Gauntlet Security can find opportunities for improving the security of your site. It checks many aspects of the site’s configuration including file permissions, server software, PHP, database, plugins, themes, and user accounts. The plugin will give each check a pass, warning, or fail and explain in clear language how you can fix the issue.
How you ultimately choose to patch these issues is up to you but whatever method you use, this plugin should always provide an accurate report. It does not make changes to your database or to any of your files and it should be compatible with all other security plugins.
Checks and recommendations include:
- Korrekte Datei- und Verzeichnisrechte setzen
- Schalte Verzeichnisindizierung aus
- Ausführung von Code im Uploads-Verzeichnis verhindern
- Dateien im „includes“-Verzeichnis blockieren
- Prevent access to stray files which could be useful to attackers
- PHP aktuell halten
- Gefährliche PHP-Funktionen deaktivieren
- Die PHP-Flags allow_url_include und allow_url_fopen deaktivieren
- Die Anzeige von PHP-Fehlern ausschalten
- Die verwendete PHP-Version nicht anzeigen
- Ein starkes Datenbank-Passwort verwenden
- Das vorgegebene Tabellenpräfix ändern
- Die WordPress-Version aktuell halten
- Dateibearbeitung im Backend ausschalten
- Sicherheitsschlüssel in der Datei „WP-Config“ eintragen
- Die verwendete WordPress-Version nicht ausgeben
- Selbstregistrierung deaktivieren
- Im Admin-Bereich SSL erzwingen
- Alle Plugins auf Aktivität und Bewertung hin überprüfen
- Unbenutzte Themes vom Server entfernen
- Rename the plugin directory
- Move the active theme to an alternate location
- TimThumb nicht verwenden
- Geläufige Benutzernamen (wie „admin“) nicht verwenden
- Keine schwachen Passwörter verwenden
- Keinen Benutzer mit ID=1 verwenden
- Die Zahl der Administratoren gering halten
- Loginnamen der Benutzer sollten nicht öffentlich angezeit werden
- Das Auszählen der Benutzernamen über die Standard-Autoren-URLs verhindern
- … weitere Tests sind geplant.
Check the screenshots for more detail on some of the above features.
Many of these security checks are based on recommendations from the WordPress codex: https://codex.wordpress.org/Hardening_WordPress.
Disclaimer
Some of the tips included in this plugin only require making small changes to configuration files (.htaccess, php.ini, wp-config.php, functions.php). Others require more in-depth changes to the filesystem or database. Before attempting any of these fixes, you should be comfortable experimenting and know how to undo any change you make. That includes making backups and knowing how restore your site from those backups. I can’t guarantee that the recommendations or sample code provided in this plugin will not break your site or that they will prevent it from being hacked.
Anforderungen
- Apache Webserver
- Mindestens WordPress 3.4
- Mindestens PHP 5.2.7