SiteGround Security

Beschreibung

Mit den sorgfältig ausgewählten und einfach konfigurierbaren Funktionen bietet das Plugin alles, was du brauchst, um deine Website zu sichern und eine Reihe von Bedrohungen wie Brute-Force-Angriffe, kompromittiertes Anmeldeformular, Datenverluste und mehr zu verhindern.

Anmelde-Einstellungen

Hier kannst du die von uns entwickelten Tools verwenden, um deine Anmeldeseite vor unbefugten Besuchern, Bots und anderem bösartigen Verhalten zu schützen.

Individuelle Anmelde-URL

Ändere die Standard-Anmelde-URL, um Angriffe zu verhindern, und eine leicht zu merkende Anmelde-URL zu haben. Du kannst auch die Standard-Anmelde-URL ändern, wenn du diese Option für deine Website aktiviert hast.

Wichtig!
Du kannst zum Standard-Anmeldetyp zurückkehren, indem du das folgende Snippet verwendest.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Anmelde-Zugang

Anmelde-Zugang ermöglicht es dir, den Zugriff der Anmelde-Seite auf eine bestimmte IPs oder einen IP-Bereich zu beschränken, um böswillige Anmeldeversuche oder Brute-Force-Angriffe zu verhindern.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Site neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte bedenke, dass dadurch auch alle IPs, die auf die Anmeldeseite zugreifen dürfen, entfernt werden und eine Neukonfiguration erforderlich sein wird:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Zwei-Stufen-Authentifizierung

Die Zwei-Stufen-Authentifizierung für Admin-Benutzer zwingt alle Administratoren, ein Token bereitzustellen, das von der Google-Authentifizierungs-Anwendung bei der Anmeldung generiert wird.

Übliche Benutzernamen deaktivieren

Die Verwendung gängiger Benutzernamen wie ‚admin‘ ist eine Sicherheitsbedrohung, die oft zu unbefugtem Zugriff führt. Wenn du diese Option aktivierst, deaktivieren wir die Erstellung gängiger Benutzernamen und wenn du bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen hast, werden wir dich bitten, einen neuen oder mehrere neue zur Verfügung zu stellen.

Anmelde-Versuche begrenzen

Mit „Anmelde-Versuche begrenzen“ kannst du festlegen, wie oft Benutzer versuchen können, sich mit ungültigen Anmeldeinformationen anzumelden. Wenn sie ein bestimmtes Limit erreichen, wird die IP, von der aus sie sich anzumelden versuchen, für eine Stunde gesperrt. Wenn sie mit den erfolglosen Versuchen fortfahren, werden sie für 24 Stunden und danach 7 Tage eingeschränkt.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Website neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte beachte, dass dadurch auch die Sperre für Fehlversuche für alle IPs entfernt wird:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Sicherheit der Website

Mit diesem Toolset kannst du deine WordPress-Anwendung härten und vor Malware, Exploits und anderen bösartigen Aktionen schützen.

Systemordner sperren und schützen

Mit „Systemordner sperren und schützen“ kannst du alle bösartigen oder nicht autorisierten Skripts blockieren, die in den Systemordnern deiner Anwendungen ausgeführt werden.

WordPress-Version ausblenden

Wenn du „WordPress-Version verstecken“ verwendest, kannst du vermeiden, aufgrund von versionsspezifischen Schwachstellen für Massenangriffe markiert zu werden.

Themes- und Plugins-Editor deaktivieren

Deaktiviere Themes- und Plugins-Editor im WordPress-Admin, um potenzielle Codierungsfehler oder unbefugten Zugriff über den WordPress-Editor zu verhindern.

XML-RPC deaktivieren

Du kannst das XML-RPC-Protokoll deaktivieren, das kürzlich bei einer Reihe von Exploits verwendet wurde. Bitte bedenke, dass es WordPress daran hindert, mit Systemen von Drittanbietern zu kommunizieren, wenn es deaktiviert ist. Wir empfehlen, das Protokoll zu deaktivieren, es sei denn, du benötigst es ausdrücklich.

HTTP Strict Transport Security (HSTS) erzwingen

HSTS (HTTP Strict-Transport-Security) ist ein Response-Header. Es ermöglicht der Website, Browsern mitzuteilen, dass sie nur über HTTPS statt über HTTP aufgerufen werden sollte. Dies verhindert „Man-in-the-Middle“-Angriffe („Mann-in-der-Mitte“) und stellt sicher, dass regelmäßige Besucher auf die sichere Version der Website umgeleitet werden.

RSS- und ATOM-Feeds deaktivieren

Deaktiviere die RSS- und ATOM-Feeds, um das Scraping (Übernehmen) von Inhalten und spezifische Angriffe auf deine Website zu verhindern. Es wird empfohlen, dies jederzeit zu verwenden, es sei denn, du hast Leser, die deine Website über RSS-Reader verwenden.

Erweiterter XSS-Schutz

Durch Aktivieren des erweiterten XSS-Schutzes kannst du eine zusätzliche Schutzebene gegen XSS-Angriffe hinzufügen.

Lösche die Standard Readme.txt-Datei

Wenn du die Standard-Readme.txt-Datei löschst, die Informationen über deine Website enthält, verringerst du die Wahrscheinlichkeit, dass sie in einer Liste potenziell anfälliger Websites endet, die von Hackern verwendet wird.

Aktivitätsprotokoll

Hier kannst du die Aktivität registrierter, unbekannter und blockierter Besucher im Detail verfolgen. Wenn deine Website gehackt wurde, ein Benutzer oder ein Plugin kompromittiert wurden, kannst du jederzeit die schnellen Tools verwenden, um ihre zukünftigen Aktionen zu blockieren.

Wichtig!
Du kannst eine individuelle Protokoll-Lebensdauer (in Tagen) festlegen, in dem du den folgenden Filter verwendest, den wir zu diesem Zweck bereitgestellt haben.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Massnahmen nach einem Hacking

Alle kostenlosen Plugins neu installieren

Wenn deine Website gehackt wurde, kannst du jederzeit versuchen, den Schaden zu verringern, indem du „Alle kostenlosen Plugins neu installieren“ verwendest. Dies wird alle deine kostenlosen Plugins neu installieren, und die Wahrscheinlichkeit eines weiteren Exploits oder der Wiederverwendung von bösartigem Code verringern.

Alle Benutzer abmelden

Du kannst alle Benutzer abmelden, um weitere Aktionen von ihnen zu verhindern.

Passwortzurücksetzung erzwingen

Erzwinge eine Passwort-Zurücksetzung, um alle Benutzer zu zwingen, ihr Passwort bei ihrer nächsten Anmeldung zu ändern. Dadurch werden auch alle aktuellen Benutzer sofort abgemeldet.

WP-CLI Unterstützung

In Version 1.0.2 haben wir volle WP-CLI-Unterstützung für alle Plugin-Optionen und Funktionalitäten hinzugefügt.

  • wp sg limit-login-attempts 0|3|5 – begrenzt die Anmeldeversuche auf 3, 5 oder auf 0, um die Versuche zu deaktivieren
  • wp sg login-access add IP – erlaubt nur bestimmten IP(s) den Zugriff auf das Backend der Website
  • wp sg login-access list all – listet die IP-Adressen auf der Freigabeliste auf
  • wp sg login-access remove IP – entfernt eine IP von der Freigabeliste
  • wp sg login-access remove all – entfernt alle IP-Adressen in der Freigabeliste
  • wp sg secure protect-system-folders enable|disable – aktiviert oder deaktiviert die Option zum Schutz der Systemordner
  • wp sg secure hide-wordpress-version enable|disable – aktiviert oder deaktiviert die Option zum Verstecken der WordPress-Version
  • wp sg secure plugins-themes-editor enable|disable – aktiviert oder deaktiviert Plugin- und Theme-Editor
  • wp sg secure xml-rpc enable|disable – aktiviert oder deaktiviert XML-RPC
  • wp sg secure rss-atom-feed enable|disable – aktiviert oder deaktiviert RSS- und ATOM-Feeds
  • wp sg secure xss-protection enable|disable – aktiviert oder deaktiviert den XSS-Schutz
  • wp sg secure 2fa enable|disable – aktiviert oder deaktiviert die Zwei-Stufen-Authentifizierung
  • wp sg secure disable-admin-user enable|disable – aktiviert oder deaktiviert die Verwendung von „admin“ als Benutzernamen
  • wp sg log ip add|remove|list <name> --ip=<ip> – benutzerdefinierte Pingbots, die im Aktivitätsprotokoll nach IP aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg log ua add|remove|list <name> – benutzerdefinierte Bots, die im Aktivitätsprotokoll nach Benutzeragenten aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg list log-unknown|log-registered|log-blocked --days=<days> – spezifisches Zugriffsprotokoll für einen bestimmten Zeitraum auflisten

Anforderungen

  • WordPress 4.7
  • PHP 7.0
  • Funktionierende .htaccess-Datei

Installation

Automatische Installation

  1. Geh zu Plugins > Neu hinzufügen
  2. Suche nach ,,SiteGround Security“
  3. Klick auf den Button Installieren unter dem SiteGround Security-Plugin
  4. Wenn das Plugin installiert ist, drück auf den Link Plugin Aktivieren

Manuelle Installation

  1. Melde dich im WordPress Admin-Panel an und gehe zu Plugins -> Neu Hinzufügen
  2. Wähle das Menü „Upload“
  3. Klick auf den Button „Datei auswählen“ und wähle die heruntergeladene sg-security.zip-Datei aus
  4. Clicke den „Jetzt Installieren“ Knopf
  5. Gehe zu Plugins > Installierte Plugins und klick auf den Link „Aktivieren“ unter dem WordPress SiteGround Security Eintrag

Rezensionen

18. Januar 2022
As a loyal SiteGround customer for the 5th year now, I can say that all of their plugins are top notch. Including this one!
1. Januar 2022
disabling RSS and changing login url are the best options in this plugin. Thanks!
13. Dezember 2021
The Siteground security plugin continues to report my site as unsafe with McAfee's web black listing. Warns of PUP's (potentially unwanted programs). In my view this is a marketing scam to try and get users to purchase the license. I have a paid licensed version of Akismet running on my site and Wordfence free version, both of which report the site as in good health. The site was only installed in the past week or so using Siteground's own tools, and the ONLY thing I have added was the Divi theme from Elegant Themes. It may be that McAfee detects this as some kind of suspicious code or something and if so that's rubbish. And of course, there is no actual detail around the warning other than my site is "not as secure as it should be" (insert you need to buy our license here)!!!!!! Pretty sure this is a Sales/Marketing ploy to get people to purchase their protection, very disappointing indeed! If there is a genuine risk why not provide details on the scan instead of a cryptic message to scare people into buying the service?
Alle 46 Rezensionen lesen

Mitwirkende & Entwickler

„SiteGround Security“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

„SiteGround Security“ wurde in 7 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „SiteGround Security“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

Version 1.1.3

Erscheinungsdatum: 1. Oktober 2021↵
* Verbesserte Funktion zum Verstecken der WP-Version

Version 1.1.2

Erscheinungsdatum: 20. August 2021↵
* Verbesserte Funktionalität der individuellen Anmelde-URL↵
* Verbesserte 2FA↵
* Verbesserte Erfolgs-/Fehlermeldungen

Version 1.1.1

Erscheinungsdatum: 12. August 2021↵
* Verbesserte 2FA↵
* Verbesserte Abmeldefunktion

Version 1.1.0

Erscheinungsdatum: 27. Juli 2021↵
* NEU! 2FA-Backup-Codes zur Seite für Profilbearbeitung hinzugefügt↵
* NEU! Individuelle Anmelde- und Registrierungs-URLs↵
* NEU! Automatische Generierung von HSTS-Headern hinzugefügt↵
* Verbesserte Funktion zum Deaktivieren gängiger Benutzernamen↵
* Verbesserter Massenabmeldedienst↵
* Verbesserte Aktivitätsprotokollierung und individuelle Beschriftung hinzugefügt↵
* Verbesserte Funktionalität zum Zurücksetzen des Passworts

Version 1.0.4

  • Verbessertes Limit für Anmeldeversuche

Version 1.0.3

  • Fehler im Bewertungsfeld in Safari behoben
  • Verbesserter Dienst zur RSS- und ATOM-Feed-Deaktivierung

Version 1.0.2

  • Filter hinzugefügt, um die Protokoll-Lebensdauer zu konfigurieren
  • WP-CLI-Unterstützung hinzugefügt
  • Verbesserte Zeichenfolgen

Version 1.0.1

  • Standardeinstellungen bei der Installation hinzugefügt
  • Verbesserte Übersetzungsunterstützung
  • Bereinigung bei der Deinstallation hinzugefügt

Version 1.0.0

  • Erste stabile Version

Version 0.1

  • Erstveröffentlichung.