Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.

Jetzt testen

sofort das Ergebnis sehen

DSGVO Website-Check

Ochrona WordPressa

0
WordPress Security
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

WordPress jest najpopularniejszym oprogramowaniem blogowym i najbardziej używanym systemem zarządzania treścią. Nie dziwi, że w związku z tym tak wielu atakujących próbuje atakować przypadkowe instalacje WordPressa i serwery, a następnie je hakować. Przeciwko temu należy się bronić, samodzielnie już tylko dlatego, że na Google'u istnieją różne instrukcje, jak wykorzystać lukę w bezpieczeństwie.

Skan bezpieczeństwa WordPressa

Jeśli nie jesteś pewny, czy Twoja strona WordPress lub blog są wrażliwe na ataki hakera i czy musisz ich szczególnie chronić, wykonaj Security Scan (strona zewnętrzna, bezpłatnie). Skan sprawdza m.in. wersję WordPressa, która powinna być na najnowszym etapie rozwoju. Ponadto wszystkie znane rozszerzenia są sprawdzane i porównywane z bazą danych niebezpiecznych rozszerzeń. Jeśli wszystko jest w porządku, wynik testu będzie wyglądał tak:

WordPress Security Scan

Dodatkowo skan sprawdza używane nazwy administratorów. Jeśli jest to możliwe, powinny one nie brzmieć jak admin ani tak samo jak sama strona internetowa.

Inny skaner o nazwie Nikto sprawdza Twoją stronę internetową i serwer w ogóle na lukę bezpieczeństwa (trzeba się dla tego zarejestrować lub pobrać wersję offline).

Powszechne działania

Na pewno jest to niezbędne i absolutnie konieczne, aby używać silnego hasła dla Twojego użytkownika WordPressa, tak możesz zminimalizować ryzyko ataku na WordPressa. Ponadto nigdy nie powtarzaj tego samego hasła w różnych miejscach, zarówno w ramach jednej instalacji WordPressa dla kilku użytkowników, jak i przy użyciu tego samego hasła do innych usług i aplikacji!

Do najprostszych środków ostrożności należy zaliczyć usunięcie standardowego użytkownika o identyfikatorze 1 i nazwie użytkownika „admin”. Ponieważ imię autora o indeksie 1 może być łatwo odnalezione poprzez wywołanie następującej URL.

www.yourblog.com/?author=1

Obszar administracyjny na Twoim serwerze powinien być również chroniony przez przypisane uprawnienia. W przeciwnym razie można po prostu wywołać ekran logowania w następujący sposób:

www.yourblog.com/wp-admin

Aby utworzyć ochronę katalogu dla obszaru administratora:

Plik haseł umieścić poza chronionym katalogiem i poza głównym katalogiem, nazwany .htpasswd i mający następującą strukturę:

username:passworthash

Dla username wybierzesz dowolny login, który najlepiej nie powinien być taki sam jak Twój login WordPressa. passworthash to wartość hashowego hasła z którego chcesz się zalogować do folderu ochrony. Najłatwiejszym sposobem jest wygenerowanie zawartości tej pliki za pomocą htpasswd-Generatora. Pamiętaj o bezpiecznych hasełach, to powinno być oczywiste!

Następnie utwórz plik o nazwie .htaccess w katalogu wp-admin Twojej instalacji WordPress, który będzie zawierał następujący tekst:

AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /pfad/zur/Datei/.htpasswd
AuthGroupFile /dev/null
require valid-user

Dzięki temu zapewniona jest autentykacja wieloczynnikowa, znana również jako MFA. Byłoby jeszcze lepiej, gdyby doszło do przerwy w dostępie do mediów, ale to by często zbyt daleko idące było na stronach informacyjnych. W przypadku bankowości online może być inaczej.

Nun również jeszcze zakaz dostępu z zewnątrz do pliku wp-config.php w ścieżce WordPress, bo w tym pliku znajdują się wszystkie ważne informacje o dostępie, takie jak nazwa użytkownika i hasło do bazy danych. W tym samym katalogu lub folderze, gdzie jest wp-config.php, znajduje się również plik htaccess. W tym pliku dodaj na końcu następujące linie:

\# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Tej akcji powinny być dwa kroki:o wiele większa bezpieczeństwo*, dzięki czemu możesz już bardzo skutecznie chronić WordPress przed hackerami!

Plugi i sam WordPress regularnie aktualizować

Pomiar wyświetla informacje o dostępności aktualizacji. Często te Pomieszczenia bezpieczeństwa lub kod służą do zamykania luk w bezpieczeństwie. Kto nie chce się trudzić z manualnym uaktualnieniem, ten może dodać następującą linię do pliku wp-config.php aby aktywować automatyczne uaktualnienie:

// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );

Noch mehr Security-Tipps

Oto tłumaczenie źródłowego tekstu na język polski: Aby atakujący lub hacker nie mogli bezpośrednio wydobyć wersji WordPressa, najlepiej jeszcze automatycznie, dodaj następującą linię kodu do pliku functions.php na samym końcu:

remove\_action('wp\_head','wp\_generator');

Plik możesz edytować poprzez panel administracyjny, DesignEdytor

Jeśli chcesz jeszcze bardziej zabezpieczyć WordPress, dodaj następującą linię na końcu pliku wp-config.php:

define('DISALLOW\_FILE\_EDIT', true);

Zapobiega edytowaniu plików PHP i CSS za pomocą edytora WP w panelu administracyjnym przez hackerów. Jednak zmiany w tych plikach powinny być zabronione tylko wtedy, gdy nie chcesz samodzielnie często edytować plików za pomocą edytora w panelu (ze względu na komfort). Jednak możesz również bezpośrednio zmieniać te pliki na serwerze, np. za pomocą FTP lub Shell.

Jeżeli Twoja strona WordPress nie obsługuje HTTPS lub SSL, nie powinieneś nigdy dostępu do swojej instalacji jako administrator przez sieć Wi-Fi z publicznych miejsc, ponieważ wtedy atakujący mogą czytać Twoje hasło w jawny sposób! I tego ścieżki nie chcesz podejmować się. W niektórych przypadkach możesz musieć przyjąć konsekwencje prawne, jeśli ujawnisz bezpieczeństwo za pomocą sieci radiowych. SSL można jednak używać tylko z kostnemi certyfikatem, co oznacza, że bardziej firmom jest to możliwe.

Dwufaktoryczna autentykacja

Z pomocą pluginu można zastosować dwufaktorową autoryzację podczas logowania. Dla tego potrzebujesz dodatkowo aplikacji Google. Poza prawdziwym loginem WordPress musisz się upewnić, że jesteś autoryzowany za pomocą telefonu komórkowego. Plugin ten nazywa się Google Authenticator – Two Factor Authentication (2FA). Dziękuję Ralfowi za wspaniały wskazówkę poprzez komentarz do tego wpisu!

Limitacja prób logowania

Nie wierzyłabym, ale prawda jest taka: przez domyślną ustawienie każdy może podejmować nieograniczoną liczbę prób logowania do Twojego obszaru administracyjnego. W związku z tym, że mowa jest o bezpieczeństwie WordPressa, powinieneś zainstalować plugin takiego jak Login Lockdown, aby wprowadzić ograniczenie. Po instalacji znajdziesz opcje pluginu w Ustawieniach -> Login Lockdown. Tam możesz ustawić m.in., ile razy ktoś może próbować się zalogować, czyli jak wiele nieudanych prób logowania. Gdy zostaną one osiągnięte, logowanie z tej samej IP-Adresy nie będzie możliwe przez 5 minut. Możesz również ustawić tę samą liczbę minut. Teraz złoczywiścic muszą się bardziej starać, aby dostać się do Twojego obszaru administracyjnego!

Bardzo przydatna jest również ustawienie Mask Login Errors. Powinno się ją ustawić na Yes. Wtedy bowiem atakujący nie otrzymuje informacji, dlaczego jego logowanie nie powiodło się. Inaczej bowiem informowano, czy nazwa użytkownika była znana, ale hasło było błędne, czy już nazwa użytkownika była błędna.

Zmień prefiks tabeli

Normalnie każda tabela zaczyna się od prefiksu wp. To sprawia, że przy udanych próbach SQL Injection jest bardzo łatwo czytać lub modyfikować zawartość tabeli w bazie danych. Przed instalacją można zmienić to przedrostek edytując plik _wp-config.php. Jeśli już została wykonana instalacja, to plugin Change DB Prefix może pomóc.

Otrzymaliśmy niedawno spamowy komentarz zawierający prostacki atak SQL Injection, który ujawnia ścieżkę hackerów:

WordPress Hacking
SQL Injection via Kommentar

To był prawdopodobnie rosyjski obywatel, który jednak nie umie pisać poprawnie po angielsku ani SQL. Bo zapytanie SQL zawiera błąd składniowy i nie prowadzi do żadnej akcji na bazie danych. Bardzo trudno jest sobie wyobrazić, co by się stało, gdyby ten atak był skuteczny!

Pliki Readme i Licencji chronić lub usunąć

Pliki readme.html i license.txt znajdują się w głównym katalogu instalacji i zawierają informacje o wersji WordPressa. Ofiarują atakującemu dobry punkt startowy do oceny celu ataku. Albo usuń te dwa pliki, ponieważ nie są potrzebne do działania. Albo rozszerz plik htaccess znajdujący się w katalogu root o następujące linie: # Protect readme.html File &lt;Files readme.html&gt; order allow,deny deny from all &lt;/Files&gt; ` # Protect license.txt file <Files license.txt> order allow,deny deny from all </Files>

Używaj pluginów bezpieczeństwa

Z użyciem pluginu takiego jak Bullet Proof Security, który jest powszechnie stosowany i cieszy się dużą popularnością wśród administratorów w wielu instalacjach, można uzyskać bezpłatną i kompleksową rozwiązanie do zamykania potencjalnych luk w bezpieczeństwie i wejść.

Plug-in odparowuje różne ataki, chroni np. plik htaccess, buduje firewall ochroniającą całą instalację, ogranicza maksymalną liczbę dozwolonych prób logowania, sprawdza hasła i oferuje skuteczną ochronę dla bazy danych.

Ten plugin bezpieczeństwa jest bardzo prosty w obsłudze i zainstalowaniu oraz konfiguracji przy kilku kliknięciach, na pewno warto spróbować!

Dodatkowe wskazówki

Najpierw musisz regularnie tworzyć kopię zapasową swojej instalacji WordPress, wystarczy skopiować katalog instalacyjny na lokalne dyski. W żadnym wypadku nie powinieneś umieścić kopii zapasowej na tym samym serwerze, gdzie zainstalowałeś WordPress lub za pomocą FTP przesłać ją! Powołane wcześniej plugin tworzy kopię zapasową Twojej bazy danych. Jednorazowe działania takie jak modyfikowanie htaccess do ochrony instalacji oraz inne powyżej opisane ustawienia bezpieczeństwa chronią Cię przed atakami. Bardzo ważne są aktualizacje, które są dostępne dla pluginów i motywów. Zawsze przeczytaj Change Log i jeśli zostały zamknięte lukę w bezpieczeństwie, zainstaluj ją niezwłocznie.

Tworząc samodzielnie motywy lub modyfikując istniejące szablony, zwróć uwagę na projekt stron internetowych, aby nie otwierać luk w bezpieczeństwie. Dowiedz się najlepiej przed użyciem zewnętrznych bibliotek JavaScript, czy są one uważane za bezpieczne.

Samodzielnie WordPress prowadzi archiwum z bezpieczeństwa dotyczących meldowań.

Sprawdzanie stron internetowych

Aspekty bezpieczeństwa i ochrony danych są ze sobą powiązane. Kto chroni swoją stronę WordPress, nie powinien mieć tylko na względzie hakeraów, ale również prawa dotyczące ochrony danych osobowych. Z online Website Check możesz dowiedzieć się bezpośrednio, jak Twoja strona jest ustawiona.

Sprawdzić stronę internetową

Sprawdź stronę działa zupełnie prosto:

  1. Strona internetowa wpisz
  2. Nacisnij start
  3. Czeka kilka sekund, wynik ogląda się bezpośrednio w przeglądarce
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Künstliche Intelligenz im Sicherheitsbereich: Grundlagen und Möglichkeiten