Sicherheit Diese Tricks und Kniffe helfen wirklich

Wie Du Hacker richtig ärgern kannst mit diesen Snippets

Wie Du Hacker richtig ärgern kannst mit diesen Snippets

Du willst mal so richtig was für die Sicherheit Deiner Website tun und Hacker richtig ärgern? Mit dieser Strategie erzielst Du maximale Wirkung bei kleinem Aufwand. Mit Tipps vom Profi.

Ich gebe Dir hier eine auch für Laien sehr einfach umzusetzende Strategie an die Hand, wie Du für die Sicherheit Deiner WordPress-Website so richtig was tun kannst. Du musst dafür kein Profi sein, erzielst jedoch trotzdem eine maximale Wirkung.

Suchmaschinenoptimierung

1.000 Seiten Praxiswissen und Profitipps zu Google
Dieses Buch sichert Ihnen ein Top-Ranking bei Google. Einsteiger und Fortgeschrittene finden gleichermaßen fundierte Informationen zu allen relevanten Bereichen der Suchmaschinen-Optimierung. Die 9. Auflage wurde ergänzt um viele neue Themen: SEO-freundliche Relaunches, Google Search Console und alternative Suchmaschinen usw...

Nur 49,90€

Auf Amazon kaufen

Ich führe Dich Schritt für Schritt durch die drei Arbeitsschritte, die für die Sicherheit Deiner Website wichtig sind. Am Ende meines Artikels bekommst Du noch einige Profi-Tipps gratis dazu.

So einfach machst Du Dein WordPress viel Sicherer

Die folgenden Snippets kopierst Du in die functions.php Deines aktiven Themes hinein. Du solltest diese Arbeiten immer mit einem FTP-Zugang erledigen, niemals in den Editoren von WordPress. Diese gehören abgeschaltet, weil sie ein extremes Sicherheitsrisiko darstellen.

Wie das geht, erfährst Du am Ende des Artikels.

Die Snippets sind geeignet für:

  • WordPress-Version: Ab 4.5
  • PHP-Version: inkl. PHP 7.xx

1

WordPress Zugang nur mit E-Mail-Adresse und Passwort

Mit diesem Snippet ist das Einloggen mit dem Benutzernamen – oftmals Admin – nicht mehr möglich. Stattdessen wird die E-Mail-Adresse verwendet. Automatische Hackversuche laufen so ins Leere.

<?php

// Ab hier kopieren
    
//WordPress Authentifikation löschen
remove_filter('authenticate', 'wp_authenticate_username_password', 20);

// Neue Authentifikation setzen - Anmelden nur mit E-Mail und Passwort
add_filter('authenticate', function($user, $email, $password){
 
    //Check for empty fields
        if(empty($email) || empty ($password)){        
            //create new error object and add errors to it.
            $error = new WP_Error();
 
            if(empty($email)){ //No email
                $error->add('empty_username', __('<strong>FEHLER</strong>: Das Feld ist leer.'));
            }
            else if(!filter_var($email, FILTER_VALIDATE_EMAIL)){ //Invalid Email
                $error->add('invalid_username', __('<strong>FEHLER</strong>: Deine Eingabe stimmt nicht so ganz.'));
            }
 
            if(empty($password)){ //No password
                $error->add('empty_password', __('<strong>FEHLER</strong>: Das Feld ist leer.'));
            }
 
            return $error;
        }
 
        //Check if user exists in WordPress database
        $user = get_user_by('email', $email);
 
        //bad email
        if(!$user){
            $error = new WP_Error();
            $error->add('invalid', __('<strong>FEHLER</strong>: Deine Eingabe stimmt nicht so ganz.'));
            return $error;
        }
        else{ //check password
            if(!wp_check_password($password, $user->user_pass, $user->ID)){ //bad password
                $error = new WP_Error();
                $error->add('invalid', __('<strong>FEHLER</strong>: Deine Eingabe stimmt nicht so ganz.'));
                return $error;
            }else{
                return $user; //passed
            }
        }
}, 20, 3);

Damit kein Hacker weiß, welche Eingabe falsch war, sind die Fehlermeldungen nichts-sagend.

2

Falsche Zugangsdaten eingegeben? Weiterleitung auf Google.de

Damit kannst Du wirklich jeden Hacker ärgern. Einmal die Zugangsdaten falsch eingegeben und schon wird man in Richtung Google befördert. Das setzt ein deutliches Signal an jeden Menschen, der sich an Deinem Adminzugang ausprobieren möchte.

<?php

// Ab hier kopieren
if ( ! function_exists( 'ah_redirect_after_login_errors' ) ) :
/**
 * Redirect auf Google nach falscher Eingabe der WP-Zugangsdaten
 */
function ah_redirect_after_login_errors() {
    
  wp_redirect( 'https://www.google.de' );
  exit;
}
add_filter( 'login_errors', 'ah_redirect_after_login_errors' );
endif;

3

Nutze diese auf Sicherheit und Speed optimierte .htaccess Datei

Wenn Du Dich gegen echte Sicherheitslücken von WordPress schützen möchtest, dann nutze diese .htaccess Datei. Sie kommt in das Hauptverzeichnis von WordPress hinein.

Du willst mehr Sicherheit? Hier kommen die Profi-Tipps

Die besten Tipps sind häufig am einfachsten umzusetzen.

  • Nutze ein wirklich starkes Passwort. Es sollte schon 30-stellig sein. Hier findest Du einen richtig guten Passwort-Generator.
  • Halte WordPress und die Plugins immer aktuell und führe jedes Update sofort durch. Das schliesst eventuell aufgetretene Sicherheitslücken, durch die ein Angreifer in Deine Website einbrechen könnte.

Mehr-Autoren Blogs: Verbiete Usern die Passwortänderung

Du weißt schon: User neigen dazu, sich einfach zu merkende Passwörter zu vergeben wie zum Beispiel 123456 oder ähnlich. Laß es erst gar nicht so weit kommen. Vergebe wirklich sichere Passwörter an Deine Autoren und hindere sie an der Änderung.

Auch dieses Snippet kommt wieder in die functions.php Deines aktiven Themes.

<?php

// Ab hier kopieren
/**
 *
 * User davon abhalten, ihre Passwörter zu ändern
 * 
 */ 
class Password_Reset_Removed
{

  function __construct() 
  {
    add_filter( 'show_password_fields', array( $this, 'disable' ) );
    add_filter( 'allow_password_reset', array( $this, 'disable' ) );
  }

  function disable() 
  {
    if ( is_admin() ) {
      $userdata = wp_get_current_user();
      $user = new WP_User($userdata->ID);
      if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == 'administrator' )
        return true;
    }
    return false;
  }

}

$pass_reset_removed = new Password_Reset_Removed();

Mit diesen kleinen Änderungen hast Du Dein WordPress wirklich sehr viel sicherer gemacht. Nun wird es nur noch absoluten Profis gelingen, in Deine Website einzubrechen.

Bonus: Wie Du die Datei-Editoren von WordPress abschaltest

Das geht ganz einfach über eine einzige Zeile Code, die Du Deiner wp-config.php hinzufügst. Ein guter Platz dafür wäre oberhalb von define('WP_DEBUG', false);.

/**
 * 
 * Files Editoren abschalten
 * 
 */
define('DISALLOW_FILE_EDIT', true);

Andreas Hecht

Andreas Hecht

Er entwickelt WordPress-Websites und bietet dir einen Website Sicherheit Service und einen Performance Service für deine Website. Außerdem ist er SEO Experte und bringt Deine Website in die Top-Rankings von Google.

Das könnte auch interessant sein...

Suchmaschinenoptimierung

1.000 Seiten Praxiswissen und Profitipps zu Google
Dieses Buch sichert Ihnen ein Top-Ranking bei Google. Einsteiger und Fortgeschrittene finden gleichermaßen fundierte Informationen zu allen relevanten Bereichen der Suchmaschinen-Optimierung. Die 9. Auflage wurde ergänzt um viele neue Themen: SEO-freundliche Relaunches, Google Search Console und alternative Suchmaschinen usw...

Nur 49,90€

Auf Amazon kaufen

3 Kommentare Kommentar hinzufügen

  1. Hallo,
    so wie es ausschaut funktioniert der Snippet von diesem Punkt nicht mehr.
    Falsche Zugangsdaten eingegeben? Weiterleitung auf Google.de

    Warning: Cannot modify header information – headers already sent by (output started at /www/htdocs/w4745/wp/wp-login.php:74) in /www/htdocs/w01919a3/wp/wp-includes/pluggable.php on line 1223

    Habe diesen in die functions.php von meinen Child eingebunden.

    Gruß Stefan

    • Hi Stefan,

      stell mal die Ausgabe der PHP-Fehlermeldungen ab. Erstens sind die ein Sicherheitsrisiko und zweitens funktioniert der Code dann wunderbar. Ich poste hier keinen ungetesteten Code.

      Und der Fehler liegt eindeutig in den WordPress-Dateien, wie die Fehlermeldung besagt. Bitte vorher die Fehlermeldung auch lesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pinnen
Teilen
Teilen