Zur Erhöhung oder Gewährleistung der Security / Sicherheit müssen verschiedene Teilbereiche beachtet werden. Hier sind einige davon gelistet.
Zurzeit werden betrachtet:
- SSL-Zertifikat
- HTTP Security Header
- Die XML-RPC-Schnittstelle
0. Vorabbemerkungen
Es gibt kein Tool oder Plugin, welches die Sicherheit einer WordPress-Website komplett gewährleistet. Daher müssen verschiedene Tools zur Überprüfung eingesetzt werden. Die dann zu ergreifenden Maßnahmen können dann manuell oder per Plugin erfolgen.
Ein Standard-Tool ist der Security-Checker von Sucuri (https://sitecheck.sucuri.net/): Dort einfach die URL eingeben und innerhalb von Sekunden erscheint das Ergebnis.
Im “Normalfall” sollte keine Malware gefunden werden und auch die Website auf keiner Website-Backlist auftauchen.
1. Zum HTTP Security Header
Hierzu ist folgender Artikel sehr hilfreich:
https://blog.kulturbanause.de/2020/07/http-security-header/
Überprüfungen:
- Webbkoll-Dataskydd — ein universeller Checker: https://webbkoll.dataskydd.net/de/
- securityheaders — ein weiterer Checker: https://securityheaders.com/
- HSTS-Preload ein weiterer Checker: https://hstspreload.org
Zur Sicherheitsüberprüfung kann folgendes Tool verwendet werden: https://webbkoll.dataskydd.net/de
Nach Eingabe der URL erscheint innerhalb weniger Sekunden ein Ergebnis. Es wird angezeigt, ob …
- Cookies gesetzt sind
- das SSL-Zertifikat passend eingebunden ist
- …
Das Tool zeigt eine Fülle von Informationen an, die dann interpretiert werden müssen. Für diese Website ergibt sich folgendes Bild:
2. Die XML-RPC-Schnittstelle
Die XML-RPC-Schnittstelle sollte deaktiviert werden, da sie im Normalfall nicht benötigt wird, aber ein Sicherheitsrisiko darstellt. Hierzu muss zunächst überprüft werden, ob die Schnittstelle aktiv ist. Wenn Nein, dann ist alles in Ordnung, wenn Ja, dann kann Sie über verschiedene Mechanismen abgeschaltet werden.
Zur Überprüfung, ob die XML-RPC-Schnittstelle aktiv ist, kann diese Webseite helfen:
https://xmlrpc.eritreo.it/.
Dort muss einfach die URL der Website eingegeben werden und die Überprüfung läuft.
Achtung:
Wird dort angezeigt, dass der Test positiv verlaufen ist (“Congratulation! Your site passed the first check.”), so muss man aktiv werden. Der Checker “denkt andersherum”: Eine eingeschaltete XML-RPC-Schnittstelle ist dort “gut”.
Zum Ausschalten / Deaktivieren der XML-RPC-Schnittstelle gibt es mehrere Möglichkeiten: Änderungen in der function.php, Anpassungen an der htaccess-Datei oder Nutzung eines Plugins. Ich verwende in der Regel hierzu einen Eintrag in der htaccess-Datei. Dazu muss dort folgender Eintrag hinzugefügt werden:
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>