Security Blog
Posted By Gregory

So schützen Sie WordPress effektiv: Eine unverzichtbare Checkliste

English version: How to protect WordPress effectively: a must-do list


Eine unverzichtbare Checkliste für einen hochsicheren und dauerhaften Schutz Ihrer Website.

Um die Sicherheitsalgorithmen von WP Cerber optimal zu nutzen, sollten Sie alle unten aufgeführten Einstellungen konfigurieren. Gehen Sie dabei sorgfältig vor, da einige Einstellungen mit anderen Plugins oder Ihren Webserver-Einstellungen in Konflikt geraten können. Überprüfen Sie im Problemfall das Aktivitätsprotokoll auf entsprechende Ereignisse wie abgelehnte Anfragen oder blockierte IP-Adressen. Bitte beachten Sie, dass einige der unten beschriebenen Funktionen nur in der Professional-Version verfügbar sind.

1. Automatische Updates aktivieren

Regelmäßige Updates von WP Cerber sind für eine hohe WordPress-Sicherheit unerlässlich, da wir die Algorithmen kontinuierlich verbessern, Schutzmaßnahmen gegen neue Bedrohungen implementieren und Softwarefehler beheben. Sie können die automatischen Updates mit wenigen Klicks aktivieren: So aktivieren Sie automatische Updates für WP Cerber .

2. Haupteinstellungen überprüfen

  1. Wechseln Sie zur Seite „Haupteinstellungen“.

  2. Stellen Sie " Sicherheits-Engine laden" auf "Standardmodus" ein.

  3. "Benutzerdefinierte Anmelde-URL konfigurieren"

  4. Stellen Sie "Verarbeitung von wp-login.php-Authentifizierungsanfragen" auf "Zugriff auf wp-login.php blockieren" oder, was fortgeschrittener ist, auf "Authentifizierung über wp-login.php verweigern".

  5. Aktivieren Sie die Option „IP-Adresse sofort sperren, wenn versucht wird, sich mit einem nicht existierenden Benutzernamen anzumelden“.

  6. „Dashboard-Umleitung deaktivieren“ aktivieren

  7. Optional kann die Option „IP nach jeder Anfrage an wp-login.php sofort blockieren“ aktiviert werden.

3. Aktivieren Sie Sicherheitsrichtlinien auf der Registerkarte „Härtung“.

Die minimalen Einstellungen, die Sie im Abschnitt „WordPress-Härtung“ aktivieren müssen:

  1. "Benutzeraufzählung stoppen"

  2. "Verhindern der Ermittlung von Benutzernamen über oEmbed"

  3. "Verhinderung der Ermittlung von Benutzernamen über Benutzer-XML-Sitemaps"

  4. "Zugriff auf Benutzerseiten über deren Benutzernamen blockieren"

  5. "Die Ausführung von PHP-Skripten im WordPress-Medienordner blockieren"

  6. "PHP-Fehleranzeige deaktivieren"

  7. "XML-RPC deaktivieren"

Es wird empfohlen, die folgenden Einstellungen im Abschnitt „Zugriff auf die WordPress REST-API“ zu aktivieren:

  1. „Benutzeraufzählung stoppen / Zugriff auf Benutzerdaten über die REST-API blockieren“

  2. "REST-API deaktivieren"

  3. "REST-API für angemeldete Benutzer zulassen"

Mehr dazu: Zugriff auf die REST-API einschränken

4. Aktivieren Sie die Traffic Inspector-Firewall.

  1. Stellen Sie "Verkehrsinspektion aktivieren" auf "Maximale Sicherheit" ein.

  2. Stellen Sie "Fehlerschutz aktivieren" auf "Maximale Sicherheit" ein.

5. Aktivieren Sie geplante Malware-Scans und die automatische Malware-Entfernung.

Auf der Registerkarte „Einstellungen“ sollten die folgenden Einstellungen aktiviert sein.

  1. "Temporäres Verzeichnis durchsuchen"

  2. "Sitzungsverzeichnis scannen"

Auf der Registerkarte „Aufräumen“ :

  1. Sie müssen folgende Optionen aktivieren: „Unbeaufsichtigte Dateien löschen“, „WordPress-Dateien wiederherstellen“, „Plugin-Dateien wiederherstellen“.

  2. Alle Kontrollkästchen in den Einstellungen unter „Dateien im Upload-Ordner“ sollten aktiviert sein.

6. Aktivieren Sie den Spamschutz, auch wenn Sie ihn für unnötig halten.

Auf der Registerkarte „Antispam-Engine“ empfehlen wir Ihnen, die folgenden Einstellungen zu aktivieren:

  1. "Kommentarformular (Kommentarformular mit Bot-Erkennungsmodul schützen)"

  2. "Registrierungsformular (Registrierungsformular mit Bot-Erkennungsmodul schützen)"

  3. „Andere Formulare (Alle Formulare auf der Website mit einer Bot-Erkennungs-Engine schützen)“

7. Georegeln anwenden: Länder blockieren, mit denen Sie kein Abkommen abschließen wollen.

Konfigurieren Sie auf der Administrationsseite „ Sicherheitsregeln“ die GEO-Richtlinien für Länder, die mit Ihrer Website interagieren dürfen: Formulare absenden, sich anmelden oder registrieren usw. Diese Einstellungen verhindern nicht, dass Suchmaschinen die Website indexieren.

8. Benennen Sie den WordPress-Plugin-Ordner um.

Das Umbenennen des Plugin-Ordners ist eine der am meisten unterschätzten Methoden, um den Schutz Ihrer WordPress-Installation zu verbessern. Und dabei ist es kostenlos und einfach.

Weiterlesen: So benennen Sie den WordPress-Plugin-Ordner um

9. Aktivieren Sie die Zwei-Faktor-Authentifizierung.

Um Benutzerkonten zu schützen, aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA). Sie bietet eine zusätzliche Sicherheitsebene, die neben Benutzername und Passwort einen zweiten Identifikationsfaktor erfordert.

Weiterlesen: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.