SiteGround Security

Beschreibung

Mit den sorgfältig ausgewählten und einfach zu konfigurierenden Funktionen bietet das Plugin SiteGround Security alles, was du zum Sichern deiner Website und zum Verhindern einer Reihe von Bedrohungen wie Brute-Force-Angriffe, kompromittierte Anmeldung, Datenlecks u.s.w. benötigst.

Anmelde-Einstellungen

Hier kannst du die von uns entwickelten Tools verwenden, um deine Anmeldeseite vor unbefugten Besuchern, Bots und anderem bösartigen Verhalten zu schützen.

Individuelle Anmelde-URL

Ändere die Standard-Anmelde-URL, um Angriffe zu verhindern, und eine leicht zu merkende Anmelde-URL zu haben. Du kannst auch die Standard-Anmelde-URL ändern, wenn du diese Option für deine Website aktiviert hast.

Wichtig! ↵
Du kannst zum Standard-Anmeldetyp zurückkehren, indem du das folgende Snippet verwendest.

add_action( 'init', 'remove_custom_login_url' );
function remove_custom_login_url() {
    update_option( 'sg_security_login_type', 'default' );
}

Anmelde-Zugang

Anmelde-Zugang ermöglicht es dir, den Zugriff der Anmelde-Seite auf eine bestimmte IPs oder einen IP-Bereich zu beschränken, um böswillige Anmeldeversuche oder Brute-Force-Angriffe zu verhindern.

Wichtig! ↵
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Site neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte bedenke, dass dadurch auch alle IPs, die auf die Anmeldeseite zugreifen dürfen, entfernt werden und eine Neukonfiguration erforderlich sein wird:

add_action( 'init', 'remove_login_access_data' );
function remove_login_access_data() {
    update_option( 'sg_login_access', array() );
}

Zwei-Stufen-Authentifizierung

Die Zwei-Stufen-Authentifizierung für Admin-Benutzer zwingt alle Administratoren, ein Token bereitzustellen, das von der Google-Authentifizierungs-Anwendung bei der Anmeldung generiert wird.

Wichtig!
Du kannst erzwingen, dass andere Rollen die Zwei-Faktor-Authentifizierung auch benutzen. Sobald aktiviert, kannst du deinen Filter wie folgt hinzufügen.

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );
function add_user_roles_to_2fa( $roles ) {
    $roles[] = 'your_role';
    return $roles;
}

Übliche Benutzernamen deaktivieren

Die Verwendung gängiger Benutzernamen wie ‚admin‘ ist eine Sicherheitsbedrohung, die oft zu unbefugtem Zugriff führt. Wenn du diese Option aktivierst, deaktivieren wir die Erstellung gängiger Benutzernamen und wenn du bereits einen oder mehrere Benutzer mit einem schwachen Benutzernamen hast, werden wir dich bitten, einen neuen oder mehrere neue zur Verfügung zu stellen.

Anmelde-Versuche begrenzen

Mit „Anmelde-Versuche begrenzen“ kannst du festlegen, wie oft Benutzer versuchen können, sich mit ungültigen Anmeldeinformationen anzumelden. Wenn sie ein bestimmtes Limit erreichen, wird die IP, von der aus sie sich anzumelden versuchen, für eine Stunde gesperrt. Wenn sie mit den erfolglosen Versuchen fortfahren, werden sie für 24 Stunden und danach 7 Tage eingeschränkt.

Wichtig! ↵
Wenn du dich aus deinem Admin-Panel aussperrst, kannst du die folgende Option zur function.php-Datei deines Theme hinzufügen, die Website neu laden und die Option entfernen, sobald du Zugriff erhalten hast. Bitte beachte, dass dadurch auch die Sperre für Fehlversuche für alle IPs entfernt wird:

add_action( 'init', 'remove_unsuccessfull_attempts_block' );
function remove_unsuccessfull_attempts_block() {
    update_option( 'sg_security_unsuccessful_login', array() );
}

Sicherheit der Website

Mit diesem Toolset kannst du deine WordPress-Anwendung härten und vor Malware, Exploits und anderen bösartigen Aktionen schützen.

Systemordner sperren und schützen

Verriegelung und Schutz der System-Ordner erlaubt es dir die Ausführung von jeglichen bösartigen oder unberechtigten Scripts in deinen Anwendungs-System-Ordner zu blockieren.
Wenn die Option zur Verriegelung and Schutz der System-Ordner ein bestimmtes Script blockiert, das von einem anderen Plugin auf der Website benutzt wird, kannst du einfach dieses Script freigeben indem du den Schnipsel unten aufgeführt benutzt.

Benutze dies um eine Datei im wp_includes Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );
function whitelist_file_in_wp_includes( $whitelist ) {

    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_uploads Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );
function whitelist_file_in_wp_uploads( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

Benutze dies um eine Datei im wp_content Ordner zuzulassen:

add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );
function whitelist_file_in_wp_content( $whitelist ) {
    $whitelist[] = 'file_name.php';
    $whitelist[] = 'another_file_name.php';

    return $whitelist;
}

WordPress-Version ausblenden

Wenn du „WordPress-Version verstecken“ verwendest, kannst du vermeiden, aufgrund von versionsspezifischen Schwachstellen für Massenangriffe markiert zu werden.

Themes- und Plugins-Editor deaktivieren

Deaktiviere Themes- und Plugins-Editor im WordPress-Admin, um potenzielle Codierungsfehler oder unbefugten Zugriff über den WordPress-Editor zu verhindern.

XML-RPC deaktivieren

Du kannst das XML-RPC-Protokoll deaktivieren, das kürzlich bei einer Reihe von Exploits verwendet wurde. Bitte bedenke, dass es WordPress daran hindert, mit Systemen von Drittanbietern zu kommunizieren, wenn es deaktiviert ist. Wir empfehlen, das Protokoll zu deaktivieren, es sei denn, du benötigst es ausdrücklich.

HTTP Strict Transport Security (HSTS) erzwingen

HSTS (HTTP Strict-Transport-Security) ist ein Response-Header. Es ermöglicht der Website, Browsern mitzuteilen, dass sie nur über HTTPS statt über HTTP aufgerufen werden sollte. Dies verhindert „Man-in-the-Middle“-Angriffe („Mann-in-der-Mitte“) und stellt sicher, dass regelmäßige Besucher auf die sichere Version der Website umgeleitet werden.

RSS- und ATOM-Feeds deaktivieren

Deaktiviere die RSS- und ATOM-Feeds, um das Scraping (Übernehmen) von Inhalten und spezifische Angriffe auf deine Website zu verhindern. Es wird empfohlen, dies jederzeit zu verwenden, es sei denn, du hast Leser, die deine Website über RSS-Reader verwenden.

Erweiterter XSS-Schutz

Durch Aktivieren des erweiterten XSS-Schutzes kannst du eine zusätzliche Schutzebene gegen XSS-Angriffe hinzufügen.

Lösche die Standard Readme.txt-Datei

Wenn du die Standard-Readme.txt-Datei löschst, die Informationen über deine Website enthält, verringerst du die Wahrscheinlichkeit, dass sie in einer Liste potenziell anfälliger Websites endet, die von Hackern verwendet wird.

Aktivitätsprotokoll

Hier kannst du die Aktivität registrierter, unbekannter und blockierter Besucher im Detail verfolgen. Wenn deine Website gehackt wurde, ein Benutzer oder ein Plugin kompromittiert wurden, kannst du jederzeit die schnellen Tools verwenden, um ihre zukünftigen Aktionen zu blockieren.

Wichtig! ↵
Du kannst eine individuelle Protokoll-Lebensdauer (in Tagen) festlegen, in dem du den folgenden Filter verwendest, den wir zu diesem Zweck bereitgestellt haben.

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );
function set_custom_log_lifetime() {
    return 'your-custom-log-lifetime-in-days';
}

Massnahmen nach einem Hacking

Alle kostenlosen Plugins neu installieren

Wenn deine Website gehackt wurde, kannst du jederzeit versuchen, den Schaden zu verringern, indem du „Alle kostenlosen Plugins neu installieren“ verwendest. Dies wird alle deine kostenlosen Plugins neu installieren, und die Wahrscheinlichkeit eines weiteren Exploits oder der Wiederverwendung von bösartigem Code verringern.

Alle Benutzer abmelden

Du kannst alle Benutzer abmelden, um weitere Aktionen von ihnen zu verhindern.

Passwortzurücksetzung erzwingen

Erzwinge eine Passwort-Zurücksetzung, um alle Benutzer zu zwingen, ihr Passwort bei ihrer nächsten Anmeldung zu ändern. Dadurch werden auch alle aktuellen Benutzer sofort abgemeldet.

WP-CLI Unterstützung

In Version 1.0.2 haben wir volle WP-CLI-Unterstützung für alle Plugin-Optionen und Funktionalitäten hinzugefügt.

• wp sg limit-login-attempts 0|3|5 – begrenzt die Anmeldeversuche auf 3, 5 oder auf 0, um die Versuche zu deaktivieren
• wp sg login-access add IP – erlaubt nur bestimmten IP(s) den Zugriff auf das Backend der Website
• wp sg login-access list all – listet die IP-Adressen auf der Freigabeliste auf
• wp sg login-access remove IP – entfernt eine IP von der Freigabeliste
• wp sg login-access remove all – entfernt alle IP-Adressen in der Freigabeliste
• wp sg secure protect-system-folders enable|disable – aktiviert oder deaktiviert die Option zum Schutz der Systemordner
• wp sg secure hide-wordpress-version enable|disable – aktiviert oder deaktiviert die Option zum Verstecken der WordPress-Version
• wp sg secure plugins-themes-editor enable|disable – aktiviert oder deaktiviert Plugin- und Theme-Editor
• wp sg secure xml-rpc enable|disable – aktiviert oder deaktiviert XML-RPC
• wp sg secure rss-atom-feed enable|disable – aktiviert oder deaktiviert RSS- und ATOM-Feeds
• wp sg secure xss-protection enable|disable – aktiviert oder deaktiviert den XSS-Schutz
• wp sg secure 2fa enable|disable – aktiviert oder deaktiviert die Zwei-Stufen-Authentifizierung
• wp sg secure disable-admin-user enable|disable – aktiviert oder deaktiviert die Verwendung von „admin“ als Benutzernamen
• wp sg log ip add|remove|list <name> --ip=<ip> – benutzerdefinierte Pingbots, die im Aktivitätsprotokoll nach IP aufgeführt sind, hinzufügen/ auflisten/ entfernen
• wp sg log ua add|remove|list <name> – benutzerdefinierte Bots, die im Aktivitätsprotokoll nach Benutzeragenten aufgeführt sind, hinzufügen/ auflisten/ entfernen
• wp sg list log-unknown|log-registered|log-blocked --days=<days> – spezifisches Zugriffsprotokoll für einen bestimmten Zeitraum auflisten
• wp sg 2fa reset id ID – setzt die 2FA Einstellung für das ID des Benutzers.

Anforderungen

• WordPress 4.7
• PHP 7.0
• Funktionierende .htaccess-Datei