Einrichten und Testen der Sicherheitmaßnahmen von PLESK-WordPress-Security
Wir richten uns dabei an die Empfehlungen von PLESK-WordPress-Security, sowie Maßnahmen, die wir für notwendig erachten. Im folgenden sind dies:
- Einschränkung von Zugriff auf Dateien und Verzeichnisse
- Konfiguration von Sicherheitsschlüsseln
- Blockierung des Zugriffs auf xmlrpc.php
- Blockierung der Verzeichnissuche
- Nicht-Erlaubnis der Ausführung von PHP-Skripts im Verzeichnis “wp-includes”
- Nicht-Erlaubnis der Ausführung von PHP-Skripts im Verzeichnis “wp-content/uploads”
- Blockierung des Zugriffs auf wp-config.php
- Deaktivierung der Skriptverkettung für das WordPress-Administrator-Panel
- Deaktivierung von Pingbacks
- Deaktivierung nicht verwendeter Skriptsprachen
- Deaktivierung der PHP-Ausführung in Cache-Verzeichnissen
- Deaktivierung der Dateibearbeitung im WordPress-Dashboard
- Änderung des Standardpräfixes von Datenbanktabellen
- Aktivierung des Schutzes vor unüblichen Bots
- Blockierung des Zugriffs auf sensible und potenziell sensible Dateien
- Blockierung des Zugriffs auf HTACCESS- und HTPASSWD-Dateien
- Blockierung von Autorenscans
- Änderung des Standardbenutzernamens des Administrators
Zusätzliche Sicherheitsmaßnahmen auf Anfrage/Wunsch und bei Ermessen
- Ausblenden von unnötigen Informationen oder Meta-Links im vom WordPress generierten <head>-Bereich.
- Einrichtung von WP-Audit, um Tätigkeiten auf der Website durch Benutzer nachzuverfolgen.
- Einrichtung Zwei-Faktor Authentifizierung (Empfohlen, aber nicht in jedem Fall möglich).