WP Cerber leitet sich vom Namen Cerberus ab, aus der griechischen und römischen Mythologie, in der Cerberus ein vielköpfiger Hund mit Schlangenschwanz und Löwenklauen ist, und niemand kam um diesen immer wütenden Hund herum.
Installation von WP Cerber
Die kostenlose Version des WP-Cerber-Plugins kann hier heruntergeladen werden. Die Installation erfolgt auf die gleiche Weise wie bei anderen WordPress-Plugins: Installieren Sie das Plugin über Plugins> Neue hinzufügen> Laden Sie das Plugin-Paket herunter oder entpacken Sie es .
Diese Erweiterung ist kompatibel mit WooCommerce, WordPress-Multisite-Modus, Cloudflare, bbPress und Wp Engine.
Präsentation
WP Cerber schützt Ihre WordPress-Site vor Brute-Force-Angriffen, Spam, Trojanern und Malware.
Dieses Plug-in mildert Brute-Force-Angriffe, indem es die Anzahl der Anmeldeversuche begrenzt, die über das Anmeldeformular, XML-RPC/REST-API-Anforderungen oder die Verwendung von Authentifizierungs-Cookies möglich sind.
WP Cerber verfolgt Benutzeraktivitäten mit böswilligen Aktivitäten mit E-Mail-Benachrichtigungen. Es stoppt auch Spammer, indem es eine spezielle Anti-Spam-Engine verwendet.
WP Cerber verwendet Google reCAPTCHA zum Schutz von Anmelde-, Kontakt- und Feedbackformularen und schränkt den Zugriff mit IP-Zugriffslisten ein und überwacht die Integrität der Website mit einem Malware-Scanner.
Es ist auch möglich, mehrere WP Cerber-Instanzen von einem einzigen Dashboard aus zu verwalten, was besonders nützlich ist, wenn Sie die Sicherheit mehrerer Websites gewährleisten müssen.
Schließlich erhöht das Plugin die allgemeine WordPress-Sicherheit mit einer Reihe flexibler Sicherheitsregeln und Sicherheitsalgorithmen.
Einschränken von Anmeldeversuchen
Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche über das Anmeldeformular, wodurch es relativ einfach ist, Passwörter über einen Brute-Force-Angriff zu knacken.
WP Cerber Security hindert Eindringlinge per IP oder Subnetz daran, weitere Versuche zu unternehmen, nachdem eine bestimmte Anzahl von Versuchen erreicht wurde, und macht Brute-Force-Angriffe oder verteilte Brute-Force-Angriffe von Botnets unmöglich.
Sie können eine schwarze IP-Zugriffsliste oder eine weiße IP-Zugriffsliste erstellen, um Verbindungen von einer bestimmten IP-Adresse, einem Bereich von IP-Adressen oder einem Subnetz einer beliebigen Klasse (A, B, C) zu blockieren oder zuzulassen.
Darüber hinaus können Sie Ihre personalisierte Anmeldeseite erstellen und automatische Angriffe auf die Standarddatei wp-login.php vergessen, die den Fehler haben, Aufmerksamkeit zu erregen und viele Serverressourcen zu verbrauchen. Wenn ein Angreifer versucht, auf wp-login.php zuzugreifen, wird er blockiert und erhält eine 404-Fehlerantwort.
Malware-Scan
WP Cerber Security Scanner ist ein extrem leistungsstarkes Tool, das jeden Ordner gründlich scannt und jede Datei auf einer Website auf Spuren von Malware, Trojanern, Hintertüren, modifizierten Dateien und neuen Dateien untersucht.
Weitere Einzelheiten zu den Scankonfigurationsoptionen finden Sie hier.
Überprüfung der Integrität von WordPress-Ordnern und -Dateien
Der Scanner von WP Cerber prüft, ob alle WordPress-Ordner und -Dateien mit dem übereinstimmen, was sich im offiziellen WordPress-Haupt-Repository befindet, vergleicht Ihre Plugins und Themes mit dem, was sich im offiziellen WordPress-Repository befindet, und benachrichtigt Sie über alle Änderungen. Ähnlich wie beim Scannen kostenloser Plugins und Themes scannt und prüft der Scanner kommerzielle Plugins und Themes, die manuell installiert wurden.
Geplante Scans mit automatischer Dateiwiederherstellung
Mit dem Scanner von WP Cerber können Sie ganz einfach einen Zeitplan für automatisierte wiederkehrende Scans erstellen. Sobald der Zeitplan konfiguriert ist, scannt der Scanner automatisch die Website, entfernt Malware und stellt modifizierte und infizierte WordPress-Dateien wieder her. Nach jedem Scan können Sie optional einen Bericht per E-Mail mit den Scanergebnissen erhalten.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) bietet eine zusätzliche Sicherheitsebene, die einen zweiten Identifikationsfaktor erfordert, der über einen Benutzernamen und ein Passwort hinausgeht. Wenn 2FA auf einer Website aktiviert ist, muss der Benutzer beim Anmelden auf der Website einen zusätzlichen Bestätigungscode eingeben. Dieser Verifizierungscode wird automatisch generiert und dem Nutzer per E-Mail zugesendet.
Interessanterweise ist diese 2FA-Funktion mit der Verwaltung mehrerer WP Cerber-Instanzen von einem einzigen Dashboard aus kompatibel.
Anti-Spam- und Anti-Bot-Schutz
Dank WP Cerber ist es möglich, von einem guten Anti-Spam- und Anti-Bot-Schutz für Kontakte, Registrierungen, Kommentare und andere Formulare zu profitieren. Die Anti-Spam- und Bot-Erkennungs-Engine schützt jetzt alle Formulare auf einer Website. Getestet mit Gravity Forms, Caldera Forms, HappyForms, Contact Form 7, Ninja Forms, Formidable Forms, Fast Secure Contact Form, Contact Form by WPForms.
Mit diesem Modul können Sie von einem unsichtbaren reCaptcha auf dem WordPress-Anmeldeformular, dem WordPress-Registrierungsformular, dem WordPress-Formular für verlorene Passwörter und schließlich auf dem WordPress-Kommentarformular profitieren.
Diese Funktion ist auch für WooCommerce verfügbar (WooCommerce-Anmeldeformular, WooCommerce-Registrierungsformular, WooCommerce-Formular für verlorenes Passwort).
Bevor Sie das unsichtbare reCAPTCHA aktivieren, müssen Sie separate Schlüssel für die unsichtbare Version erwerben. Näheres hier .
Wenn Sie die Funktionalität von WP Cerber testen möchten, tun Sie dies auf einem anderen Computer (oder einem Inkognito-Browserfenster) und entfernen Sie die IP-Adresse oder das Netzwerk des Computers aus der weißen Zugriffsliste.
Die “Traffic Inspector”-Firewall von WP Cerber
Es ist wichtig zu beachten, dass die Firewall laut WP Cerber die Leistung von WordPress nicht verlangsamt. Es hat auch keinen Einfluss auf das SEO-Ranking Ihrer Website. In der Tat blockiert WP Cerber nicht automatisch gewöhnliche Anfragen, die von den Seiten Ihrer Besucher kommen, und stört daher nicht die Indizierung von Suchmaschinen.
Nur böswillige und potenziell gefährliche Anfragen werden analysiert und blockiert, wie z. B.: Formularübermittlungen, Anfragen mit GET- und POST-Parametern, Anfragen an PHP-Skripte. WP Cerber blockiert dann die IP-Adresse und sendet eine 403-Antwort „Zugriff verweigert“. Diese Ereignisse werden im Aktivitätsprotokoll protokolliert. Näheres hier .
Integration mit Cloudflare
Ein spezielles Cloudflare-Add-on für WP Cerber synchronisiert die Liste der blockierten IP-Adressen mit den IP-Zugriffsregeln von Cloudflare.
Wenn sich Ihre Website hinter dem Cloudflare-Proxy-Dienst befindet und Ihr WordPress durch das WP Cerber-Plugin geschützt ist, müssen Sie zwei Dinge tun, damit sie gut zusammenarbeiten.
1) Aktivieren Sie die Option „Meine Website befindet sich hinter einem Reverse-Proxy“ auf der Seite „Haupteinstellungen“.
2) Falls Sie die benutzerdefinierte Anmelde-URL konfiguriert haben, müssen Sie sie vom Caching durch die Server von Cloudflare ausschließen. Fügen Sie dazu eine Regel auf der Einstellungsseite „Seitenregeln“ in Ihren Cloudflare-Kontoeinstellungen hinzu, wie hier beschrieben.
Wenn Sie die benutzerdefinierte Anmelde-URL konfiguriert haben und Cloudflare oder ein W3 Total Cache- oder WP Super Cache-Caching-Plugin verwenden, müssen Sie die neue benutzerdefinierte Anmelde-URL zur Liste der Seiten hinzufügen, die nicht zwischengespeichert werden sollen .
Andere nützliche Sicherheitsmaßnahmen von WP Cerber
Die folgenden Schritte sind optional, aber sie helfen, den Schutz Ihres WordPress zu stärken.
- Die Einstellungen zur Begrenzung der Verbindungsversuche wurden angepasst, um sie nach Bedarf restriktiver zu machen.
- Richten Sie eine benutzerdefinierte Anmelde-URL ein (das Plugin sendet Ihnen eine E-Mail damit).
- Nachdem Sie die benutzerdefinierte Anmelde-URL konfiguriert haben, aktivieren Sie „IP sofort nach jeder Anfrage an wp-login.php blockieren“ und „Direkten Zugriff auf wp-login.php blockieren und HTTP 404-Fehler nicht gefunden zurückgeben“. Stoppen Sie die Verwendung von wp-admin, um sich bei Ihrem WordPress-Dashboard anzumelden.
- Wenn Ihr WordPress einige Power-User hat, aktivieren Sie „IP sofort blockieren, wenn Sie versuchen, sich mit einem nicht vorhandenen Benutzernamen anzumelden“.
- Geben Sie die Liste der gesperrten Benutzernamen an, die legitime Benutzer niemals verwenden werden. Sie dürfen sich nicht anmelden oder registrieren.
Weitere Artikel zur Sicherheit von WordPress-Sites finden Sie hier.
