Sichern der WordPress Blog-Installation

Was kann ich tun, um sicherzustellen, dass meine WordPress-Installation auf meinem gemeinsam genutzten Linux-Server sicher ist, abgesehen von sicheren Kennwörtern für meine Blogbenutzer- und Datenbankverbindungen?

Ich denke, die besten Vorschläge werden im offiziellen "Hardening Wordpress" -Dokument gut erklärt:

http://codex.wordpress.org/Hardening_WordPress

Am Ende sind dies die gleichen Vorschläge für jede Anwendung da draußen:

• Halten Sie es auf dem Laufenden.
• Verwenden Sie gute Passwörter
• Reduzieren Sie die von Ihnen präsentierten Informationen (Versionen, Serverinformationen usw.).

Wenn Sie die Sicherheit mit Dunkelheit verbessern möchten (nicht nur gedacht, sondern als zusätzliche Maßnahme), enthält dieses Dokument einige Ideen:

http://sucuri.net/?page=docs&title=wordpress-hardening

Stellen Sie sicher, dass Sie die Dateiberechtigungen nicht auf 'chmod 777' gesetzt haben, wie dies in einigen Handbüchern der Fall ist. Sehen Sie sich alles an, in das Ihr Webserverkonto oder Ihre Webservergruppe schreiben kann, und stellen Sie sicher, dass es sich nur um Bereiche handelt, von denen Sie erwarten, dass sie dynamisch aktualisiert werden (Bilder, Anhänge usw.).

Melden Sie sich nur über eine SSL-Verbindung an.

Wenn Sie in ein Café gehen und sich unter http://www.yourblog.com/wp-admin/ anmelden, wird Ihr Passwort im Klartext gesendet und ist für jeden gut sichtbar, der das Netzwerk im Café und alle Router zwischen Ihnen und schnüffelt der Kellner.

Wenn Sie Ihre Blog-Anmeldeseite auf einen sicheren Server verschieben und Benutzer dazu zwingen, sich mit SSL unter https://www.yourblog.com/wp-admin/ anzumelden, wird das Kennwort beim Senden an den Server verschlüsselt.

Sie können entweder etwas PHP-Code zu WordPress hinzufügen

if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true 
      && $_SERVER['HTTPS']!='ON')
{
    Header("Location: https://www.yourblog.com/wp-admin/")
}

Oder verwenden Sie eine .htaccess-Datei, um die SSL-Anmeldung zu erzwingen, die ungefähr so ​​aussehen würde:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Einige Leute benennen Seiten wp-admin.phpum, um das Prüfen zu reduzieren.

Sichern Sie Ihr Verzeichnis / wp-admin /. Sperren Sie / wp-admin /, damit nur bestimmte IP-Adressen auf dieses Verzeichnis zugreifen können. Sie können eine .htaccess-Datei verwenden, die Sie direkt unter /wp-admin/.htaccess ablegen können. So könnte man aussehen:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 69.148.58.93
# whitelist work IP address
allow from 69.148.59.6
allow from 69.148.58.92
# IP while in Kentucky; delete when back
allow from 63.144.53.91

Josh

Stellen Sie sicher, dass Ihre WordPress-Installation auf dem neuesten Stand ist. Bleiben Sie auf dem Laufenden und überprüfen Sie die Updates mindestens wöchentlich.

Wenn es ein Update gibt, beginnen Sie den Installationsprozess zum frühestmöglichen Zeitpunkt für Sie, offensichtlich ohne das Geschäft zu stören, wenn Sie WP dafür verwenden.

Verwenden Sie einen eindeutigen Benutzernamen / ein Kennwort für Ihre Datenbankverbindung.