Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Віртуальний хостинг захистити

0
WordPress Security
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Стаття у форматі PDF
📄 Стаття у форматі PDF (тільки для передплатників новин)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

WordPress є найпопулярнішою блоговою програмою та найбільш поширеним системою управління вмістом. Ні дивно, що тому багато атакувальників намагаються випадково атакувати та хакнути встановлені WordPress системи та сервери. З цієї причини потрібно захиститися, адже на Google існують різні вказівки щодо того, як використовувати безпекові лазі.

Сканінг безпеки WordPress

Якщо ви не впевнені, чи ваша вебсторінка WordPress або блог вразливі до хакерських атак і чи потрібно особливу охорону, зробіть Security Scan (зовнішня сторінка, безкоштовно). Скан перевірить зокрема версію WordPress, вона повинна бути на останньому етапі. Крім того, всі виявлені плагіни будуть перевірені та порівняні з базою даних небезпечних плагінів. Якщо все добре, результат тестування буде такий:

WordPress Security Scan

Також скан перевірює імена адміністраторських користувачів. Якщо можливо, вони не повинні називатися admin або так само, як і назва вебсайту.

Інший сканер, який називається Nikto, перевіряє вашу вебсторінку та сервер загалом на наявність безпеки (для цього потрібно зареєструватися або завантажити офлайн-версію).

Загальні заходи

На будь-який випадок необхідно та абсолютно обов'язкове використання сильного паролю для свого користувача WordPress, так що ви зможете захистити WordPress з мінімальним навантаженням від атак. Крім того, ніколи не використовуйте одне і те ж пароль декілька разів, ні навіть всередині однієї установки WordPress для кількох користувачів, ні навіть ті ж самі паролі для різних послуг та застосунків!

До найпростіших заходів безпеки відноситься видалення стандартного користувача з ідентифікаційним номером 1 та ім'ям користувача "адмін". бо ім'я автора із індексом 1 дуже легко можна визначити шляхом звернення до наступної URL.

www.yourblog.com/?author=1

Адміністративна частина на вашому сервері повинна бути додатково захищена шляхом встановлення Версії захисту файлів. Інакше можна просто звернутися до екрану входу за допомогою наступного коду:

www.yourblog.com/wp-admin

Також створити захист каталогу для адміністративної області:

Є файл пароля поза захищеним каталогом та поза головним каталогом розмістити, який називається .htpasswd і має такий вигляд:

username:passworthash

Для username ви обираєте будь-який користувач, який найкраще не збігається з вашим іменем користувача WordPress. passworthash — це хеш-значення пароля, яким ви бажаєте авторизувати захист каталогу. Найпростіший спосіб створення вмісту цієї файлу — використовувати htpasswd-генератор. Пам'ятайте про безпечні паролі, що вже повинно бути зрозуміло!

Далі створіть файл із ім'ям .htaccess у каталозі wp-admin своєї встановленої версії WordPress, який міститиме наступний вміст:

AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /pfad/zur/Datei/.htpasswd
AuthGroupFile /dev/null
require valid-user

Здійснюється багатофакторна автентифікація, також відомі як MFA. Більше б було медійний розрив, але це часто буде занадто далеко для інформаційних вебсторінок. Для онлайн-банків це може бути інша історія.

Ну й ще заборонити зовнішній доступ до файлу wp-config.php у шляху WordPress, бо в цьому файлі містяться всі важливі дані доступу, такі як ім'я користувача бази даних та відповідне пароль. У тому ж каталозі або папці знаходиться файл .htaccess. У цьому файлі додайте наступні рядки ganz am Ende:

\# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Ці заходи повинні відчутно підвищити безпеку, завдяки чому Ви вже досить ефективно зможете захистити WordPress від хакерів!

Плагіни та сам WordPress регулярно оновлювати

Дашборд повідомляє про наявність оновлень. Часто оновлення містять Секурні заходи або код для закриття безпеки лунок. Кому не подобається ручне оновлювання, той може додати наступну рядок у файлі wp-config.php, щоб активувати автоматичне оновлення:

// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );

Noch mehr Security-Tipps

Теперешній текст джерела: Damit Angreifer or Hacker nicht direkt die WordPress-Version auslesen können, am besten noch automatisiert, füge folgende Zeile Code in der Datei functions.php ganz am Ende ein: Переклад українською мовою: Аби атакувальники чи хакери не могли прямо виводити версію WordPress, найкраще ще й автоматизовано, додайте наступний рядок коду в файл functions.php зовсім у кінці:

remove\_action('wp\_head','wp\_generator');

Файл можна змінювати через панель адміністратора, ДизайнРедактор

Можеш ще більше захистити Вордпрес, тоді додай наступну рядок у кінці файлу wp-config.php:

define('DISALLOW\_FILE\_EDIT', true);

Забороняє редагування файлів PHP та CSS через редактор WP у панелі управління для хакерів. Однак зміни в цих файлах повинні бути заборонені лише тоді, коли ви не бажаєте самостійно часто змінювати файли за допомогою редактора у панелі (з комфорту). Але ви можете змінювати всі ці файли прямо на вебсервері, наприклад за допомогою FTP або Shell.

Якщо ваша сторінка WordPress не підтримує HTTPS чи SSL, тоді вам слід ніколи не користуватися WLAN з публічних місць для доступу до своєї установки як адміністратора, бо тоді можуть виникнути проблеми із читанням вашого пароля відкритим текстом! І цей шлях ви точно не хочете пройти! У деяких випадках навіть юридичні наслідки будуть обов'язковими, якщо ви розкриєте свої мережеві засоби безпеки. SSL можна використовувати лише з найбільшою кострублідною ліцензією, тому більшість підприємств мають можливість цього.

Двофакторна автентифікація

За допомогою плагіна можна встановити двократну автентифікацію під час входу в систему. Для цього потрібно додатково створити Google-аплікацію. Крім власного Вордпресового входу необхідно підтвердити свій обліковий запис за допомогою смартфона. Плагін називається Google Authenticator – Two Factor Authentication (2FA). Дякую Ральфові за чудовий коментар до цього статті!

Ліміт спроб входу

Невірно, але правда: за замовчуванням кожен може здійснити будь-яку кількість спроб входу до свого адміністративного простору! У знак безпеки WordPress слід встановити плагін, такий як Login Lockdown, щоб встановити обмеження. Після встановлення ви зможете знайти опції цього плагіна під Налаштування -> Login Lockdown. Там ви зможете особливо налаштувати кількість спроб входу, які людина може здійснити поспіль, тобто скільки помилкових спроб вона зробить. Після досягнення цієї кількості спроб входу з однієї і тієї ж IP-адреси протягом 5 хвилин більше не буде можливості здійснити спробу входу. Ця час можна також налаштувати. Тепер злочинцям доведеться ще більше напружитися, щоб вони змогли потрапити!

Виїтельно важливо також налаштування Mask Login Errors. Власне треба встановити її на Yes. Тоді атакувальник не отримає жодної інформації, чому його реєстрація провалиться. Інакше повідомляється, чи відомий користувач, але неправильний пароль був або навіть вже сам користувач невідомий.

Змінити префікс таблиці

Звичайно, кожна таблиця починається з префікса wp.. Це робить її дуже вразливою при успішному SQL Injection атаках, що дозволяє вивчити або змінити вміст даних у базі даних. Перед встановленням можна змінити цей префікс шляхом редагування файлу _wp-config.php. Якщо вже було здійснено встановлення, тоді допоможе плагін Change DB Prefix.

Ми отримали самі недавно спам-коментар із спробою пласкої ін'єкції SQL, який вказує шлях хакерів:

WordPress Hacking
SQL Injection via Kommentar

Це був, вірогідно, російський громадянин, який навіть не вміє писати англійською чи SQL-командами правильно. Поки що SQL-запит містить помилку синтаксису та нічого не робить з базою даних. Дуже важко собі уявити, як би виглядало ситуація, якщо цей напад був успішним!

Читати файли README та Ліцензії та захистити їх або видалити

readme.html та license.txt файли знаходяться в основному каталозі встановлення та містять інформацію щодо версії WordPress. Вони можуть стати добрим початком для атакувальника, щоб оцінити цілі атаки. either видаліть ці два файли, оскільки вони не потрібні для роботи. або розширте рядки в htaccess файлі, який знаходиться у кореневому каталозі: # Protect readme.html File &lt;Files readme.html&gt; order allow,deny deny from all &lt;/Files&gt; ` # Protect license.txt file <Files license.txt> order allow,deny deny from all </Files>

Безпекові плагіни використовують

З допомогою плагіна, як наприклад Bullet Proof Security, який дуже розповсюджений та користується великою популярністю серед адміністраторів у багатьох встановленнях, можна отримати безкоштовну та повноцінну розв'язання для закриття потенційних безпеки лунок та воріт.

Плагін зберігає від різних атак, захищає, наприклад, файл htaccess, створює вогнева стіну навколо всієї установки, обмежує максимальну кількість дозволених спроб входу, перевіряє паролі та забезпечує ефективну захист бази даних.

Цей плагін безпеки дуже простий у використанні та встановленні та налаштування за декілька кліків, обов'язково спробуйте!

Додаткові вказівки

Саме собою слід виконувати регулярне Backup своїх WordPress-інсталяцій, для чого достатньо скопіювати директорію встановлення на місцевий диск. У жодному разі не зберігати резервну копію на тому ж сервері, де встановлена WordPress або завантажувати її за допомогою FTP! Назване раніше плагін створює також резервну копію своєї бази даних! Одноразові заходи, такі як зміна htaccess для захисту інсталяцій та інші вище описані налаштування безпеки захистять від хакерських атак. Важливо виконувати оновлення для плагінів і тем, які пропонуються. На будь-якому випадку прочитайте Change Log і якщо були закриті вразливості безпеки, обов'язково встановіть їх.

Створиш собі теми чи змінюєш наявні шаблони, тоді зверни увагу під час дизайну вебсайту на те, щоб не відкривати безпеки. Інформуйся найкраще перед тим як зовнішні бібліотеки Javascript використовувати, чи вони вважаються безпечними.

Власно Вордпресс має архів з інформацією про безпеки.

Перевірка вебсторінок

Вищі аспекти безпеки та захисту даних поєднуються між собою. Хто захищає свій сайт WordPress, повинен мати на увазі не лише хакерів, але й законодавчі акти щодо захисту даних. З допомогою онлайн-аналізу свого сайті Ви зможете побачити, як він організований.

Переглянути вебсайт

Веб-сайт перевірка працює дуже просто:

  1. Введіть адресу вебсайту
  2. Натисніть кнопку "Початок
  3. Найбільше декілька секунд чекати, результат побачити прямо в браузері
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Künstliche Intelligenz im Sicherheitsbereich: Grundlagen und Möglichkeiten