Wordfence

Wordfence ist ein Sicherheits-Plugin für Wordpress, welche Ihre Installation gegenüber externen Angriffen und Manipulationsversuchen schützt, sowie regelmäßig über Sicherheitslücken und -Updates informiert.

Sie können WordFence wie jedes andere Plugin in Wordpress über das Dashboard installieren. (Setzen Sie eine Multisite ein, installieren Sie Wordfence bitte über die Netzwerk-Übersicht) Ist die Installation abgeschlossen, erscheint auf der linken Seite im Dashboard ein neuer Eintrag für das Wordfence-Dashboard, dort können Sie nun den Lizenzschlüssel eingeben und die Software aktivieren. Um einen Lizenzschlüssel zu erhalten schicken Sie uns bitte eine E-Mail. Sofern die Installation mit einem gültigen Lizenzschlüssel aktiviert worden ist, beginnt Wordfence mit einem Scan der Wordpress-Installation. Dabei werden vermutlich einige Meldungen generiert, die über verschiedenste Sicherheitslücken unterschiedlichen Schweregrades informieren. Gängige Meldungen wären z.B. die Meldung über eine aktuell ungelöste Sicherheitslücke in einem Plugin, oder dass ein Update für ein Plugin bereitsteht. Die Dokumentation seitens Wordfence stellt immer einen guten Ansatzpunkt für Fragen aller Art dar. (https://www.wordfence.com/help/)

WAF (Wordfence Application Firewall)

Nach der Installation und Aktivierung werden Sie eine Meldung sehen können, welche darauf verweist, dass die Wordfence-Firewall optimiert werden kann. Klicken Sie auf "Click here to configure", um die Konfiguration der Application Firewall abzuschließen. In dem aufkommenden Fenster wird Ihnen eine Auswahl an Konfigurationen vorgeschlagen. Hier nehmen Sie am besten keine Änderung vor und lassen die Auswahl auf der empfohlenen Konfiguration. Anschließend laden Sie zur Sicherheit eine Kopie der aktuellen Konfiguration herunter. (.htacces bzw. user.ini) Sollte bei der automatischen Konfiguration etwas schief laufen, wie z.B., dass das Wordpress nicht mehr ordnungsgemäß erreichbar ist, helfen Ihnen die Dateien, den Zustand zurückzusetzen. (Die gesicherten Dateien einfach wieder in das DocumentRoot einfügen und somit die von WordFence durchgeführten Änderungen überschreiben).

Sollten Sie Fragen, Probleme oder Bedenken zu diesem Schritt haben, können Sie uns gerne kontaktieren: webmaster[at]uni-koeln.de

SSH SFTP update support

By default, WordPress only supports connection types that do not meet a high level of security (FTP, FTPS) and have therefore been disabled on our servers for years. In order to continue to install and update directly from WordPress, you need the plugin SSH SFTP Updater Support. After its one-time manual installation, the connection type "SSH2" is available, via which maintenance work can be carried out from WordPress.

 

REST API access protection

The REST interface allows applications to communicate with and from WordPress. Many plugins and features would not be able to work without such an API. However, it can be considered problematic from a security point of view that the WordPress default setting provides for registered blog account names to be available to anyone via this interface. This can be remedied by the Disable WP REST API plugin, which can be used to sensibly restrict access to this information.