Security Blog
Security Blog
Posted By Gregory

WordPress mit WP Cerber absichern

Es ist ganz einfach, WordPress zu schützen, indem Sie die grundlegenden Sicherheitsfunktionen von WP Cerber aktivieren.

English version: Hardening WordPress with WP Cerber


Alle vorgeschlagenen Einstellungen werden für die meisten Websites im Internet dringend empfohlen. Falls Sie aus irgendeinem Grund den Zugriff auf die auf dieser Seite aufgeführten Funktionen von einem bestimmten Computer oder einem bestimmten IP-Netzwerk aus ermöglichen müssen, müssen Sie diese zur Whitelist hinzufügen.

REST-API deaktivieren

Das Plugin schränkt den Zugriff auf die WordPress REST API ein. Die Möglichkeit, unsichtbare Anfragen an den WordPress-Kern zu senden, macht Hackern noch mehr Freude als die Möglichkeit, Websites über XML-RPC zu hacken. Wenn Sie die WordPress REST API nicht nutzen, deaktivieren Sie sie!

Aktivieren Sie die Option „REST-API für angemeldete Benutzer zulassen“, wenn Sie die Nutzung der REST-API für alle autorisierten WordPress-Benutzer ohne Einschränkung ermöglichen möchten.

Die detaillierte Anleitung: Zugriff auf die WordPress REST-API einschränken

Warum es wichtig ist, den Zugriff auf die WordPress REST-API einzuschränken

XML-RPC deaktivieren

Das Plugin blockiert den Zugriff auf den XML-RPC-Server, einschließlich Pingbacks und Trackbacks. Wussten Sie, dass Hacker diesen versteckten Zugang nutzen, um unbemerkt Anmeldedaten auszuspionieren? Verwenden Sie ein CAPTCHA oder reCAPTCHA in Ihrem Anmeldeformular, um sich vor Bots zu schützen? Seien Sie nicht leichtsinnig: Moderne Bots nutzen XML-RPC und die WP REST API, um Ihre WordPress-Website per Brute-Force-Angriff zu knacken. Sie bemerken dies oft nicht, da CAPTCHAs bei XML-RPC-Anfragen wirkungslos sind. XML-RPC ist heutzutage ein gefundenes Fressen für Hacker. Nach Aktivierung dieser Einstellung liefert Ihre Website für alle XML-RPC-Anfragen die Fehlermeldung „404 Seite nicht gefunden“, es sei denn, Sie fügen eine Ausnahme für Hosts mit einer Whitelist hinzu.

Hinweis: Wenn Sie das Jetpack- Plugin verwenden, das mit wordpress.com kommunizieren muss, deaktivieren Sie XML-RPC nicht.

Benutzeraufzählung stoppen

Das Plugin blockiert den Zugriff auf spezielle Autorenseiten wie /?author=N und die Möglichkeit, Benutzerdaten über die REST-API abzurufen. Angreifer und Hacker können so problemlos alle Anmeldedaten Ihrer Benutzer ermitteln, indem sie einfach Zahlen von 1 bis zu einer beliebigen Zahl scannen. Dieses Verhalten ist in WordPress standardmäßig aktiviert und wird von Hackern weltweit gerne genutzt. Nach Aktivierung dieser Einstellung gibt Ihre Website die Fehlermeldung 404 (Seite nicht gefunden) zurück.

Feeds deaktivieren

Das Plugin blockiert den Zugriff auf RSS-, Atom- und RDF-Feeds. Dadurch wird verhindert, dass Hacker herausfinden, welche Software auf Ihrer Website installiert ist und weitere hilfreiche Informationen sammeln, um Angriffe auf Ihre WordPress-Installation zu optimieren. Nach Aktivierung dieser Einstellung wird Ihre Website die Fehlermeldung „404 Seite nicht gefunden“ zurückgeben.

Hinweis: Alle oben genannten Einstellungen haben keine Auswirkungen auf Hosts in der White IP Access List. Sie können beispielsweise das Veröffentlichen von Beiträgen über XML-RPC für die IP-Adresse Ihres Heimcomputers ganz einfach zulassen, indem Sie diese zur White IP Access List hinzufügen.

Wenn Sie Root-Zugriff auf Ihren Webserver haben, empfiehlt es sich, folgende Tipps zu befolgen: WordPress mit WP Cerber und NGINX absichern

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments