Security Blog
Posted By Gregory

So schützen Sie WordPress effektiv: eine Must-Do-Liste


English version: How to protect WordPress effectively: a must-do list


Eine Must-Do-Liste, um Ihre Website hochsicher und dauerhaft zu schützen.

Um die Sicherheitsalgorithmen von Cerber optimal zu nutzen, sollten Sie alle folgenden Einstellungen konfigurieren. Gehen Sie dabei mit Bedacht vor, da einige Einstellungen möglicherweise mit einem anderen Plugin oder Ihren Webservereinstellungen in Konflikt geraten. Überprüfen Sie bei Problemen das Aktivitätsprotokoll auf entsprechende Ereignisse wie abgelehnte Anfragen oder blockierte IP-Adressen. Bitte beachten Sie, dass einige der unten beschriebenen Funktionen nur in der Professional-Version verfügbar sind.

1. Überprüfen Sie die Haupteinstellungen

  1. Stellen Sie Sicherheits-Engine laden“ auf „Standardmodus“ ein.
  2. Konfigurieren Sie „Benutzerdefinierte Anmelde-URL“
  3. Setzen Sie „Authentifizierungsanfragen von wp-login.php verarbeiten“ auf „Zugriff auf wp-login.php blockieren“ oder, was fortgeschrittener ist, auf „Authentifizierung über wp-login.php verweigern“.
  4. Aktivieren Sie „IP sofort blockieren, wenn versucht wird, sich mit einem nicht vorhandenen Benutzernamen anzumelden“
  5. Aktivieren Sie „Dashboard-Umleitung deaktivieren“
  6. Aktivieren Sie optional „IP nach jeder Anfrage an wp-login.php sofort blockieren“

2. Aktivieren Sie Sicherheitsrichtlinien auf der Registerkarte „Hardening“.

Der minimale Satz an Einstellungen, die Sie im Abschnitt „WordPress härten“ aktivieren müssen:

  1. „Benutzeraufzählung stoppen“
  2. „Erkennung von Benutzernamen über oEmbed verhindern“
  3. „Erkennung von Benutzernamen über Benutzer-XML-Sitemaps verhindern“
  4. „Zugriff auf Benutzerseiten über deren Benutzernamen blockieren“
  5. „Ausführung von PHP-Skripten im WordPress-Medienordner blockieren“
  6. „Anzeige von PHP-Fehlern deaktivieren“
  7. „XML-RPC deaktivieren“

Es wird empfohlen, die folgenden Einstellungen im Abschnitt „Zugriff auf WordPress REST API“ zu aktivieren:

  1. „Benutzeraufzählung stoppen / Zugriff auf Benutzerdaten über die REST-API blockieren“
  2. „REST-API deaktivieren“
  3. „REST-API für angemeldete Benutzer zulassen“

Lesen Sie mehr: Beschränken Sie den Zugriff auf die REST-API

3. Aktivieren Sie die Traffic Inspector-Firewall

  1. Stellen Sie „Verkehrskontrolle aktivieren“ auf „Maximale Sicherheit“ ein.
  2. Stellen Sie „Fehlerabschirmung aktivieren“ auf „Maximale Sicherheit“ ein.

4. Aktivieren Sie geplante Malware-Scans und die automatische Entfernung von Malware

Auf der Registerkarte „Einstellungen“ sollten die folgenden Einstellungen aktiviert sein

  1. „Temporäres Verzeichnis scannen“
  2. „Sitzungsverzeichnis scannen“

Auf der Registerkarte „Aufräumen “:

  1. Sie müssen Folgendes aktivieren: „Unbeaufsichtigte Dateien löschen“, „WordPress-Dateien wiederherstellen“, „Plugin-Dateien wiederherstellen“
  2. Alle Kontrollkästchen in den Einstellungen „Dateien im Upload-Ordner“ sollten aktiviert sein

5. Aktivieren Sie den Anti-Spam-Schutz, auch wenn Sie denken, dass Sie ihn nicht benötigen

Wir empfehlen Ihnen, auf der Registerkarte „Antispam-Engine“ die folgenden Einstellungen zu aktivieren:

  1. „Kommentarformular (Kommentarformular mit Bot-Erkennungs-Engine schützen)“
  2. „Registrierungsformular (Registrierungsformular mit Bot-Erkennungs-Engine schützen)“
  3. „Andere Formulare (Alle Formulare auf der Website mit der Bot-Erkennungs-Engine schützen)“

6. Verwenden Sie GEO-Regeln: Blockieren Sie Länder, mit denen Sie kein Abkommen haben werden

Konfigurieren Sie auf der Admin-Seite „Sicherheitsregeln “ GEO-Richtlinien für Länder, die mit Ihrer Website interagieren dürfen: Formulare einreichen, sich anmelden oder registrieren können usw. Diese Einstellungen hindern Suchmaschinen nicht daran, die Website zu indizieren.

7. Benennen Sie den Plugins-Ordner um

Das Ändern des Namens des Plugins-Ordners ist eine der am meisten unterschätzten Möglichkeiten, Ihren WordPress-Schutz zu stärken. Und doch ist es kostenlos und einfach.

Weiterlesen: So benennen Sie den WordPress-Plugin-Ordner um

8. Aktivieren Sie die Zwei-Faktor-Authentifizierung

Um Benutzerkonten zu schützen, aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA). Es bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über Benutzernamen und Passwort hinausgeht.

Weiterlesen: So aktivieren Sie die Zwei-Faktor-Authentifizierung für WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.