WordPress Security einrichten

User

Den User WordPress-Security mit der eMail wordpress-wartung@bueffelsoft.de anlegen – Administrator. PW muss nicht notiert werden, da man sich damit nie einloggt.

Solid Security (SolidWP)

Bei den erforderlichen Einstellungen folgendes wählen – wenn nichts angegeben, muss auch nichts geändert werden:

  • Websitetype
  • Security Check Pro nicht aktivieren
  • Direct Connection für die IP Detection
  • Client Website
  • bei Benutzer die User wählen, die nur Benutzer sind
  • als Manager für Solid Security den User eintragen, als der ich angemeldet bin
  • der Kunde soll an den Solid Security-Einstellungen nichts ändern können
  • keine Passwortpolicy für Benutzerkonten
  • die globalen Einstellungen für die IPs belassen wie sie sind
  • bei den Funktionen nichts einstellen
  • die Benutzergruppen auf Default User Groups setzen
  • bei den Benutzergruppen wie folgt einstellen:
    Clients: dürfen nichts einstellen
    Security Manager: Manage Solid Security und Security Dashboard
    Editors: dürfen nichts einstellen
    Authors: dürfen nichts einstellen
    Contributors: dürfen nichts einstellen
    Subscribers: dürfen nichts einstellen
    Alle anderen: dürfen nichts einstellen
  • bei den Benachrichtigungen den User einrichten, der eingangs angelegt worden ist. Die Absendeadresse leer lassen.

Dann unter Sicherheit / Firewall / Konfigurieren / Local Brute Force folgende Einstellungen machen:

  • Automatically lockout „admin“ user aktivieren

Unter Einstellungen / Funktionen folgendes einstellen:

  • unter Site Check die Dateiänderungen aktivieren und in der dann zugänglichen Liste mindestens die Verzeichnisse für wp-content/updraft und wp-contents/uploads/cache (wenn vorhanden) eintragen
    unter Utilities Enforce SSL und Sicherheitsüberprüfung Pro aktivieren, Datenbank-Backups ausschalten.

Bei den Benutzergruppen folgendes machen:

  • Die Gruppe Security Managers anlegen – falls sie fehlen sollten

Bei den Benachrichtigungen

  • bei den Standardmäßigen Empfängern All "Administrator" Users entfernen
  • unter Sicherheitsbericht den Betreff anpassen
  • den Zeitplan auf wöchentlich einstellen

Das wars mit den Einstellungen hier.

bbq-Firewall (Jeff Starr)

hier muss nichts eingestellt werden aber ein Test, zu finden unter den Einstellungen, schadet nicht.

Disable REST Api (Dave McHale)

schließt das Einfallstor über die standardmäßig offene WordPress-API. Wenn ein Plugin für Kontaktformulare verwendet wird, dieses in den Einstellungen von Disable REST API aktivieren. Generell ist es eine gute Idee, nach forms zu suchen und zu prüfen, ob die entsprechende Option aktiviert werden muss oder nicht. Andere im Bedarfsfall aktivieren.

Updraft-Plus

Ein zuverlässiges Backup-Tool, mit dem vor Updates und in regelmäßigen Abständen Backups der Website gemacht werden.

Simple History (Pär Thernström)

unter Einstellungen / Simple History die Einträge pro Seite auf 100 setzen und die Anzahl der Einträge am Dashboard auf 15.

WPS Hide Login (WPServeur)

Versteckt die Login-URL und vergibt eine individuelle Login-URL für eine Webseite. Unter Einstellungen / WPS Hide Login den gewünschten Pfad eintragen bei der Anmelde-URL.

Erweiterte Sicherheit

Die folgenden Plugins werden nur installiert, wenn die erweiterte Sicherheit gebucht wird.

WP 2FA

Ein Plugin zur Bereitstellung der Zwei-Faktor-Authentifizierung.

WP-Staging (WP-Staging)

Plugin zur Bereitstellung einer Staging-Umgebung auf die Update im Vorfeld getestet werden können.

PatchStack

Monitoring der auf der Website verwendeten Pluigns. Unter app.patchstack.com/register den Kunden anlegen.