Sicherheit

Das Verwalten mehrerer WordPress-Websites

Wenn man meh­re­re Web­sites ver­wal­ten muss, so wird dies — ins­be­son­de­re bei Updates von The­mes oder Plugins — im Ein­zel­ver­fah­ren ab einer gewis­sen Anzahl von Web­sites auf­wen­dig. Als Dau­men­re­gel gilt: Ab 10 Web­sites soll­te man dar­über nach­den­ken, ein Web­­si­te-Mana­ge­­ment-Sys­­tem für Wor­d­Press ein­zu­set­zen. Rechen­bei­spiel: Betreut man 10 Web­sites (unter­schied­li­cher Grö­ße) und über­prüft und aktua­li­siert durch­schnitt­lich jeweils …

Das Ver­wal­ten meh­re­rer Wor­d­Press-Web­sites Weiterlesen »

Security

Zur Erhö­hung oder Gewähr­leis­tung der Secu­ri­ty / Sicher­heit müs­sen ver­schie­de­ne Teil­be­rei­che beach­tet wer­den. Hier sind eini­ge davon gelis­tet. Zur­zeit wer­den betrach­tet: SSL-Zer­­ti­­fi­­kat HTTP Secu­ri­ty Hea­der Die XML-RPC-Schnit­t­stel­­le 0. Vor­ab­be­mer­kun­gen Es gibt kein Tool oder Plugin, wel­ches die Sicher­heit einer Wor­­d­­Press-Web­­si­te kom­plett gewähr­leis­tet. Daher müs­sen ver­schie­de­ne Tools zur Über­prü­fung ein­ge­setzt wer­den. Die dann zu ergrei­fen­den Maßnahmen …

Secu­ri­ty Weiterlesen »

SSL — Wie wird das richtig eingebaut?

Der SSL (Secu­re Sockets Lay­er) soll­te auf jeder Web­site akti­viert sein. Hier­durch wird gewähr­leis­tet, dass die Daten­über­tra­gung von einer Web­site zu dem Gerät des Besu­chers (PC, Tablet oder Smart­pho­ne) gesi­chert ist. Um SSL zu akti­vie­ren, muss ein soge­nann­tes SSL-Zer­­ti­­fi­­kat instal­liert wer­den. In die­sem Arti­kel wird beschrie­ben, wie im “ein­fachs­ten Fall” das SSL-Zer­­ti­­fi­­kat auf der Website …

SSL — Wie wird das rich­tig ein­ge­baut? Weiterlesen »

Überprüfung der Website durch externe Tools

Sicher­heits­über­prü­fung Zur Sicher­heits­über­prü­fung kann fol­gen­des Tool ver­wen­det wer­den: https://webbkoll.dataskydd.net/de Nach Ein­ga­be der URL erscheint inner­halb weni­ger Sekun­den ein Ergeb­nis. Es wird ange­zeigt, ob … Coo­kies gesetzt sind das SSL-Zer­­ti­­fi­­kat pas­send ein­ge­bun­den ist … Das Tool zeigt eine Fül­le von Infor­ma­tio­nen an, die dann inter­pre­tiert wer­den müs­sen. Für die­se Web­site ergibt sich fol­gen­des Bild:

Disablen / Ausschalten von unerwünschten Features

Es gibt eine Rei­he von “Fea­tures” bei einer Web­site, die in der Regel uner­wünscht, aber bei Wor­d­Press den­noch ein­ge­schal­tet sind. Eini­ge die­ser Fea­tures kön­nen aber über Plugins aus­ge­schal­tet wer­den. Die Grün­de für den Wunsch, Fea­tures zur dis­ablen, kön­nen unter­schied­lich sein. Fol­gen­de Kate­go­rien gibt es: Daten­schutz: Das Fea­ture ruft daten­schutz­recht­li­che Pro­ble­me oder Beden­ken her­vor; Bei­spie­le: Goog­le Fonts Sicherheit …

Dis­ablen / Aus­schal­ten von uner­wünsch­ten Fea­tures Weiterlesen »

Reduzieren der Brute-Force-Attacken via Whitelist

Es kann pas­sie­ren, dass “von unbe­fug­ten Drit­ten” ver­sucht wird, eine Web­site zu hacken, indem das Log­in mit ver­schie­de­nen Benut­zer­na­men und Pass­wör­tern “durch­pro­biert” wird. Um dies zu ver­hin­dern, kann man das Plugin “Limit Log­in Attempts Rel­oa­ded” ein­set­zen. Hier­über ist es mög­lich, die Anzahl (ungül­ti­ger) Ver­su­che zu redu­zie­ren, so dass zumin­dest die Anzahl zuläs­si­ger Ver­su­che begrenzt wird. …

Redu­zie­ren der Bru­te-For­ce-Atta­cken via White­list Weiterlesen »

Das Login-Passwort vergessen — Was tun?

Falls man das Log­in-Pas­s­­wort ver­ges­sen hat, kann man sich das Pass­wort vom Wor­­d­­Press-Sys­­tem per E‑Mail zuschi­cken las­sen. Hier­zu muss man jedoch den eige­nen Benut­zer­na­men (oder die E‑Mail-Adres­­se) ken­nen. Zunächst ruft man — wie gewohnt — auf der gewünsch­ten Domain (bei­spiels­wei­se unter https://www.meine-domain.de/wp-admin) das Log­in-Dia­­lo­g­­fen­s­­ter auf (sie­he Bild). Dort muss man dann den Link “Pass­wort vergessen” …

Das Log­in-Pass­wort ver­ges­sen — Was tun? Weiterlesen »