Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Kostenlos

Website-Analyse in Echtzeit

Erhalten Sie sofort detaillierte Einblicke

DSGVO-Check

WordPress beveiligen

0
WordPress Security
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

WordPress is de meest populaire blogsoftware en het meest gebruikte content management systeem. Geen wonder dat dan zoveel aanvallers proberen, willekeurig WordPress-installaties en servers aan te vallen en te hacken. Daartegen kan en moet men zich verdedigen, alleen al omdat op Google diverse instructies bestaan over hoe Veiligheidslekken kunnen worden uitgebuit.

De WordPress BeveiligingsScan

Ben je onzeker of jouw WordPress-website of blog gevoelig voor aanvallen door hackers is en of je hem extra moet beveiligen? Dan doe dan de Security Scan (externe site, gratis). De scan controleert onder andere de versie van WordPress, die op het laatste moment zou moeten zijn. Verder worden alle herkende plugins gecontroleerd en vergeleken met een database van gevaarlijke plugins. Als alles goed gaat, ziet het testresultaat er zo uit:

WordPress Security Scan

Bovendien controleert de scan de gebruikersnamen van de beheerders. Indien mogelijk zou deze niet admin moeten heten noch zo, als de website zelf.

Een andere scanner genaamd Nikto controleert je website en server in het algemeen op beveiligingslekken (je moet je hiervoor wel registreren of de offline-versie downloaden).

Algemene maatregelen

Het is absoluut noodzakelijk en essentieel om sterke wachtwoorden te gebruiken voor je WordPress-admin-gebruiker, zodat je met weinig moeite WordPress kunt beveiligen en beschermen tegen aanvallen. Bovendien mag je hetzelfde wachtwoord niet meer dan één keer gebruiken, noch binnen een WordPress-installatie voor meerdere gebruikers, noch gelijke wachtwoorden voor verschillende diensten en toepassingen!

Tot de eenvoudigste veiligheidsmaatregelen behoort het verwijderen van de standaardgebruiker met de identiteitsnummer 1 en de gebruikersnaam »admin«. Want de naam van de auteur met de index 1 kan heel gemakkelijk door middel van een oproep naar de volgende URL achterhaald worden.

www.yourblog.com/?author=1

De beheerdersomgeving op je server zou ook met een Bestandbescherming moeten worden beveiligd. Anders kun je simpelweg de login-pagina zo oproepen:

www.yourblog.com/wp-admin

Zo maak je een mapbeveiliging voor de admin-gebied:

Een wachtwoord-bestand buiten het te beschermen mapje en buiten het hoofdmapje leggen, dat genoemd wordt_.htpasswd en de volgende opbouw heeft:

username:passworthash

Voor username kies je een willekeurige gebruikersnaam, die het beste niet overeenkomt met je WordPress-gebruikersnaam. passworthash is de hashwaarde van het wachtwoord waarmee je wilt inloggen op de directory-protection. Je kunt de inhoud van deze file het makkelijkst genereren met een htpasswd-generator. Let op veilige wachtwoorden, dat zou eigenlijk vanzelfsprekend moeten zijn!

Daarna een bestand met de naam .htaccess in het mapje wp-admin van je WordPress-installatie aanmaken, dat de volgende inhoud heeft:

AuthType Basic
AuthName "Passwortgeschuetzter Bereich"
AuthUserFile /pfad/zur/Datei/.htpasswd
AuthGroupFile /dev/null
require valid-user

Met dit is een multifactor-authenticatie (MFA) gewaarborgd. Een media-break zou nog beter zijn, maar dat zou bij informatie-websites vaak te ver gaan. Bij online bankieren kan het anders zijn.

Nu ook nog de toegang van buitenaf tot het bestand wp-config.php in het pad van WordPress verbieden, want in dit bestand staan alle belangrijke toegangsgegevens zoals de database-gebruiker en het bijbehorende wachtwoord. In dezelfde map of folder als wp-config.php bevindt zich een htaccess-bestand. In dit file voeg je helemaal aan het einde de volgende regels toe:

\# Zugriff auf wp-config.php von außen verbieten
<files wp-config.php>
Order deny,allow
deny from all
</files>

Deze maatregelen zouden spoorbaar meer veiligheid brengen, daarmee kun je alweer behoorlijk effectief WordPress tegen hackers beschermen!

Plugins en WordPress zelf regelmatig bijwerken

Het dashboard meldt wanneer een update beschikbaar is. Vaak bevatten updates Sicherheitsmaatregelen of code om veiligheidslekken te sluiten. Wie het handmatige bijwerken als lastig vind, kan in de wp-config.php bestand de volgende regel toevoegen om het automatische bijwerken te activeren:

// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );

Noch mehr Security-Tipps

Hier is de vertaling van de bron tekst naar het Nederlands: Om aanvallers of hackers niet direct de WordPress-versie kunnen lezen, en nog beter automatisch, voeg dan deze regel code toe in het bestand functions.php helemaal onderaan:

remove\_action('wp\_head','wp\_generator');

De bestand kun je bewerken via het beheerpaneel, DesignEditor.

Wil je WordPress nog verder beveiligen, dan voeg je de volgende regel toe aan het einde van de bestand wp-config.php:

define('DISALLOW\_FILE\_EDIT', true);

Het verhindert het bewerken van PHP- en CSS-bestanden via de WP-editor in het beheerpaneel door hackers. Maar wijzigingen aan deze bestanden moeten alleen verboden worden als je zelf niet regelmatig via de editor in het paneel bestanden wilt wijzigen (uit comfort). Maar je kunt alle deze bestanden ook rechtstreeks op de webserver wijzigen, bijvoorbeeld per FTP of Shell.

Als je WordPress-site geen HTTPS of SSL ondersteunt, moet je nooit per WLAN van openbare plekken uit als beheerder op je installatie inloggen, want dan kan het gebeuren dat aanvallers je wachtwoord in het klartext lezen! En deze weg wil je zeker niet bewandelen! Soms moeten ook juridische consequenties worden aanvaard als je over draadloze netwerken beveiligingsgaten openlaat. SSL kan echter alleen met een meestal kostenplichtig certificaat worden gebruikt, waardoor bedrijven hierin de mogelijkheid hebben.

Tweefactorauthenticatie

Met behulp van een plugin kan een tweefactor-authenticatie bij het inloggen worden ingesteld. Hiervoor is naast WordPress nog een Google-app nodig. Naast het reguliere WordPress-inloggen moet je dus ook via je smartphone worden geautoriseerd. Het plugin heet Google Authenticator – Two Factor Authentication (2FA). Dankzij Ralf voor de leuke hint per commentaar op dit artikel!

Aantal inlogpogingen beperken

Ongehoord, maar waar: Per standaard kan iedereen onbeperkt veel inlogpogingen doen in je beheerdersgebied! In het teken van WordPress-beveiliging zou je een plugin als Login Lockdown moeten installeren om een limiet aan te brengen. Na de installatie vind je onder Instellingen -> Login Lockdown de opties van het plugin. Daar kun je vooral instellen hoe vaak iemand achter elkaar mag proberen in te loggen, dus hoeveel mislukte pogingen hij heeft. Nadat deze pogingen zijn bereikt, is een inlogpoging voor 5 minuten vanaf dezelfde IP-adres niet meer mogelijk. Deze tijd kun je ook configureren. Nu moeten kwaadwilligen zich meer moeien om in te breken!

Zeer nuttig is ook de instelling Mask Login Errors. Men moet deze op Yes zetten. Dan krijgt de aanvaller namelijk geen informatie, waarom zijn inlogpoging is mislukt. Anderzijds wordt er dan gemeld of het wachtwoord fout what, maar de gebruikersnaam juist what, of dat zelfs de gebruikersnaam fout what.

Tabel voorvoegsel wijzigen

Normaal gesproken begint elke tabel met het prefix wp. Dat maakt het bij succesvolle SQL Injection-pogingen eenvoudig om inhoud uit de database te lezen of te manipuleren. Voordat je de installatie doorvoert, kun je dat prefix aanpassen door de _wp-config.php-bestand te bewerken. Wanneer de installatie al is voltooid, helpt het plugin Change DB Prefix.

We hebben zelfs onlangs een spam-commentaar ontvangen met een duidelijke poging tot SQL-injectie en het pad van de hackers laat zich raden:

WordPress Hacking
SQL Injection via Kommentar

Dat what waarschijnlijk een Russische medeburger die echter geen Engels noch SQL goed kan schrijven. Want het SQL-statement bevat syntaxfouten en leidt tot geen actie op de database. Dummer kan het nauwelijks, maar nauwelijks uit te denken als deze aanval succesvol zou zijn geweest!

Leesmeejs en licenties beschermen of verwijderen

De bestanden readme.html en license.txt liggen in het hoofdmap van de installatie en bevatten informatie over de WordPress-versie. Ze bieden een goede uitgangspunt voor aanvallers om doelwit te evalueren. Ofwel deze twee bestanden wissen, want ze zijn niet nodig voor het functioneren. Ofwel de htaccess-bestand in het root-map verlengen met de volgende regels: # Protect readme.html File &lt;Files readme.html&gt; order allow,deny deny from all &lt;/Files&gt; ` # Protect license.txt file <Files license.txt> order allow,deny deny from all </Files>

Veiligheidsplugins gebruiken

Met een plugin als Bullet Proof Security, dat breed wordt gebruikt en bij veel admins in vele installaties erg populair is, krijg je een gratis en omvattende oplossing voor het sluiten van potentiële veiligheidslekken en deuren.

Het plugin weert diverse aanvallen af, het beschermt bijvoorbeeld de htaccess bestand, bouwt een firewall om de hele installatie op, beperkt de maximale hoeveelheid toegestane login pogingen, controleert wachtwoorden en biedt een effectieve bescherming voor de database.

Dit beveiligingsplugin is heel eenvoudig in gebruik en kan met een paar klikken geïnstalleerd en ingesteld worden, zeker uitproberen!

Verdere aanwijzingen

Zelfsverwachtingens moet je regelmatig een Backup van je WordPress-installaties maken, hiervoor is het voldoende om het installatiebestand op een lokale schijf te kopiëren. Op geen enkele manier het backup-bestand op dezelfde server leggen waarop je WordPress hebt geïnstalleerd of per FTP uploaden! Het eerder genoemde plugin maakt overigens een backup van je database! Eenmalige maatregelen zoals het aanpassen van htaccess om de installatie te beveiligen en andere boven beschreven security-instellingen schieten in ieder geval goed tegen gehackt worden. Groot belang hebben de updates die voor plugins en themes worden aangeboden. Op elk geval het changelog daarvan lezen en als er veiligheidslekken zijn gesloten, onmisbaar installeren.

Maak je zelf thema's of wijzig bestaande templates dan let webdesign op veiligheidssleuven. Informeer je voordat je externe Javascript bibliotheken gebruikt, of deze als veilig worden beschouwd.

WordPress heeft overigens een archief met veiligheidsrelevante meldingen.

Websites controleren

De aspecten veiligheid en gegevensbescherming horen bij elkaar. Wie zijn WordPress-website beveiligt, moet niet alleen hackers in het oog hebben, maar ook wetten over gegevensbescherming. Met de online website check leer je direct hoe jouw homepage is opgesteld.

Websites controleren

De websitecontrole werkt heel eenvoudig:

  1. Websites invoeren
  2. Druk op start
  3. Wacht even af, resultaat direct in de browser zien
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Künstliche Intelligenz im Sicherheitsbereich: Grundlagen und Möglichkeiten