Nettes im Internet

Kreatives by Gabriele Krammer

S

SEO | Sicherheit | Sticky Header | Zurück zum ABC

SEO

Für SEO verwende ich das Plugin RankMath. Mehr folgt demnächst.

Sicherheit

Sichere Passwörter und Umgang mit Benutzerrollen

Verwenden Sie bereits bei der Installation von WordPress einen individuellen Administratornamen (nicht admin, nicht Administrator, nicht test, nicht wordpress …). Nach grober Fertigstellung meiner Seite ordne ich diesem Administrator nur mehr eine untergeordnete Rolle zu und erstelle einen neuen Administrator. Verwenden Sie ruhig das von WordPress vorgeschlagene sichere Passwort und notieren Sie es in Ihrer Dokumentation. Von dort kopieren Sie es bei jedem Einstieg.

Beachten Sie die unterschiedlichen Rollen

Den Administratorenzugang sollen Sie nur verwenden, wenn Sie Administratorenaufgaben durchführen. Erstellen Sie einen weiteren Benutzer, mit dem Sie einsteigen, um inhaltliche Änderungen vorzunehmen.

Limit Attempts Reloaded

Mit Hilfe des Plugins Limit Attempts Reloaded werde ich per Email informiert, wenn unberechtigte Einloggversuche auf meiner Webseite stattfinden. Auf der Registerseite Settings kann ich dann die “Sanktionen” stärker stellen, auf der Registerkarte Logs IP-Adressen oder Benutzernamen überhaupt sperren. Bitte nicht vergessen, die GDPR-Compliance-Checkbox zu aktivieren und den GDPR-Text zu übersetzen: “Wenn Sie fortfahren, erklären Sie sich damit einverstanden, dass Ihre IP-Adresse und Browserinformationen von den auf dieser Website installierten Sicherheits-Plugins verarbeitet werden.”

Providerwahl

Einen weiteren Sicherheitslevel bietet mir mein Provider peaknetworks.net mit Monitoring und Überwachung, Top Firewalls, Virenscanner und Malware Scanner mit stündlichen Updates. Originalton: “Wiederholte Loginversuche werden von einer Firewall auf dem Server selbst gesperrt und die IP für 24 Stunden geblockt, klassische Bruteforceattacken funktionieren daher bei uns nicht.”

Adminbereich sperren

Werde ich durch Limit Login Attempts Reloaded darauf aufmerksam gemacht, dass meine Seite Ziel von ungewöhnlich vielen Angriffen geworden ist, sperre ich den Adminbereich durch ein weiteres verschlüsseltes Passwort.

Ich brauche:

  1. ein verschlüsseltes Passwort,
  2. eine .htpasswd,
  3. den AuthUserfile und einen Erweiterungscode für die .htaccess,
  4. die .htaccess vom Server

Ad 1.

  • Passwortverschlüsselung: Dafür verwende ich den Passwortgenerator von buelgte.de.

Ad 2.

  • .htpasswd: In Notepad++, den Editor, den ich für html, css usw. verwende, erstelle ich eine Textdatei mit nachfolgendem Code (Achtung: kein Leerzeichen nach dem Doppelpunkt) und speichere sie unter der Bezeichnung .htpasswd ab. Mittels FileZilla Client, meinem FTP-Programm verbinde ich mich auf den Server meiner Seite und erstelle im WordPress-Verzeichnis einen neuen Ordner “passwd” und lade dort meine .htpasswd hoch.
Benutzername:verschlüsseltes Passwort

Ad 3.

  • AuthUserfile: In WordPress 6.4 finde ich diesen Verzeichnispfad im Dashboard: Werkzeuge > Website-Zustand > Registerkarte Bericht > Ort des WordPress-Verzeichnisses. Diesen Verzeichnispfad bitte kopieren und im folgenden Code den Platzhalter “verzeichnispfad” damit ersetzen. Damit schützen Sie gleichzeitig auch andere Systemdateien.
# protect wp-login.php
<Files wp-login.php>
  AuthName "Admin-Bereich"
 AuthType Basic
  AuthUserFile verzeichnispfad/passwd/.htpasswd
  require valid-user
</Files>
<FilesMatch "(\.htaccess|\.htpasswd|wp-config\.php|liesmich\.html|readme\.html)">
  order deny,allow
  deny from all
</FilesMatch>
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Ad 4.

  • Die auf dem Server vorhandene .htacess lade ich mir per FTP auf meinen Computer und öffne ich mit Notepad ++. Dann ergänze ich ich sie nach dem #END WordPress mit obigem Code und lade sie wieder hoch.

Jetzt ist der Einstieg zum Adminbereich doppelt geschützt. Achten Sie darauf, mit dem unverschlüsselten Passwort einzusteigen. Bitte nicht vergessen, die Zugangsdaten in der Dokumentation zu speichern.

Eine ausführliche Anleitung zum Thema WordPress-Sicherheit erhöhen finden Sie bei Elsen Media.

Sticky Header

Unter einen Sticky Header versteht man einen fix positionierten Header, bei dem die Navigation auch beim Scrollen immer sichtbar bleibt. Im Laufe meiner Arbeiten ist mir passiert, dass ich keinen Sticky Header setzen konnte und dass der Anker unter dem Sticky Header verschwunden ist.

Mittlerweile ist das Problem für mich nicht mehr aktuell, ich lasse meine damaligen Lösungen trotzdem dokumentiert.

Für eine Lösung, die auf CSS beruhte, musste ich zuerst den Customizer aktivieren (die Url mit “wp-admin/customize.php” erweitern) und folgenden Code eintragen, den ich bei reddit.com gefunden habe:

header.wp-block-template-part { position: sticky; top: 0; left: 0; right: 0; z-index: 1000;}

Hat super geklappt. Danke für den Codeschnipsel! Doch das Erwachen folgte, nachdem ich Anker gesetzt hatte: Die Überschrift des Ankers verschwand unter dem Header. Die Suche ging weiter und schließlich fand ich auf bloggerpilot.com (Danke!!!) den Code, den ich zusätzlich eintrage:

:target:before {
	content: "";
	display: block;
	height: 200px; /* same as your fixed header height */
	margin: -200px 0 0; /* negative fixed header height */
}

Und damit ist mein Problem gelöst. Ich hoffe, Ihr findet meine Seite recht schnell, wenn ihr eine Lösung für dieses Problem sucht.

Später habe ich auf haurand.com ebenfalls einen Beitrag zum Sticky Header bei verschiedenen Standardthemes gefunden – mit einer anderen Methode.

Zurück zum ABC

WordPress Cookie Plugin von Real Cookie Banner