Wordpress-Seite absichern

  • Hallo,

    bin neu bei Netcup und WordPress und habe in diesem Thread schon den Link auf die Installationsanleitung für WordPress bei Netcup gefunden:
    https://www.netcup-wiki.de/wik…nstallation_von_Wordpress

    Bisher habe ich da keine Einstellungen gefunden, wie ich die Seite auf dem Server absichern kann, z.B. würde ich gerne Geoblocking machen. Ist das so, dass man das alles innerhalb von WordPress selbst mit Plugins machen sollte oder habe ich eine Möglichkeit bei Netcup übersehen?

    Danke im voraus
    Rolfino

  • Geoblocking bietet Netcup nicht an und ist generell eher schwierig umzusetzen - es ist nie 100% sicher, wo ne IP herkommt, auch die Browsereinstellungen kann man beliebig wählen. Mag in 90% der Fälle alles korrekt sein, aber die anderen 10% (oder mehr oder weniger) triffst du damit nicht oder zu viel. Geoblocking hat auch m. E. nichts mit absichern zu tun. Eben nur mit "ne IP aussperren" - und als motivierter Angreifer nehm ich halt ne andere (Stichwort VPN...).


    Kommentar am Rande: Wir sollten in Wordpress (und Drupal und Dokuwiki und Mediawiki und und und) als Community mal n Feature-Request machen: "Bitte in den Einstellungen ein Häkchen machen mit >>[ ] Abgesicherter Modus<<. Hat bei Windows ja auch gut geklappt. ;)

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • Servus. „Sicherheit durch Geoblocking“ zu erreichen ist meiner Meinung nach komplett der falsche Weg. Eher solltest du darauf achten nur vernünftige Plugins und nicht jeden Müll zu installieren. Zusätzlich dazu solltest du darauf achten, dass deine Software immer aktuell ist, dass du sichere Passwörter verwendest und dass der Server selbst proffessionell gewartet wird (in dem Fall durch netcup bereits erledigt).


    Du kannst natürlich auch übertreiben und Web Application Firewall plus Intrusion Detection davor zu schalten, das erachte ich aber eher als unnötig auf kleinen Webseiten. Cloudflare (bietet eine WAF gegen Geld) könntest du dir aber tatsächlich mal ansehen, falls das für dich interessant ist.

  • Bisher habe ich da keine Einstellungen gefunden, wie ich die Seite auf dem Server absichern kann, z.B. würde ich gerne Geoblocking machen. Ist das so, dass man das alles innerhalb von WordPress selbst mit Plugins machen sollte oder habe ich eine Möglichkeit bei Netcup übersehen?


    Geoblocking hat mit "Sicherheit" nichts zu tun. Ein Server wird nicht sicherer davon, dass man den Zurgiff aus bestimmten Regionen unterbindet. Zudem ist eine Zuordnung von IP-Adresse zu Region mitunter sehr ungenau und eine Sperre kann auch legitimer Besucher treffen. Ich würde das nicht machen.


    Der Weg zum sicheren Betrieb einer Website ist auch nicht, sie nachträglich abzusichern, sondern von vorne herein nichts einzurichten, was unsicher ist, also konkret:

    1. Sichere Passwörter vergeben (Länge ist wichtiger als Komplexität).
    2. Jede verwendete Software immer aktuell halten - je länger eine Sicherheitslücke bekannt ist, desto wahrscheinlicher wird es, dass sie auch ausgenutzt wird.
    3. Keine AddOns verwenden, die schon länger keine Updates mehr bekommen haben (also nichts, was z.B. zuletzt vor 1 oder 2 Jahren aktualisiert wurde und nicht mal mit WordPress 5 getestet wurde)
    4. Keine selbstgebastelten PHP-Scripte oder Anpassungen in functions.php oder im Theme verwenden, die man womöglich nur per Copy&Paste aus irgendwelchen "Tipps & Tricks zu WordPress" übernommen hat, aber selber nicht wirklich versteht.
    5. Funktionen, die man nicht braucht, abschalten - also z.B. Kommentare, Pingback, Trackback, RSS-Feed, RPC-Schnittstelle.
  • Meine Wordpress-Seite ist eigentlich nur für Leute aus unserer Stadt interessant, trotzdem nerven von Anfang an Lockout-Meldungen. So weit ich das überblicke, waren die alle verursacht von IP-Adressen aus China und Russland. Es ist mir klar, dass ein Geoblock auch umgangen werden kann. Ich verstehe nicht, warum ich nicht wenigstens die Angreifer ausschließen soll, die sich noch nicht einmal die Mühe machen, ihre Herkunft zu verbergen. Ist aber auch egal, ich werde es anders versuchen.


    Verstanden habe ich, dass Netcup das nicht anbietet. Danke für alle Antworten!

  • In der vergangenen Nacht habe ich erstmals eine Lockout-Meldung auf deutsch erhalten, also eine "Website-Aussperrungsbenachrichtigung". Dieses Mal war der Auslöser eine ukrainische IP-Adresse.


    Laut einer Suche im Netcup Wiki nach "WordPress" gibt es eine Seite mit dem Seitentitel "WordPress". Von diesem Link wird man aber weitergeleitet auf die Seite "Plesk Onyx Panel Webhosting".

    Worum handelt es sich denn genau bei dem "Wordpress-Toolkit" von Netcup, das laut der tabellarischen Tarif-Übersicht bei allen Tarifen Webhosting 1000 bis 8000 enthalten ist? Ist das die Unterstützung beim Installieren von WordPress oder gibt es darüber hinaus noch etwas, was ich möglicherweise übersehen habe?

  • Soweit ich das verstehe, handelt es sich bei dem Wordpress Toolkit wohl um eine Erweiterung von Plesk.

    https://docs.plesk.com/de-DE/o…/wordpress-toolkit.79128/

    Richtig und es ist wirklich sehr nützlich. Man kann mit 3 Klicks komplette Staging Seiten aufsetzen (klonen), man sieht ob Updates anstehen oder irgendwas mit der Installation nicht stimmt. Man kann Plugins aktivieren und deaktivieren, Themes ändern, Wartungsmodus schalten. Und man kommt Sicherheitsvorschlage angeboten (kein PHP Ausführung in bestimmten Ordner, kein Zugriff auf bestimmte Ordner für Bots, usw...)


    Siehe Bild

    Screenshot_20191111-125006_Chrome.jpg

  • Also ich bin vom Netcup Customer Control Panel
    https://www.customercontrolpanel.de/start.php

    über den Button "WCP Autologin"
    in den Abschnitt "Globale Verwaltung und Konfigurationen des Webhostings" gekommen, dort gibt es im linken Menü einen
    Menüpunkt "WordPress", darüber kommt man dann in eine
    Übersicht "WordPress für Webhosting 123..." und
    dort kann man bspw. Plugins deaktivieren, wenn man sich darin verkonfiguriert hat.