
All In One Security - Sicherheitsplugin für WordPress
Eigentlich ist ja WordPress an sich schon eine recht sichere Plattform. Es ist
jedoch trotzdem empfehlenswert, etwas nachzuhelfen um ein hohes Sicherheits-
level zu erreichen. Für diesen Zweck möchte ich euch hier das Plugin
All In One WP Security & Firewall vorstellen und die wichtigsten Features
davon vorstellen.
Dieses kostenlose Plugin reduziert Sicherheitsrisiken, indem es nach
Angriffsvektoren sucht und einige wichtige Sicherheitspraktiken implementiert.
Es verwendet auch ein einzigartiges Bewertungssystem, welches den
Sicherheitsstandard von eurer Website misst. Eine Firewall ist auch mit dabei,
die mit verschiedenen Regelkategorien, sicherstellt dass die Funktionalität
eurer Seite nicht eingeschränkt wird.
Installation
Wie bei vielen anderen WP-Plugins, könnt ihr die Installation einfach
über das Plugins Menü in der WordPress Admin-Oberfläche durchführen.
Dafür sind folgende Schritte notwendig:
- 1. Geht auf Plugins->Add New
- 2. Sucht mithilfe der Searchbox nach User Role Editor
- 3. Klickt bei User Role Editor auf "Install Now"
Dashboard
Auf WP Security->Dashboard habt ihr eine praktische Übersicht über
euren Sicherheitsstatus mit einigen Diagrammen, sowie einen Überblick
über die wichtigsten Infos über euren Server und PHP.
Sicherheit von Benutzerkonten
Unter WP Security->User Accounts könnt ihr die Sicherheit eurer
WP-Benutzerkonten abfragen. Dabei wird vor allem überprüft ob es keinen
Benutzer mit dem Namen "admin" oder Benutzer mit identischem Login- und
Anzeige-Namen. Es gibt hier außerdem noch ein Passwortstärke-Tool, mit
dem sich sehr starke Passwörter generieren lassen.
Sicherheit von Logins
Die unter dem Punkt WP Security->User Login zu findenden Features
helfen unter anderem dabei Brute Fore Login Angriffe, mithilfe von Sperren
von gewissen IP- Adressen/Bereichen. Als Adminstrator kann man sich die
gesperrten User in Listenform ansehen. Des weiteren können hier verschiedene
Benutzeraktivitäten angesehen werden, so wie Loginversuche.
Sicherheit von Benutzerregistrierungen
Wenn ihr auf eurer Seite den Benutzern erlaubt, mithilfe des WP-Registrierungs
Formulars eigene Konten zu erstellen, dann könnt ihr mit den Tools unter
WP Security->User Registration Spam bei Registrationen minimieren
und auch Captchas und Honeypots erstellen.
Sicherheit der Datenbank
Hier(WP Security->Database Security) kann ein neuer Präfix erzeugt
werden um den Defaul-WP-Präfix zu ersetzen. Außerdem können automatische
Backups und E-Mail Benachrichtigungen dafür konfiguriert werden.
Sicherheit vom Dateisystem
Die Features unter WP Security->Filesystem Security können Dateien
oder Ordner identifizieren, welche unsichere Berechtigungen eingestellt
haben und diese ändern. Es kann zudem einstellt werden, dass PHP-Code nicht
mehr von der Admin-Oberfläche manipuliert werden kann und, dass Benutzer
keinen Zugriff auf Dateien wie readme.html, license.txt und wp-config-sample.php
mehr haben. Außerdem können Logs vom Hostsystem angezeigt werden.
Firewall
Das Plugin erlaubt euch, mithilfe der .htaccess Datei, Firewall Funktionalität
zu implementieren. Ihr könnt unter WP Security->Firewall verschiedenste
Typen von Regeln aktivieren, die von Basic bis Advancend reichen. Zudem gibt
es Möglichkeiten um Trace&Track zu deaktivieren, Schutz gegen schadhafte
Abfragestrings zu aktivieren, Proxy-Kommentare zu deaktivieren, die bekannten
"5G Blacklist" Firewall Regeln einzuschalten und vieles mehr.
Login Brute Force Vermeidung
Unter WP Security->Brute Force kann ein spezielles Cookie-basiertes Tool
aktiviert werden um Brute Fore Angriffe zu blockieren. Außerdem kann eine
einfache Mathematikaufgabe zur Loginseite hinzugefügt werden und eine neue
URL für die Loginseite erstellt werden um sie zu verstecken.
Spam-Kommentare
Um Spam-Kommentare zu verhindern, habt das Plugin im Admin-Bereich unter
WP Security->SPAM Prevention einige Tools, wie dass ihr IP-Adressen,
welche die meisten Kommentare produzieren überwachen und sofort blocken
könnt, oder Captchas zu den Kommentaren hinzufügt.