Erste Schritte mit WP Cerber Security
Kein Problem. WordPress-Sicherheit ist keine Raketenwissenschaft mehr.
English version: Getting Started with WP Cerber Security
Sobald Sie das Plugin installiert und aktiviert haben, lädt es eine Reihe von wesentlichen Einstellungen. Sie ermöglichen WP Cerber, Ihre Website effektiv zu schützen. Um jedoch das Beste aus WP Cerber herauszuholen und WordPress am effektivsten zu schützen, müssen Sie das Plugin sorgfältig konfigurieren.
1. Stellen Sie sicher, dass Cerber IP-Adressen korrekt erkennt
- Öffnen Sie die Seite Was ist meine IP-Adresse in Ihrem Browser
- Öffnen Sie einen zweiten Browser-Tab (Fenster) und gehen Sie auf Ihrer Website zum Tab Tools / Diagnose Ihrer WP Cerber-Installation.
- Suchen Sie die Zeile „Ihre IP-Adresse wird erkannt als“ im Abschnitt „Systeminformationen“.
- Vergleichen Sie die IP-Adresse auf der Seite Was ist meine IP-Adresse mit der IP-Adresse, die in der Zeile „Ihre IP-Adresse wird erkannt als“ angezeigt wird.
- Sie sollten zwei identische IP-Adressen sehen. Wenn Sie zwei unterschiedliche IP-Adressen sehen, müssen Sie in den Haupteinstellungen des Plugins überprüfen , ob sich Meine Website hinter einem Reverse-Proxy befindet, und die obigen Schritte wiederholen.
- Wenn Sie immer noch zwei verschiedene IP-Adressen sehen und sich die Website nicht hinter einem Proxy befindet, befolgen Sie diese Anweisungen: Problem mit falscher Erkennung von IP-Adressen lösen
- Ein weiterer Schritt, wenn sich Ihr WordPress unter Cloudflare befindet
2. Aktivieren Sie das Laden des Plugins im Standardmodus
Gehen Sie zu den Haupteinstellungen und setzen Sie die Einstellung der Ladesicherheits-Engine auf den Standardmodus .
3. Stellen Sie sicher, dass Sie E-Mail-Benachrichtigungen erhalten
Wenn Sie das Plugin aktivieren, sendet es eine Willkommens-E-Mail an die E-Mail-Adresse des Website-Administrators. Wenn Sie die Willkommens-E-Mail nicht erhalten haben, vergewissern Sie sich, dass die E-Mail-Adresse, die Sie auf der Registerkarte „Benachrichtigungen“ sehen, korrekt ist und E-Mails vom Plug-in nicht im Spam-Ordner landen. Wenn Sie die Willkommens-E-Mail nicht erhalten haben, erhalten Sie höchstwahrscheinlich keine anderen wichtigen Benachrichtigungen. Sie können alternative E-Mail-Adressen in das Textfeld E-Mail-Adresse eingeben. Um die Zustellung zu testen, klicken Sie auf einen beliebigen Click-to-send-Testlink .
Lesen Sie mehr: So richten Sie mobile Benachrichtigungen auf Ihrem Smartphone ein
4. Aktivieren Sie Ihre benutzerdefinierte Anmelde- und Registrierungsseite
Um die standardmäßige WordPress-Anmeldeseite wp-login.php vor automatisierten Angriffen und Spam-Registrierungen zu verbergen, geben Sie Ihre eigene benutzerdefinierte Anmelde-URL (Anmeldeseite) an und deaktivieren Sie wp-login.php. Hinweis: Wenn Sie ein Caching-Plugin verwenden (wie W3 Total Cache oder WP Super Cache), müssen Sie Ihre benutzerdefinierte Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen.
So richten Sie eine benutzerdefinierte Anmelde-URL für WordPress ein
5. Fügen Sie Ihre private oder geschäftliche IP-Adresse zur White IP Access-Liste hinzu
Wenn Sie von zu Hause oder im Büro an einem Computer mit einer statischen IP-Adresse arbeiten, ist es sinnvoll, diese IP-Adresse (oder das gesamte Firmennetzwerk) zur White IP Access List hinzuzufügen. Sie können zwei Ziele erreichen. Es verhindert, dass Sie versehentlich von Ihrer Website ausgeschlossen werden, und ermöglicht es Ihnen, den Zugriff auf XML-RPC, REST-API und andere wichtige Teile von WordPress einzuschränken.
Lesen Sie mehr: So verwenden Sie Zugriffslisten für WordPress
6. Spamschutz aktivieren
Die Anti-Spam-Engine von Cerber ist mit den meisten WordPress-Formularerstellern kompatibel und kann praktisch jedes Formular schützen. Aktivieren Sie auf der Anti-Spam- Admin-Seite alle erforderlichen Funktionen im Abschnitt Cerber Anti-Spam-Engine . Nachdem Sie Anti-Spam aktiviert haben, stellen Sie sicher, dass die Formulare auf Ihrer Website normal funktionieren. Wenn einige der Funktionen auf der Website nicht mehr funktionieren, aktivieren Sie Weniger restriktive Richtlinien verwenden (AJAX zulassen) .
Lassen Sie das Plugin schließlich das Chaos mit Spam-Kommentaren aufräumen. Wählen Sie Spam-Kommentare komplett ablehnen oder nur als Spam markieren . Aktivieren Sie das automatische Verschieben von Spam in den Papierkorb.
- So stoppen Sie Spam-Benutzerregistrierungen in Ihrem WordPress
- So stoppen Sie das Senden von Spam-Formularen auf Ihrem WordPress
- So richten Sie reCAPTCHA für WordPress ein
7. Beschränken Sie den Zugriff auf REST API und XML-RPC
- Gehen Sie zur Hardening- Admin-Seite.
- Aktivieren Sie REST-API deaktivieren . Geben Sie bei Bedarf Namespace-Ausnahmen für die REST-API an. Wenn Sie beispielsweise Contact Form 7 verwenden, lautet der Namespace
contact-form-7
und für Jetpackjetpack
. - Aktivieren Sie REST-API für angemeldete Benutzer zulassen , wenn Sie die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchten.
- Aktivieren Sie XML-RPC deaktivieren, wenn Sie das Jetpack-Plugin nicht verwenden. Wenn Sie XML-RPC nur von bestimmten Hosts verwenden, fügen Sie deren IP-Adressen zur White IP Access List hinzu.
Weiterlesen: Beschränken Sie den Zugriff auf die WordPress-REST-API
8. Geben Sie eine Liste verbotener Benutzernamen an
Gehen Sie zur Admin-Seite der Plugin- Benutzer , und wenn Ihre Liste noch leer ist, wird empfohlen, die folgenden Benutzernamen in diese Liste aufzunehmen: admin, administrator, manager, editor, user, demo, test .
Lesen Sie mehr über verbotene Benutzernamen
9. Aktivieren Sie die Zwei-Faktor-Authentifizierung
Aktivieren Sie die Zwei-Faktor-Authentifizierung, um Benutzerkonten zu schützen und eine Kontoübernahme zu verhindern. Es bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über einen WordPress-Benutzernamen und ein Passwort hinausgeht.
Weiterlesen: Zwei-Faktor-Authentifizierung für WordPress
10. Aktivieren Sie die Formularfeldmaskierung für Traffic Inspector
Wenn Sie das Speichern von Formularfeldern im Protokoll aktiviert haben ( Anforderungsfelder speichern ist aktiviert) und Sie ein Plugin verwenden, das das Anmeldeformular für Ihre Website generiert, müssen Sie den Namen des Passwort-Formularfelds zu Mask these form fields on hinzufügen die Seite Traffic Inspector-Einstellungen. WP Cerber maskiert immer das Passwortfeld im Standard-WordPress-Anmeldeformular und die folgenden Formularfelder: „pwd“, „pass“, „password“.
Traffic Inspector und Protokollierung, wie es geht
11. Aktivieren Sie das Senden bösartiger IP-Adressen an das Labor von Cerber
Lassen Sie das Plugin-Team die Sicherheitsalgorithmen im Plugin verbessern und seine Leistung optimieren. Gehen Sie zu den Haupteinstellungen , aktivieren Sie im Abschnitt Aktivität die Cerber Lab-Verbindung . Stellen Sie für eine bessere Sicherheit das Cerber Lab-Protokoll auf HTTPS ein. Lesen Sie mehr über Cerber Lab .
12. Aktivieren Sie mobile Benachrichtigungen und E-Mail-Benachrichtigungen
Wenn Sie eine bestimmte Aktivität im Auge behalten oder benachrichtigt werden möchten, wenn sich ein Benutzer auf Ihrer Website registriert oder angemeldet hat, filtern Sie eine bestimmte Aktivität auf der Registerkarte Aktivität heraus und klicken Sie auf Benachrichtigung erstellen . Weiterlesen: WordPress-Benachrichtigungen leicht gemacht .