Security

Zur Erhö­hung oder Gewähr­leis­tung der Secu­ri­ty / Sicher­heit müs­sen ver­schie­de­ne Teil­be­rei­che beach­tet wer­den. Hier sind eini­ge davon gelistet.

Zur­zeit wer­den betrachtet:

  • SSL-Zer­ti­fi­kat
  • HTTP Secu­ri­ty Header
  • Die XML-RPC-Schnitt­stel­le

0. Vorabbemerkungen

Es gibt kein Tool oder Plugin, wel­ches die Sicher­heit einer Wor­d­Press-Web­site kom­plett gewähr­leis­tet. Daher müs­sen ver­schie­de­ne Tools zur Über­prü­fung ein­ge­setzt wer­den. Die dann zu ergrei­fen­den Maß­nah­men kön­nen dann manu­ell oder per Plugin erfolgen.

Ein Stan­dard-Tool ist der Secu­ri­ty-Che­cker von Sucu­ri (https://sitecheck.sucuri.net/): Dort ein­fach die URL ein­ge­ben und inner­halb von Sekun­den erscheint das Ergebnis.

Im “Nor­mal­fall” soll­te kei­ne Mal­wa­re gefun­den wer­den und auch die Web­site auf kei­ner Web­site-Back­list auftauchen.

1. Zum HTTP Security Header

Hier­zu ist fol­gen­der Arti­kel sehr hilf­reich:
https://blog.kulturbanause.de/2020/07/http-security-header/

Über­prü­fun­gen:

2. Die XML-RPC-Schnittstelle

Die XML-RPC-Schnitt­stel­le soll­te deak­ti­viert wer­den, da sie im Nor­mal­fall nicht benö­tigt wird, aber ein Sicher­heits­ri­si­ko dar­stellt. Hier­zu muss zunächst über­prüft wer­den, ob die Schnitt­stel­le aktiv ist. Wenn Nein, dann ist alles in Ord­nung, wenn Ja, dann kann Sie über ver­schie­de­ne Mecha­nis­men abge­schal­tet werden.

Zur Über­prü­fung, ob die XML-RPC-Schnitt­stel­le aktiv ist, kann die­se Web­sei­te hel­fen:
https://xmlrpc.eritreo.it/.
Dort muss ein­fach die URL der Web­site ein­ge­ge­ben wer­den und die Über­prü­fung läuft.
Ach­tung:
Wird dort ange­zeigt, dass der Test posi­tiv ver­lau­fen ist (“Congra­tu­la­ti­on! Your site pas­sed the first check.”), so muss man aktiv wer­den. Der Che­cker “denkt anders­her­um”: Eine ein­ge­schal­te­te XML-RPC-Schnitt­stel­le ist dort “gut”.

Zum Aus­schal­ten / Deak­ti­vie­ren der XML-RPC-Schnitt­stel­le gibt es meh­re­re Mög­lich­kei­ten: Ände­run­gen in der function.php, Anpas­sun­gen an der htac­cess-Datei oder Nut­zung eines Plugins. Ich ver­wen­de in der Regel hier­zu einen Ein­trag in der htac­cess-Datei. Dazu muss dort fol­gen­der Ein­trag hin­zu­ge­fügt werden:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>