Sicherheits PlugIns

und wogegen möchtest du dich schützen?

Hier eine Auflistung der möglichen Angriffsvektoren
https://kinsta.com/de/blog/wordpress-sicherheits-plugin/

^- und eine recht gute Übersicht der Möglichkeiten.

 

Die iTheme-Benachrichtigungen kann man in dessen Einstellungen abschalten - mache ich immer sobald ich das einmalig am Projekt konfiguriert habe.

 

Deshalb nutze ich keine sog. "Sicherheitsplugins", sondern lange, komplizierte PWD.

 

Wordfence ist gut, um sein WordPress von einem hack zu scannen.

 

Mach die Seite in Html5 und dein Risiko sinkt. Zugang zu FTP kannst du über die Cpanel oft aushebeln.

 

Wenn eine WordPress Installation gehackt ist, dann ist alles darin als kompromitiert zu betrachten, inklusive aller installierten Plugins, Scanner usw., die von einem Hack jederzeit ausgehebelt werden können.

 

Wordpress ist eine der meistgenutzen und daher auch eine der meist angegriffenen Platformen.
Ohne WP Instaltion, besser noch ohne Datenbank ist es sicherer.

 

Die könntest du in Handarbeit einfügen, Siehts sie dir an lädst sie hoch und bindest sie ein. Klar eine Mega Arbeit nur damit hast du gute 10 Jahre Ruhe.

 

Schau einfach, dass du regelmäßig Backups von deinen Seiten machst und sollte wirklich mal eine gehackt werden, dann machst du sie eben platt und spielst ein Backup ein – fertig.

 

Nun ja solange du nur an die Negativen Dinge denkst geht en nix.
Wie kommst du aus dem Bett? Du könntest dir den Fuss brechen ;(

 

Frage: Wirst Du für deine Links bezahlt?
Da wir hier auf wpde.org von selbstgehosteten WP-Installationen sprechen, hat jeder Zugriff auf den eigenen Server. Ein vServer kann mit wenigen Schritten gegen die gängigsten Angriffsvektoren sehr gut geschützt werden. Da braucht es schlicht und einfach kein Plugin und auch keinen Support von einem kostenpflichtigen Anbieter, da der Schutz auf Servereben selbst erfolgt. Schützen möchte er sich wahrscheinlich von einem unerlaubten Zugriff auf seine WP-Installation.

 

Naja, weil es da keine Einheitslösung gibt, da das sehr von dem Sachverstand des Webseiteneigentümers abhängig ist.

Die größte Schwachstelle von WP ist mMn das XML-RPC, weil es der ideale Angriffspunkt für Brute-Force ist, weshalb ich das auf allen Seiten direkt per htaccess deaktiviere.

Was ich mache:

• XML-RPC unterbinden (per htaccess)
• /wp-login.php umleiten, bspw. mit WPS hide
• Passworteingaben reduzieren, bspw. mit Limit Login
• Geo Blocking fürs Backend, sodass grundsätzlich das Backend nur aus meinem Land erreichbar ist, bspw. mit IQ Block

Die ersten 3 Punkte kann "All in one WP Security" in nur einem Plugin umsetzen und noch mehr. Finde es aber sehr unübersichtlich.

 

Ich will zwar nicht schon wieder Werbung dafür machen, aber ich hab gestern eine positive Erfahrung mit iThemeSecurity gemacht. Ich wunderte mich über langsame Auslieferungszeiten bei einem der von mir betreuten Server mit mehreren Dutzend Projekten von denen die meisten Wordpress verwenden. Das Monitoring zeigte eine leicht erhöhe Last, aber nicht so sehr das Alarm ausgelöst wurde. Dennoch erweckte es meine Aufmerksamkeit.

Hab nach einiger Analyse eher zufällig gesehen, dass bei einem der dortigen Wordpress-Projekte die xmlrpc.php alle 2-5 Sekunden von verschiedenen IPs aufgerufen wurde. Offenbar ein Botnetz. Ich hätte jetzt versuchen können diese einzeln in der Serverfirewall zu sperren. Aber das hätte vermutlich länger gedauert. Daher ging ich schnell in das Backend vom betroffenen Projekt und installierte iThemeSecurity. Es war gerade aktiviert da kam schon eine erste Aussperrungs-Benachrichtigung von iThemeSecurity an mich per E-Mail. Es wäre eine Brutforce-Attacke auf xmlrpc abgewehrt wurden. Im Logfile waren sofort keine Einträge mehr zu sehen. Nach 5 Minuten war die Last am Server wieder normal. Ich hab dann noch fix das Setup von iThemeSecurity durchgeklickt - fertig. Hat mir letztlich einige Zeit und Kommunikation mit Kunden erspart die sich über träge Auslieferungszeiten aufgeregt hätten.

Natürlich hätte das auch mit jedem anderen Sicherheitsplugin, welches solche Zugriffe blockiert, funktioniert. Ist bei mir pure Gewohnheit es zu verwenden. So wie andere eben andere Plugins bevorzugen. Das ist ja das wunderbare bei Wordpress - diese Vielfalt an Möglichkeiten.