Wordpress Sicherheit/Virenschutz

  • Liebes Forum,


    ...eine Frage die ich mir immer wieder im Hinblick auf meine Wordpress-Instanz (bisher nur zum Testen) stelle, worauf muss ich achten, um diese möglichst "sicher" zu gestalten? Ich weiss, das ist ziemlich pauschal gefragt, aber reicht es zB aus, wenn ich Wordpress nebst allen installierten Plugins möglichst aktuell halte und die von netcup empfohlenen Sicherheitseinstellungen (im Menü unter "Wordpress-Sicherheit überprüfen") aktiviere oder sollte ich zusätzlich in Wordpress noch ein SicherheitsPlugin (welches?) benutzen?


    Und- woran würde ich denn eigentlich ggf. erkennen können, wenn meine Instanz gehackt worden wäre? Gibt es z.B. einen Parameter auf den man immer achten sollte?


    Evtl. gibt es dazu womöglich eine FAQ, die ich übersehen habe...?


    Auf jeden Fall schon mal vielen lieben Dank fürs Lesen. :)

  • Wordpress + Plugins + Themes stets aktuell halten, die Berechtigungen im Webspace so restriktiv wie möglich setzen sowie Plugins und Themes nur aus vertrauenswürdigen Quellen installieren. Außerdem unbedingt den Admin-Bereich mittels .htaccess/Basic Auth schützen.


    Von etwaigen "Sicherheits"-Plugins würde ich tunlichst die Finger lassen.


    Sichere Passwörter zu verwenden sollte sich von selbst verstehen :)


    Ob deine Instanz gehackt wurde, kannst du leider nicht immer offensichtlich erkennen.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Vielen Dank für Deine Antwort. :)


    D.h. Du würdest die Datei "wp-login.php" mittels .htaccess (und entsprechender .htpasswd) schützen? Habe das gerade mal ausprobiert...das hat dann aber zur Folge, dass ich mich unter wp-admin jetzt quasi zweimal einloggen muss...oder habe ich da was falsch gemacht/verstanden?

  • Plugins nur die wirklich benötigten installieren. Auch schauen, wie aktiv diese gepflegt und weiter entwickelt werden.

    Die Wordpress Core Installation kannst du mittels "wp core verify-checksum" überprüfen.

    Danke für den Tipp. :)

    Noch eine Dummy-Frage..."wp core verify-checksum" ist ein Kommandozeilenprogramm, oder? Wie kann ich das denn bzw. ein Terminal bei netcup aufrufen?

  • das hat dann aber zur Folge, dass ich mich unter wp-admin jetzt quasi zweimal einloggen muss...oder habe ich da was falsch gemacht/verstanden?

    Genau so soll es sein. Der vorgeschaltete Basic Auth schützt zusätzlich deinen Administrationsbreich vor eventuellen Sicherheitslücken in Wordpress selbst. Beim Basic Auth sollte zudem unbedingt ein zufälliger Benutzer+Passwort vergeben werden.


    "wp core verify-checksum" ist ein Kommandozeilenprogramm, oder? Wie kann ich das denn bzw. ein Terminal bei netcup aufrufen?

    https://www.netcup-wiki.de/wiki/Websites#SSH-Zugang

  • Genau so soll es sein. Der vorgeschaltete Basic Auth schützt zusätzlich deinen Administrationsbreich vor eventuellen Sicherheitslücken in Wordpress selbst. Beim Basic Auth sollte zudem unbedingt ein zufälliger Benutzer+Passwort vergeben werden.


    https://www.netcup-wiki.de/wiki/Websites#SSH-Zugang

    Vielen Dank für den Tipp, konnte mich nun auch entsprechend über SSH einloggen :), allerdings steht der Befehl "wp core verify-checksum" in meiner Bash standardmäßig anscheinend nicht zur Verfügung ("bash: wp: Kommando nicht gefunden"), kann ich bzw. wie kann ich das Programm dort installieren?

  • Danke für den Tipp. :)

    Noch eine Dummy-Frage..."wp core verify-checksum" ist ein Kommandozeilenprogramm, oder? Wie kann ich das denn bzw. ein Terminal bei netcup aufrufen?

    Vielen Dank für den Tipp, konnte mich nun auch entsprechend über SSH einloggen :), allerdings steht der Befehl "wp core verify-checksum" in meiner Bash standardmäßig anscheinend nicht zur Verfügung ("bash: wp: Kommando nicht gefunden"), kann ich bzw. wie kann ich das Programm dort installieren?

    Das kannst du einfach herunterladen, du kannst es aber im Webhosting nicht in den "Standard"-Pfad /usr/local/bin verschieben. Alternativ kannst du es einfach unter / abspeichern, z.B. so:


    Code
    cd /
    curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
    chmod +x wp-cli.phar
    mv wp-cli.phar wp

    Danach wechselst du in den Ordner deiner Wordpress-Instanz und nutzt anstatt "wp" einfach "/wp", also z.B. /wp core verify-checksum

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Zu spät für einen Edit:


    Die geschicktere Variante ist es, sich einen eigenen bin-Ordner anzulegen und dort wp-cli zu installieren, wobei das eigentlich keinen Unterschied macht, ist halt schöner. Ringelnatz hat das gut erklärt anhand von Composer: https://forum.netcup.de/anwend…-installieren/#post106438


    In deinem Fall also:


    Bash
    mkdir /mybin
    cd /mybin
    curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
    chmod a+x wp-cli.phar
    mv wp-cli.phar wp
    export PATH="$PATH:/mybin"
    echo export PATH="$PATH:/mybin" > ~/.profile

    Danach kannst du dann ganz normal den Befehl wp ohne vorangestellten Schrägstrich nutzen.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Super! Das funktioniert ja ganz wunderbar. :) (nur musste ich "checksums" statt "checksum" eingeben)...und ich habe auf jeden Fall wieder was gelernt. Vielen lieben Dank!