WordPress-Sicherheit

Hier einige Hinweise zur WordPress-Sicherheit:


Passwort-Änderung für WordPress-User bei all-inkl.com

Wenn der KAS-Zugang möglich ist, können Benutzer-Passwörter über PHP-MyAdmin geändert werden. Anleitung bei all-inkl.com.
Bei all-ink.com ist der KAS-Zugang auch über die Vertragsverwaltung (Members Area) möglich ⇒ Menüpunkt „Technische Verwaltung“.


Login schützen

Zwei-Faktor-Authentisierung (2FA)
Hinweise zur Installation finden sich bei web266.de im Handbuch für Redakteure.

Weitere Alternativen für die Erzeugen der Einmal-Passwörter:

  • Die kostenlosen Versionen von Sophos Mobile Security für Android und iOS enthalten auch eine Authenticator-Funktion.
  • Es gibt auch Browser-Adons, z.B. Authenticator von mymindstorm für den Firefox-Browser.
    Aus Sicherheitsgründen sollten die Einmal-Passwörter aber auf einem zweiten Gerät, z.B. Smartphone oder Tablet-PC erzeugt werden.

Login über .htaccess schützen

Auf einem Apache-Webserver kann der Zugriff auf die Datei wp-login.php über die .htaccess-Datei geschützt werden. Es erfolgt dann vor dem Login eine weitere Passwort-Abfrage. Beispiel:

# Schutz wp-login
<Files wp-login.php>
AuthName "Admin-Bereich"
AuthType Basic
AuthUserFile /www/htdocs/wxxxxxxx/bew-musterstadt.de/.htpasswd
require valid-user
</Files>

Die zusätzlich benötigte Datei .htpasswd ist folgendermaßen aufgebaut:  Benutzer:Hash-Wert
Beispiel:

admin:$1$e3VFsIu4$nhWOF308wlczDiozEpFIl1
user:$1$XZs/k.s4$OEJCJZqB3JsBZoXp3dtrl.

Der benötigte MD5-Hashwert kann z. B. über den .htaccess-Generator von all-inkl.com erstellt werden.
Weitere Infos gibt es z. B. hier:  https://www.kuketz-blog.de/htaccess-schutz-wordpress-absichern-teil4/


Log-in Protection in NinjaFirewall

Die Log-in Protection kann zurückgesetzt werden, wenn der FTP-Zugang noch möglich ist. Die Einstellungen finden sich in der Datei  /wp-content/nfwlog/cache/bf_conf.php. Entweder die Datei löschen oder folgende Variablen anpassen:

$bf_enable » Enable brute force attack protection
0   No (default)
1   Yes, if under attack
2   Always ON

$bf_type » Type of Protection
0   Password
1   Captcha

Infos:
NinjaFirewall Help & FAQ – Troubleshooting
NinjaFirewall Forum


Letzte Aktualisierung: 2. März 2020