Posted By Gregory

Erste Schritte mit WP Cerber Sicherheit

Keine Bange. WordPress-Sicherheit ist keine Raketenwissenschaft mehr.


English version: Getting Started with WP Cerber Security


Sobald Sie das Plugin installiert und aktiviert haben , werden eine Reihe wichtiger Einstellungen geladen. Sie ermöglichen es WP Cerber, Ihre Website effektiv zu schützen. Um WP Cerber optimal zu nutzen und WordPress so effektiv wie möglich zu schützen, müssen Sie das Plugin jedoch sorgfältig konfigurieren.

1. Stellen Sie sicher, dass Cerber IP-Adressen korrekt erkennt

  1. Öffnen Sie die Seite Was ist meine IP-Adresse in einer Browser-Registerkarte (Fenster) und die Administrationsseite für Zugriffslisten auf Ihrer Website in einer anderen Browser-Registerkarte (Fenster).
  2. Vergleichen Sie die IP-Adresse auf der Seite Was ist meine IP-Adresse mit der IP-Adresse unter der Bezeichnung Ihre IP- Adresse auf der Administrationsseite für Zugriffslisten.
  3. Sie sollten zwei identische IP-Adressen sehen. Wenn Sie zwei verschiedene IP-Adressen sehen, müssen Sie in den Haupteinstellungen des Plugins überprüfen, ob sich Meine Site hinter einem Reverse-Proxy befindet, und die obigen Schritte wiederholen.
  4. Wenn Sie immer noch zwei verschiedene IP-Adressen sehen und sich die Website nicht hinter einem Proxy befindet, befolgen Sie diese Anweisung: Beheben des Problems mit falscher IP-Adresserkennung
  5. Ein weiterer Schritt, wenn sich Ihr WordPress unter Cloudflare befindet

2. Aktivieren Sie das Laden des Plugins im Standardmodus

Gehen Sie zu den Haupteinstellungen und setzen Sie die Einstellung Load Security Engine auf Standardmodus .

3. Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen erhalten

Wenn Sie das Plugin aktivieren, wird eine Begrüßungs-E-Mail an die Administrator-E-Mail-Adresse der Website gesendet. Wenn Sie die Begrüßungs-E-Mail nicht erhalten haben, stellen Sie sicher, dass die auf der Registerkarte Benachrichtigungen angezeigte E-Mail-Adresse korrekt ist und E-Mails vom Plugin nicht in den Spam-Ordner verschoben werden. Wenn Sie die Begrüßungs-E-Mail nicht erhalten haben, erhalten Sie höchstwahrscheinlich keine weiteren wichtigen Benachrichtigungen. Sie können alternative E-Mail-Adressen in das Textfeld E- Mail-Adresse eingeben. Um die Lieferung zu testen, klicken Sie auf einen beliebigen Link zum Senden eines Tests .

Lesen Sie mehr: So richten Sie mobile Benachrichtigungen auf Ihrem Smartphone ein

4. Aktivieren Sie Ihre benutzerdefinierte Anmelde- und Registrierungsseite

Um die standardmäßige WordPress-Anmeldeseite wp-login.php vor automatisierten Angriffen und Spam-Registrierungen zu verbergen, geben Sie Ihre eigene benutzerdefinierte Anmelde-URL (Anmeldeseite) an und deaktivieren Sie wp-login.php. Hinweis: Wenn Sie ein Caching-Plugin (wie W3 Total Cache oder WP Super Cache) verwenden, müssen Sie Ihre benutzerdefinierte Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.

So richten Sie eine benutzerdefinierte Anmelde-URL für WordPress ein

5. Fügen Sie Ihre Home- oder Office-IP-Adresse zur White IP Access-Liste hinzu

Wenn Sie von zu Hause oder vom Büro aus auf einem Computer mit einer statischen IP-Adresse arbeiten, ist es sinnvoll, diese IP-Adresse (oder das gesamte Unternehmensnetzwerk) zur White IP Access List hinzuzufügen. Sie können zwei Ziele erreichen. Es verhindert, dass Sie zufällig von Ihrer Website ausgeschlossen werden, und ermöglicht Ihnen, den Zugriff auf XML-RPC, die REST-API und andere wichtige Teile von WordPress einzuschränken.

Lesen Sie mehr: So verwenden Sie Access Lists für WordPress

6. Aktivieren Sie den Spam-Schutz

Die Anti-Spam-Engine von Cerber ist mit den meisten WordPress-Formularerstellern kompatibel und kann praktisch jedes Formular schützen. Aktivieren Sie auf der Anti-Spam- Administrationsseite alle erforderlichen Funktionen im Abschnitt Cerber Anti-Spam-Engine . Stellen Sie nach dem Aktivieren von Anti-Spam sicher, dass die Formulare auf Ihrer Website normal funktionieren. Wenn einige der Funktionen auf der Website nicht mehr funktionieren, aktivieren Sie "Weniger restriktive Richtlinien verwenden" (AJAX zulassen) .

Lassen Sie das Plugin das Chaos mit Spam-Kommentaren beseitigen. Wählen Sie " Spam-Kommentare vollständig ablehnen" oder markieren Sie sie nur als Spam . Aktivieren Sie das automatische Verschieben von Spam in den Papierkorb.

7. Beschränken Sie den Zugriff auf REST-API und XML-RPC

  1. Gehen Sie zur Hardening- Administrationsseite.
  2. Aktivieren Sie die Option REST-API deaktivieren . Geben Sie bei Bedarf Namespace-Ausnahmen für die REST-API an. Wenn Sie beispielsweise Kontaktformular 7 verwenden, lautet der Namespace contact-form-7 und für Jetpack jetpack .
  3. Aktivieren Sie die Option REST-API für angemeldete Benutzer zulassen, wenn Sie die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchten.
  4. Aktivieren Sie XML-RPC deaktivieren, wenn Sie das Jetpack-Plugin nicht verwenden. Wenn Sie XML-RPC nur von bestimmten Hosts verwenden, fügen Sie deren IP-Adressen zur White IP Access List hinzu .

Lesen Sie mehr: Beschränken Sie den Zugriff auf die WordPress REST-API

8. Geben Sie eine Liste der verbotenen Benutzernamen an

Gehen Sie zur Plugins-Admin-Seite für Benutzer . Wenn Ihre Liste noch leer ist, wird empfohlen, die folgenden Benutzernamen in diese Liste aufzunehmen: admin, Administrator, Manager, Editor, Benutzer, Demo, Test .

Lesen Sie mehr über verbotene Benutzernamen

9. Aktivieren Sie die Zwei-Faktor-Authentifizierung

Aktivieren Sie die Zwei-Faktor-Authentifizierung, um die Benutzerkonten zu schützen und die Übernahme von Konten zu verhindern. Es bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über einen WordPress-Benutzernamen und ein Passwort hinausgeht.

Lesen Sie mehr: Zwei-Faktor-Authentifizierung für WordPress

10. Aktivieren Sie die Maskierung von Formularfeldern für Traffic Inspector

Wenn Sie das Speichern von Formularfeldern im Protokoll aktiviert haben ( Anforderungsfelder speichern ist aktiviert) und ein Plugin verwenden, das das Anmeldeformular für Ihre Website generiert, müssen Sie den Namen des Kennwortformularfelds zum Maskieren dieser Formularfelder hinzufügen die Seite mit den Einstellungen des Verkehrsinspektors. WP Cerber maskiert immer das Passwortfeld im Standard-WordPress-Anmeldeformular und die folgenden Formularfelder: 'pwd', 'pass', 'password'.

Verkehrsinspektor und Protokollierung

11. Aktivieren Sie das Senden bösartiger IP-Adressen an das Cerber-Labor

Lassen Sie das Plugin-Team die Sicherheitsalgorithmen im Plugin verbessern und dessen Leistung optimieren. Gehen Sie zu den Haupteinstellungen und aktivieren Sie im Abschnitt Aktivität die Cerber Lab-Verbindung . Stellen Sie das Cerber Lab-Protokoll für eine bessere Sicherheit auf HTTPS ein. Lesen Sie mehr über Cerber Lab .

12. Aktivieren Sie mobile Benachrichtigungen und E-Mail-Benachrichtigungen

Wenn Sie eine bestimmte Aktivität im Auge behalten oder benachrichtigt werden möchten, wenn sich ein Benutzer auf Ihrer Website registriert oder angemeldet hat, filtern Sie eine bestimmte Aktivität auf der Registerkarte Aktivität heraus und klicken Sie auf Warnung erstellen . Lesen Sie mehr: WordPress-Benachrichtigungen leicht gemacht .

Haben Sie eine Frage oder ein Problem?

"Holen

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.