Settings
- Unter „Setting“ Backups erstellen von
.htaccess
wp-config.php - WP-Version Info ausblenden (whitelabeling)
Metadaten von WordPress aus dem Sourcecode entfernen weil diese gerne von bots gezielt gesucht werden - Import / Export
ermöglicht das exportieren / importieren der Einstellungen
User-Accounts
- User-Name
Wichtig -> „admin“ entfernen - Display-Name
Benutzername sollte anders sein als Spitzname - Password
hier lässt sich die Passwortstärke testen
Login-sichern
- Enablen von Lockdown Feature
- Max Login Attempts: aktivieren (besser 5x einstellen)
- Beim Punkt „Instant lockout invalid Usernames“: eher nicht aktivieren da man sich aussperren könnte
IP-Whitelisting
- Um z.B. die eigen IP-Adresse einzutragen damit man sich selber nicht aussperrt
Um die eigene IP-Adresse raus zu finden -> „Logged in Users“
Im Reiter „Failed login Records“
- Auflistung von fehlgeschlagenen Login’s
Force Logout
- Sobald man auf der Seite nichts mehr macht wird die Zeit gezählt
- Es lässt sich festlegen ob wann jemand automatisch auslogged (empfohlen sind 120min)
Account Activity Logs
- Zeigt die Aktivitäten an
Registrierung
- „Enable manual approval of new registration“: verhindert automatische registrierung (bei Shopseite oder Forum – nicht aktivieren)
- Registrierung – Captcha aktivieren
- Registrierung – Honeypot :
Erzeugt ein versteckt Feld das ein User nicht sieht sonder nur ein Bot
Datenbank
- DB-Prefix: Besser gleich bei Installation die Prefix ändern; über dasd Plugin etwas spooky
- Automatische Backup: 2xMonat
Zugriffsberechtigungen: (Auf File-basis)
- Gmeint ist die „Dateiberechtigung“ – „Lesen | Schreiben | Ausführen“
Benutzer-Berechtigung | Gruppern-Berechtigung | Öffentliche-Berechtigung |
Lesen Schreiben Ausführen | Lesen Ausführen | Lesen Ausführen |
755 ist für alle File eingestellt
Sicherheitshalber für „.htaccess“ sollte 644 eingestellt sein
Benutzer-Berechtigung | Gruppern-Berechtigung | Öffentliche-Berechtigung |
Lesen Schreiben | Lesen | Lesen |
Die bearbeitung von PHP-Files deaktivieren
- PHP File Editing
WP-File Access
- Verhindert das bearbeiten von WordPress Core Files
Blacklist Manager
- Wenn man unter „User-Login -> Account Activity Logs“ verdächtige Loginversuche feststellt (also gleiche IP-viele Versuche)
Unter „Enter IP-Adressse“ lässt sich die IP festlegen welche ausgesperrt werden soll
Firewall
- Enable Basic Firewall – schützt .htaccess | wp-config.php
- WordPress XMLRPC + Pingback
Schützt externen Zugriff (Wenn etwas nicht funktioniert wieder deaktivieren) - Block Access to Debug Log File
Firewall blocking wird in „debug.log“ geschrieben - Additional – Rules
Disable Index View – unterdrückt directory listing
Track – Trace
- Zu beachten ob es tools beinflusst die mit der Seite interagieren (Google – Analytics)
- Proxi Comment Posting
Wenn ein Komentar hinter einen Proxi verfasst wird, wird der Komentar verboten : aktivieren - Bad Query String
Bei Strings die auf Spam hinweisen – wird unterbunden
6G Blacklist Firewall Rules
- Enable 6G Firewall Protection
Greift auf „perishablepress.com“ zurück um eine aktuelle Liste von Hackern zu bekommen
Sobald sie etwas auf der Seite machen wollen werden sie geblockt
Internet Bots
- Block Fake Googlebot : blockt „vorgetäuschte“ Google Bots – aktivieren
Hotlinks
- Prevent – Hotlink
Hotlinks sind selbst gehostete Bilder auf einer anderen Domain gehostet : aktivieren
404 Detection
- Log the IP’s von Besuchern die verschiedene Seiten aufruft : aktivieren
Custom Rules
- Man kann hier in die „.htaccess“ schreiben
wird dynamisch reingeschrieben also wenn die .htaccess ersetzt wird, greifen die Regeln trotzdem
Brute Force
- Brute Force
1000’de Loginversuche „Username & Password“ nach Zufallsprinzip – legt irgendwann den Server Lahm - Rename Login-Page
wp-login.php wird umbenannt
z.B. von wp-login zur start
Cookie Based Brute Force Protection
- kann nicht aktiviert werden, wenn „Login umbenennen“ aktiv ist
Login Captcha
- Für Login
- Für Lost Passwort
Login-Whitelist
- Hier IP’s eintragen die nicht ausgeschlossen werden sollen
Honey Pot
- Wieder verstecktes Feld für bots – aktivieren
SPAM
- Captcha für Komentar – aktivieren
- Blockt Spambots From Posting
SPAM bots versuchen direkt auf Komentarseite zu zugreifen, diese Einstellung verhindert das
Comment SPAM IP monitoring
- Auto Block SPAM comment IP’s
Wenn von einer IP schon SPAM Komentar verschickt wurde, kann diese gesperrt werden - Akismet muss nicht installiert werden
Scanner – macht ein Abbild aller Dateien
- Sollte die Seite gehackt werden, bekommt man eine e-mail
- Wichtig -> Files to ignore : jpg | png | bmp
Sonst bekommt man jedem Bildupload eine Benachrichtigung - Wichtig -> Directories to ignore : aktivieren wenn man ein Caching Plugin aktiv ist