Erhöhen der WordPress Sicherheit

So überprüfen Sie WordPress Installationen und verschärfen ihre Sicherheit:

1. Rufen Sie Websites & Domains > WordPress auf.
2. Nun können Sie eine der folgenden Möglichkeiten wählen:
   • Um die Sicherheit aller WordPress Installationen zu überprüfen, klicken Sie auf Sicherheit prüfen.
   • Um die Sicherheit einer einzelnen WordPress Installation zu optimieren, klicken Sie neben dem Namen der gewünschten WordPress Installation auf das Symbol in der Spalte S.
   • Um die Sicherheit von zwei oder mehr WordPress Installationen zu optimieren, aktivieren Sie die Kontrollkästchen neben den entsprechenden WordPress Installationen und klicken auf Sicherheit prüfen.
3. Aktivieren Sie die Kontrollkästchen für die Sicherheitsoptimierungen, die Sie übernehmen wollen und klicken Sie auf Sicherheit optimieren.

   

Achtung: Denken Sie daran, dass nicht alle Sicherheitsoptimierungen zurückgesetzt werden können. Daher ist dringend zu empfehlen, ein Backup des entsprechenden Abonnements zu erstellen, bevor Sie die Sicherheit der WordPress Installationen optimieren.

Übersicht über alle möglichen WordPress Sicherheitsoptimierungen

• Der Ordner wp-content. Das Verzeichnis wp-content kann unsichere PHP-Dateien enthalten, die benutzt werden können, um Ihrer Website zu schaden. Nach der WordPress Installation können PHP-Dateien aus diesem Verzeichnis ausgeführt werden. Die Sicherheitsprüfung stellt sicher, dass die Ausführung von PHP-Dateien im Verzeichnis wp-content nicht erlaubt ist. Beachten Sie jedoch, dass benutzerdefinierte Anweisungen in den Dateien .htaccess oder web.config diese Sicherheitsmaßnahme überschreiben könnten. Außerdem ist zu beachten, dass einige Ihrer Plug-ins nach der Sicherheitsoptimierung des wp-content-Ordners u.U. nicht mehr funktionieren könnten.
• Der Ordner wp-includes. Das Verzeichnis wp-includes kann unsichere PHP-Dateien enthalten, die benutzt werden können, um Ihrer Website zu schaden. Nach der WordPress Installation können PHP-Dateien aus diesem Verzeichnis ausgeführt werden. Die Sicherheitsprüfung stellt sicher, dass die Ausführung von PHP-Dateien im Verzeichnis wp-includes nicht erlaubt ist. Beachten Sie jedoch, dass benutzerdefinierte Anweisungen in den Dateien .htaccess oder web.config diese Sicherheitsmaßnahme überschreiben könnten. Außerdem ist zu beachten, dass einige Ihrer Plug-ins nach der Sicherheitsoptimierung des wp-includes-Ordners u.U. nicht mehr funktionieren könnten.
• Die Konfigurationsdatei. Die Datei wp-config.php enthält Zugangsdaten für den Datenbankzugriff und andere sensible Daten. Nach der WordPress Installation kann diese Datei ausgeführt werden. Wenn allerdings aus irgendeinem Grund die Verarbeitung von PHP-Dateien durch den Webserver ausgeschaltet ist, können Hacker auf den Inhalt der Datei wp-config.php zugreifen. Die Sicherheitsprüfung überprüft, ob ein nicht autorisierter Zugriff auf die Datei wp-config.php blockiert wird. Beachten Sie jedoch, dass benutzerdefinierte Anweisungen in den Dateien .htaccess oder web.config diese Sicherheitsmaßnahme überschreiben könnten.
• Berechtigungen zum Durchsuchen von Verzeichnissen. Wenn das Durchsuchen von Verzeichnissen eingeschaltet ist, können Hacker Informationen über Ihre Website erhalten (verwendete Plug-ins etc. ). In Plesk ist das Durchsuchen von Verzeichnissen standardmäßig ausgeschaltet. Die Sicherheitsprüfung überprüft, ob das Durchsuchen von Verzeichnissen in der jeweiligen WordPress Installation ausgeschaltet ist.
• Datenbankpräfix. Die WordPress-Datenbanktabellen haben in allen WordPress-Installationen dieselben Namen. Wenn das Standardpräfix wp_ für die Namen der Datenbanktabellen verwendet wird, ist die gesamte WordPress Datenbankstruktur kein Geheimnis und jeder kann an beliebige Daten daraus gelangen. Die Sicherheitsprüfung ändert die Namenpräfixe der Datenbanktabellen in etwas anderes als wp_ um. Dafür wird der Wartungsmodus eingeschaltet, alle Plug-ins deaktiviert, dann das Präfix in der Konfigurationsdatei geändert, das Präfix in der Datenbank geändert, die Plug-ins reaktiviert, die Permalink-Struktur aktualisiert und anschließend der Wartungsmodus wieder ausgeschaltet.
• Sicherheitsschlüssel. WordPress verwendet Sicherheitsschlüssel (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY) zur Verschlüsselung der Informationen, die in den Cookies eines Benutzers aufbewahrt werden. Ein guter Sicherheitsschlüssel sollte lang sein (60 Zeichen oder mehr), zufällig zusammengestellt und kompliziert. Die Sicherheitsprüfung überprüft, ob die Sicherheitsschlüssel eingerichtet sind und ob sie mindestens Buchstaben und Nummern enthalten.
• Berechtigungen für Dateien und Verzeichnisse. Wenn Berechtigungen für Dateien und Verzeichnisse nicht der Sicherheitsrichtlinie entsprechen, können diese genutzt werden, um Ihre Website zu hacken. Nach der WordPress-Installation können Dateien und Verzeichnisse verschiedene Berechtigungen haben. Die Sicherheitsprüfung überprüft, ob die Berechtigungen für die Datei wp-config.php auf 600, für andere Dateien auf 644 und für Verzeichnisse auf 755 eingestellt sind.
• Benutzername des Administrators. Sobald eine WordPress Instanz installiert wird, gibt es standardmäßig einen Benutzer mit Administrationsrechten und dem Benutzernamen admin. Da der Benutzername eines Benutzers in WordPress nicht geändert werden kann, muss eine Person lediglich das Passwort erraten, um als Administrator auf das System zugreifen zu können. Die Sicherheitsprüfung stellt sicher, dass es keinen Benutzer mit Administrationsrechten und dem Benutzernamen "admin" gibt.
• Versionsinformationen. Für jede WordPress-Version gibt es bekannte Sicherheitsanfälligkeiten. Das heißt: Wenn Sie die Version Ihrer WordPress-Installation anzeigen lassen, wird sie ein leichteres Ziel für Hacker. Die Version einer ungeschützten WordPress Installation kann in den Metadaten und den readme.html-Dateien der Seiten eingesehen werden. Mit der Sicherheitsprüfung wird überprüft, ob alle readme.html-Dateien leer sind und jedes Theme eine functions.php-Datei mit dieser Zeile enthält: remove_action(\'wp_head\', \'wp_generator\');.