Beschreibung
Mit den sorgfältig ausgewählten und einfach zu konfigurierenden Funktionen bietet das Plugin SiteGround Security alles, was du zum Sichern deiner Website und zum Verhindern einer Reihe von Bedrohungen wie Brute-Force-Angriffe, kompromittierte Anmeldung, Datenlecks u.s.w. benötigst.
Anmelde-Einstellungen
Hier kannst du die von uns entwickelten Tools verwenden, um deine Anmeldeseite vor unbefugten Besuchern, Bots und anderem bösartigen Verhalten zu schützen.
Individuelle Anmelde-URL
Ändere die Standard-Anmelde-URL, um Angriffe zu verhindern, und eine leicht zu merkende Anmelde-URL zu haben. Du kannst auch die Standard-Anmelde-URL ändern, wenn du diese Option für deine Website aktiviert hast.
Wichtig! ↵
Du kannst zum Standard-Anmeldetyp zurückkehren, indem du das folgende Snippet verwendest.
add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
update_option( 'sg_security_login_type', 'default' );
}
Anmelde-Zugang
Anmelde-Zugang ermöglicht es dir, den Zugriff der Anmelde-Seite auf eine bestimmte IPs oder einen IP-Bereich zu beschränken, um böswillige Anmeldeversuche oder Brute-Force-Angriffe zu verhindern.
Wichtig! ↵
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Site neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte bedenke, dass dadurch auch alle IPs, die auf die Anmeldeseite zugreifen dürfen, entfernt werden und eine Neukonfiguration erforderlich sein wird:
add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
update_option( 'sg_login_access', array() );
}
Zwei-Stufen-Authentifizierung
Die Zwei-Stufen-Authentifizierung für Admin-Benutzer zwingt alle Administratoren, ein Token bereitzustellen, das von der Google-Authentifizierungs-Anwendung bei der Anmeldung generiert wird.
Wichtig!
Du kannst erzwingen, dass andere Rollen die Zwei-Faktor-Authentifizierung auch benutzen. Sobald aktiviert, kannst du deinen Filter wie folgt hinzufügen.
add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
$roles[] = 'your_role';
return $roles;
}
Übliche Benutzernamen deaktivieren
Die Verwendung gängiger Benutzernamen wie ‚admin‘ ist eine Sicherheitsbedrohung, die oft zu unbefugtem Zugriff führt. Wenn du diese Option aktivierst, deaktivieren wir die Erstellung gängiger Benutzernamen und wenn du bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen hast, werden wir dich bitten, einen neuen oder mehrere neue zur Verfügung zu stellen.
Anmelde-Versuche begrenzen
Mit „Anmelde-Versuche begrenzen“ kannst du festlegen, wie oft Benutzer versuchen können, sich mit ungültigen Anmeldeinformationen anzumelden. Wenn sie ein bestimmtes Limit erreichen, wird die IP, von der aus sie sich anzumelden versuchen, für eine Stunde gesperrt. Wenn sie mit den erfolglosen Versuchen fortfahren, werden sie für 24 Stunden und danach 7 Tage eingeschränkt.
Wichtig! ↵
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Website neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte beachte, dass dadurch auch die Sperre für Fehlversuche für alle IPs entfernt wird:
add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
update_option( 'sg_security_unsuccessful_login', array() );
}
Sicherheit der Website
Mit diesem Toolset kannst du deine WordPress-Anwendung härten und vor Malware, Exploits und anderen bösartigen Aktionen schützen.
Systemordner sperren und schützen
Verriegelung und Schutz der System-Ordner erlaubt es dir die Ausführung von jeglichen bösartigen oder unberechtigten Scripts in deinen Anwendungs-System-Ordner zu blockieren.
Wenn die Option zur Verriegelung and Schutz der System-Ordner ein bestimmtes Script blockiert, das von einem anderen Plugin auf der Website benutzt wird, kannst du einfach dieses Script freigeben indem du den Schnipsel unten aufgeführt benutzt.
Benutze dies um eine Datei im wp_includes Ordner zuzulassen:
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Benutze dies um eine Datei im wp_uploads Ordner zuzulassen:
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
Benutze dies um eine Datei im wp_content Ordner zuzulassen:
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
$whitelist[] = 'file_name.php';
$whitelist[] = 'another_file_name.php';
return $whitelist;
}
WordPress-Version ausblenden
Wenn du „WordPress-Version verstecken“ verwendest, kannst du vermeiden, aufgrund von versionsspezifischen Schwachstellen für Massenangriffe markiert zu werden.
Themes- und Plugins-Editor deaktivieren
Deaktiviere Themes- und Plugins-Editor im WordPress-Admin, um potenzielle Codierungsfehler oder unbefugten Zugriff über den WordPress-Editor zu verhindern.
XML-RPC deaktivieren
Du kannst das XML-RPC-Protokoll deaktivieren, das kürzlich bei einer Reihe von Exploits verwendet wurde. Bitte bedenke, dass es WordPress daran hindert, mit Systemen von Drittanbietern zu kommunizieren, wenn es deaktiviert ist. Wir empfehlen, das Protokoll zu deaktivieren, es sei denn, du benötigst es ausdrücklich.
HTTP Strict Transport Security (HSTS) erzwingen
HSTS (HTTP Strict-Transport-Security) ist ein Response-Header. Es ermöglicht der Website, Browsern mitzuteilen, dass sie nur über HTTPS statt über HTTP aufgerufen werden sollte. Dies verhindert „Man-in-the-Middle“-Angriffe („Mann-in-der-Mitte“) und stellt sicher, dass regelmäßige Besucher auf die sichere Version der Website umgeleitet werden.
RSS- und ATOM-Feeds deaktivieren
Deaktiviere die RSS- und ATOM-Feeds, um das Scraping (Übernehmen) von Inhalten und spezifische Angriffe auf deine Website zu verhindern. Es wird empfohlen, dies jederzeit zu verwenden, es sei denn, du hast Leser, die deine Website über RSS-Reader verwenden.
Erweiterter XSS-Schutz
Durch Aktivieren des erweiterten XSS-Schutzes kannst du eine zusätzliche Schutzebene gegen XSS-Angriffe hinzufügen.
Lösche die Standard Readme.txt-Datei
Wenn du die Standard-Readme.txt-Datei löschst, die Informationen über deine Website enthält, verringerst du die Wahrscheinlichkeit, dass sie in einer Liste potenziell anfälliger Websites endet, die von Hackern verwendet wird.
Aktivitätsprotokoll
Hier kannst du die Aktivität registrierter, unbekannter und blockierter Besucher im Detail verfolgen. Wenn deine Website gehackt wurde, ein Benutzer oder ein Plugin kompromittiert wurden, kannst du jederzeit die schnellen Tools verwenden, um ihre zukünftigen Aktionen zu blockieren.
Wichtig! ↵
Du kannst eine individuelle Protokoll-Lebensdauer (in Tagen) festlegen, in dem du den folgenden Filter verwendest, den wir zu diesem Zweck bereitgestellt haben.
add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
return 'your-custom-log-lifetime-in-days';
}
Massnahmen nach einem Hacking
Alle kostenlosen Plugins neu installieren
Wenn deine Website gehackt wurde, kannst du jederzeit versuchen, den Schaden zu verringern, indem du „Alle kostenlosen Plugins neu installieren“ verwendest. Dies wird alle deine kostenlosen Plugins neu installieren, und die Wahrscheinlichkeit eines weiteren Exploits oder der Wiederverwendung von bösartigem Code verringern.
Alle Benutzer abmelden
Du kannst alle Benutzer abmelden, um weitere Aktionen von ihnen zu verhindern.
Passwortzurücksetzung erzwingen
Erzwinge eine Passwort-Zurücksetzung, um alle Benutzer zu zwingen, ihr Passwort bei ihrer nächsten Anmeldung zu ändern. Dadurch werden auch alle aktuellen Benutzer sofort abgemeldet.
WP-CLI Unterstützung
In Version 1.0.2 haben wir volle WP-CLI-Unterstützung für alle Plugin-Optionen und Funktionalitäten hinzugefügt.
wp sg limit-login-attempts 0|3|5
– begrenzt die Anmeldeversuche auf 3, 5 oder auf 0, um die Versuche zu deaktivierenwp sg login-access add IP
– erlaubt nur bestimmten IP(s) den Zugriff auf das Backend der Websitewp sg login-access list all
– listet die IP-Adressen auf der Freigabeliste aufwp sg login-access remove IP
– entfernt eine IP von der Freigabelistewp sg login-access remove all
– entfernt alle IP-Adressen in der Freigabelistewp sg secure protect-system-folders enable|disable
– aktiviert oder deaktiviert die Option zum Schutz der Systemordnerwp sg secure hide-wordpress-version enable|disable
– aktiviert oder deaktiviert die Option zum Verstecken der WordPress-Versionwp sg secure plugins-themes-editor enable|disable
– aktiviert oder deaktiviert Plugin- und Theme-Editorwp sg secure xml-rpc enable|disable
– aktiviert oder deaktiviert XML-RPCwp sg secure rss-atom-feed enable|disable
– aktiviert oder deaktiviert RSS- und ATOM-Feedswp sg secure xss-protection enable|disable
– aktiviert oder deaktiviert den XSS-Schutzwp sg secure 2fa enable|disable
– aktiviert oder deaktiviert die Zwei-Stufen-Authentifizierungwp sg secure disable-admin-user enable|disable
– aktiviert oder deaktiviert die Verwendung von „admin“ als Benutzernamenwp sg log ip add|remove|list <name> --ip=<ip>
– benutzerdefinierte Pingbots, die im Aktivitätsprotokoll nach IP aufgeführt sind, hinzufügen/ auflisten/ entfernenwp sg log ua add|remove|list <name>
– benutzerdefinierte Bots, die im Aktivitätsprotokoll nach Benutzeragenten aufgeführt sind, hinzufügen/ auflisten/ entfernenwp sg list log-unknown|log-registered|log-blocked --days=<days>
– spezifisches Zugriffsprotokoll für einen bestimmten Zeitraum auflistenwp sg 2fa reset id ID
– setzt die 2FA Einstellung für das ID des Benutzers.
Anforderungen
- WordPress 4.7
- PHP 7.0
- Funktionierende .htaccess-Datei
Installation
Automatische Installation
- Geh zu Plugins > Neu hinzufügen
- Suche nach ,,SiteGround Security“
- Klick auf den Button Installieren unter dem SiteGround Security-Plugin
- Wenn das Plugin installiert ist, drück auf den Link Plugin Aktivieren
Manuelle Installation
- Melde dich im WordPress Admin-Panel an und gehe zu Plugins -> Neu Hinzufügen
- Wähle das Menü „Upload“
- Klick auf den Button „Datei auswählen“ und wähle die heruntergeladene sg-security.zip-Datei aus
- Clicke den „Jetzt Installieren“ Knopf
- Gehe zu Plugins > Installierte Plugins und klick auf den Link „Aktivieren“ unter dem WordPress SiteGround Security Eintrag
Rezensionen
Mitwirkende & Entwickler
„SiteGround Security“ ist Open-Source-Software. Folgende Menschen haben an diesem Plugin mitgewirkt:
Mitwirkende„SiteGround Security“ wurde in 7 Sprachen übersetzt. Danke an die Übersetzerinnen und Übersetzer für ihre Mitwirkung.
Übersetze „SiteGround Security“ in deine Sprache.
Interessiert an der Entwicklung?
Durchstöbere den Code, sieh dir das SVN Repository an oder abonniere das Entwicklungsprotokoll per RSS.
Änderungsprotokoll
Version 1.2.9
Erscheinungsdatum: 20. Juni 2022
- Neue Filter zum Ausschließen von „Verriegelung und Schutz der System-Ordner“
- Verbesserte Unterstützung der IP-Bereiche
- Verbesserte List der blockierten IP-Adressen
- Verbessertes Löschen der Standard-Readme.html
- Verbesserte 2FA Validierung
- Verbesserte 2FA-Unterstützung für die Anmeldung zu „Mein Konto“
- Verbesserte Datensammlung
- Kleinere Fehlerbehebungen
Version 1.2.8
Veröffentlichungsdatum: 18. Mai 2022
- Verbesserte Sicherheit des Plugins
Version 1.2.7
Veröffentlichungsdatum: 8. April 2022
- Kleinere Fehlerbehebungen
Version 1.2.6
Veröffentlichungsdatum: 7. April 2022
- 2FA-Refaktorierung
Version 1.2.5
Veröffentlichungsdatum: 6. April 2022
- Refaktorierung der 2FA-Authentifizierung
- Verbesserte wöchentliche E-Mails
- HTST-Dienst ist veraltet
Version 1.2.4
Veröffentlichungsdatum: 16. März 2022
- Verbesserte wöchentliche E-Mails
- Verbesserte Unterstützung des Woocommerce Zahlungs-Plugins
- Verbesserung der Sicherheit der 2FA-Authentifizierung
Version 1.2.3
Veröffentlichungsdatum: 11. März 2022
- Verbesserung der Sicherheit der 2FA-Authentifizierung
Version 1.2.2
Veröffentlichungsdatum: 11. März 2022
- Verbesserung der Sicherheit der 2FA-Authentifizierung
Version 1.2.1
Veröffentlichungsdatum: 9. März 2022
- Verbesserte wöchentliche Berichte
- Verbesserter HTTP-Header-Dienst
- Code Refaktorierung
Version 1.2.0
Veröffentlichungsdatum: 28. Februar 2022
- NEU – Wöchentliche Berichte
- Code-Refaktorisierung und allgemeine Verbesserungen
- Verbesserte 2FA-Unterstützung für Benutzerrollen
- Verbesserte Fehlerbehandlung
- Verbesserte Unterstützung für Begrenzung des Anmelde-IP-Bereichs
- Verbessertes Event-Protokoll
- Verbesserte Unterstützung des Phlox-Theme
- Kleinere Fehlerbehebungen
- Verbesserte WP-CLI-Unterstützung
- Einwilligung zur Erhebung von Umgebungsdaten hinzugefügt
Version 1.1.3
Erscheinungsdatum: 1. Oktober 2021↵
* Verbesserte Funktion zum Verstecken der WP-Version
Version 1.1.2
Erscheinungsdatum: 20. August 2021↵
* Verbesserte Funktionalität der individuellen Anmelde-URL↵
* Verbesserte 2FA↵
* Verbesserte Erfolgs-/Fehlermeldungen
Version 1.1.1
Erscheinungsdatum: 12. August 2021↵
* Verbesserte 2FA↵
* Verbesserte Abmeldefunktion
Version 1.1.0
Erscheinungsdatum: 27. Juli 2021↵
* NEU! 2FA-Backup-Codes zur Seite für Profilbearbeitung hinzugefügt↵
* NEU! Individuelle Anmelde- und Registrierungs-URLs↵
* NEU! Automatische Generierung von HSTS-Headern hinzugefügt↵
* Verbesserte Funktion zum Deaktivieren gängiger Benutzernamen↵
* Verbesserter Massenabmeldedienst↵
* Verbesserte Aktivitätsprotokollierung und individuelle Beschriftung hinzugefügt↵
* Verbesserte Funktionalität zum Zurücksetzen des Passworts
Version 1.0.4
- Verbessertes Limit für Anmeldeversuche
Version 1.0.3
- Fehler im Bewertungsfeld in Safari behoben
- Verbesserter Dienst zur RSS- und ATOM-Feed-Deaktivierung
Version 1.0.2
- Filter hinzugefügt, um die Protokoll-Lebensdauer zu konfigurieren
- WP-CLI-Unterstützung hinzugefügt
- Verbesserte Zeichenfolgen
Version 1.0.1
- Standardeinstellungen bei der Installation hinzugefügt
- Verbesserte Übersetzungsunterstützung
- Bereinigung bei der Deinstallation hinzugefügt
Version 1.0.0
- Erste stabile Version
Version 0.1
- Erstveröffentlichung.