✔ WordPress: Sicherheit

[mediamat]

Hallo,

bislang hab ich nur eigene kleine Webseiten gemacht. Jetzt mal zwei für zahlende Kundschaft.
Es sind kleine Seiten, wird voraussichtlich nur einmal im Jahr was geändert.

Aber ich brauche jetzt ne professionelle Lösung, wie ich die WP-Installationen sicher mache, wenn die Kunden dann damit allein sind. Ich hab Angst dass Plugins oder so Sachen wie "Visual Composer" irgendwann mal nicht mehr gehen, weil sich die Plugins oder WP geupdatet haben...und dann stehen alle nach 5 Jahren bei mir schimpfend auf der Matte...und dann steh ich da und muss vielleicht komplett kaputtes Zeug neu aufbauen. Und auch an Hacker muss ich denken.

Wie mach ich das am besten?
Alle Updates abstellen (und irgendwelche(functions?!) php-Dateien die Hackerangriffspunkte sind, auf andere Nicht-WP-Pfade auslagern...so nen ähnlichen Tipp hab ich schonmal bekommen)?
Und für mich ein Update des Projekts inkl. verwendeter WP-Version machen, dass ich im Fall der Fälle dem Kunden geben kann?

 

[Fonsi-Heizer]

Hallo @elfi812

1. Um die Sicherheit der WP-Installationen zu erhöhen, empfehle ich meist immer einen Passwortschutz via .htaccess des WP-Backends sowie Änderung der Standard wp-admin URL.

2. Es gibt Plugins wie z.B. iThemes Security welche Dir ein paar "Basic-Security-Einstellungen" übernehmen.

3. Bzgl. automatischen Wordpress & Plugin Updates muss jeder Kunde für sich dann selbst entscheiden ob er das möchte. Hierzu empfehle ich ein automatisches Backup-System wie z.B. UpdraftPlus welches ein tägliches Backup anlegt. (Oder der Hoster bietet so etwas an?). Ebenfalls kannst du die automatischen Wordpress Updates deaktivieren. Hierzu einfach einmal Googlen.

Frage am Rande: Werden die Seiten auf einem Server oder einem normalen Webspace Paket gehostet?

Sehr hilfreich ist auch folgende Seite / Blog von Ernesto: https://sectio-aurea.org/wordpress/sicherheit/

LG Fonsi-Heizer

 

[sheel]

Um es gleich ein zweites mal zu sagen: Automatische Backups sind wichtig

...und das sicherste Wordpress ist kein Wordpress.
http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html

 

[mediamat]

Vielen Dank für die Tipps!

Hallo @elfi812
1. Passwortschutz via .htaccess des WP-Backends sowie Änderung der Standard wp-admin URL.

Ok, damit beschäftige ich mich mal...gibt es dazu evtl. Links wo das erklärt wird?
(Kommen da Redakteure dann noch rein? Ja, es ist nur, dass das Passwort aus WP ausgelagert wird oder?!

Die Webseiten werden auf einem normalen Webpaket (z.B. bei Strato) gehostet.

iThemes Security

Ok, dachte erst vielleicht ist das Mist so WP-interner Securitykram, weil ein Hacker sowas dann evtl auch beeinflussen kann?!
Aber ich schau's mir mal an.

...und das sicherste Wordpress ist kein Wordpress.

Sondern? ;-)
Vor langer Zeit hatte ich mal Contao angeschaut, aber WP ist wohl irgendwie vor allem durch die diversen Plugins das attraktivste/konkurrenzfähigste.

 

[Fonsi-Heizer]

Hallo,

ja die Anleitungen gibt es:

.httacces Schutz für WP-Admin: http://blog.art-supplies.de/htaccess-datei/

Die Backend-URL umschreiben funktioniert mit einem Klick via iThemes Security!

Ja, Redakteure kommen noch rein, sofern Sie die neue "umgeschriebene" Backend URL von Euch erhalten und auch den Benutzername / Passwort welches Ihr ausgewählt habt.

LG

 

[Jan-Frederik Stieler]

Also ein sicheres CMS als Wp wäre z.B. Kirby.
Und ist viel einfacher zu handhaben. Die ganzen scheiß Erweiterungen brauchst du bei Kirby nicht. Das CMS ist recht einfach so das man sogut wie alles was man benötigt selbst ins Template einbauen kann.
Und man muss sich nicht mit ner DB rumärgern.

Grüße