WordPress-Sicherheit
Um die Sicherheit von WordPress-Systeme zu optimieren, empfehlen wir folgende Anpassungen.
- Unterbinden Sie den Zugriff auf die XML-RPC-Schnittstelle
- verwenden Sie HTTPS, um die Datenübertragung zu verschlüsseln.
- Setzen Sie den HSTS-Header, um den Zugriff ausschließlich über HTTPS zu erzwingen
- Setzen Sie die
X-Frame-Options
, um Klick-Jacking zu verhindern - Unterbinden Sie den Zugriff auf ggf. sensitive Informationen
- Setzen Sie Parameter für das Session-Cookie, um dieses abzusichern
- Deaktivieren Sie den Zugriff auf den Cronjob von Wordpress und führen Sie den Cronjob auf dem Server aus.
Führen Sie dafür folgende Änderungen durch:
-
Beantragen Sie ein SSL-Zertifikat von Let’s Encrypt und konfigurieren den HTTPS-Zugriff auf die Seite.
-
In der
.htaccess
fügen Sie am Anfang der Datei folgenden Block ein:### Security by AD IT Systems <Files "xmlrpc.php"> Require all denied </Files> Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" Header set X-Frame-Options: "SAMEORIGIN" <IfModule mod_rewrite.c> RewriteEngine On RewriteRule (?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|html?) - [R=404,NC,L] RewriteRule \.(?:psd|log|cmd|exe|bat|c?sh)$ - [NC,F] </IfModule> ### Security by AD IT Systems
-
Fügen Sie in der
wp-config.php
unterhalb der Datenbank-Konfiguration folgenden Abschnitt ein:define('DISABLE_WP_CRON', true); ini_set('session.cookie_httponly', true); ini_set('session.cookie_secure', true); ini_set('session.use_only_cookies', true);
-
Verwenden Sie LiveConfig, um einen Cronjob anzulegen. Lassen Sie den Cronjob alle fünf Minuten ausführen. Passen Sie außerdem den Server-Pfad zu Ihrer Wordpress-Installation an:
cd /var/www/example/htdocs/example.com; /usr/local/bin/wp cron event run --due-now --quiet
Durch diese Maßnahmen haben Sie die Sicherheit Ihrer WordPress-Seite erhöht und Angriffe erschwert.
Bei Fragen steht Ihnen unser Support gerne zur Verfügung.