WordPress härten: So halten Sie Ihre WordPress-Site sicher
Veröffentlicht: 2022-06-30Wenn Sie schon einmal gehackt wurden, wissen Sie, was für ein Albtraum das sein kann. Es kann schwierig sein zu verstehen, welche WordPress-Sicherheitsschritte dazu beitragen, Ihre WordPress-Website sicher zu halten.
Lies weiter, um zu erfahren, wie du deine WordPress-Seite sicher halten kannst. Lernen Sie die richtigen Schritte zum Härten von WordPress kennen und erhalten Sie eine Checkliste für die Sicherheit von WordPress-Websites.
Was ist WordPress-Härtung?
WordPress macht etwa 40 % aller Websites aus. Aus diesem Grund können Leute, die wissen, wie man WordPress ausnutzt, leicht viele Ziele finden. Glücklicherweise gibt es viele Dinge, die Sie tun können, um ihnen die Arbeit viel schwerer zu machen. Dies wird als Härten von WordPress bezeichnet.
Warum WordPress-Sicherheit wichtig ist
Es ist nicht nur peinlich, gehackt zu werden, sondern kann auch zu Ausfallzeiten, Datenverlust und durchgesickerten Informationen führen. Dies kann zu Umsatzeinbußen und einem schlechten Ruf der Marke führen. Außerdem kann es viel Arbeit kosten, alles wieder zum Laufen zu bringen.
WordPress härten: 10 Sicherheitsschritte für WordPress
Es gibt vier Hauptwege, auf denen Hacker Zugriff auf Ihre WordPress-Site erhalten können:
- Erhalten Sie Ihr Passwort oder Ihre Sitzung und melden Sie sich an.
- Durch indirekten Zugriff wie FTP, SSH oder die Datenbank.
- Indem Sie Informationen in Ihrem Webstamm entdecken.
- Durch Schwachstellen im WordPress-Code oder in Plugins.
Der einfachste Weg, um Zugriff auf Ihre Website zu erhalten, ist das einfache Anmelden. Hier sind einige Möglichkeiten, WordPress gegen Passwortdiebe abzusichern.
1. Sichern Sie das Gerät, von dem aus Sie eine Verbindung herstellen
Eine wichtige Sache, die leicht zu übersehen ist, ist der Computer, von dem aus Sie sich verbinden. Wenn es nicht sicher ist, kann das auch Ihren Server anfällig machen. Aus diesem Grund ist es sehr wichtig, einen Virenscanner und eine Firewall zu haben, Ihren Computer auf dem neuesten Stand zu halten und sichere Surfgewohnheiten zu üben.
2. Sichern Sie die Verbindung zum Server
Selbst wenn Ihr Computer sicher ist, können Ihr Passwort oder Ihre Sitzungen auf dem Weg zum Server gestohlen werden. Um dies zu verhindern, ist es wichtig sicherzustellen, dass Sie HTTPS verwenden, wenn Sie sich in Ihr WordPress-Backend einloggen.
Verwandte Lektüre: Anfängerleitfaden zur WordPress-Leistungsoptimierung >>
Es ist vorzuziehen, immer eine Verbindung zu Ihrem Server über Ihre kabelgebundene Heim- oder Geschäftsverbindung oder eine Wi-Fi-Verbindung herzustellen, die ein langes, zufälliges Wi-Fi-Passwort verwendet. Wenn Sie sich über einen öffentlichen Hotspot verbinden müssen, sollten Sie unbedingt in ein VPN investieren.
3. Verhindern Sie, dass Personen Ihr Passwort erraten
Wenn ein Angreifer ein Skript verwendet, um schnell verschiedene Benutzernamen- und Passwortkombinationen auszuprobieren, bis er die richtige errät, wird dies als Brute-Force-Angriff bezeichnet. Um Brute-Force-Angriffe zu verhindern, verwenden Sie ein langes Passwort, das Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthält.
Um diese Technik noch schwieriger zu machen, können Sie Plugins erhalten, die Ihnen helfen werden. Suchen Sie nach Plugins für die Zwei-Faktor-Authentifizierung, Plugins, die dem Anmeldeformular ein Captcha hinzufügen, und Plugins, die die Anzahl der möglichen Fehlversuche begrenzen.
4. Verwenden Sie nicht Admin
Eine andere Möglichkeit, Brute-Force-Angriffe und andere Methoden zum Stehlen von Passwörtern zu verhindern, besteht darin, Ihrem Administratorkonto einen anderen Namen zu geben. Wenn sie Ihren Benutzernamen nicht erraten können, können sie Ihr Passwort nicht erraten. Alle zusätzlichen Administratorkonten sollten gelöscht werden, wenn sie nicht mehr benötigt werden. Alle neuen Konten, die Sie erstellen, sollten nur so viel Zugriff haben, wie sie benötigen.
Wenn Hacker nicht direkt auf Ihr Administratorkonto zugreifen können, können sie möglicherweise indirekt über SSH, FTP oder die Datenbank auf Ihre Website zugreifen. Alles, was über die Sicherheit Ihres lokalen PCs, die Auswahl sicherer Passwörter und die Verwendung eines VPN im öffentlichen Internet erwähnt wurde, gilt auch für SSH, FTP und Verbindungen zur Datenbank, aber hier sind einige zusätzliche Überlegungen.
5. Verwenden Sie SFTP oder FTPS
FTP überträgt Ihre Daten und Passwörter im Klartext über das Internet, was bedeutet, dass jeder, der Ihre Daten abfangen kann, Ihre Passwörter und Ihre Daten sehen kann. Sowohl SFTP als auch FTPS verschlüsseln Ihre Daten.
6. Schließen oder beschränken Sie den Zugriff auf die Ports
Wenn sich Ihre Datenbank und Ihre Website auf demselben Server befinden, müssen Sie Ihren Datenbankport im Allgemeinen nicht für die Öffentlichkeit zugänglich machen. Wenn Sie Ihre Datenbank über das Portal oder innerhalb des Servers verwalten können, ist dies im Allgemeinen eine bessere Option, da Angreifer eine Möglichkeit weniger haben, Ihre Website auszunutzen.
Verwandte Lektüre: Wenn WordPress einen Schub braucht: Tipps, Tools und Tuning-Strategie >>
Ebenso bei FTP, wenn Sie SFTP verwenden können, um eine Verbindung zum Server herzustellen, muss der FTP-Port nicht geöffnet sein. Wenn Sie einen dieser Ports verwenden müssen, um eine Verbindung zu Ihrem Server herzustellen, ist es möglicherweise eine gute Idee, die Ports nur auf Ihre IP-Adresse zu beschränken.
Wenn sich Ihre IP-Adresse häufig ändert, kann es unangenehm sein, jedes Mal anrufen zu müssen, um Zugriff auf Ihren Server zu erhalten, wenn sich Ihre IP-Adresse ändert. Eine Möglichkeit, dies zu umgehen, ist die Verwendung eines VPN. Ein VPN verschlüsselt nicht nur die Verbindungen zwischen Ihnen und dem Server, sondern sorgt dafür, dass Sie eine statische IP-Adresse verwenden können, die Sie Ihrer Firewall hinzufügen können, um zu verhindern, dass jemand anderes auf die Ports zugreift.
Ein Fehler, den viele Leute machen, ist das Speichern von Dateien und Datenbank-Dumps im Web-Root. Denken Sie daran, dass alles in Ihrem Webstamm für jeden im Internet zugänglich ist und nichts enthalten sollte, was Sie nicht möchten, dass jemand es hat.
7. Entfernen Sie alles Unnötige aus Ihrem Webstamm
Es lohnt sich, Ihren Webstamm zu überprüfen und sicherzustellen, dass nichts darin gespeichert ist, was für das Funktionieren Ihrer Website unnötig ist.
Beispielsweise kann es praktisch sein, die Datenbank im Webroot zu speichern, damit Sie sie später herunterladen können. Denken Sie jedoch daran, dass Ihre Datenbank Ihre Passwort-Hashes enthält und andere Informationen enthalten kann, die Sie nicht öffentlich machen möchten.
Eine bessere Idee wäre, die Datenbank woanders abzulegen und sie mit SFTP herunterzuladen. Wenn Sie es als Backup auf dem Server behalten möchten, können Sie es einfach um eine Ebene nach oben verschieben oder irgendwo anders als im Webroot ablegen.
Ebenso können gezippte Kopien des Website-Codes verwendet werden, um mehr über Ihren Code zu erfahren, und können von jedem aus dem Internet heruntergeladen werden. Eine weitere gängige Praxis besteht darin, eine Sicherungskopie einer Datei wie der .htaccess- oder einer Codedatei zu erstellen, bevor Sie sie ändern.
Es ist sicherlich eine gute Idee, Ihre Dateien zu sichern, bevor Sie sie ändern, aber wenn Sie vorhaben, sie im Web-Root zu behalten, sollten Sie die Berechtigungen so ändern, dass nicht auf sie zugegriffen werden kann.
Verwandte Lektüre: Entlarvung von WordPress-Hosting-Sicherheitsmythen >>
Sie können beispielsweise chmod 000 .htaccess eingeben. Schließlich sollten sogar README-Dateien oder alles andere, das Versionsnummern preisgeben könnte, sicher entfernt werden können – und das Entfernen kann die Sicherheit verbessern.
Das letzte, was zu berücksichtigen ist, ist der Code selbst. Die Codesicherheit von Webanwendungen ist ein sehr komplexes Thema, zu dem ganze Bücher geschrieben wurden. Da Sie WordPress verwenden, wird die immense Aufgabe, den Code sicher zu halten, für Sie erledigt, alles, was Sie tun müssen, ist, die Patches zu installieren.
Wenn Sie bei Nexcess hosten, kümmern wir uns für Sie um die Aktualisierung des WordPress-Kerns, aber auch die Themes und Plugins können Schwachstellen enthalten.
8. Entfernen Sie jeden nicht verwendeten Code
Eine einfache Möglichkeit, Ihre WordPress-Site sicher zu halten, besteht darin, einfach alles zu entfernen, was Sie nicht verwenden. Sehen Sie sich alle Ihre Plugins an und entfernen Sie sie, wenn sie Ihrer Website keinen Mehrwert bringen.
Verwandte Lektüre: Der wesentliche Leitfaden für WordPress-Plugins >>
Dies verbessert nicht nur die Sicherheit, sondern kann auch WordPress beschleunigen und die Stabilität Ihrer Website verbessern. Denken Sie daran, dass in einigen Fällen sogar deaktivierte Plugins Fehler einführen oder Hackern eine Angriffsfläche bieten können.
Wenn Sie WordPress-Designs haben, die nicht verwendet werden, sollten Sie sie auch deinstallieren – obwohl Sie vielleicht das aktuellste Standard-WordPress-Design zur späteren Fehlerbehebung beibehalten möchten.
Schließlich ist es am wichtigsten, alte Installationen zu entfernen, die Sie nicht verwenden. Wenn Sie ein ganzes Unterverzeichnis mit einem alten Blog oder einer alten Version der Website haben, die Sie nicht mehr verwenden, ist es sehr wichtig, es aus dem Webstamm zu entfernen. Wenn Sie es als Backup speichern möchten, kann es sicher über dem Webstamm gespeichert werden.
9. Stellen Sie sicher, dass alle Ihre Plugins und Themes aktiv gepflegt werden
Jeden Tag werden neue Sicherheitslücken entdeckt und sobald sie bekannt sind, können sie schnell und massenhaft im gesamten Internet von Skripten ausgenutzt werden. Aus diesem Grund ist es wichtig sicherzustellen, dass Sie sachkundige Programmierer haben, die aktiv auf alle in ihrem Code gefundenen Fehler reagieren und regelmäßig Patches veröffentlichen, um die Schwachstellen zu schließen.
10. Wenden Sie die Patches an
Da in WordPress ständig Schwachstellen gefunden werden und WordPress-Schwachstellen so schnell und gründlich ausgenutzt werden, ist es sehr wichtig, Patches einzuspielen, sobald sie verfügbar sind. Dies ist sehr wichtig, um Ausfallzeiten zu vermeiden.
Es besteht jedoch ein gewisses Risiko, dass einer der Patches nicht mit dem Rest Ihres Codes kompatibel ist. Daher ist es am besten, regelmäßig ein Backup zu erstellen, die Patches dann manuell anzuwenden und dann Ihre Website zu testen.
Wenn Sie feststellen, dass etwas nicht funktioniert, können Sie das Backup wiederherstellen und Ihre Website schnell wiederherstellen. Wenn Sie über die Ressourcen verfügen, ist es sogar noch besser, eine Kopie Ihrer Website aufzubewahren und zuerst alle Patches auf die Kopie anzuwenden. Dies verhindert Ausfallzeiten und ermöglicht es Ihnen, Probleme zu beheben, bevor die Patches auf die Live-Site angewendet werden.
Sicherheits-Checkliste für WordPress-Websites
- Halten Sie Ihren PC sicher
- Verwenden Sie sichere Protokolle
- Verwenden Sie ein starkes Passwort
- Verwenden Sie Plugins, um das Erraten Ihres Passworts zu erschweren
- Benennen Sie das Administratorkonto um
- Schließen oder beschränken Sie den Zugriff auf Ports in Ihrer Firewall
- Bereinigen Sie Datenbank-Dumps, Backups und insbesondere alten Code aus Ihrem Web-Root
- Wählen Sie Plugins und Themes sorgfältig aus und entfernen Sie alle, die Sie nicht verwenden
- Am wichtigsten ist, halten Sie sie auf dem Laufenden
Nexcess hält Ihre WordPress-Site sicher
Dass Ihre Website gehackt wird, kann eine Katastrophe sein. Das lässt Sie nicht nur schlecht aussehen, sondern kann auch zu längeren Ausfallzeiten oder sogar zum Verlust von Bestellungen führen.
WordPress-Hosting mit Nexcess ist ein erster großer Schritt, um Ihre WordPress-Site sicher zu halten.
Nexcess bietet eine sichere Plattform, auf der Sie Ihre WordPress-Website hosten können. Mit Nexcess erhalten Sie eine ständig verfügbare Sicherheitsüberwachung, kostenlose tägliche Backups, SSL-Zertifikate und IThemes Security Pro.
Und mit einem Team von WordPress-Experten und Support-Profis, die rund um die Uhr zur Verfügung stehen, um Ihnen bei allen Fragen zu helfen, haben Sie rund um die Uhr die Ressourcen, die Sie benötigen.
Entdecken Sie unsere vollständig verwalteten WordPress-Hosting-Pläne, um noch heute loszulegen.