WordPress hat sich zum beliebtesten CMS der Welt entwickelt. Weil es so beliebt ist, ist dies noch mehr ein Grund, WordPress Sicherheit zu verbessern, wenn Sie es für Ihre Website verwenden. Die meisten Menschen verstehen es, ihre Seite selbst sicher zu machen, aber wenn Sie sich nicht auf die Sicherheit Ihrer WordPress-Website konzentrieren, indem Sie den Zugriff auf wichtige Dateien und Ordner beschränken, sind Sie immer noch gefährdet. Dazu werden Sie keine Änderungen an WordPress selbst vornehmen, sondern ändern, wie WordPress auf einem Server läuft und wie viel Zugriffe Benutzer auf seine Dateien haben.
WordPress-Websites bestehen aus einer Reihe von Dateien und Ordnern mit jeweils eigenen URLs. Wenn jemand die richtige URL eingibt, kann er auf sensible Dateien zugreifen, die Ihre Website ausführen. Eines der häufigsten Ziele für diese Art von Hacking ist der Ordner wp-includes. Daher werden wir der Serverkonfigurationsdatei zusätzlichen Code hinzufügen, um die Sicherheit zu erhöhen und diese Art von Bedrohungen zu verhindern. Wenn wir damit fertig sind, wird jeder, der versucht, auf diese Dateien zuzugreifen, zurückgeleitet.
Zu Beginn möchten Sie die .htaccess-Datei für Ihre Site öffnen. Sie können dies mit jedem Texteditor tun, egal, was wir tun, weil wir nur ein kleines Code-Snippet zu der Datei hinzufügen. Sie werden bemerken, dass die Datei bereits Code enthält, der von WordPress generiert wurde. In einer der ersten Zeilen des Codes finden Sie eine Zeile, die besagt # BEGIN WordPress
. Direkt über diesem Code werden wir die zusätzlichen Codezeilen hinzufügen, die die Verteidigung der Site verstärken, indem der Zugriff auf den Ordner wp-includes eingeschränkt wird.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Danach müssen Sie die Datei einfach erneut auf den Server hochladen und Sie sind fertig. Obwohl die Änderungen hier geringfügig erscheinen, können sie die Sicherheit Ihrer Website erheblich beeinträchtigen. Da sich viele der erweiterten Funktionen von WordPress im Ordner wp-includes befinden, sind sie ein wichtiges Ziel für Hacker. Wenn diese Änderungen implementiert sind, werden Benutzer beim Versuch, auf diesen Ordner zuzugreifen, automatisch auf die Startseite Ihrer Site umgeleitet.
Unser nächster Schritt zur Stärkung der WordPress-Sicherheit ist die Beschränkung des Zugriffs auf die Datei wp-config.php. Bei der ersten Erstellung Ihrer WordPress-Site mussten Sie einen Datenbanknamen, einen Benutzernamen, ein Passwort und ein Tabellenpräfix erstellen, die in der Datei wp-config.php enthalten sind. Der Grund, warum Sie diese Datei schützen möchten, ist, dass sie die Informationen enthält, die WordPress benötigt, um mit der Datenbank zu sprechen und langfristig Ihre Site zu kontrollieren.
Um Ihre wp-config.php Datei zu schützen, müssen Sie nur ein paar einfache Schritte ausführen. Zuerst möchten wir die .htaccess-Datei erneut öffnen. Als nächstes wollen wir den Codeschnipsel unten kopieren und in unsere .htaccess-Datei einfügen, genau wie in Schritt 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Speichern und erneut hochladen Sie die Datei.
Wie Sie in den Schritten 1 und 2 sehen können, kann die .htaccess-Datei zum Schutz Ihrer WordPress-Website vor bösartigen externen Bedrohungen intrinsisch sein. Aus diesem Grund schützen wir in diesem Schritt die .htaccess-Datei selbst und verhindern, dass Hacker die Schutzmechanismen entfernen, die wir bereits implementiert haben.
Dazu öffnen wir erneut die .htaccess-Datei. Als nächstes fügen Sie den folgenden Code in den vorhandenen Code ein.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Und mit dieser einfachen Ergänzung ist Ihre .htaccess-Datei vor Bedrohungen von außen geschützt.
Für den letzten Schritt werden wir Hackern den Zugriff auf eines der destruktivsten Tools verweigern, die sie in die Hände bekommen könnten: den Editor im WordPress-Dashboard. Sie können Ihre Designdateien bearbeiten, was hilfreich ist, aber gefährlich sein kann. Wenn eine andere Person als Sie Zugriff darauf erhält, können Sie Ihren Code ändern und Ihre Website aufbrechen.
Mit diesem Projekt werden wir den Editor aus dem WordPress-Dashboard entfernen. Anstatt auf die Datei über WordPress zuzugreifen, empfehle ich, dass Sie über einen FTP-Client wie FileZilla darauf zugreifen, was für die Integrität der Website besser ist.
Um dieses Projekt zu machen, wollen wir zuerst die Datei wp-config.php öffnen. Sobald wir das geöffnet haben, gehen wir zum Ende des Codes, hier finden Sie den Text "Das ist alles, hör auf zu bearbeiten! Fröhliches Bloggen. " Kurz vor diesem Text werden wir den folgenden Code hinzufügen, um die Dateibearbeitung komplett aus WordPress zu entfernen.
define('DISALLOW_FILE_EDIT', true);
Nachdem Sie den Code hinzugefügt haben, speichern Sie die Datei und laden Sie sie erneut auf den Server hoch. Jetzt ist Ihre WordPress-Website sicher für jeden, der Zugriff auf Ihre Website erhält und versucht, den Code zu manipulieren.
Wenn Sie alle diese Schritte befolgen, sollte Ihre Website viel sicherer sein. Durch die Verringerung des Zugriffsaufkommens auf die Dateien, die für die Ausführung Ihrer Website wichtig sind, haben Sie die Gesamtsicherheit Ihrer WordPress-Website erhöht.