Security

Zur Erhö­hung oder Gewähr­leis­tung der Secu­ri­ty / Sicher­heit müs­sen ver­schie­de­ne Teil­be­rei­che beach­tet wer­den. Hier sind eini­ge davon gelistet.

Zur­zeit wer­den betrachtet:

• SSL-Zer­ti­fi­kat
• HTTP Secu­ri­ty Header
• Die XML-RPC-Schnitt­stel­le

0. Vorabbemerkungen

Es gibt kein Tool oder Plug­in, wel­ches die Sicher­heit einer Word­Press-Web­site kom­plett gewähr­leis­tet. Daher müs­sen ver­schie­de­ne Tools zur Über­prü­fung ein­ge­setzt wer­den. Die dann zu ergrei­fen­den Maß­nah­men kön­nen dann manu­ell oder per Plug­in erfolgen.

Ein Stan­dard-Tool ist der Secu­ri­ty-Che­cker von Sucu­ri (https://sitecheck.sucuri.net/): Dort ein­fach die URL ein­ge­ben und inner­halb von Sekun­den erscheint das Ergebnis.

Im “Nor­mal­fall” soll­te kei­ne Mal­wa­re gefun­den wer­den und auch die Web­site auf kei­ner Web­site-Back­list auftauchen.

1. Zum HTTP Security Header

Hier­zu ist fol­gen­der Arti­kel sehr hilf­reich:
https://blog.kulturbanause.de/2020/07/http-security-header/

Über­prü­fun­gen:

• Webb­koll-Data­skydd — ein uni­ver­sel­ler Che­cker: https://webbkoll.dataskydd.net/de/
• secu­ri­ty­hea­ders — ein wei­te­rer Che­cker: https://securityheaders.com/
• HSTS-Prel­oad ein wei­te­rer Che­cker: https://hstspreload.org

Zur Sicher­heits­über­prü­fung kann fol­gen­des Tool ver­wen­det wer­den: https://webbkoll.dataskydd.net/de

Nach Ein­ga­be der URL erscheint inner­halb weni­ger Sekun­den ein Ergeb­nis. Es wird ange­zeigt, ob …

• Coo­kies gesetzt sind
• das SSL-Zer­ti­fi­kat pas­send ein­ge­bun­den ist
• …

Das Tool zeigt eine Fül­le von Infor­ma­tio­nen an, die dann inter­pre­tiert wer­den müs­sen. Für die­se Web­site ergibt sich fol­gen­des Bild:

2. Die XML-RPC-Schnittstelle

Die XML-RPC-Schnitt­stel­le soll­te deak­ti­viert wer­den, da sie im Nor­mal­fall nicht benö­tigt wird, aber ein Sicher­heits­ri­si­ko dar­stellt. Hier­zu muss zunächst über­prüft wer­den, ob die Schnitt­stel­le aktiv ist. Wenn Nein, dann ist alles in Ord­nung, wenn Ja, dann kann Sie über ver­schie­de­ne Mecha­nis­men abge­schal­tet werden.

Zur Über­prü­fung, ob die XML-RPC-Schnitt­stel­le aktiv ist, kann die­se Web­sei­te hel­fen:
https://xmlrpc.eritreo.it/.
Dort muss ein­fach die URL der Web­site ein­ge­ge­ben wer­den und die Über­prü­fung läuft.
Ach­tung:
Wird dort ange­zeigt, dass der Test posi­tiv ver­lau­fen ist (“Con­gra­tu­la­ti­on! Your site pas­sed the first check.”), so muss man aktiv wer­den. Der Che­cker “denkt anders­her­um”: Eine ein­ge­schal­te­te XML-RPC-Schnitt­stel­le ist dort “gut”.

Zum Aus­schal­ten / Deak­ti­vie­ren der XML-RPC-Schnitt­stel­le gibt es meh­re­re Mög­lich­kei­ten: Ände­run­gen in der function.php, Anpas­sun­gen an der htac­cess-Datei oder Nut­zung eines Plug­ins. Ich ver­wen­de in der Regel hier­zu einen Ein­trag in der htac­cess-Datei. Dazu muss dort fol­gen­der Ein­trag hin­zu­ge­fügt werden:

<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>