Zweck des Plugins
Das Plugin „image² Security Hardening“ ergänzt WordPress um mehrere einfache Sicherheitsmaßnahmen. Ziel: typische Angriffsflächen schließen, User-Enumeration verhindern und riskante Funktionen im Backend deaktivieren.
Das Plugin richtet sich vor allem an kleinere bis mittlere Websites ohne komplexe API-Anbindungen.
Was das Plugin macht
XML-RPC deaktivieren
WordPress aktiviert standardmäßig die XML-RPC-Schnittstelle. Viele Bots nutzen sie für Brute-Force-Angriffe oder Pingback-Missbrauch.
Das Plugin deaktiviert XML-RPC vollständig.
Vorteil:
- weniger Angriffsfläche
- Schutz vor XML-RPC-Bruteforce
- Schutz vor Pingback-Angriffen
User-Enumeration über REST API verhindern
Standardmäßig liefert WordPress Userdaten über die REST API aus:
/wp-json/wp/v2/users
Angreifer können damit Benutzernamen auslesen und gezielt Login-Angriffe starten.
Das Plugin entfernt diese REST-Endpunkte komplett.
Vorteil:
- Benutzernamen bleiben verborgen
- erschwert gezielte Login-Angriffe
Login-Fehlermeldungen neutralisieren
WordPress verrät normalerweise zu viele Details:
- „Benutzername existiert nicht“
- „Passwort falsch“
Das Plugin ersetzt alle Meldungen durch:
Login fehlgeschlagen.
Vorteil:
- keine Hinweise für Angreifer
- erschwert automatisierte Login-Scans
Autoren-Archive blockieren
WordPress erzeugt automatisch Autoren-Seiten wie:
/author/admin
Auch darüber lassen sich oft Usernamen erkennen.
Das Plugin leitet solche Aufrufe automatisch auf die Startseite um.
Vorteil:
- verhindert zusätzliche User-Enumeration
- reduziert unnötige öffentliche Seiten
Dateibearbeitung im Backend deaktivieren
WordPress erlaubt standardmäßig das Bearbeiten von Plugin- und Theme-Dateien direkt im Adminbereich.
Das Plugin deaktiviert diese Funktion über:
DISALLOW_FILE_EDID
Vorteil:
- Schadcode kann nicht direkt über das Backend eingeschleust werden
- reduziert Risiko bei kompromittierten Admin-Accounts
Plugin-/Theme-Installationen und Updates sperren
Zusätzlich aktiviert das Plugin:
DISALLOW_FILE_MODS
Dadurch deaktiviert WordPress:
- Plugin-Installationen
- Theme-Installationen
- automatische Updates
- Update-Funktionen im Backend
Vorteil:
- verhindert unkontrollierte Änderungen
- schützt vor Schadcode-Uploads über kompromittierte Accounts
Wichtig für Wartung
Solange das Plugin aktiv ist, lassen sich keine Plugins oder Themes über das WordPress-Backend aktualisieren oder installieren.
Die Deaktivierung automatischer Updates ist gewollt. Updates erfolgen ausschließlich kontrolliert im Wartungsprozess, um Inkompatibilitäten und spontane Ausfälle durch Plugin- oder Theme-Updates zu vermeiden.
Für Wartungsarbeiten:
1. Plugin kurz deaktivieren
2. Updates durchführen
3. Plugin wieder aktivieren
Einsatzempfehlung
Das Plugin eignet sich besonders für:
- Firmenwebsites
- Landingpages
- kleinere WooCommerce-Shops
- Websites ohne REST-API-Abhängigkeiten
- Projekte mit festen Wartungsprozessen
Nicht ideal für:
- Headless-WordPress
- Systeme mit externer API-Anbindung
- Plugins, die XML-RPC brauchen
- Managed-Hosting mit automatischen Update-Prozessen
Technische Hinweise
Das Plugin arbeitet ausschließlich mit WordPress-Hooks und Konstanten. Es verändert keine Core-Dateien.
Aktuell enthalten:
- xmlrpc_enabled
- rest_endpoints
- login_errors
- template_redirect
- DISALLOW_FILE_EDIT
- DISALLOW_FILE_MODS
Version
Aktuelle Version: 1.0