GNU/Linux >> LINUX-Kenntnisse > >> Linux

Sichern der WordPress-Blog-Installation

Lösung 1:

Stellen Sie sicher, dass Sie die Dateiberechtigungen nicht auf „chmod 777“ gesetzt haben, wie es einige Anleitungen von Ihnen verlangen. Sehen Sie sich alles an, worauf Ihr Webserver-Konto oder Ihre Gruppe schreiben kann, und stellen Sie sicher, dass es sich nur um Bereiche handelt, von denen Sie erwarten, dass sie dynamisch aktualisiert werden (Bilder, Anhänge usw.).

Lösung 2:

Ich denke, die besten Vorschläge sind im offiziellen „Hardening Wordpress“-Dokument gut erklärt:

https://wordpress.org/support/article/hardening-wordpress/

Am Ende sind das die gleichen Vorschläge für jede Anwendung da draußen:

Halten Sie es auf dem Laufenden.
Verwenden Sie gute Passwörter
Reduzieren Sie die Informationen, die Sie präsentieren (Versionen, Serverinformationen usw.).

Wenn Sie die Sicherheit mit Obscurity verbessern möchten (nicht nur gedacht, sondern als zusätzliche Maßnahme), gibt dieses Dokument einige Ideen:

http://sucuri.net/?page=docs&title=wordpress-hardening

Lösung 3:

Melden Sie sich nur über eine SSL-Verbindung an.

Wenn Sie in ein Café gehen und sich bei http://www.yourblog.com/wp-admin/ anmelden, wird Ihr Passwort im Klartext gesendet und ist für jeden leicht sichtbar, der das Netzwerk im Café und alle Router zwischen Ihnen und sich ausspioniert der Server.

Wenn Sie Ihre Blog-Anmeldeseite auf einen sicheren Server verschieben und Benutzer dazu zwingen, sich unter https://www.yourblog.com/wp-admin/ mit SSL anzumelden, wird das Passwort verschlüsselt, wenn es an den Server gesendet wird.

Sie können entweder etwas PHP-Code zu WordPress hinzufügen, etwa so

if(strpos(strtolower($_SERVER['REQUEST_URL']),'wp-admin')===true 
      && $_SERVER['HTTPS']!='ON')
{
    Header("Location: https://www.yourblog.com/wp-admin/")
}

oder verwenden Sie eine .htaccess-Datei, um eine SSL-Anmeldung zu erzwingen, die etwa so aussehen würde:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Lösung 4:

Einige Leute benennen Seiten wie wp-admin.php um Sondieren zu reduzieren.

Lösung 5:

Sichere dein /wp-admin/ Verzeichnis. Sperren Sie /wp-admin/, sodass nur bestimmte IP-Adressen auf dieses Verzeichnis zugreifen können. Du kannst eine .htaccess-Datei verwenden, die du direkt unter /wp-admin/.htaccess ablegen kannst. So könnte man aussehen:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist home IP address
allow from 69.148.58.93
# whitelist work IP address
allow from 69.148.59.6
allow from 69.148.58.92
# IP while in Kentucky; delete when back
allow from 63.144.53.91

Josh

Wie kann ich die Netzwerk-E/A-Nutzung pro Prozess unter Linux überwachen?

Einen großen Verzeichnisbaum lokal kopieren? cp oder rsync?

Linux

Samba-Server-Installation auf Ubuntu 14.10

Samba-Server-Installation auf OpenSuse 13.2

Samba-Server-Installation auf Ubuntu 15.10

Installieren Sie WordPress auf einem Fedora 22 Cloud-Server

So installieren Sie WordPress auf einem Debian 8.2 Cloud-Server

So installieren Sie WordPress auf einem CentOS 8-Server