Der Bedarf an WordPress-Sicherheit nimmt immer mehr zu. Berichte sagen, dass WordPress-Seiten 90.978 Angriffe pro Minute erfahren. Seit seiner Veröffentlichung hat WordPress mehr als 2.450 Schwachstellen gepatcht. Zusätzlich zu den grundlegenden Sicherheitsmaßnahmen, die Sie bereits ergreifen, um Ihre Website zu schützen, hier sind einige erweiterte WordPress Sicherheitsmaßnahmen, einschließlich, wie WordPress DDoS (Distributed Denial of Service) auf Ihrer Website zu verhindern.

1. Deaktivieren Sie die HTTP-Ablaufverfolgungsfunktion

Angriffe wie Cross Site Scripting (XSS) und Cross Site Tracing (XST) sind auf Systeme mit aktivierter HTTP-Trace-Funktionalität ausgerichtet. Die meisten Webserver sind standardmäßig so eingestellt, dass sie mit der HTTP-Ablaufverfolgung arbeiten, die sie für Aktivitäten wie das Debuggen verwendet. Mithilfe von Header-Anfragen stehlen Hacker vertrauliche Informationen wie Cookies, indem sie einen Cross Site Tracing-Angriff ausführen. OWASP Top Ten Project bietet umfassende Listen von Schwachstellen und Angriffen auf WordPress-Websites.

Cross Site Scripting rangiert unter allen Schwachstellen auf Platz eins. In der Tat sind 46, 9% aller Websites anfällig für diese Art von Angriffen. Um die HTTP-Trace-Funktionalität zu deaktivieren, fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu.

 RewriteEngine auf RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F] 

2. Entfernen Sie die WordPress-Installationsheader-Ausgaben

Dienste für verschiedene Teile Ihrer WordPress-Website erfordern das Hinzufügen vieler Ausgaben in der Kopfzeile. Sie können diese Ausgaben entfernen, indem Sie den folgenden Code zur Datei "functions.php" Ihres Themas hinzufügen.

 remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'benachbart_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1); 

3. Ändern Sie das Standard-Datenbankpräfix für WordPress

Der Standard-Präfixwert für WordPress-Datenbanktabellen ist "wp_". Hacker und schädliche Bots können diesen Präfixwert verwenden, um Ihre Datenbanktabellennamen erfolgreich zu erraten. Da in der Datei wp-config.php Ihr ​​WordPress-Datenbankpräfixwert festgelegt ist, ist es einfacher, diesen Präfixwert bei der Installation von WordPress zu ändern. Sie können das Plugin zum Ändern der Tabellenpräfixe verwenden oder wenn Sie es lieber manuell machen möchten, gehen Sie folgendermaßen vor:

1. Sichern Sie Ihre Datenbank vollständig und stellen Sie sicher, dass die Sicherung an einem sicheren Ort gespeichert wird. Hier sind einige der Backup-Plugins, die Sie verwenden können.

2. Verwenden Sie "phpmyadmin" in Ihrem Web-Host-Kontrollfeld, um Ihre WordPress-Datenbank vollständig in eine Textdatei zu speichern. Sichern Sie auch diese Textdatei.

3. Verwenden Sie als Nächstes einen Code-Editor, um alle "wp_" Präfixwerte durch ein eigenes Präfix zu ersetzen.

4. Deaktivieren Sie alle Plugins in Ihrem Admin-Panel.

5. Importieren Sie nun die neue Datenbank mit der Datei, die Sie im dritten Schritt oben bearbeitet haben, nachdem Sie die alte über phpMyAdmin entfernt haben.

6. Bearbeiten Sie die Datei "wp-config.php" unter Verwendung des neuen Datenbankpräfixwerts.

7. Reaktiviere jetzt deine WordPress Plugins.

8. Um die Permalink-Einstellungen zu speichern, gehen Sie zu Einstellungen und dann zu Permalinks; Dies aktualisiert die Permalink-Struktur Ihrer Website. Beachten Sie, dass das Ändern des Datenbankpräfixes Ihren Domainnamen, URL und Permalink-Einstellungen nicht ändern sollte.

4. Blockieren Sie Abfragezeichenfolgen, die potenziell gefährlich sind

Um Cross-Site-Scripting-Angriffe (XSS) zu verhindern, fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu. Bevor Sie den Code hinzufügen, identifizieren Sie zunächst Abfragezeichenfolgen, die potenziell gefährlich sind. URL-Anfragen werden durch diese Regeln von vielen bösartigen Injektionen befreit. Hier sind zwei wichtige Dinge zu beachten:

  • Bestimmte Plug-ins oder Designs brechen Funktionen, wenn Sie bereits verwendete Zeichenfolgen nicht ausschließen.
  • Obwohl die folgenden Zeichenfolgen am häufigsten verwendet werden, können Sie weitere Zeichenfolgen hinzufügen.
 RewriteCond% {REQUEST_METHOD} ^ (KOPF | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, ODER] RewriteCond% {QUERY_STRING} boot.ini [NC, ODER] RewriteCond% {QUERY_STRING} -Tag = [NC, ODER] RewriteCond% {QUERY_STRING} ftp: [NC, ODER] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC, OR] RewriteCond% {QUERY_STRING} mosConfig [NC ODER] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| "|; |? | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | % 27 |% 3C |% 3E |% 5C |% 7B |% 7C). * [NC, ODER] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127.0). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | kodieren | config | localhost | loopback). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Request | auswählen | einfügen | union | deklarieren | ablegen). * [NC] RewriteRule ^ (. *) $ - [F, L] 

5. Verwenden Sie Deflect, um einen DDoS-Angriff zu verhindern

Verfolgte Websites, unabhängige Mediengruppen und die Websites der meisten Menschenrechtsaktivisten / -gruppen verfügen normalerweise nicht über die technischen und finanziellen Ressourcen, um einem DDoS-Angriff (Distributed Denial of Service) standzuhalten. Hier kommt Deflect ins Spiel. Deflect positioniert sich selbst als eine Lösung, die BESSER ist als kommerzielle DDoS-Milderungsoptionen.

Kommerzielle DDoS-Milderungsoptionen kosten viel Geld und können ihre Nutzungsbedingungen ändern, wenn eine Website unter ihrem Schutz DDoS-Angriffe regelmäßig anzieht. Deflect stoppt DDoS-Angriffe proaktiv, indem Websites ständig geschützt werden.

Ein weiterer Vorteil von Deflect auf Ihrer Website ist, dass Sie Geld sparen, indem Sie die Server- und Systemadministrator-Ressourcen Ihres Clients entlasten. Deflect legt alle Quellcodes und Dokumentationen unter einer Creative Commons-Lizenz in der Public Domain ab; Auf diese Weise kann jeder DDoS-Angriffe abmildern, indem er sein eigenes Deflect-Netzwerk einrichtet. Sie können sich KOSTENLOS auf ihrer Website registrieren und den Dienst sofort nutzen.

6. Verwenden Sie Secure Sockets Layer (SSL) und Firewall-Schutz

Sicherheitsdienste wie Sucuri bieten Sicherheitsoptionen wie die Installation eines SSL-Zertifikats (Secure Sockets Layer) und einen PCI-konformen Firewall-Schutz. Dies ist eine leicht zugängliche Option für alle, auch für Nicht-Techniker.

Sie können Sicherheitslösungen einfach so einrichten und im Hintergrund arbeiten lassen und sich bei Bedarf selbst aktualisieren (z. B. Sucuri). Dies ist eine sehr effektive, wartungsarme Sicherheitsoption.

Mit einer Reihe von WordPress-Plugins können Sie SSL-Zertifikate (Secure Sockets Layer) zu Ihrer Site hinzufügen. Einige der am meisten empfohlenen WordPress SSL-Plugins umfassen CM HTTPS Pro, Really Simple SSL, WP Force SSL, SSL Unsichere Inhaltsfixierung und Easy HTTPS Redirection.

Einwickeln

Sie würden deutliche Verbesserungen der Website-Sicherheit erfahren, wenn Sie die oben genannten Punkte verwenden. Es ist hilfreich zu beachten, dass die Sicherheit von WordPress sich ständig weiterentwickelt. Ziel ist es, Risiken zu minimieren, nicht zu eliminieren, da dies nahezu unmöglich ist. WordPress-Sicherheit ist dynamisch und funktioniert in Schichten, so dass es kein One-plugin-fits-all oder one-taktic-fits-all gibt.

Bildnachweis: DDOS Attack Roadsign