plugin gesehen, bei dem das Plugin das Herunterladen der Datei ermöglichte …
Um das Problem zu lösen, fügen Sie wie zuvor den folgenden Block zu Ihrer .htaccess hinzu:

 <Dateien wp-config.php>     Befehl verweigern, zulassen     abgelehnt von allen </Dateien> 

Rufen Sie diese Datei auf und bewundern Sie den 403-Fehler.

Verschieben Sie die Datei wp-config.php

Anstatt den Zugriff zu blockieren, können Sie Ihren einfach wp-config.php in einen höheren Ordner verschieben (danke Thomas).
Angenommen, Ihr WordPress ist in /user/www/ . Sie haben wp-config.php dann hier gefunden: /user/www/wp-config.php .
Dann verschieben Sie es einen Schritt nach oben in /user/ . Es wird daher überhaupt nicht mehr zugänglich sein.

Seien Sie vorsichtig, dieser Trick ist nur nützlich, wenn der übergeordnete Ordner nicht zugänglich ist. Andernfalls wird es schwieriger, die zu finden, wp-config.php aber nicht unmöglich.

Zugriff auf die Datei wp-login.php verbieten

Auch sehr wichtig und sehr effektiv. Aber wie ich in der Einleitung sagte, ist der unten stehende Trick nur gültig, wenn die Mitwirkenden begrenzt sind, da wir uns auf die IP beschränken.
Was liegt da näher, als einen Brute-Force-Angriff auf die Login-Seite zu versuchen… Nun, da ist es! Diese Seite ist jetzt nur für IPs zugänglich, die in den Abschnitten “Zulassen von” angegeben sind.
Kopieren Sie den Block wie immer in Ihre .htaccess-Datei. Und vor allem tragen Sie Ihre IPs ein. Sie können beliebig viele „Zulassen von“-Zeilen hinzufügen:

 <Dateien wp-login.php>     Befehl verweigern, zulassen     Abgelehnt von allen     Zulassen von xxx.yyy.zzz.aaa     Von xxx.yyy.zzz.bbb zulassen </Dateien> 

Geben Sie zum Testen eine andere IP als Ihre an und versuchen Sie, sich anzumelden. Hoffentlich erhalten Sie wie erwartet einen 403-Fehler.

So viel zu diesem ersten WordPress-Sicherheitsjet. Zögern Sie nicht, Ihre Tipps zu teilen.