SiteGround Security

Beschreibung

Mit den sorgfältig ausgewählten und einfach zu konfigurierenden Funktionen bietet das Plugin SiteGround Security alles, was du zum Sichern deiner Website und zum Verhindern einer Reihe von Bedrohungen wie Brute-Force-Angriffe, kompromittierte Anmeldung, Datenlecks u.s.w. benötigst.

Anmelde-Einstellungen

Hier kannst du die von uns entwickelten Tools verwenden, um deine Anmeldeseite vor unbefugten Besuchern, Bots und anderem bösartigen Verhalten zu schützen.

Individuelle Anmelde-URL

Ändere die Standard-Anmelde-URL, um Angriffe zu verhindern, und eine leicht zu merkende Anmelde-URL zu haben. Du kannst auch die Standard-Anmelde-URL ändern, wenn du diese Option für deine Website aktiviert hast.

Wichtig!
Du kannst zum Standard-Anmeldetyp zurückkehren, indem du das folgende Snippet verwendest.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Anmelde-Zugang

Anmelde-Zugang ermöglicht es dir, den Zugriff der Anmelde-Seite auf eine bestimmte IPs oder einen IP-Bereich zu beschränken, um böswillige Anmeldeversuche oder Brute-Force-Angriffe zu verhindern.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Site neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte bedenke, dass dadurch auch alle IPs, die auf die Anmeldeseite zugreifen dürfen, entfernt werden und eine Neukonfiguration erforderlich sein wird:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Zwei-Stufen-Authentifizierung

Die Zwei-Stufen-Authentifizierung für Admin-Benutzer zwingt alle Administratoren, ein Token bereitzustellen, das von der Google-Authentifizierungs-Anwendung bei der Anmeldung generiert wird.

Wichtig!
Du kannst erzwingen, dass andere Rollen die Zwei-Faktor-Authentifizierung auch benutzen. Sobald aktiviert, kannst du deinen Filter wie folgt hinzufügen.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

You can change the location of 2FA encryption key file using SGS_ENCRYPTION_KEY_FILE_PATH constant defined in wp-config.php file. Make sure to use full path to the file. Example:

// Custom path to SG Security Encryption key file.
define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');

Übliche Benutzernamen deaktivieren

Die Verwendung gängiger Benutzernamen wie ‚admin‘ ist eine Sicherheitsbedrohung, die oft zu unbefugtem Zugriff führt. Wenn du diese Option aktivierst, deaktivieren wir die Erstellung gängiger Benutzernamen und wenn du bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen hast, werden wir dich bitten, einen neuen oder mehrere neue zur Verfügung zu stellen.

Anmelde-Versuche begrenzen

Mit „Anmelde-Versuche begrenzen“ kannst du festlegen, wie oft Benutzer versuchen können, sich mit ungültigen Anmeldeinformationen anzumelden. Wenn sie ein bestimmtes Limit erreichen, wird die IP, von der aus sie sich anzumelden versuchen, für eine Stunde gesperrt. Wenn sie mit den erfolglosen Versuchen fortfahren, werden sie für 24 Stunden und danach 7 Tage eingeschränkt.

Wichtig!
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Website neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte beachte, dass dadurch auch die Sperre für Fehlversuche für alle IPs entfernt wird:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Sicherheit der Website

Mit diesem Toolset kannst du deine WordPress-Anwendung härten und vor Malware, Exploits und anderen bösartigen Aktionen schützen.

Systemordner sperren und schützen

Verriegelung und Schutz der System-Ordner erlaubt es dir die Ausführung von jeglichen bösartigen oder unberechtigten Scripts in deinen Anwendungs-System-Ordner zu blockieren.
Wenn die Option zur Verriegelung and Schutz der System-Ordner ein bestimmtes Script blockiert, das von einem anderen Plugin auf der Website benutzt wird, kannst du einfach dieses Script freigeben indem du den Schnipsel unten aufgeführt benutzt.

Benutze dies um eine Datei im wp_includes Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_uploads Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_content Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

WordPress-Version ausblenden

Wenn du „WordPress-Version verstecken“ verwendest, kannst du vermeiden, aufgrund von versionsspezifischen Schwachstellen für Massenangriffe markiert zu werden.

Themes- und Plugins-Editor deaktivieren

Deaktiviere Themes- und Plugins-Editor im WordPress-Admin, um potenzielle Codierungsfehler oder unbefugten Zugriff über den WordPress-Editor zu verhindern.

XML-RPC deaktivieren

Du kannst das XML-RPC-Protokoll deaktivieren, das kürzlich bei einer Reihe von Exploits verwendet wurde. Bitte bedenke, dass es WordPress daran hindert, mit Systemen von Drittanbietern zu kommunizieren, wenn es deaktiviert ist. Wir empfehlen, das Protokoll zu deaktivieren, es sei denn, du benötigst es ausdrücklich.

RSS- und ATOM-Feeds deaktivieren

Deaktiviere die RSS- und ATOM-Feeds, um das Scraping (Übernehmen) von Inhalten und spezifische Angriffe auf deine Website zu verhindern. Es wird empfohlen, dies jederzeit zu verwenden, es sei denn, du hast Leser, die deine Website über RSS-Reader verwenden.

Erweiterter XSS-Schutz

Durch Aktivieren des erweiterten XSS-Schutzes kannst du eine zusätzliche Schutzebene gegen XSS-Angriffe hinzufügen.

Lösche die Standard Readme.txt-Datei

Wenn du die Standard-Readme.txt-Datei löschst, die Informationen über deine Website enthält, verringerst du die Wahrscheinlichkeit, dass sie in einer Liste potenziell anfälliger Websites endet, die von Hackern verwendet wird.

Aktivitätsprotokoll

Hier kannst du die Aktivität registrierter, unbekannter und blockierter Besucher im Detail verfolgen. Wenn deine Website gehackt wurde, ein Benutzer oder ein Plugin kompromittiert wurden, kannst du jederzeit die schnellen Tools verwenden, um ihre zukünftigen Aktionen zu blockieren.

Wichtig!
Du kannst eine individuelle Protokoll-Lebensdauer (in Tagen) festlegen, in dem du den folgenden Filter verwendest, den wir zu diesem Zweck bereitgestellt haben.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

If you need to disable the activity log, you can use the following filter. Keep in mind that this will also disable the Weekly Activity Log Emails.

add_action( 'init', 'deactivate_activity_log' );
function deactivate_activity_log() {
    update_option( 'sg_security_disable_activity_log', 1 );
}

Massnahmen nach einem Hacking

Alle kostenlosen Plugins neu installieren

Wenn deine Website gehackt wurde, kannst du jederzeit versuchen, den Schaden zu verringern, indem du „Alle kostenlosen Plugins neu installieren“ verwendest. Dies wird alle deine kostenlosen Plugins neu installieren, und die Wahrscheinlichkeit eines weiteren Exploits oder der Wiederverwendung von bösartigem Code verringern.

Alle Benutzer abmelden

Du kannst alle Benutzer abmelden, um weitere Aktionen von ihnen zu verhindern.

Passwortzurücksetzung erzwingen

Erzwinge eine Passwort-Zurücksetzung, um alle Benutzer zu zwingen, ihr Passwort bei ihrer nächsten Anmeldung zu ändern. Dadurch werden auch alle aktuellen Benutzer sofort abgemeldet.

WP-CLI Unterstützung

In Version 1.0.2 haben wir volle WP-CLI-Unterstützung für alle Plugin-Optionen und Funktionalitäten hinzugefügt.

  • wp sg limit-login-attempts 0|3|5 – begrenzt die Anmeldeversuche auf 3, 5 oder auf 0, um die Versuche zu deaktivieren
  • wp sg login-access add IP – erlaubt nur bestimmten IP(s) den Zugriff auf das Backend der Website
  • wp sg login-access list all – listet die IP-Adressen auf der Freigabeliste auf
  • wp sg login-access remove IP – entfernt eine IP von der Freigabeliste
  • wp sg login-access remove all – entfernt alle IP-Adressen in der Freigabeliste
  • wp sg secure protect-system-folders enable|disable – aktiviert oder deaktiviert die Option zum Schutz der Systemordner
  • wp sg secure hide-wordpress-version enable|disable – aktiviert oder deaktiviert die Option zum Verstecken der WordPress-Version
  • wp sg secure plugins-themes-editor enable|disable – aktiviert oder deaktiviert Plugin- und Theme-Editor
  • wp sg secure xml-rpc enable|disable – aktiviert oder deaktiviert XML-RPC
  • wp sg secure rss-atom-feed enable|disable – aktiviert oder deaktiviert RSS- und ATOM-Feeds
  • wp sg secure xss-protection enable|disable – aktiviert oder deaktiviert den XSS-Schutz
  • wp sg secure 2fa enable|disable – aktiviert oder deaktiviert die Zwei-Stufen-Authentifizierung
  • wp sg secure disable-admin-user enable|disable – aktiviert oder deaktiviert die Verwendung von „admin“ als Benutzernamen
  • wp sg log ip add|remove|list <name> --ip=<ip> – benutzerdefinierte Pingbots, die im Aktivitätsprotokoll nach IP aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg log ua add|remove|list <name> – benutzerdefinierte Bots, die im Aktivitätsprotokoll nach Benutzeragenten aufgeführt sind, hinzufügen/ auflisten/ entfernen
  • wp sg list log-unknown|log-registered|log-blocked --days=<days> – spezifisches Zugriffsprotokoll für einen bestimmten Zeitraum auflisten
  • wp sg 2fa reset id|username|all ID|username – Resets the 2fa setup for the user ID, username or all users.
  • wp sg custom-login status|disable – Shows the status or disables the Custom Login URL functionality.

Anforderungen

  • WordPress 4.7
  • PHP 7.0
  • Funktionierende .htaccess-Datei

Screenshots

Installation

Automatische Installation

  1. Geh zu Plugins > Neu hinzufügen
  2. Suche nach ,,SiteGround Security“
  3. Klick auf den Button Installieren unter dem SiteGround Security-Plugin
  4. Wenn das Plugin installiert ist, drück auf den Link Plugin Aktivieren

Manuelle Installation

  1. Melde dich im WordPress Admin-Panel an und gehe zu Plugins -> Neu Hinzufügen
  2. Wähle das Menü „Upload“
  3. Klick auf den Button „Datei auswählen“ und wähle die heruntergeladene sg-security.zip-Datei aus
  4. Clicke den „Jetzt Installieren“ Knopf
  5. Gehe zu Plugins > Installierte Plugins und klick auf den Link „Aktivieren“ unter dem WordPress SiteGround Security Eintrag

Rezensionen

21. November 2022
I used their Login Security for only IP Login Access. And it's working well and perfect. I haven't got any hacks since then!
15. November 2022 1 Antwort
I love Siteground and all their features / plugins. But ever since v1.3.5 it started causing issues logging in because of certain characters I was using in my custom login URL, namely $ and = signs. Initially with v1.3.5 they stopped supporting the $ sign, so I had to login via ftp, disable the plugin, then login to the Wordpress backend, then renable the plugin via ftp, then update the custom login URL in the plugin, then everything worked ok. Then v1.3.7 came out and they stopped supporting the = sign, so I had to go through all that process again. I manage 105 websites so this was an absolute nightmare, plus having to email all my clients with new login URLs twice in the space of a month, didn't go down to well at all. I hate to say this, but if your an agency, avoid using this plugin...
30. Oktober 2022
I know very little about WordPress security. This plugin allowed me to strengthen security in one shot. It was designed carefully. Options are explained. (The PDF guide available from Siteground is also informative.) The activity log filters are particularly powerful. I was able to spot some suspicious 404s and block the IPs. I am more aware and more protected with this plugin.
25. Oktober 2022 1 Antwort
This plugin works as advertized to block unauthorized from the backend. More than that, it even blocked authorized users! Even following it's instructions to unblock by adding code into functions.php failed to let us back in. We have tried this plugin before but forgot the reason why we settled for another plugin. Perhaps this could be the reason - it works yet does not work - maybe just for us.
14. Oktober 2022
Provides the must-have custom admin URL functionality and Two factor Authentication! Extremely reliable and always up to date. Thank you SG!
Alle 75 Rezensionen lesen

Mitwirkende & Entwickler

„SiteGround Security“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:

Mitwirkende

„SiteGround Security“ wurde in 7 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.

Übersetze „SiteGround Security“ in deine Sprache.

Interessiert an der Entwicklung?

Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.

Änderungsprotokoll

Version 1.3.7

Release Date: Nov 15th, 2022

  • SG Security Dashboard bugfix
  • Improved 2FA Encryption key validation
  • Improved Custom Login/Register URL validation
  • Improved LiteSpeed Cache support
  • Option to use custom 2FA encryption key filepath

Version 1.3.6

Release Date: Nov 8th, 2022

  • Improved 2FA security with encryption
  • Improved Access Log filters
  • New WP-CLI command: reset all users 2FA setup

Version 1.3.5

Release Date: Oct 18th, 2022

  • Improved Custom Login URL
  • Improved Activity log

Version 1.3.4

Release Date: Oct 10th, 2022

  • Install service fix

Version 1.3.3

Release Date: Oct 10th, 2022

  • New Manage Activity Log option
  • New filter – Disable activity log
  • Improved Custom login url
  • Verbesserte WP-CLI-Unterstützung
  • Improved Jetpack plugin support
  • Verbesserte Fehlerbehandlung
  • Kleinere Fehlerbehebungen
  • Legacy code removed

Version 1.3.2

Release Date: Sept 21st, 2022

  • 2FA Backup codes security strengthening

Version 1.3.1

Release Date: Sept 13th, 2022

  • Verbesserung der Sicherheit der 2FA-Authentifizierung
  • IP Address detection Security Strengthening

Version 1.3.0

Release Date: July 14th, 2022

  • Brand New Design
  • Improved 2FA Authentication compatibility with Elementor custom login pages
  • Improved data collection
  • Kleinere Fehlerbehebungen

Version 1.2.9

Erscheinungsdatum: 20. Juni 2022

  • Neue Filter zum Ausschließen von „Verriegelung und Schutz der System-Ordner“
  • Verbesserte Unterstützung der IP-Bereiche
  • Verbesserte List der blockierten IP-Adressen
  • Verbessertes Löschen der Standard-Readme.html
  • Verbesserte 2FA Validierung
  • Verbesserte 2FA-Unterstützung für die Anmeldung zu „Mein Konto“
  • Verbesserte Datensammlung
  • Kleinere Fehlerbehebungen

Version 1.2.8

Veröffentlichungsdatum: 18. Mai 2022

  • Verbesserte Sicherheit des Plugins

Version 1.2.7

Veröffentlichungsdatum: 8. April 2022

  • Kleinere Fehlerbehebungen

Version 1.2.6

Veröffentlichungsdatum: 7. April 2022

  • 2FA-Refaktorierung

Version 1.2.5

Veröffentlichungsdatum: 6. April 2022

  • Refaktorierung der 2FA-Authentifizierung
  • Verbesserte wöchentliche E-Mails
  • HTST-Dienst ist veraltet

Version 1.2.4

Veröffentlichungsdatum: 16. März 2022

  • Verbesserte wöchentliche E-Mails
  • Verbesserte Unterstützung des Woocommerce Zahlungs-Plugins
  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.3

Veröffentlichungsdatum: 11. März 2022

  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.2

Veröffentlichungsdatum: 11. März 2022

  • Verbesserung der Sicherheit der 2FA-Authentifizierung

Version 1.2.1

Veröffentlichungsdatum: 9. März 2022

  • Verbesserte wöchentliche Berichte
  • Verbesserter HTTP-Header-Dienst
  • Code Refaktorierung

Version 1.2.0

Veröffentlichungsdatum: 28. Februar 2022

  • NEU – Wöchentliche Berichte
  • Code-Refaktorisierung und allgemeine Verbesserungen
  • Verbesserte 2FA-Unterstützung für Benutzerrollen
  • Verbesserte Fehlerbehandlung
  • Verbesserte Unterstützung für Begrenzung des Anmelde-IP-Bereichs
  • Verbessertes Event-Protokoll
  • Verbesserte Unterstützung des Phlox-Theme
  • Kleinere Fehlerbehebungen
  • Verbesserte WP-CLI-Unterstützung
  • Einwilligung zur Erhebung von Umgebungsdaten hinzugefügt

Version 1.1.3

Erscheinungsdatum: 1. Oktober 2021↵
* Verbesserte Funktion zum Verstecken der WP-Version

Version 1.1.2

Erscheinungsdatum: 20. August 2021↵
* Verbesserte Funktionalität der individuellen Anmelde-URL↵
* Verbesserte 2FA↵
* Verbesserte Erfolgs-/Fehlermeldungen

Version 1.1.1

Erscheinungsdatum: 12. August 2021↵
* Verbesserte 2FA↵
* Verbesserte Abmeldefunktion

Version 1.1.0

Erscheinungsdatum: 27. Juli 2021↵
* NEU! 2FA-Backup-Codes zur Seite für Profilbearbeitung hinzugefügt↵
* NEU! Individuelle Anmelde- und Registrierungs-URLs↵
* NEU! Automatische Generierung von HSTS-Headern hinzugefügt↵
* Verbesserte Funktion zum Deaktivieren gängiger Benutzernamen↵
* Verbesserter Massenabmeldedienst↵
* Verbesserte Aktivitätsprotokollierung und individuelle Beschriftung hinzugefügt↵
* Verbesserte Funktionalität zum Zurücksetzen des Passworts

Version 1.0.4

  • Verbessertes Limit für Anmeldeversuche

Version 1.0.3

  • Fehler im Bewertungsfeld in Safari behoben
  • Verbesserter Dienst zur RSS- und ATOM-Feed-Deaktivierung

Version 1.0.2

  • Filter hinzugefügt, um die Protokoll-Lebensdauer zu konfigurieren
  • WP-CLI-Unterstützung hinzugefügt
  • Verbesserte Zeichenfolgen

Version 1.0.1

  • Standardeinstellungen bei der Installation hinzugefügt
  • Verbesserte Übersetzungsunterstützung
  • Bereinigung bei der Deinstallation hinzugefügt

Version 1.0.0

  • Erste stabile Version

Version 0.1

  • Erstveröffentlichung.