SiteGround Security

Beschreibung

Mit den sorgfältig ausgewählten und einfach zu konfigurierenden Funktionen bietet das Plugin SiteGround Security alles, was du zum Sichern deiner Website und zum Verhindern einer Reihe von Bedrohungen wie Brute-Force-Angriffe, kompromittierte Anmeldung, Datenlecks u.s.w. benötigst.

Anmelde-Einstellungen

Hier kannst du die von uns entwickelten Tools verwenden, um deine Anmeldeseite vor unbefugten Besuchern, Bots und anderem bösartigen Verhalten zu schützen.

Individuelle Anmelde-URL

Ändere die Standard-Anmelde-URL, um Angriffe zu verhindern, und eine leicht zu merkende Anmelde-URL zu haben. Du kannst auch die Standard-Anmelde-URL ändern, wenn du diese Option für deine Website aktiviert hast.

Wichtig!
Du kannst zum Standard-Anmeldetyp zurückkehren, indem du das folgende Snippet verwendest.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Anmelde-Zugang

Anmelde-Zugang ermöglicht es dir, den Zugriff der Anmelde-Seite auf eine bestimmte IPs oder einen IP-Bereich zu beschränken, um böswillige Anmeldeversuche oder Brute-Force-Angriffe zu verhindern.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Site neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte bedenke, dass dadurch auch alle IPs, die auf die Anmeldeseite zugreifen dürfen, entfernt werden und eine Neukonfiguration erforderlich sein wird:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Zwei-Stufen-Authentifizierung

Die Zwei-Stufen-Authentifizierung für Admin-Benutzer zwingt alle Administratoren, ein Token bereitzustellen, das von der Google-Authentifizierungs-Anwendung bei der Anmeldung generiert wird.

Wichtig!
Du kannst erzwingen, dass andere Rollen die Zwei-Faktor-Authentifizierung auch benutzen. Sobald aktiviert, kannst du deinen Filter wie folgt hinzufügen.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

Übliche Benutzernamen deaktivieren

Die Verwendung gängiger Benutzernamen wie ‚admin‘ ist eine Sicherheitsbedrohung, die oft zu unbefugtem Zugriff führt. Wenn du diese Option aktivierst, deaktivieren wir die Erstellung gängiger Benutzernamen und wenn du bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen hast, werden wir dich bitten, einen neuen oder mehrere neue zur Verfügung zu stellen.

Anmelde-Versuche begrenzen

Mit „Anmelde-Versuche begrenzen“ kannst du festlegen, wie oft Benutzer versuchen können, sich mit ungültigen Anmeldeinformationen anzumelden. Wenn sie ein bestimmtes Limit erreichen, wird die IP, von der aus sie sich anzumelden versuchen, für eine Stunde gesperrt. Wenn sie mit den erfolglosen Versuchen fortfahren, werden sie für 24 Stunden und danach 7 Tage eingeschränkt.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Website neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte beachte, dass dadurch auch die Sperre für Fehlversuche für alle IPs entfernt wird:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Sicherheit der Website

Mit diesem Toolset kannst du deine WordPress-Anwendung härten und vor Malware, Exploits und anderen bösartigen Aktionen schützen.

Systemordner sperren und schützen

Verriegelung und Schutz der System-Ordner erlaubt es dir die Ausführung von jeglichen bösartigen oder unberechtigten Scripts in deinen Anwendungs-System-Ordner zu blockieren.
Wenn die Option zur Verriegelung and Schutz der System-Ordner ein bestimmtes Script blockiert, das von einem anderen Plugin auf der Website benutzt wird, kannst du einfach dieses Script freigeben indem du den Schnipsel unten aufgeführt benutzt.

Benutze dies um eine Datei im wp_includes Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_uploads Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_content Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

WordPress-Version ausblenden

Wenn du „WordPress-Version verstecken“ verwendest, kannst du vermeiden, aufgrund von versionsspezifischen Schwachstellen für Massenangriffe markiert zu werden.

Themes- und Plugins-Editor deaktivieren

Deaktiviere Themes- und Plugins-Editor im WordPress-Admin, um potenzielle Codierungsfehler oder unbefugten Zugriff über den WordPress-Editor zu verhindern.

XML-RPC deaktivieren

Du kannst das XML-RPC-Protokoll deaktivieren, das kürzlich bei einer Reihe von Exploits verwendet wurde. Bitte bedenke, dass es WordPress daran hindert, mit Systemen von Drittanbietern zu kommunizieren, wenn es deaktiviert ist. Wir empfehlen, das Protokoll zu deaktivieren, es sei denn, du benötigst es ausdrücklich.

HTTP Strict Transport Security (HSTS) erzwingen

HSTS (HTTP Strict-Transport-Security) ist ein Response-Header. Es ermöglicht der Website, Browsern mitzuteilen, dass sie nur über HTTPS statt über HTTP aufgerufen werden sollte. Dies verhindert „Man-in-the-Middle“-Angriffe („Mann-in-der-Mitte“) und stellt sicher, dass regelmäßige Besucher auf die sichere Version der Website umgeleitet werden.

RSS- und ATOM-Feeds deaktivieren

Deaktiviere die RSS- und ATOM-Feeds, um das Scraping (Übernehmen) von Inhalten und spezifische Angriffe auf deine Website zu verhindern. Es wird empfohlen, dies jederzeit zu verwenden, es sei denn, du hast Leser, die deine Website über RSS-Reader verwenden.

Erweiterter XSS-Schutz

Durch Aktivieren des erweiterten XSS-Schutzes kannst du eine zusätzliche Schutzebene gegen XSS-Angriffe hinzufügen.

Lösche die Standard Readme.txt-Datei

Wenn du die Standard-Readme.txt-Datei löschst, die Informationen über deine Website enthält, verringerst du die Wahrscheinlichkeit, dass sie in einer Liste potenziell anfälliger Websites endet, die von Hackern verwendet wird.

Aktivitätsprotokoll

Hier kannst du die Aktivität registrierter, unbekannter und blockierter Besucher im Detail verfolgen. Wenn deine Website gehackt wurde, ein Benutzer oder ein Plugin kompromittiert wurden, kannst du jederzeit die schnellen Tools verwenden, um ihre zukünftigen Aktionen zu blockieren.

Wichtig!
Du kannst eine individuelle Protokoll-Lebensdauer (in Tagen) festlegen, in dem du den folgenden Filter verwendest, den wir zu diesem Zweck bereitgestellt haben.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Massnahmen nach einem Hacking

Alle kostenlosen Plugins neu installieren

Wenn deine Website gehackt wurde, kannst du jederzeit versuchen, den Schaden zu verringern, indem du „Alle kostenlosen Plugins neu installieren“ verwendest. Dies wird alle deine kostenlosen Plugins neu installieren, und die Wahrscheinlichkeit eines weiteren Exploits oder der Wiederverwendung von bösartigem Code verringern.

Alle Benutzer abmelden

Du kannst alle Benutzer abmelden, um weitere Aktionen von ihnen zu verhindern.

Passwortzurücksetzung erzwingen

Erzwinge eine Passwort-Zurücksetzung, um alle Benutzer zu zwingen, ihr Passwort bei ihrer nächsten Anmeldung zu ändern. Dadurch werden auch alle aktuellen Benutzer sofort abgemeldet.

WP-CLI Unterstützung

In Version 1.0.2 haben wir volle WP-CLI-Unterstützung für alle Plugin-Optionen und Funktionalitäten hinzugefügt.

  • wp sg limit-login-attempts 0|3|5 – begrenzt die Anmeldeversuche auf 3, 5 oder auf 0, um die Versuche zu deaktivieren
  • wp sg login-access add IP – erlaubt nur bestimmten IP(s) den Zugriff auf das Backend der Website
  • wp sg login-access list all – listet die IP-Adressen auf der Freigabeliste auf
  • wp sg login-access remove IP – entfernt eine IP von der Freigabeliste
  • wp sg login-access remove all – entfernt alle IP-Adressen in der Freigabeliste
  • wp sg secure protect-system-folders enable|disable – aktiviert oder deaktiviert die Option zum Schutz der Systemordner
  • wp sg secure hide-wordpress-version enable|disable – aktiviert oder deaktiviert die Option zum Verstecken der WordPress-Version
  • wp sg secure plugins-themes-editor enable|disable – aktiviert oder deaktiviert Plugin- und Theme-Editor
  • wp sg secure xml-rpc enable|disable – aktiviert oder deaktiviert XML-RPC
  • wp sg secure rss-atom-feed enable|disable – aktiviert oder deaktiviert RSS- und ATOM-Feeds
  • wp sg secure xss-protection enable|disable – aktiviert oder deaktiviert den XSS-Schutz
  • wp sg secure 2fa enable|disable – aktiviert oder deaktiviert die Zwei-Stufen-Authentifizierung
  • wp sg secure disable-admin-user enable|disable – aktiviert oder deaktiviert die Verwendung von „admin“ als Benutzernamen
  • wp sg log ip add|remove|list <name> --ip=<ip> – benutzerdefinierte Pingbots, die im Aktivitätsprotokoll nach IP aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg log ua add|remove|list <name> – benutzerdefinierte Bots, die im Aktivitätsprotokoll nach Benutzeragenten aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg list log-unknown|log-registered|log-blocked --days=<days> – spezifisches Zugriffsprotokoll für einen bestimmten Zeitraum auflisten
  • wp sg 2fa reset id ID – setzt die 2FA Einstellung für das ID des Benutzers.

Anforderungen

  • WordPress 4.7
  • PHP 7.0
  • Funktionierende .htaccess-Datei

Installation

Automatische Installation

  1. Geh zu Plugins > Neu hinzufügen
  2. Suche nach ,,SiteGround Security“
  3. Klick auf den Button Installieren unter dem SiteGround Security-Plugin
  4. Wenn das Plugin installiert ist, drück auf den Link Plugin Aktivieren

Manuelle Installation

  1. Melde dich im WordPress Admin-Panel an und gehe zu Plugins -> Neu Hinzufügen
  2. Wähle das Menü „Upload“
  3. Klick auf den Button „Datei auswählen“ und wähle die heruntergeladene sg-security.zip-Datei aus
  4. Clicke den „Jetzt Installieren“ Knopf
  5. Gehe zu Plugins > Installierte Plugins und klick auf den Link „Aktivieren“ unter dem WordPress SiteGround Security Eintrag

Rezensionen

21. Juni 2022
Easy to use and has everything anyone could want. Great plug-in!!
4. Juni 2022
Used Siteground now for some years. I am both impressed with the ease of use of everything and support has ALWAYS been lightening fast, and friendly agents. I highly recommend for hosting small ecommerce stores...excellent 5 stars. Well done guys - keep up the great work.
Alle 59 Rezensionen lesen

Mitwirkende & Entwickler

„SiteGround Security“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

„SiteGround Security“ wurde in 7 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „SiteGround Security“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

Version 1.2.9

Erscheinungsdatum: 20. Juni 2022

  • Neue Filter zum Ausschließen von „Verriegelung und Schutz der System-Ordner“
  • Verbesserte Unterstützung der IP-Bereiche
  • Verbesserte List der blockierten IP-Adressen
  • Verbessertes Löschen der Standard-Readme.html
  • Verbesserte 2FA Validierung
  • Verbesserte 2FA-Unterstützung für die Anmeldung zu „Mein Konto“
  • Verbesserte Datensammlung
  • Kleinere Fehlerbehebungen

Version 1.2.8

Veröffentlichungsdatum: 18. Mai 2022

  • Verbesserte Sicherheit des Plugins

Version 1.2.7

Veröffentlichungsdatum: 8. April 2022

  • Kleinere Fehlerbehebungen

Version 1.2.6

Veröffentlichungsdatum: 7. April 2022

  • 2FA-Refaktorierung

Version 1.2.5

Veröffentlichungsdatum: 6. April 2022

  • Refaktorierung der 2FA-Authentifizierung
  • Verbesserte wöchentliche E-Mails
  • HTST-Dienst ist veraltet

Version 1.2.4

Veröffentlichungsdatum: 16. März 2022

  • Verbesserte wöchentliche E-Mails
  • Verbesserte Unterstützung des Woocommerce Zahlungs-Plugins
  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.3

Veröffentlichungsdatum: 11. März 2022

  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.2

Veröffentlichungsdatum: 11. März 2022

  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.1

Veröffentlichungsdatum: 9. März 2022

  • Verbesserte wöchentliche Berichte
  • Verbesserter HTTP-Header-Dienst
  • Code Refaktorierung

Version 1.2.0

Veröffentlichungsdatum: 28. Februar 2022

  • NEU – Wöchentliche Berichte
  • Code-Refaktorisierung und allgemeine Verbesserungen
  • Verbesserte 2FA-Unterstützung für Benutzerrollen
  • Verbesserte Fehlerbehandlung
  • Verbesserte Unterstützung für Begrenzung des Anmelde-IP-Bereichs
  • Verbessertes Event-Protokoll
  • Verbesserte Unterstützung des Phlox-Theme
  • Kleinere Fehlerbehebungen
  • Verbesserte WP-CLI-Unterstützung
  • Einwilligung zur Erhebung von Umgebungsdaten hinzugefügt

Version 1.1.3

Erscheinungsdatum: 1. Oktober 2021↵
* Verbesserte Funktion zum Verstecken der WP-Version

Version 1.1.2

Erscheinungsdatum: 20. August 2021↵
* Verbesserte Funktionalität der individuellen Anmelde-URL↵
* Verbesserte 2FA↵
* Verbesserte Erfolgs-/Fehlermeldungen

Version 1.1.1

Erscheinungsdatum: 12. August 2021↵
* Verbesserte 2FA↵
* Verbesserte Abmeldefunktion

Version 1.1.0

Erscheinungsdatum: 27. Juli 2021↵
* NEU! 2FA-Backup-Codes zur Seite für Profilbearbeitung hinzugefügt↵
* NEU! Individuelle Anmelde- und Registrierungs-URLs↵
* NEU! Automatische Generierung von HSTS-Headern hinzugefügt↵
* Verbesserte Funktion zum Deaktivieren gängiger Benutzernamen↵
* Verbesserter Massenabmeldedienst↵
* Verbesserte Aktivitätsprotokollierung und individuelle Beschriftung hinzugefügt↵
* Verbesserte Funktionalität zum Zurücksetzen des Passworts

Version 1.0.4

  • Verbessertes Limit für Anmeldeversuche

Version 1.0.3

  • Fehler im Bewertungsfeld in Safari behoben
  • Verbesserter Dienst zur RSS- und ATOM-Feed-Deaktivierung

Version 1.0.2

  • Filter hinzugefügt, um die Protokoll-Lebensdauer zu konfigurieren
  • WP-CLI-Unterstützung hinzugefügt
  • Verbesserte Zeichenfolgen

Version 1.0.1

  • Standardeinstellungen bei der Installation hinzugefügt
  • Verbesserte Übersetzungsunterstützung
  • Bereinigung bei der Deinstallation hinzugefügt

Version 1.0.0

  • Erste stabile Version

Version 0.1

  • Erstveröffentlichung.