Wie man eine WordPress-Installation vernünftig härtet, lässt sich bei Mike Kuketz nachlesen:
WordPress Sicherheit:
- Der richtige Hoster – WordPress Sicherheit (Teil 1)
- Eierlegende Wollmilchsau – WordPress Sicherheit (Teil 2)
- Schwachstellen in Plugins und Themes – WordPress Sicherheit (Teil 3)
Absichern einer WordPress-Installation:
- Basisschutz – WordPress absichern (Teil 1)
- Schutzmaßnahmen – WordPress absichern (Teil 2)
- Security Plugins – WordPress absichern (Teil 3)
- .htaccess Schutz – WordPress absichern (Teil 4)
- Serverseitiger Schutz – WordPress absichern (Teil 5)
- Spam-Bot Protection – WordPress absichern (Teil 6)
- Parasitenabwehr von Bots – WordPress absichern (Teil 7)
Das REST-API (ab WordPress 4.7) lässt sich für nicht eingeloggte Benutzer mit folgendem Eintrag in die Functions File Explained deaktivieren:
// Return an authentication error if a not logged in user tries to access the REST API
add_filter( 'rest_authentication_errors', function( $access ) {
if( ! is_user_logged_in() ) {
return new WP_Error( 'rest_API_cannot_access', __( 'Only authenticated users are allowed to access the REST API.', 'disable-json-api' ), array( 'status' => rest_authorization_required_code() ) );
}
return $access;
});