Sicherheitstipps für WordPress-Blogs

Es reicht nicht aus, die Konsequenzen zu beseitigen. Sie müssen die Ursachen verstehen. Das habe ich schon geschrieben wir wurden gehackt und angeblich haben wir uns alle entschieden. Eine Woche später wiederholte sich die Geschichte jedoch, ein anderes JQuery-Skript sowie .htaccess-Dateien wurden geändert. Und in .htaccess gab es nur für mobile Geräte und Tablets Weiterleitungen zu einer linken Site, und deshalb habe ich dies nicht sofort bemerkt.

In ein paar Tagen gelang es mir, alle vom Angreifer geänderten sowie die von ihm speziell für die Penetration (Shell) erstellten Dateien zu finden. Und nochmals vielen Dank an das Hosting für ihre Hilfe. Danach habe ich beschlossen, alle im Internet beschriebenen Maßnahmen zu ergreifen.

Der Inhalt des Artikels

Alle Teile meiner kleinen Blogger-FAQ:

Ich habe eine Reihe von Artikeln zum Thema Bloggen geschrieben. Sie behaupten nicht, ein vollständiges Handbuch zu sein, aber Anfänger können nützlich sein. Sie können es bei Interesse lesen.

0. Ich empfehle einen Kurs «Wie man ein Millionärsblogger wird und Geld verdient»
1. So starten Sie ein Blog
2. Wie man einen Blog bewirbt - eine Liste meiner Aktionen
3. Wie man mit einem Blog Geld verdient und reist
4. Ein Beispiel für das Verdienen in unserem Blog - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Leser- und Suchverkehr und warum Leser nicht zurückkommen
6. Eine kleine Wahrheit über das Bloggen von Reisen
7. Tipps zum Schutz von WordPress-Blogs

Sicherheitstipps für WordPress-Blogs

Sicherheitstipps für WordPress-Blogs

Sicherheitstipps für WordPress-Blogs

Es ist unwahrscheinlich, dass die Liste vollständig ist, und wie sie sagen, wer sie braucht, wird sie trotzdem brechen. Aber zumindest fast jeder Blogger kann diese Aktionen ausführen, um sich zumindest ein wenig zu schützen..

Aktualisieren Sie die Zähler- und Widget-Codes

Überprüfen Sie die Codes aller Zähler und sozialen Widgets in Ihrem Blog und auf der Website, woher Sie sie haben.
Vielleicht wurden sie aktualisiert. Mir ist aufgefallen, dass Facebook häufig den Code für Widgets ändert, was anscheinend die Sicherheit erhöht.

Aktualisieren Sie alle Plugins und WordPress auf die neuesten Versionen und entfernen Sie nicht verwendete

Hier sind Kommentare überflüssig, jeder weiß, wie es geht. Sicherheitslücken sind normalerweise in Plugins und Themes enthalten, daher sollten zumindest alle nicht verwendeten entfernt werden.

Aktualisieren Sie timthumb.php

Wenn Ihr Design die Größe von Miniaturansichten mithilfe von timthumb.php ändert, müssen Sie diese Datei auf jeden Fall auf die neueste Version aktualisieren, da ältere Versionen eine bekannte Sicherheitsanfälligkeit aufweisen.

Überprüfen Sie die Berechtigungen für Ordner und Dateien

Alle Dateien müssen 644 Berechtigungen, 755 Ordner außer .htaccess - 444 Berechtigungen und Upload-Ordner - 777 Berechtigungen haben.

Ändern Sie den Administrator-Benutzernamen

Die schnellste Option ist, in phpadmin zu gehen und dort in Ihrer Datenbank diese Abfrage auszuführen:

UPDATE wp_users SET user_login = ‘Dein neuer Login’ WHERE user_login = ‘Administrator’;;

Oder Sie können einfach einen neuen Benutzer über das Blog-Administrationsfenster erstellen, ihm alle Artikel neu zuweisen und den alten Administrator löschen..

Ändern Sie alle Passwörter in komplexere

Banale Ratschläge, aber Passwörter sollten komplex sein und aus Zahlen und Buchstaben verschiedener Register bestehen. Vergessen Sie auch nicht, dass Sie nach dem Kampf gegen Viren alle Passwörter in irgendeiner Weise ändern müssen (Blog-Administrator, Hosting-Administrator, FTP, SQL-Datenbank). Außerdem ist es sinnvoll, die geheimen Schlüssel in der Datei wp-config.php zu ändern.

Schützen Sie die Dateien .htaccess und wp-config.php vor dem Zugriff für alle

Fügen Sie Ihrem .htaccess im Stammverzeichnis des Blogs diesen Code hinzu:

Bestellung verweigern, erlauben
abgelehnt von allen
bestellen erlauben, verweigern
abgelehnt von allen

Schützen Sie den Ordner wp-includes mit .htaccess

Erstellen Sie eine Nur-Text-Datei, nennen Sie sie .htaccess und kopieren Sie sie in den Ordner wp-includes, nachdem Sie den Code zur Datei hinzugefügt haben:

Order Allow, Deny
Abgelehnt von allen
Erlaube von allen

Schützen Sie den Ordner wp-admin mit .htaccess und .htpasswd

Erstellen Sie eine reguläre Textdatei, nennen Sie sie .htaccess und kopieren Sie sie in den Ordner wp-admin, nachdem Sie den Code zur Datei hinzugefügt haben:

AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “beschränkt”
Order Deny, Allow
Abgelehnt von allen
Benötigen Sie einen gültigen Benutzer
Befriedige jeden

Wo, «/home/public/.htpasswd» Ist der vollständige Pfad zur .htpasswd-Datei. Es wird empfohlen, dass sich diese Datei über dem Verzeichnis Ihres Blogs befindet.

Die .htpasswd-Datei enthält das Kennwort für den Zugriff auf die wp-admin-Zone in verschlüsselter Form. Der einfachste Weg, diese Datei zu erstellen, besteht darin, den Benutzernamen und das Passwort wie gewohnt einzugeben. Es ist am besten, Daten, die sich von vorhandenen Konten unterscheiden, nicht zu wiederholen und anzugeben.

Es gibt nur eine Unannehmlichkeit bei dieser Methode - sie gilt nicht, wenn Sie ein Mehrbenutzer-Blog haben, da das Kennwort von allen Benutzern angefordert wird.

Datenbankpräfix ändern

Ändern Sie das Präfix Ihrer SQL-Datenbank von Standard «wp_» auf einige «wpsdjflk647_» Es war schon zu Beginn der Erstellung eines Blogs möglich. Aber jetzt ist das kein Problem. Ich habe es zu einem Plugin gemacht, das weiter unten besprochen wird. Obwohl Sie in phpadmin gehen könnten, ersetzen Sie dort alle Tabellennamen und ändern Sie dann das Präfix in der Datei wp-config.php

Installieren Sie das Belavir Plugin

Installieren Sie das Belavir-Plugin, das Änderungen in allen PHP-Dateien Ihres Blogs verfolgt. Das Plug-In selbst überwacht nichts, startet jedoch den Scan, wenn Sie zum Blog-Admin-Bereich auf der Konsolenseite gehen, wo die Änderungen tatsächlich angezeigt werden. Er hat keine Einstellungen.

Installieren Sie das WP Security Scan Plugin

Installieren Sie das WP Security Scan-Plugin, mit dem Sie einige Dinge tun können, insbesondere:
- Datenbankpräfix ändern
- Überprüfen Sie die Berechtigungen für Ordner und Dateien
- verstecke die Version von WordPress
- Verbinden Sie das Antivirenprogramm für das Blog und überprüfen Sie es

Installieren Sie das Better WP Security Plugin

Installieren Sie das Better WP Security Plugin, es wird noch mehr benötigt als die beiden vorherigen. Die Liste seiner Funktionen ist sehr groß, ich werde einen Teil auflisten:
- Ermöglicht das Ändern des Datenbankpräfixes
- Entfernt unnötige Informationen aus dem Blog-Code nach Art der WordPress-Version
- überwacht Änderungen in allen Dateien
- verbietet die IP von Personen, die nach dem Namen Ihres Blogs fremde Adressen in den Browser eingeben und einen Fehler 404 erhalten
- Verbietet die Auswahl eines Passworts für das Admin-Panel, Ban IP
- Ändert die Standard-Administrator-Anmeldeadressen und bietet hervorragenden Schutz vor Brute-Force-Angriffen
- und vieles mehr.

Überwachen von Änderungen auf Ihrem FTP

Installieren Sie das ftpinfo-Programm auf Ihrem Computer, mit dem Sie eine Verbindung zu Ihrem ftp-Server herstellen und die Änderungen aller Kontodateien auf ihr Aussehen / Löschen / Ändern überwachen können. Sehr praktisch bei Virenangriffen. Sie können nicht nur alle Dateien überwachen, sondern auch Masken für Dateien und Ordner erstellen.

Alle paar Tage werden Datenbanken und Dateien gesichert

Eine sehr nützliche Sache, es kann nützlich sein, um Viren zu bekämpfen. Die Originaldateien sind immer verfügbar und es besteht die Möglichkeit, ein Rollback durchzuführen, wenn die Site nicht von Viren befreit werden kann. Ich benutze das BackWPup Plugin. Es verfügt über viele Funktionen, einschließlich des Kopierens von Daten in Dropbox - ein praktischer Dienst, der 2 GB freien Speicherplatz im Internet und die Synchronisierung mit Ihrem Computer bietet.

Dies sind die Tipps zum Schutz eines WordPress-Blogs, die ich auf unser Blog angewendet habe. Wenn es irgendwelche Fragen oder Ergänzungen gibt (vielleicht kann etwas anderes getan werden), schreibe in die Kommentare 🙂

logo