Źródło Procedury i wskazówek: TEST Detaillierte Erläuterung und Hilfe Überprüfen Sie, ob Wordpress Kern auf dem neuesten Stand ist. Wordpress Kern auf dem neuesten Stand zu halten, ist eine der wichtigsten Aspekte Ihrer Website sicher zu halten. Wenn Schwachstellen entdeckt werden, in Wordpress und eine neue Version freigegeben wird, das Problem zu adressieren, die Informationen, die die Sicherheitsanfälligkeit auszunutzen, ist mit ziemlicher Sicherheit in der Public Domain. Dies macht alte Versionen für Angriffe offener, und ist einer der Hauptgründe, warum sollten Sie immer Wordpress dem Laufenden halten. Dank der automatischen Updates Aktualisierung ist sehr einfach. Gehen Sie einfach auf Dashboard - Updates und klicken Sie auf "Upgrade". Denken Sie daran - immer ein Backup Ihrer Dateien und der Datenbank vor der Aktualisierung! Überprüfen Sie, ob die automatische Kern-Updates aktiviert sind. Sofern Sie eine sehr individuelle Wordpress-Seite wich laufen erfordert strenge Tests von allen Updates wir aktiviert mit automatischer kleinere Kern Updates empfehlen. Diese sind in der Regel Sicherheitsupdates, die nicht WP in nennenswertem Weise verändern und sollte angewendet werden,sobald WP sie freigibt. Updates können über Konstanten in wp-config.php oder durch ein Plugin deaktiviert werden. Details siehe WP Codex sehen. Überprüfen Sie, ob Plugins auf dem neuesten Stand sind. Wie bei der Wordpress-Kern ist Plugins auf dem neuesten Stand zu halten eine der wichtigsten und einfacher Weg, um Ihre Website sicher zu halten. Da die meisten Plugins frei sind und deshalb ist ihr Code für jedermann verfügbar, die neueste Version hat, wird sicherstellen, dass Sie auf Angriffe nicht anfällig sind auf bekannte Schwachstellen basieren. Wenn Sie ein Plug-in aus dem offiziellen WP-Repository heruntergeladen können Sie leicht überprüfen, ob es irgendwelche Upgrades verfügbar sind, und führen Sie ein Upgrade von Dashboard öffnen - Updates. Wenn Sie das Plugin von CodeCanyon gekauft werden, dass die Artikel Seite zu überprüfen und manuell aktualisieren. Denken Sie daran - immer ein Backup Ihrer Dateien und der Datenbank vor der Aktualisierung! Überprüfen Sie, ob es irgendwelche deaktivierten Plugins sind. Wenn Sie nicht ein Plugin entfernen Sie sie aus dem WP Plugin-Ordner verwenden. Es ist so einfach. Es gibt keinen Grund, warum es dort zu halten und im Falle der Code bösartig ist oder es hateinige Schwachstellen kann es immer noch von einem Hacker unabhängig von der Tatsache ausgenutzt werden, das Plugin nicht aktiv ist. Öffnen Sie Plugins und einfach alle Plugins zu löschen, die nicht aktiv sind. Oder per FTP anmelden und sie zu einem gewissen Ordner verschieben, der nicht / wp-content / plugins /. Überprüfen Sie, ob Themen auf dem neuesten Stand sind. Wie bei der Wordpress-Kern, auf dem neuesten Stand, die Themen zu halten, ist eine der wichtigsten und einfacher Weg, um Ihre Website sicher zu halten. Da die meisten Themen frei sind und deshalb ist ihr Code für jedermann verfügbar, die neueste Version hat, wird sicherstellen, dass Sie auf Angriffe nicht anfällig sind auf bekannte Schwachstellen basieren. Außerdem wird die neueste Version mit Ihrem Thema gewährleisten ist kompatibel mit der neuesten Version von WP. Wenn Sie ein Thema aus der offiziellen WP-Repository heruntergeladen können Sie leicht überprüfen, ob es irgendwelche Upgrades verfügbar sind, und aktualisieren Sie sie durch Öffnen Aussehen - Themen. Wenn Sie das Thema von Themeforest gekauft sicher sein, das Thema der Seite zu überprüfen und manuell aktualisieren. Denken Sie daran - immer ein Backup Ihrer Dateien und der Datenbank vorUpgrade! Überprüfen Sie, ob es irgendwelche deaktivierten Themen sind. Wenn Sie nicht ein Thema entfernen sie aus dem WP-Themen-Ordner verwenden. Es ist so einfach. Es gibt keinen Grund, warum es dort zu halten und im Falle der Code bösartig ist oder es hat einige Schwachstellen kann es immer noch unabhängig von einem Hacker ausgenutzt werden, der Tatsache, das Thema nicht aktiv ist. Öffnen Aussehen - Themen und einfach alle Themen löschen, die nicht aktiv sind. Oder per FTP anmelden und sie zu einem gewissen Ordner verschieben, der nicht / wp-content / themes /. Überprüfen Sie, ob voll WP-Version Info wird in Seite Meta-Daten zeigten. Sie sollten stolz darauf sein, dass Ihre Website mit Wordpress und es gibt keine Notwendigkeit, dass die Informationen zu verbergen. Jedoch offenbart ist, die volle WP Versionsinfo im Standardverzeichnis (Seitenkopf meta) nicht klug. Menschen mit schlechten Absichten können einfach Google verwenden Website zu finden, die eine bestimmte Version von Wordpress und Ziel sie mit 0-Day-Exploits. Platzieren Sie den folgenden Code in Ihr Thema der functions.php-Datei, um die Header-Meta-Version Info zu entfernen:Funktion remove_version () {   Rückkehr ''; } add_filter ( 'the_generator', 'remove_version'); 1 2 3 4 Funktion remove_version () {return ''; } Add_filter ( 'the_generator', 'remove_version'); Überprüfen Sie, ob Wordpress readme.htmlfile über HTTP auf dem Standard-Speicherort zugreifen können. Wie im vorherigen Test erwähnt - sollten Sie stolz sein, dass Ihre Website mit Wordpress ist aber auch ausblenden, die genaue Version sind Sie using.readme.html enthält Informationen WP-Version und wenn auf dem Standardverzeichnis links (WP root) können Angreifer leicht finden Sie Ihre WP-Version heraus. Dies ist ein sehr einfaches Problem zu lösen. Benennen Sie die Datei, um etwas mehr einzigartig wie "readme-876.html"; Lösche es; verschieben Sie sie an einen anderen Ort oder chmod es so, dass es über HTTP nicht zugegriffen werden kann. Überprüfen Sie, ob Server-Response-Header detaillierte PHP-Version Info enthalten. Wie bei der Wordpress-Version ist es nicht klug, die genaue PHP-Version Sie verwenden, offen zu legen, weil es die Aufgabe der Angriff auf Ihrer Website viel einfacher macht. Dieses Problem ist nicht direkt WP verwandtenaber es wirkt sich auf jeden Fall Ihre Website. Sie werden höchstwahrscheinlich Ihr Hosting-Unternehmen haben zu fragen, den HTTP-Server zu konfigurieren, nicht die PHP-Version Info zu zeigen, aber Sie können auch versuchen, diese Richtlinien in die .htaccess-Datei hinzufügen: & Lt; IfModule mod_headers.c & gt;   Kopf ungesetzt X-Powered-By   Kopf ungesetzt Server & Lt; / IfModule & gt; 1 2 3 4 & lt; IfModule mod_headers. c & gt; Header-ungesetzt X - Powered - Mit dem Kopf ungesetzt Server & lt; / IfModule & gt; Überprüfen Sie, ob Benutzer mit dem Benutzernamen "admin" existiert. Wenn jemand versucht, Ihren Benutzernamen und das Passwort zu erraten, oder versucht, einen Brute-Force-Angriff werden sie höchstwahrscheinlich mit Benutzername "admin" beginnen. Dies ist der Standard-Benutzernamen von zu vielen Websites verwendet, und sollte entfernt werden. Erstellen Sie einen neuen Benutzer und weisen Sie ihm die Rolle "Administrator". Versuchen Sie, nicht zu verwenden Benutzernamen wie "root", "Gott", "null" oder ähnliche. Sobald Sie den neuen Benutzer "admin" ein erstellt löschen und weisen alle post / Seiten, die er an den neuen Benutzer erstellt haben. Überprüfen Sie für die Anzeige von unnötigen Informationen überfehlgeschlagene Anmeldeversuche. Standardmäßig auf fehlgeschlagene Anmeldeversuche Wordpress wird Ihnen sagen, ob Benutzername oder Passwort falsch ist. welche Benutzernamen sind auf Ihrem System aktiv Ein Angreifer kann das verwenden, um herauszufinden, und dann Brute-Force-Methoden verwenden, um das Passwort zu hacken. Lösung für dieses Problem ist einfach. Ob Benutzer falsch Benutzernamen oder ein falsches Passwort eingibt immer sagen, dass wir ihn "Benutzername oder Passwort falsch", so dass er nicht, wer von beiden weiß nicht stimmt. Öffnen Sie Ihr Thema der functions.php-Datei und kopieren / fügen Sie den folgenden Code: Funktion wrong_login () {   "Falscher Benutzername oder Passwort. 'Zurückzukehren; } add_filter ( 'login_errors', 'wrong_login'); 1 2 3 4 Funktion wrong_login () { 'Falscher Benutzername oder Passwort.' Zurückkehren ; } Add_filter ( 'login_errors', 'wrong_login'); Überprüfen Sie, ob alle Sicherheitsschlüssel und Salze richtigen Werte haben. Sicherheitsschlüssel werden verwendet, in der Benutzer-Cookies und Hash-Passwörter gespeichert bessere Verschlüsselung von Informationen zu gewährleisten. Sie müssen nicht diese Schlüssel erinnern. In der Tat, wenn man sie gesetzt werden Siesehen sie nie wieder. Daher gibt es keine Entschuldigung für sie nicht richtig einstellen. Sicherheitsschlüssel (es gibt acht) in wp-config.php als Konstanten auf Linien definiert # 45-52. Sie sollten möglichst einzigartig und so lang sein. Wordpress hat ein großes Skript, das Sie diese Zeichenfolgen erzeugen hilft. Bitte verwenden Sie es! Nachdem das Skript Strings diese 8 Zeilen Code erzeugt sollte wie folgt aussehen: define ( 'auth_key', '} D4 @ p & lt; 0VFKb * pdhM8c & lt; bb: qB% Fr8: - dc} U ([K hobrzsn *:? r, e ^ / eHsm6nHls'); define ( 'SECURE_AUTH_KEY', 'M2wEPuf7% FWW1xvy] ar & amp; vy3gj.,: 1Go & gt; qs7d_N) nX} O [- (+ AaDsiPbvAOdLG ~ dt}'); define ( 'LOGGED_IN_KEY', 'iA # 3) Xhf0E * oyN1A4 #: 0wVp | d & lt; F-RQQ Sf_HNMk, RVJ, F, GdKF | b-: xBEM, y (f'); define ( 'NONCE_KEY', 'ctGmyOSSfm1-WR / V: J6 [; Zh | a $ slsWs_9BIKcM [} uh ~ C | R} ylW4cU% D tIOG = d'); define ( 'AUTH_SALT', '| @tYo .T & amp; - {wMmP & gt; ggj4p {, HKS & gt; vsUXz / aPDlZ = 1.D54m # 1xyt % w!) 3r & amp; j] r ?:'); define ( 'SECURE_AUTH_SALT',' `^ Mxb ~ AvK * Agn h & gt; U 0GL2 * 2 | R HHyY% h1b% Aoo, Jy | M {} TP`mSTt & lt;! Fcm = O9` = bA'); define ( 'LOGGED_IN_SALT', 'Ow || n :: $ HWM5% H7k MW7 {Z [Z | G-UJZ6Pp8;! Id ^ & lt; LK- & amp; W }? Q WHW xlp2g (1% w') ; define ( 'NONCE_SALT', 'IoLWhDF-d & lt; & gt; `u} R4oEe5kXf ) & lt;} Ib BPE. & lt;? C9R = NQivhZ | 8k ^ b @ LhkpuqojnzdVI'); 1 2 3 4 5 6 7 8 define ( 'auth_key', & lt; 0VFKb * pdhM8c & lt; bb: qB% Fr8: - dc} U ([K hobrzsn *:? R, e ^ / eHsm6nHls '); define ( 'SECURE_AUTH_KEY', 'M2wEPuf7% FWW1xvy] ar & amp; vy3gj,: 1Go & gt; qs7d_N) nX} O [- (+ AaDsiPbvAOdLG ~ dt}.'); define ( 'LOGGED_IN_KEY', 'iA # 3) Xhf0E * oyN1A4 #: 0wVp | d & lt; F-RQQ Sf_HNMk, RVJ, F, GdKF | b-: xBEM, y (f '); define (' NONCE_KEY ',' ctGmyOSSfm1-WR / V: J6 [; Zh | a $ slsWs_9BIKcM [? } uh ~ C | R} ylW4cU% D tIOG = d! '); define (' AUTH_SALT ', .T & amp; - {wMmP & gt; ggj4p {, HKS & gt; vsUXz / aPDlZ = 1.D54m # 1xyt % w) 3r & amp ; j] r ?: '); define ( 'SECURE_AUTH_SALT', ' `^ mxb ~ AvK * Agn h & gt;! U 0GL2 * 2 | R HHyY% h1b% Aoo, Jy | M {} TP`mSTt & lt; fcm = O9` = bA'); define ( 'LOGGED_IN_SALT', 'Ow || n $ ::HWM5% H7k MW7 {! Z [Z | G-UJZ6Pp8; Id ^ & lt; LK- & amp; W }? Q WHW xlp2g (1% w '); define ( 'NONCE_SALT', 'IoLWhDF-d & lt; & gt; `u} R4oEe5kXf ). & lt;} Ib BPE & lt;?' ); Testen Sie die Stärke der Wordpress-Datenbank Passwort. Es gibt nicht so etwas wie eine "unwichtige Passwort"! Das gleiche gilt für Wordpress-Datenbank Passwort. Obwohl die meisten Server sind so konfiguriert, dass die Datenbank nicht von anderen Hosts zugegriffen werden, die nicht bedeutet, Ihre Datenbank passsword sollte "12345" sein. Wählen Sie eine richtige Passwort mindestens 8 Zeichen lang mit einer Kombination aus Buchstaben, Zahlen und Sonderzeichen. Um die Datenbank-Kennwort ändern öffnen cPanel, Plesk oder eine andere Hosting Control Panel Sie haben. Finden Sie die Möglichkeit, die Datenbank-Passwort zu ändern und sicherzustellen, dass Sie das neue Kennwort stark genug machen. Wenn Sie diese Option nicht finden oder sind Sie sich unwohl zu ändern es Ihr Hosting-Provider. Nachdem das Passwort geöffnet wp-config.php geändert wird und das Passwort # auf der Leitung 25 zu ändern: / ** MySQL Datenbank-Passwort* / define ( 'DB_PASSWORD', 'YOUR_NEW_DB_PASSWORD_GOES_HERE'); 1 2 / ** MySQL Datenbank-Passwort * / define ( 'DB_PASSWORD', 'YOUR_NEW_DB_PASSWORD_GOES_HERE'); Überprüfen Sie, ob der Datenbanktabelle Präfix der Standard ein (wp_) ist. die Namen Ihrer Datenbanktabellen zu kennen, kann ein Angreifer helfen, die Daten der Tabelle Dump und sensible Informationen wie Passwort-Hashes zu bekommen. Da WP Tabellennamen, der einzige Weg vorgegeben sind, können Sie Tabellennamen ändern, ist durch ein eindeutiges Präfix verwenden. Eines, das von "wp_" oder eine ähnliche Variante wie "wordpress_" anders ist. Wenn Sie eine neue Installation, die einen einzigartigen Tabellenpräfix tun, ist einfach. Offene wp-config.php und gehen # 61 zu Zeile, wo der Tabellen-Präfix definiert ist. Geben Sie etwas Einzigartiges wie "frog99_" und WP installieren. Wenn Sie bereits WP Website laufen haben und wollen das Tabellen-Präfix, Dinge zu ändern etwas komplizierter sind, und Sie sollten nur die Änderung tun, wenn Sie bequem sind dabei einige Änderungen an der DB-Daten über phpMyAdmin oder ein ähnliches GUI. Detaillierte 6-Schritt-Anleitungkann auf Tdot blog.Remember gefunden werden - immer ein Backup Ihrer Dateien und der Datenbank, bevor Sie Änderungen an der Datenbank zu machen! Überprüfen Sie, ob Website Debug-Modus aktiviert ist. jede Art von Debug-Modus (allgemein WP Debug-Modus in diesem Fall) oder Fehlermeldemodus Nachdem auf einem Produktionsserver aktiviert ist extrem schlecht. Nicht nur wird es Ihre Website verlangsamen, verwirren Sie Ihre Besucher mit seltsamen Nachrichten, die es werden auch die potentiellen Angreifer wertvolle Informationen über Ihr System geben. Allgemein Wordpress Debug-Modus wird aktiviert / deaktiviert durch eine Konstante in wp-config.php definiert. Öffnen Sie diese Datei und suchen Sie nach einer Zeile ähnlich: define ( 'WP_DEBUG', true); 1 definieren ( 'WP_DEBUG', true); Kommentieren Sie es aus, zu löschen oder ersetzen Sie sie durch die folgenden Debugging zu deaktivieren: define ( 'WP_DEBUG', false); 1 definieren ( 'WP_DEBUG', false); Wenn Ihr Blog auf diesen Test nicht besteht immer noch, nachdem Sie die Änderungen vorgenommen haben es bedeutet, einige Plugin ermöglicht den Debug-Modus. Deaktivieren Sie Plugins eins nach dem anderen, um herauszufinden, was man tut es. Überprüfen Sie, ob Datenbank Debug-Modus istaktiviert. jede Art von Debug-Modus (WP DB Debug-Modus in diesem Fall) oder Fehlermeldemodus Nachdem auf einem Produktionsserver aktiviert ist extrem schlecht. Nicht nur wird es Ihre Website verlangsamen, verwirren Sie Ihre Besucher mit seltsamen Nachrichten, die es werden auch die potentiellen Angreifer wertvolle Informationen über Ihr System geben. Wordpress DB Debug-Modus wird mit dem folgenden Befehl aktiviert: $ Wpdb- & gt; show_errors (); 1 $ wpdb - & gt; show_errors (); In den meisten Fällen wird diese Debug-Modus durch Plugins aktiviert, so dass die einzige Möglichkeit, das Problem zu lösen, ist Plugins eins nach dem anderen zu deaktivieren und herausfinden, welche ein Fehlervermeidung. Überprüfen Sie, ob JavaScript Debug-Modus aktiviert ist, jede Art von Debug-Modus (WP JavaScript Debug-Modus in diesem Fall) oder Fehlermeldemodus Nachdem auf einem Produktionsserver aktiviert ist extrem schlecht. Nicht nur wird es Ihre Website verlangsamen, verwirren Sie Ihre Besucher mit seltsamen Nachrichten, die es werden auch die potentiellen Angreifer wertvolle Informationen über Ihr System geben. Wordpress JavaScript Debugging-Modus istaktiviert / deaktiviert durch eine Konstante in definierten wp-config.php Ihrer Konfigurationsdatei öffnen und für eine Zeile wie folgt aussehen: define ( 'SCRIPT_DEBUG', true); 1 definieren ( 'SCRIPT_DEBUG', true); Kommentieren Sie es aus, zu löschen oder ersetzen Sie sie durch die folgenden Debugging zu deaktivieren: define ( 'SCRIPT_DEBUG', false); 1 definieren ( 'SCRIPT_DEBUG', false); Wenn Ihr Blog auf diesen Test nicht besteht immer noch, nachdem Sie die Änderung vorgenommen hat es bedeutet, einige Plugin ermöglicht den Debug-Modus. Deaktivieren Sie Plugins eins nach dem anderen, um herauszufinden, was man tut es. Überprüfen Sie, ob display_errors PHP-Direktive ist ausgeschaltet. jede Art von Debug-Informationen oder ähnliche Informationen angezeigt ist extrem schlecht. Wenn irgendwelche PHP-Fehler auf Ihrer Website passieren, sollten sie an einem sicheren Ort angemeldet sein, und nicht für die Besucher oder potenzielle Angreifer angezeigt. Offene wp-config.php und den folgenden Code direkt über dem require_once Funktion am Ende der Datei hinzu: ini_set ( 'display_errors', 0); 1 ini_set ( 'display_errors', 0); Wenn das nicht funktioniert, die folgende Zeile in der .htaccess-Datei hinzu:php_flag display_errors Aus 1 php_flag display_errors Aus Überprüfen Sie, ob Wordpress-Installation Adresse die gleiche wie die Website-Adresse. Verschieben von WP Core-Dateien auf jedem Nicht-Standard-Ordner wird Ihre Website weniger anfällig für automatisierte Angriffe zu machen. Die meisten Skripte, die Script-Kiddies verwenden setzen auf Standarddateipfade. Wenn Ihr Blog-Setup auf www.site.com ist, können Sie WP-Dateien in das heißt setzen: /var/www/vhosts/site.com/www/wp-core/ anstelle des offensichtlichen / var / www / vhosts / site.com / www /. Allgemein - Site und WP-Adresse kann leicht in den Optionen geändert werden. so wenden Sie sich bitte schauen Sie sich dieses detaillierte Video-Tutorial, bevor Sie das beschreibt, was andere Schritte sind notwendig, um Ihre WP Core-Dateien an einen anderen Ort zu bewegen. Überprüfen Sie, ob Datei wp-config.php die richtige Berechtigungen (chmod) gesetzt hat. Datei wp-config.php enthält sensible Informationen (Datenbank Benutzername und Passwort) im Klartext und sollte nicht für jeden zugänglich sein, außer Sie und WP (oder der Web-Server um genauer zu sein). Was ist der beste chmod für wp-config.php ist abhängig von derArt und Weise der Server so konfiguriert ist, aber es gibt einige allgemeine Richtlinien, die Sie folgen können. Wenn Sie auf einem Windows-basierten Server hosten ignorieren alle der folgenden. Versuchen Sie, chmod auf 0400 oder 0440, und wenn die Website funktioniert normal, das ist das beste "andere" Benutzer verwenden sollten auf der Datei festgelegt keine Privilegien haben so die letzte Oktalziffer auf Null "Gruppe" Benutzer sollten keinen Zugang haben Recht als so eingestellt Gruppenrechte auf 0 oder 4 überprüfen Sie auch, es sei denn Apache unter diese Kategorie fällt, wenn install.php Datei ist über HTTP auf dem Standardverzeichnis gibt bereits ein paar Sicherheitsfragen waren in Bezug auf die install.php Datei. Sobald Sie WP installieren diese Datei wird unbrauchbar und es gibt keinen Grund, warum es in der Standardposition zu halten und zugänglich über HTTP. Dies ist ein sehr einfaches Problem zu lösen. Benennen Sie install.php (Sie können es in der wp-admin Ordner finden), um etwas mehr einzigartig wie "install-876.php"; Lösche es; verschieben Sie sie an einen anderen Ort oder chmod es, so dass es über HTTP nicht zugegriffen werden kann. Überprüfen Sie, ob upgrade.phpDatei ist über HTTP auf dem Standardverzeichnis Es gibt bereits ein paar Sicherheitsfragen waren in Bezug auf diese Datei. Neben der Frage der Sicherheit ist es nie eine gute Idee, die Menschen keine Upgrade-Datenbank-Skripte laufen zu lassen, ohne Ihr Wissen. Dies ist eine nützliche Datei, aber es sollte nicht auf dem Standard-Speicherort zugänglich sein. Dies ist ein sehr einfaches Problem zu lösen. Benennen Sie upgrade.php (Sie können es in der wp-admin Ordner finden), um etwas mehr einzigartig wie "upgrade-876.php"; verschieben Sie sie an einen anderen Ort oder chmod es, so dass es über HTTP nicht zugegriffen werden kann. Löschen Sie es nicht! Sie können es später brauchen. Überprüfen Sie Benutzer Passwort Stärke mit einem Brute-Force-Angriff. Durch die Verwendung tut ein Wörterbuch von 600 am häufigsten verwendeten Passwörter Sicherheits Ninja eine Brute-Force anhängen auf Ihrer Website Benutzerkonten. Alle Konten, die diesen Test nicht stellen eine ernsthafte Sicherheitsproblem für den Standort, weil sie verwenden Passwörter wie "12345", "qwertz" oder "Gott", die jeder innerhalb von Minuten erraten kann. Alarmieren Sie die Benutzer oder ändern ihre Passwörtersofort. Bitte beachten Sie, dass Sicherheits Ninja (Standard) prüft nur die ersten 25 Benutzer (von Administratoren starten). Diese Grenze wird auferlegt, um sicherzustellen, wir die Brute-Force-Angriff nicht die DB töten, während zu tun. Wenn Sie die Zeile # 20 zu testen, mehr oder alle Benutzer offen securit-ninja.php und ändern, die diese Grenze definiert. // Maximale Anzahl von Benutzerkonten, die Brute-Force sind für schwache Passwörter getestet define ( 'WF_SN_MAX_USERS_ATTACK', 25); 1 2 // maximale Anzahl von Benutzerkonten, die Brute-Force-getestet für schwache Passwörter sind define ( 'WF_SN_MAX_USERS_ATTACK', 25); Überprüfen Sie, ob "jemand registrieren kann" Option aktiviert ist. Es sei denn, Sie irgendeine Art von Community-basierte Website laufen diese Option muss deaktiviert werden. Obwohl es nur die Angreifer nur begrenzten Zugang zu Ihrem Backend bietet ist es genug Probleme zu nutzen andere Sicherheit zu starten. Gehen Sie auf Optionen - Allgemein und deaktivieren Sie die "Mitgliedschaft - jemand registrieren kann" Checkbox. Überprüfen Sie, ob register_globals PHP-Direktive ausgeschaltet ist. Dies ist eine dergrößten Sicherheitsprobleme können Sie auf Ihrer Website! Wenn Ihr Hosting-Unternehmen wurde von Standard-Schalter an ein anderes Unternehmen sofort aktiviert diese diese Richtlinie! PHP-Handbuch hat weitere Informationen, warum das so gefährlich ist. Wenn Sie den Zugriff auf die php.ini-Datei lokalisieren register_globals = on 1 register_globals = on und ändern Sie es an: register_globals = off 1 register_globals = off Alternativ offen .htaccess und setzen diese Richtlinie in es: php_flag register_globals off 1 php_flag register_globals off Wenn Sie noch nicht in der Lage register_globals Kontakt eine professionelle Sicherheit sofort abzuschalten! Überprüfen Sie, ob im abgesicherten Modus deaktiviert ist. PHP Safe Mode ist der Versuch, den Shared-Server-Sicherheitsproblem zu lösen. Es ist architektonisch falsch zu versuchen, dieses Problem in der PHP-Ebene zu lösen, aber da die Alternativen auf dem Web-Server und OS-Level sind nicht sehr realistisch, viele Menschen, vor allem von Providern, eingesetzt abgesicherten Modus für jetzt. Wenn Ihr Hosting-Unternehmen noch im abgesicherten Modus verwendet könnte es eine gute Idee zu wechseln. Diese Funktion istin eine neue Version von PHP als veraltet (5.3). Wenn Sie den Zugriff auf die php.ini-Datei lokalisieren safe_mode = on 1 safe_mode = on und ändern Sie es an: safe_mode = off 1 safe_mode = off Überprüfen Sie, ob expose_php PHP-Direktive ist ausgeschaltet. Es ist nicht klug, die genaue PHP-Version Sie verwenden, offen zu legen, weil es die Aufgabe der Angriff auf Ihrer Website viel einfacher macht. Wenn Sie den Zugriff auf die php.ini-Datei lokalisieren expose_php = auf 1 expose_php = auf und ändern Sie es an: expose_php = off 1 expose_php = off Überprüfen Sie, ob allow_url_include PHP-Direktive ausgeschaltet ist. Diese PHP-Direktive Nachdem Ihre Website ausgesetzt Cross-Site-Angriffe (XSS) verlassen. Es gibt absolut keinen triftigen Grund, diese Richtlinie und unter Verwendung eines beliebigen PHP-Code zu aktivieren, die es erfordert sehr riskant ist. Wenn Sie den Zugriff auf die php.ini-Datei lokalisieren allow_url_include = auf 1 allow_url_include = auf und ändern Sie es an: allow_url_include = off 1 allow_url_include = off Wenn Sie noch nicht in der Lage sind professionelle sofort allow_url_include Kontakt, eine Sicherheit zu deaktivieren! Überprüfen Sie, obplugins / Themen-Datei-Editor aktiviert ist. Plugins und Themen-Datei-Editor ist ein sehr praktisches Tool, weil es Ihnen ermöglicht schnelle Änderungen, ohne die Notwendigkeit zu machen FTP zu verwenden. Leider ist es auch eine Frage der Sicherheit, weil es nicht nur PHP Quelle zeigt, aber es ermöglicht auch die Angreifer bösartigen Code auf Ihre Seite zu injizieren, wenn er Zugriff auf den Admin zu gewinnen verwaltet. Editor kann einfach, indem Sie den folgenden Code in Thema der functions.php Datei deaktiviert werden. define ( 'DISALLOW_FILE_EDIT', true); 1 definieren ( 'DISALLOW_FILE_EDIT', true); Überprüfen Sie, ob Uploads Ordner durchsuchbar ist. so dass jeder alle Dateien im Upload-Ordner anzuzeigen nur für Punkt die Brower, um es ihnen ermöglichen, einfach alle Ihre hochgeladenen Dateien zum Download bereit. Es ist eine Sicherheit und eine Copyright-Frage. Um das Problem zu beheben öffnen .htaccess und fügen Sie diese Richtlinie in es: Optionen -Indexes 1 Optionen - Indizes Überprüfen Sie, ob Benutzer mit ID "1" besteht. Obwohl technisch kein Sicherheits mit Ausgabe einen Benutzer mit der ID (die in 99% der Fälle ein Admin ist) 1kann unter bestimmten Umständen ein Angreifer helfen. Befestigung ist einfach; einen neuen Benutzer mit den gleichen Berechtigungen erstellen. Dann löschen Sie die alte mit der ID 1 und WP sagen alle seine Inhalte an den neuen Nutzer zu übertragen. Überprüfen Sie, ob Windows Live Writer Link 'Kopfdaten in Seiten vorhanden ist. Wenn Sie nicht mit Windows Live Writer gibt es wirklich keinen triftigen Grund, so ist es Link in der Seitenkopf zu haben, die ganze Welt zu sagen Sie Wordpress verwenden. Befestigung ist sehr einfach. Öffnen Sie Ihr Thema der functions.php Datei und fügen Sie die folgende Zeile: remove_action ( 'wp_head', 'wlwmanifest_link'); 1 remove_action ( 'wp_head', 'wlwmanifest_link'); Überprüfen Sie, ob wp-config.php auf dem Standardverzeichnis vorhanden ist. Wenn jemand den FTP-Zugriff auf den Server erhält wird diese Sie nicht retten, aber es kann sicherlich nicht schaden, um Ihre Installation ein wenig zu verschleiern. Um dieses Problem zu beheben, müssen Sie wp-config.php eine Ebene nach oben in der Ordnerstruktur verschieben. Wenn der ursprüngliche Standort war: /home/www/wp-config.php 1 / home / www / wp - Konfig. php bewegen dieDatei an: /home/wp-config.php 1 / home / wp - Konfig. PHP oder zum Beispiel aus /home/www/my-blog/wp-config.php 1 / home / www / my - Blog / wp - Konfig. PHP: /home/www/wp-config.php 1 / home / www / wp - Konfig. php Überprüfen Sie, ob MySQL-Server von außen mit dem WP Benutzer verbindbar ist. Da MySQL-Benutzernamen und Passwort im Klartext in wp-config.php geschrieben sind, ist es ratsam, nicht jeder Client zu erlauben, das Konto zu verwenden, es sei denn, er von Ihrem Server (localhost) einer MySQL-Verbindung ist. Erlauben ihm von jedem Host zu verbinden, werden einige Angriffe leichter zu schlechten Menschen machen. Um dieses Problem Fixierung beinhaltet die MySQL-Benutzer oder Server-Konfiguration zu ändern, und es ist nicht etwas, das in wenigen Worten beschrieben werden kann, so dass wir jemand raten zu fragen, die für Sie zu beheben. Wenn Sie wirklich sind begierig, es zu tun schlagen wir einen neuen MySQL-Benutzer und geben Sie unter "Host-Name" geben Sie "localhost". Stellen Sie die anderen Eigenschaften wie Benutzername und Passwort nach Ihren eigenen Wünschen und natürlich, update wp-config.php mit den neuen Benutzerdetails. Überprüfen Sie, obEditURI (XML-RPC) Link ist in den Seiten 'Kopfdaten vorhanden. Wenn Sie keine Really Simple Discovery-Dienste wie Pingbacks Verwendung gibt es keine Notwendigkeit, dass die Endpunkt (Link) im Header zu werben. Bitte beachten Sie, dass für die meisten Websites ist dies kein Sicherheitsproblem dar, weil sie "entdeckt werden wollen", aber wenn man die Tatsache zu verbergen wollen, dass Sie WP verwenden ist dies der Weg zu gehen. Öffnen Sie Ihr Thema der functions.php Datei und fügen Sie die folgende Zeile: remove_action ( 'wp_head', 'rsd_link'); 1 remove_action ( 'wp_head', 'rsd_link'); Zusätzlich zu vollständig zu deaktivieren XML-RPC-Funktionen den folgenden Code in wp-config.php knapp unter dem require_once (ABSPATH 'wp-settings.php.'); Linie: add_filter ( 'xmlrpc_enabled', '__return_false'); 1 add_filter ( 'xmlrpc_enabled', '__return_false'); Und fügen Sie diesen Code auch in .htaccess DDoS-Attacken zu verhindern: & Lt; Files xmlrpc.php & gt;   Deny Ordnung, zulassen   Abgelehnt von allen & Lt; / Files & gt; 1 2 3 4 & lt; Dateien xmlrpc. PHP & gt; Bestellen Sie Ablehnen, Zulassen von allen Deny& Lt; / Files & gt; Überprüfen Sie, ob Timthumb Skript im aktiven Thema verwendet wird. Wir empfehlen nicht, die Timthumb Skript mit Bildern zu manipulieren. Abgesehen von den Sicherheitsproblemen einige Versionen hatten, hat Word seine eigene eingebaute Funktionen zur Manipulation von Bildern, die stattdessen verwendet werden soll. Kontaktieren Sie das Thema Entwickler und haben ihm das Thema zu aktualisieren. Es ist unwahrscheinlich, dass Sie werden in der Lage sein, sich um dieses Problem zu beheben. Überprüfen Sie, ob der Server auf den Shellshock Bug # 6271 verwundbar ist. Shellshock, der auch als Bashdoor bekannt ist, ist eine Familie von Sicherheitslücken in der weit Unix Bash-Shell verwendet. Webserver verwenden Bash bestimmte Befehle zu verarbeiten, kann ein Angreifer damit anfälligen Versionen von Bash zu verursachen, beliebige Befehle auszuführen. Dies kann ein Angreifer möglicherweise unberechtigten Zugriff auf das System zu erlangen. Obwohl dieser Fehler nicht auf Wordpress verwandt ist direkt ist es sehr problematisch. Mehr Details. Kontaktieren Sie Ihren Server-Administrator und Aktualisierung der sofort Bash-Shell-Server. Überprüfen Sie, ob der Server die anfällig istShellshock Bug # 7169. Shellshock, der auch als Bashdoor bekannt ist, ist eine Familie von Sicherheitslücken in der weit Unix Bash-Shell verwendet. Webserver verwenden Bash bestimmte Befehle zu verarbeiten, kann ein Angreifer damit anfälligen Versionen von Bash zu verursachen, beliebige Befehle auszuführen. Dies kann ein Angreifer möglicherweise unberechtigten Zugriff auf das System zu erlangen. Obwohl dieser Fehler nicht auf Wordpress verwandt ist direkt ist es sehr problematisch. Mehr Details. Kontaktieren Sie Ihren Server-Administrator und Aktualisierung der sofort Bash-Shell-Server. TEST Detaillierte Erläuterung & HILFE

Marketing-Deal mit dem Alter von 15 Jahren, begann ich aus dem hässlichen Seiten der Assistentenseiten Dienste Republik Onet - unterstützt derzeit mehr als 200 Kunden und 450 Websites, die ich erstellt oder ich habe sie unter seiner Obhut (Support und Wartung). Ich bin derzeit Vermarktung Spezialist in der größten Gartenbaugeschäft (SADOWNICZY.PL) und Head of Sales Support.