iThemes Security Pro Feature Spotlight – WordPress Tweaks

Veröffentlicht: 2021-06-23

In den Feature-Spotlight-Beiträgen werden wir eine Funktion des iThemes Security Pro-Plugins hervorheben und ein wenig darüber erzählen, warum wir die Funktion entwickelt haben, für wen die Funktion gedacht ist und wie die Funktion verwendet wird.

Heute werden wir WordPress Tweaks behandeln, eine Sammlung von Tools zur Sicherung Ihrer WordPress-Website.

Warum Sie WordPress-Tweaks verwenden sollten

Einer der großen Vorteile von WordPress ist die Kompatibilität mit Tools und Diensten von Drittanbietern. Wenn Sie diese Dienste jedoch nicht nutzen, haben Sie auf Ihrer Website unnötige Einstiegspunkte, die ein Hacker potenziell ausnutzen könnte.

WordPress bietet auch andere Annehmlichkeiten, die es einem Angreifer ermöglichen, einen Brute-Force-Angriff zu verstärken oder sogar böswillige Änderungen an auf Ihrem Server gespeicherten Dateien vorzunehmen.

Sie sollten die iThemes Security Pro WordPress Tweaks-Einstellungen verwenden, da es sich um eine Reihe von Tools handelt, die speziell entwickelt wurden, um einige der potenziellen Schwachstellen von WordPress zu härten.

So verwenden Sie WordPress-Optimierungen in iThemes Security Pro

Um mit der Verwendung von WordPress Tweaks zu beginnen, klicken Sie im Sicherheitsmenü auf den Link Erweitert .

Sobald Sie sich im Advanced-Menü befinden. Klicken Sie auf die Registerkarte WordPress-Optimierungen .

Die WordPress Tweaks-Einstellungen

Die WordPress-Tweaks sind in 2 Abschnitte unterteilt, API-Zugriff und Benutzer. Schauen wir uns diese Einstellungen genauer an.

API-Zugriff

1. XML-RPC

Die Einstellung Datei-Editor deaktivieren deaktiviert den WordPress-Datei-Editor für Plugins und Themes. Das Deaktivieren des WordPress-Dateieditors erhöht die Sicherheit Ihrer Website erheblich.

Wenn ein Hacker erfolgreich in Ihre Website einbrechen kann, können Sie mit dem WP-Dateieditor böswillige Änderungen an den auf Ihrem Server gespeicherten Dateien vornehmen. Wenn Sie jedoch den WP-Dateieditor deaktivieren, benötigt der Hacker immer noch Server-Anmeldeinformationen, um böswillige Änderungen an Ihren Plugins und Themes vorzunehmen.

Die XML-RPC-Funktion von WordPress ermöglicht es externen Diensten, auf Inhalte der Website zuzugreifen und diese zu ändern. Jetpack erfordert beispielsweise XML-RPC, um eine Verbindung zu WordPress-Websites herzustellen und Inhalte zu ändern.

Die XML-RPC- Einstellung in iThemes Security Pro hat 3 Optionen:

  • XML-RPC deaktivieren – XML-RPC ist auf der Site deaktiviert. Diese Einstellung wird dringend empfohlen, wenn Jetpack, die mobile WordPress-App, Pingbacks und andere Dienste, die XML-RPC verwenden, nicht verwendet werden.
  • Disable Pingbacks - nur deaktivieren Pingbacks. Andere XML-RPC-Funktionen funktionieren wie gewohnt. Wählen Sie diese Einstellung, wenn Sie Funktionen wie Jetpack oder die WordPress Mobile-App benötigen.
  • XML-RPC aktivieren – XML-RPC ist vollständig aktiviert und funktioniert wie gewohnt. Verwenden Sie diese Einstellung nur, wenn die Site über uneingeschränkte Verwendung von XML-RPC verfügen muss.

Wir empfehlen, die Option XML-RPC deaktivieren zu verwenden, wenn Sie keine Dienste verwenden, die XML-RPC verwenden.

2. Mehrere Authentifizierungsversuche pro XML-RPC-Anfrage

Neben der Verwendung eines Anmeldeformulars gibt es andere Möglichkeiten, sich bei WordPress anzumelden. Mithilfe von XML-RPC kann ein Angreifer in einer einzigen HTTP-Anfrage Hunderte von Benutzernamen- und Kennwortversuchen durchführen.

Die Brute-Force-Amplifikationsmethode ermöglicht es Angreifern, Tausende von Benutzernamen- und Passwortversuchen mit XML-RPC in nur wenigen HTTP-Anfragen durchzuführen.

Die Einstellung Mehrere Authentifizierungsversuche pro XML-RPC-Anfrage in iThemes Security Pro bietet zwei Optionen:

  • Blockieren – Blockiert XML-RPC-Anforderungen, die mehrere Anmeldeversuche enthalten. Diese Einstellung wird dringend empfohlen.
  • Zulassen – Erlaubt XML-RPC-Anforderungen, die mehrere Anmeldeversuche enthalten. Verwenden Sie diese Einstellung nur, wenn ein Dienst dies erfordert.

Verwenden mehrerer Authentifizierungsversuche pro XML-RPC - Request Block Option werden mehrere Authentifizierungsversuche pro XML-RPC - Anforderung zu verhindern. Die Begrenzung der Anzahl der Benutzernamen- und Passwortversuche auf einen für jede Anfrage wird einen großen Beitrag zur Sicherung Ihres WordPress-Logins leisten.

3. REST-API

REST-API

Die WordPress REST API ist Teil von WordPress und bietet Entwicklern neue Möglichkeiten zur Verwaltung von WordPress.

Standardmäßig kann die REST-API verwendet werden, um auf Informationen zuzugreifen, von denen Sie glauben, dass sie auf Ihrer Website privat sind, einschließlich:

  • Veröffentlichte Beiträge aller Beitragstypen, einschließlich solcher, die nicht wie Beiträge erscheinen, wie Produkte oder Mitgliederprogramme.
  • Benutzerdetails , die Benutzer enthalten können, die keine veröffentlichten Beiträge oder Seiten haben.
  • Einträge in der Medienbibliothek, die Links zum Herunterladen von Medien enthalten können, die nirgendwo öffentlich verlinkt sind. Dies kann Links zum Herunterladen von Inhalten nur für Mitglieder, von einigen Plugins erstellte Backups oder jede andere Art von Datei umfassen, die der Medienbibliothek hinzugefügt wurde. (Beachten Sie, dass BackupBuddy-Backups nicht in der Medienbibliothek gespeichert werden und nicht über die REST-API zugänglich sind.)

Die REST-API-Einstellung in iThemes Security Pro hat zwei Optionen:

  • Eingeschränkter Zugriff – Beschränken Sie den Zugriff auf die meisten REST-API-Daten. Dies bedeutet, dass die meisten Anfragen einen angemeldeten Benutzer oder einen Benutzer mit bestimmten Berechtigungen erfordern, wodurch öffentliche Anfragen nach potenziell privaten Daten blockiert werden. Wir empfehlen, diese Option zu wählen.
  • Standardzugriff – Der Zugriff auf REST-API-Daten wird standardmäßig belassen. Informationen, einschließlich veröffentlichter Beiträge, Benutzerdetails und Medienbibliothekseinträge, sind für den öffentlichen Zugriff verfügbar.

Wir empfehlen, die Option Eingeschränkter Zugriff zu verwenden, um den Zugriff auf private Informationen einzuschränken.

Benutzer

1. Datei-Editor deaktivieren

Die Einstellung Datei-Editor deaktivieren deaktiviert den WordPress-Datei-Editor für Plugins und Themes. Das Deaktivieren des WordPress-Dateieditors erhöht die Sicherheit Ihrer Website erheblich.

Wenn ein Hacker erfolgreich in Ihre Website einbrechen kann, können Sie mit dem WP-Dateieditor böswillige Änderungen an den auf Ihrem Server gespeicherten Dateien vornehmen. Wenn Sie jedoch den WP-Dateieditor deaktivieren, benötigt der Hacker weiterhin Server-Anmeldeinformationen, um böswillige Änderungen an Ihren Plugins und Themes vorzunehmen.

2. Eindeutigen Spitznamen erzwingen

Die Einstellung Eindeutigen Spitznamen erzwingen zwingt Benutzer, einen eindeutigen Spitznamen zu wählen, wenn sie ihr Profil aktualisieren oder ein neues Konto erstellen. Die Verwendung eines eindeutigen Spitznamens verhindert, dass Bots und Angreifer die Login-Benutzernamen der Benutzer einfach aus dem Code auf Autorenseiten ernten. Beachten Sie, dass vorhandene Benutzer dadurch nicht automatisch aktualisiert werden, da dies Auswirkungen auf die URLs des Autoren-Feeds hat, wenn sie verwendet werden.

Benutzer zu zwingen, einen eindeutigen Spitznamen zu verwenden, ist ein weiteres Beispiel für Sicherheit durch Unklarheit. Es ist besser, die iThemes Security Pro-Kennwortanforderungen und die Zwei-Faktor-Authentifizierungsfunktionen zu aktivieren, um Ihre WordPress-Anmeldung zu sichern.

3. Deaktivieren Sie zusätzliche Benutzerarchive

Die Einstellung „Zusätzliche Benutzerarchive deaktivieren“ in iThemes Security Pro erschwert es Bots, Benutzernamen zu ermitteln, indem sie Postarchive für Benutzer deaktiviert, die nicht auf Ihrer Site posten.

Das Deaktivieren der Autorenseite eines Benutzers, wenn der Beitragszähler 0 beträgt, ist ein weiteres Beispiel für Sicherheit durch Unklarheit. Sie sollten besser die Kennwortanforderungen von iThemes Security Pro und die Zwei-Faktor-Authentifizierungsfunktionen aktivieren, um Ihre WordPress-Anmeldung zu sichern.

4. Melden Sie sich mit E-Mail-Adresse oder Benutzernamen an

Standardmäßig erlaubt WordPress Benutzern, sich entweder mit einer E-Mail-Adresse oder einem Benutzernamen anzumelden. Die Einstellung Anmeldung mit E-Mail-Adresse oder Benutzername ermöglicht Ihnen, Anmeldungen so einzuschränken, dass nur E-Mail-Adressen oder Benutzernamen akzeptiert werden.

Die Einstellung Anmeldung mit E-Mail-Adresse oder Benutzername in iThemes Security Pro hat drei Optionen:

  • E-Mail-Adresse und Benutzername (Standard) – Erlauben Sie Benutzern, sich mit der E-Mail-Adresse oder dem Benutzernamen ihres Benutzers anzumelden. Dies ist das Standardverhalten von WordPress.
  • Nur E-Mail-Adresse – Benutzer können sich nur mit der E-Mail-Adresse ihres Benutzers anmelden. Dadurch wird die Anmeldung mit einem Benutzernamen deaktiviert.
  • Nur Benutzername – Benutzer können sich nur mit dem Benutzernamen ihres Benutzers anmelden. Dadurch wird die Anmeldung mit einer E-Mail-Adresse deaktiviert.

Die Beschränkung der Anmeldungen auf E-Mail-Adressen kann einen gewissen Schutz gegen einen Brute-Force-Angriff bieten. Während ein Bot die Seite des Autors nach Benutzernamen durchsuchen kann, ist es weniger wahrscheinlich, dass eine Website nach E-Mail-Adressen von Benutzern durchsucht wird.

Aber auch hier ist es besser, die iThemes Security Pro-Kennwortanforderungen und die Zwei-Faktor-Authentifizierungsfunktionen zu aktivieren, um Ihre WordPress-Anmeldung zu sichern.

Zusammenfassung: WordPress-Optimierungen zur Stärkung der WordPress-Sicherheit

Die WordPress-Optimierungen in iThemes Security Pro wurden speziell entwickelt, um die Sicherheit Ihrer WordPress-Website zu erhöhen. Mit dem iThemes Security Pro-Plugin können Sie Ihrer Website auch diese zusätzlichen Sicherheitsebenen hinzufügen, darunter:

  • Zwei-Faktor-Authentifizierung
  • Passwortlose Anmeldungen
  • Erkennung von Dateiänderungen
  • Lokaler Brute-Force-Schutz
WordPress-Tweaks-Featured-Image