WordPress-Sicherheit

Um die Sicherheit von WordPress-Systeme zu optimieren, empfehlen wir folgende Anpassungen.

• Unterbinden Sie den Zugriff auf die XML-RPC-Schnittstelle
• verwenden Sie HTTPS, um die Datenübertragung zu verschlüsseln.
• Setzen Sie den HSTS-Header, um den Zugriff ausschließlich über HTTPS zu erzwingen
• Setzen Sie die X-Frame-Options, um Klick-Jacking zu verhindern
• Unterbinden Sie den Zugriff auf ggf. sensitive Informationen
• Setzen Sie Parameter für das Session-Cookie, um dieses abzusichern
• Deaktivieren Sie den Zugriff auf den Cronjob von Wordpress und führen Sie den Cronjob auf dem Server aus.

Führen Sie dafür folgende Änderungen durch:

• Beantragen Sie ein SSL-Zertifikat von Let’s Encrypt und konfigurieren den HTTPS-Zugriff auf die Seite.

• In der .htaccess fügen Sie am Anfang der Datei folgenden Block ein:

  ### Security by AD IT Systems
  <Files "xmlrpc.php">
    Require all denied
  </Files>
  
  Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
  Header set X-Frame-Options: "SAMEORIGIN"
  <IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L]
  RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F]
  </IfModule>
  ### Security by AD IT Systems

• Fügen Sie in der wp-config.php unterhalb der Datenbank-Konfiguration folgenden Abschnitt ein:

  define('DISABLE_WP_CRON', true);
  ini_set('session.cookie_httponly', true);
  ini_set('session.cookie_secure', true);
  ini_set('session.use_only_cookies', true);

• Verwenden Sie LiveConfig, um einen Cronjob anzulegen. Lassen Sie den Cronjob alle fünf Minuten ausführen. Passen Sie außerdem den Server-Pfad zu Ihrer Wordpress-Installation an:

  cd /var/www/example/htdocs/example.com; /usr/local/bin/wp cron event run --due-now --quiet

Durch diese Maßnahmen haben Sie die Sicherheit Ihrer WordPress-Seite erhöht und Angriffe erschwert.

Bei Fragen steht Ihnen unser Support gerne zur Verfügung.