Sicherheitslücken für WordPress schließen und Viren vermeiden
Mit dieser Schritt für Schritt Anleitung, können Sie Ihre Sicherheitslücken Ihrer WordPress Seiten überprüfen und schließen, um Ihre Webauftritte nachhaltig von schädlichen Daten zu schützen.
1.Prüfen Sie, ob auf die readme.html-Datei am Standardspeicherort über HTTP zugegriffen werden kann.
Auf readme.html kann über HTTP am Standardspeicherort zugegriffen werden.
readme.html enthält Informationen zur WP-Version, und Angreifer können die WP-Version leicht herausfinden, wenn sie sich am Standardspeicherort (WP-Stamm) befinden.
Dies ist ein sehr leicht zu lösendes Problem. Benennen Sie die Datei in etwas eindeutigeres wie „readme-876.html“ um. Lösche es; Verschiebe es an einen anderen Ort oder chmod, damit es nicht über HTTP erreichbar ist.
2.Prüfen Sie, ob der Plugins / Themedatei-Editor aktiviert ist.
Der Plugin- und Themedatei-Editor ist ein sehr praktisches Werkzeug, da Sie schnelle Änderungen ohne die Verwendung von FTP vornehmen können. Leider ist dies auch ein Sicherheitsproblem, da es nicht nur PHP-Quellcode anzeigt, sondern auch Angreifer in die Lage versetzt, bösartigen Code in Ihre Site einzufügen, wenn er Zugriff auf den Administrator erhält.
Der Editor kann leicht deaktiviert werden, indem der folgende Code in die Datei functions.php des Themas eingefügt wird.
define (‚DISALLOW_FILE_EDIT‘, true);
3. Prüfen Sie, ob die Datei install.php am Standardspeicherort über HTTP erreichbar ist.
install.php ist am Standardspeicherort über HTTP erreichbar.
4. Überprüfen Sie, ob auf die Datei upgrade.php am Standardspeicherort über HTTP zugegriffen werden kann.
5. Prüfen Sie, ob die PHP-Direktive expose_php deaktiviert ist.
6.Überprüfen Sie, ob die PHP-Direktive display_errors deaktiviert ist.
7.Prüfen Sie, ob für die Datei wp-config.php die richtigen Berechtigungen (chmod) festgelegt sind.
Die aktuelle wp-config.php chmod (0644) ist nicht ideal und andere Benutzer auf dem Server können auf die Datei zugreifen.
8.Testen Sie, ob ein Benutzer mit der ID „1“ existiert.
9.Prüfen Sie, ob der MySQL-Server von außen mit dem WP-Benutzer verbunden werden kann.
Sie können von jedem Host aus eine Verbindung zum MySQL-Server herstellen.
10. Prüfen Sie, ob der WordPress-Kern aktuell ist.
11.Prüfen Sie, ob die Plugins aktuell sind.
12.Prüfen Sie, ob die Themen aktuell sind.
13.Prüfen Sie, ob ein Benutzer mit dem Benutzernamen „admin“ existiert. Vermeide Benutzername=Admin
14.Prüfen Sie, ob das Präfix der Datenbanktabelle das Standardpräfix ist (wp_).
15.Testen Sie die Stärke des WordPress-Datenbankkennworts.
16.Überprüfen Sie, ob der Datenbank-Debug-Modus aktiviert ist.
17.Prüfen Sie, ob der JavaScript-Debugmodus aktiviert ist.
18.Prüfen Sie, ob die Option „Jeder kann registrieren“ aktiviert ist.
19.Überprüfen Sie, ob die PHP-Direktive register_globals deaktiviert ist.
20.Prüfen Sie, ob der abgesicherte PHP-Modus deaktiviert ist.
21.Prüfen Sie, ob die PHP-Direktive allow_url_include deaktiviert ist.
22.Prüfen Sie, ob der Upload-Ordner von Browsern durchsucht werden kann.