Weiß jemand wie sicher WordPress ist? Ich habe keine Ahnung, wie ich “wie sicher” definieren soll. Aber wie sicher ist es im Vergleich zu anderen CMS-Systemen?
Aktualisieren:
Um ein bisschen auf mein Projekt einzugehen. Ich werde eine Menge Benutzer haben, die sich registrieren. Sobald sie angemeldet sind, haben sie Zugriff auf Plugins, die ich entwickle. In ca. 6 Monaten werde ich auch kostenpflichtige Dienste anbieten – ich denke da an PayPal. Alle sensiblen Details werden auf PayPals https behandelt.
Ich weiß nicht wirklich, wie ich definieren soll, wie sicher es ist, aber ich kann Ihnen ein paar Dinge darüber sagen, die Ihnen helfen sollten, sich zu entscheiden.
Standardmäßig tut WordPress dies nicht sichere Anmeldungen, sodass Benutzernamen und Passwörter im Klartext übergeben werden. Und die meisten Leute benutzen WordPress so.
Allerdings kannst du seit Version 2.6 Anmeldungen unter SSL erzwingen, indem du Folgendes zu deiner wp-config.php hinzufügst:
define('FORCE_SSL_LOGIN', true);
Sie können sich auch dafür entscheiden, SSL für alle administrativen Aufgaben zu erzwingen, indem Sie Folgendes verwenden:
define('FORCE_SSL_ADMIN', true);
Das sollte es ziemlich gut machen. Und unabhängig von der verwendeten Version können Sie SSL für den Administrator immer mit mod_rewrite erzwingen:
Das würde alles unter wp-admin zwingen, unter SSL zu arbeiten, und alles andere würde auf “normales” HTTP gezwungen.
Andere zu berücksichtigende Dinge sind MySQL. Wenn Ihr Blog über das Internet mit MySQL kommuniziert, müssen Sie sich um eine weitere Sache kümmern. Die meisten Setups haben MySQL jedoch in einem sicheren Netzwerk. Noch besser, wenn MySQL auf demselben Rechner läuft wie der Webserver, sodass Sie kommunizieren können, ohne sich überhaupt auf TCP/IP zu verlassen.
Hmm … Ich habe gelesen, dass die Verwendung von https dem Server viel abverlangt. Und man sollte es nur für die Teile der Website verwenden, die zusätzliche Sicherheit erfordern. Ich denke also nicht, dass es eine so gute Idee wäre, es im gesamten Admin-Bereich zu verwenden?
– Stefan
29. Juni 2009 um 19:13 Uhr
Sicher, deshalb hat WordPress die Option FORCE_SSL_LOGIN, sodass nur die Anmeldung über SSL erzwungen wird. Auf der anderen Seite geht im Admin-Teil von WordPress viel Cookie-Zeug hin und her, also ist SSL auch dort keine so schlechte Idee.
– Benutzer76430
30. Juni 2009 um 14:35 Uhr
hmm …. und ich denke, das System benötigt ein paar hundert gleichzeitige Benutzer, die gleichzeitig lastintensive Dienste ausführen, um den Server zu verlangsamen?
– Stefan
6. Juli 2009 um 13:52 Uhr
shyammakwana.me
Überprüfen Sie Ihre Website auf sucuri.net um weitere Informationen zu Malware, Spam usw. zu erhalten…
1. Verwenden Sie das Sicherheits-Plugin
Ich empfehle zu verwenden Wordfence. Welches viele Funktionen hat und kann
Verwenden Sie die aktualisierte Version von WordPress, Plugins, Themes.
Gaurav
Installieren Sie diese vier Sicherheits-Plugins:
Limit-Login-Versuche: Begrenzen Sie die Anzahl der Anmeldeversuche, auch über Cookies, für jede IP.
Lockdown-wp-admin: Sichern der WordPress-Administrationsschnittstelle durch Verbergen des Administrations-Dashboards und Ändern der URL der Anmeldeseite.
Wp-Mathe-Captcha: Math Captcha ist ein 100 % effektives CAPTCHA für WordPress, das sich in Anmeldung, Registrierung, Kommentare, Kontaktformular 7 und bbPress integriert.
Bessere-WP-Sicherheit: Schluss mit dem Rätselraten bei der WordPress-Sicherheit. iThemes Security bietet über 30 Möglichkeiten, WordPress in einem benutzerfreundlichen WordPress-Sicherheits-Plugin zu sperren.
Es hängt teilweise von Ihrem Bedrohungsmodell ab. Wenn Sie Ihren eigenen Blog betreiben möchten, ist das in Ordnung, bleiben Sie einfach über Upgrades auf dem Laufenden. Wenn Sie Patientendaten sichern, nein, das ist nicht sicher. Viele Leute schlagen darauf ein, aber meines Wissens gab es in WP selbst seit einiger Zeit keine großen Sicherheitslücken mehr. Es sind Plugins und Fehlkonfigurationen.
Sie werden ein Ziel für Leute sein, die Drive-by-Hacking betreiben und einen Exploit auf Tausenden von Websites verwenden, die versuchen, Spam einzuschleusen. Deshalb ist es wichtig, über Updates auf dem Laufenden zu bleiben. Aber insgesamt ist es für den persönlichen oder sogar geschäftlichen Gebrauch in Ordnung. Ich würde es auf jeden Fall empfehlen, anstatt zu versuchen, selbst zu rollen.
Es gibt Möglichkeiten, die Sicherheit zu erhöhen:
Sperren Sie Teile, die Sie nicht benötigen/verwenden, wie XML-RPC
Bleiben Sie auf dem Laufenden
keine Plugins verwenden
WordPress, wie es sitzt, ist nicht so sicher. Ich weiß es persönlich, ich verwalte mehr als 10 Websites und sie werden ständig von betrügerischen Servern aus der ganzen Welt angegriffen. (wie diese schöne Person aus Korea http://www.ip-adresse.com/ip_tracer/1.234.83.77)
Ich würde es SEHR empfehlen http://wordpress.org/plugins/better-wp-security/ . Sie müssen Ihre eigene Sicherheit nicht aufrollen, verwenden Sie das, was sie bieten, und hey, wenn Sie es mögen, werden Sie Profi! Ich bin überhaupt nicht mit der Firma verwandt, aber ich hatte VIEL Erfolg mit ihren Plugins.
Befolgen Sie alle Schritte, sperren Sie alles, korrigieren Sie Ihre Dateiberechtigungen und drücken Sie die Daumen. Wenn jemand rein will, findet er einen Weg. Sie können nur versuchen, alle Risiken zu mindern.
Wenn Sie außerdem auf Ihrem eigenen virtuellen Linux-Host (rackspace/amazon/etc) arbeiten, würde ich linux ufw empfehlen.
Ein letzter Vorschlag, fail2ban ist eine ausgezeichnete Ressource, nicht für WordPress direkt, aber für alle Anmeldungen auf Ihrem Server. Es sperrt Personen ähnlich wie Better WP Security.
Viel Glück, lass uns wissen, wie du dich entschieden hast!
„Wordpress, so wie es ist, ist nicht so sicher. Ich weiß es persönlich, ich verwalte mehr als 10 Websites und sie werden ständig von betrügerischen Servern aus der ganzen Welt angegriffen.“ Das macht keinen Sinn. ALLE Websites werden rund um die Uhr von Bots und Hackern angegriffen; Sehen Sie sich alle rohen Serverzugriffsdateien an. Ihre eigenen WP-Sites werden also gehämmert? Na und. Das macht WordPress selbst nicht automatisch unsicher. en.wikipedia.org/wiki/Correlation_does_not_imply_causation
– BlueDogRanch
22. August 2016 um 4:56 Uhr
James-see
Ich habe eine Liste mit Empfehlungen und Plugins drüben unter sicher-wordpress. Eine kurze Liste der empfohlenen Plugins bei einer minimalen Nachinstallation:
ithemes security – setze /wp-login.php auf einen anderen erfundenen Pfad und blockiere XML-RPC-Angriffsvektoren
Wordfence-Sicherheit – Automatisches Sperren von gefälschten Crawlern, Pingern und Angreifern – Vergessen Sie nicht, Ihre IP-Adresse auf die Whitelist zu setzen
Mathe-Captcha – zur Anmeldeseite hinzufügen
wp slimstat – Besucher verfolgen Medientresor – Verriegeln Sie Anbaugeräte aller Art Download-Manager – Downloads verfolgen Kommentare deaktivieren – Kommentare vollständig deaktivieren Automatische Aktualisierung von WP-Plugins und -Designs – Halten Sie alles automatisch auf dem neuesten Stand
„Wordpress, so wie es ist, ist nicht so sicher. Ich weiß es persönlich, ich verwalte mehr als 10 Websites und sie werden ständig von betrügerischen Servern aus der ganzen Welt angegriffen.“ Das macht keinen Sinn. ALLE Websites werden rund um die Uhr von Bots und Hackern angegriffen; Sehen Sie sich alle rohen Serverzugriffsdateien an. Ihre eigenen WP-Sites werden also gehämmert? Na und. Das macht WordPress selbst nicht automatisch unsicher. en.wikipedia.org/wiki/Correlation_does_not_imply_causation
– BlueDogRanch
22. August 2016 um 4:56 Uhr
Gemeinschaft
Sie müssen Sicherheits-Plugins verwenden, um Ihre WP-Site zu sichern. Es sind viele Plugins verfügbar. Ich habe die besten 5 kostenlosen Plugins in meinem Artikel hier erwähnt –
Angreifer suchen zuerst nach der URL wp-login.php. Sie müssen die reguläre Anmelde-URL vor etwas anderem verbergen. Sie können verwenden wps Login verbergen Plugin dafür.
Verwenden Sie niemals Benutzernamen wie admin, demo, admin123, demo123, abc. Dies sind die am häufigsten verwendeten Benutzernamen.
Verwenden Sie ein starkes Passwort. Sie können auf dieser Seite absolut kostenlos ein sicheres Passwort generieren. https://passwortgenerator.net/
Verwenden Sie niemals kostenlose Themen oder. Kostenlose Themen enthalten anfällige Skripte, um in den WP-Administrator einzutreten, ohne Sie zu kennen.
Aktualisieren Sie immer alle Plugins und Themes auf dem neuesten Stand, da sie Sicherheitspatches kontinuierlich aktualisieren.