Dieses Plugin ist nicht mit den jüngsten 3 Hauptversionen von WordPress getestet worden. Es wird möglicherweise nicht mehr gewartet oder unterstützt und kann Kompatibilitätsprobleme haben, wenn es mit neueren Versionen von WordPress verwendet wird.

Gauntlet Security

Beschreibung

Gauntlet Security can find opportunities for improving the security of your site. It checks many aspects of the site’s configuration including file permissions, server software, PHP, database, plugins, themes, and user accounts. The plugin will give each check a pass, warning, or fail and explain in clear language how you can fix the issue.

How you ultimately choose to patch these issues is up to you but whatever method you use, this plugin should always provide an accurate report. It does not make changes to your database or to any of your files and it should be compatible with all other security plugins.

Checks and recommendations include:

  • Korrekte Datei- und Verzeichnisrechte setzen
  • Schalte Verzeichnisindizierung aus
  • Ausführung von Code im Uploads-Verzeichnis verhindern
  • Dateien im „includes“-Verzeichnis blockieren
  • Prevent access to stray files which could be useful to attackers
  • PHP aktuell halten
  • Gefährliche PHP-Funktionen deaktivieren
  • Die PHP-Flags allow_url_include und allow_url_fopen deaktivieren
  • Die Anzeige von PHP-Fehlern ausschalten
  • Die verwendete PHP-Version nicht anzeigen
  • Ein starkes Datenbank-Passwort verwenden
  • Das vorgegebene Tabellenpräfix ändern
  • Die WordPress-Version aktuell halten
  • Dateibearbeitung im Backend ausschalten
  • Sicherheitsschlüssel in der Datei „WP-Config“ eintragen
  • Die verwendete WordPress-Version nicht ausgeben
  • Selbstregistrierung deaktivieren
  • Im Admin-Bereich SSL erzwingen
  • Alle Plugins auf Aktivität und Bewertung hin überprüfen
  • Unbenutzte Themes vom Server entfernen
  • Rename the plugin directory
  • Move the active theme to an alternate location
  • TimThumb nicht verwenden
  • Geläufige Benutzernamen (wie „admin“) nicht verwenden
  • Keine schwachen Passwörter verwenden
  • Keinen Benutzer mit ID=1 verwenden
  • Die Zahl der Administratoren gering halten
  • Loginnamen der Benutzer sollten nicht öffentlich angezeit werden
  • Das Auszählen der Benutzernamen über die Standard-Autoren-URLs verhindern
  • … weitere Tests sind geplant.

Check the screenshots for more detail on some of the above features.

Many of these security checks are based on recommendations from the WordPress codex: https://codex.wordpress.org/Hardening_WordPress.

Disclaimer

Some of the tips included in this plugin only require making small changes to configuration files (.htaccess, php.ini, wp-config.php, functions.php). Others require more in-depth changes to the filesystem or database. Before attempting any of these fixes, you should be comfortable experimenting and know how to undo any change you make. That includes making backups and knowing how restore your site from those backups. I can’t guarantee that the recommendations or sample code provided in this plugin will not break your site or that they will prevent it from being hacked.

Anforderungen

  • Apache Webserver
  • Mindestens WordPress 3.4
  • Mindestens PHP 5.2.7

Screenshots

  • The main page.
  • All checks include a detailed explanation and instructions on how to fix the issue.
  • Not all issues need to be fixed. Less important tests are included for the paranoid.
  • The plugin check will raise red flags if plugins aren't being maintained or haven't been updated

Installation

Using The WordPress Dashboard

  1. Navigiere zu „Neu hinzufügen“ im Plugins-Dashboard
  2. Suche nach „gauntlet security“
  3. Klicke auf „Jetzt installieren“
  4. Aktiviere das Plugin auf dem Plugin-Dashboard

Multisite

  1. Navigate to ‚Network Admin‘ > ‚Plugins‘ in the top toolbar (must be logged in as a Super Admin)
  2. Klicke im Plugin-Dashboard auf „Installieren“.
  3. Suche nach „gauntlet security“
  4. Klicke auf „Jetzt installieren“
  5. Click ‚Network Activate‘ on the Plugin dashboard. Only Super Admin users can access and use the plugin.

Hochladen ins WordPress-Dashboard

  1. Navigiere zu „Neu hinzufügen“ im Plugins-Dashboard
  2. Navigiere zum Bereich „Hochladen“
  3. Wähle „gauntlet-security.zip“ auf deinem Computer aus
  4. Klicke auf „Jetzt installieren“
  5. Aktiviere das Plugin im Plugin-Dashboard

Mit FTP

  1. Lade „gauntlet-security.zip“ herunter
  2. Entpacke das Verzeichnis „gauntlet-security“ auf deinem Computer
  3. Lade das Verzeichnis „gauntlet-security“ in das Verzeichnis „/wp-content/plugins/“ hoch
  4. Aktiviere das Plugin im Plugin-Dashboard

FAQ

Warum führt dieses Plugin die Änderungen nicht automatisch durch?

Most of this plugin’s recommendations are server configurations or WordPress configurations that only need to be set once. My belief is that plugins should not be making permanent changes to your site’s configuration. Any change a plugin makes, it should be able to undo. Other plugins can automate a few of these hardening techniques for you, but if something breaks it’s not always easy to figure out what the plugin did and how to revert it.

Rezensionen

27. September 2017
Can't recommend this plugin enough for ensuring a site is locked down. Particularly useful is the plugin scanner feature which I run on every site. Very clear design and instructions.
3. September 2016
Extension indispensable même si on utilise une extension de sécurité type WP security. Elle scanne l'installation Wordress, identifie les failles et - cerise sur le gâteau - donne les solutions pour les combler. Merci.
3. September 2016
Nice piece of code and very, very usefull. Thanks.
Alle 8 Rezensionen lesen

Mitwirkende & Entwickler

„Gauntlet Security“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

Übersetze „Gauntlet Security“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

1.4.1

  • New test: Move the active theme to an alternate location
  • Enhancement: Now prepared for localization!
  • Enhancement: Highlight the importance of changing the plugin directory name
  • Enhancement: Update the PHP version check (5.5 is no longer supported)
  • Enhancement: Provide caveats for the user ID = 1 check
  • Tested on WordPress 4.6

1.4.0

  • New test: Keep PHP up-to-date
  • New test: Don’t advertise the PHP version you are running
  • Enhancement: Remove deprecated WordPress function, force_ssl_login
  • Enhancement: Improve colour-coding on plugin check
  • Enhancement: Add stray file check for „error_log“ files
  • Tested on WordPress 4.5

1.3.0

  • Enhancement: Add compatibility with WordPress Multisite installs
  • Tested on WordPress 4.3.1

1.2.2

  • Fix: Stray file test failing on PHP versions less than 5.3.6
  • Enhancement: Account for multilingual WordPress installs when testing for salts
  • Enhancement: Plugin version check only triggers warning if plugin is older than current
  • Tested on WordPress 4.1.1

1.2.1

  • Tested on WordPress 4.1
  • Fix: Test for user ID #1

1.2.0

  • New test: Prevent access to stray non-Wordpress files which could be useful to attackers
  • Remove test: Shellshock test (not an ongoing concern)
  • Enhancement: User enumeration test checks users with posts
  • Enhancement: Increase reliabilty if site is using a self-signed TLS certificate
  • Enhancement: Added common usernames (thanks to Viktor Szépe & Simon Fredsted)
  • Enhancement: Allowance for overriding requirements check

1.1.2

  • Fix: Remove PHP short tags
  • Enhancement: File Permissions check includes more „why“ and less „how“
  • Enhancement: Shellshock check uses a more reliable method

1.1.1

  • Fix: Plugin „PHP Fatal error“

1.1.0

  • New test: Check for Shellshock bug
  • Enhancement: Add reference links to many tests for more information
  • Enhancement: Improve PHP display errors check
  • Enhancement: Improve TimThumb check

1.0.1

  • Fix: TimThumb test
  • Enhancement: Link to support forum and donation button
  • Enhancement: Run less code on non-plugin admin pages
  • Enhancement: Text tweaks

1.0.0

  • Erstveröffentlichung