So sichern Sie Ihre WordPress-Website

Veröffentlicht: 2020-09-25

Verwaltete WordPress-Hosting-Dienste (wie Pressidium) legen normalerweise großen Wert auf die Sicherheit ihrer Hosting-Plattform. Eine Reihe von Funktionen werden bereitgestellt, um die Sicherheit von WordPress-Websites zu gewährleisten, die auf diesen Systemen gehostet werden.

Es gibt jedoch nur so viel, was ein WordPress-Host tun kann, um die Sicherheit einer WordPress-Website zu gewährleisten. Website-Eigentümer müssen ihre eigene Rolle spielen, um sicherzustellen, dass ihre Websites sicher bleiben. In diesem Artikel werfen wir einen Blick auf die Schritte, die Sie unternehmen können, um Ihre WordPress-Website zu sichern.

Die Sicherheit Ihrer Website – Ein Überblick

Viele Website-Hacks sind das direkte Ergebnis von Aktionen (oder Unterlassungen) von Website-Eigentümern. Dinge wie das Versäumnis, Plugins auf die neueste Version zu aktualisieren oder ein schwaches Passwort zu verwenden, führen alle zu ausnutzbaren Schwachstellen auf Ihrer Website, auf die Hacker abzielen. Die gute Nachricht ist, dass es eine Reihe einfacher Schritte gibt, die Sie unternehmen können, um Ihre WordPress-Website sicher zu halten. Diese beinhalten:

  • Stellen Sie sicher, dass Sie und alle anderen Website-Benutzer sichere Passwörter verwenden
  • Verwenden Sie einen Captcha-Mechanismus
  • Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)
  • Löschen Sie inaktive Benutzer
  • Verwenden Sie ein System zur Begrenzung der Anmeldeversuche
  • Halten Sie Ihre Kerndateien, Plugins und Designs immer auf dem neuesten Stand
  • Ändern Sie Ihre Standard-Anmelde-URL
  • Vermeiden Sie die Verwendung von Nulled-Themes und Plugins

Lassen Sie uns einen genaueren Blick auf einige dieser Schritte werfen und herausfinden, wie Sie sie auf Ihrer Website anwenden können.

Stellen Sie sicher, dass Ihre Benutzer starke Kennwörter verwenden

Es gibt keine serverseitige Firewall oder ein anderes Hosting-Sicherheitssystem, das Ihre WordPress-Website vor einem schwachen Passwort schützen kann. Trotz der bekannten Probleme bei der Verwendung eines schwachen Passworts deuten Statistiken darauf hin, dass erstaunliche 35 % der Benutzer immer noch schwache Passwörter verwenden, um ihre WordPress-Website zu sichern, obwohl sie von WordPress aufgefordert werden, ein stärkeres Passwort zu wählen.

schwaches Passwort bestätigen

Vielleicht lässt sich daraus der Schluss ziehen, dass sich manche Nutzer einfach nicht bewusst sind, wie angreifbar ihre Website wird, wenn ein schwaches Passwort verwendet wird. Leider haben Hacker vor langer Zeit herausgefunden, wie sie Benutzer ausnutzen können, die vorhersagbare Passwörter wählen, die bestimmten Mustern folgen (wie einem Geburtsdatum oder dem Namen eines Haustiers).

Andere, die sich der Anfälligkeit schwacher Passwörter bewusst sind, verwenden diese dennoch weiterhin, vielleicht weil es so einfach ist. Schließlich ist es viel einfacher, sich ein einfaches Passwort zu merken als ein komplexeres, das aus zufälligen Buchstaben, Zahlen und Symbolen besteht.

Ohne Zweifel bietet Ihr Passwort eine entscheidende Verteidigungslinie gegen Hacker. Je stärker es ist, desto besser. Idealerweise sollte ein Passwort einzigartig sein, zufällig generiert und regelmäßig aktualisiert werden.

Verwenden Sie im Anmeldeformular einen Captcha-Mechanismus

Der Zweck eines Captchas besteht darin, Menschen von „Bots“ zu unterscheiden, bei denen es sich um Softwareanwendungen handelt, die automatisierte Aufgaben ausführen. Hacker können diese nutzen, um zu versuchen, über die Anmeldeseite auf Websites zuzugreifen, indem sie den Bot anweisen, mit zufälligen Daten kontinuierlich Versuche zu unternehmen, um auf eine Website zuzugreifen. Ein Captcha soll dazu beitragen, diese Art von Angriffen auf eine Website zu verhindern, indem zwischen Menschen und Bots unterschieden wird. Captchas werden seit drei Jahrzehnten verwendet und werden immer noch auf unzähligen Websites eingesetzt, um sie vor Bot-Aktivitäten zu schützen.

Ein Captcha kann zu Ihrer WordPress-Website hinzugefügt werden, um Anmeldeversuche von Bots zu blockieren. Eine einfache Möglichkeit, dies zu tun, ist die Installation des Login no Captcha reCaptcha-Plugins, das sich das Captcha-System von Google zunutze macht.

reCaptcha anmelden

Nach der Installation sehen Sie das bekannte reCaptcha-Kontrollkästchen unter dem Anmeldefenster. Aktivieren Sie dies und Sie sind weg (vorausgesetzt, Sie kennen sowieso den richtigen Benutzernamen und das richtige Passwort!).

Damit das Plugin funktioniert, müssen Sie sich für ein kostenloses Google reCaptcha-Konto anmelden, mit dem Sie dann einen Site-Schlüssel und einen geheimen Schlüssel generieren können.

So generieren Sie die Site und den geheimen Schlüssel:

  1. Melden Sie sich bei Ihrem Google-Konto an (Sie müssen sich für eines registrieren, wenn Sie noch kein Konto haben). Gehen Sie zur Google reCaptcha-Seite und klicken Sie oben rechts auf „Admin-Konsole“.
  2. Klicken Sie auf das „Plus +“-Symbol, das sich wieder oben rechts befindet, um eine neue Website zu registrieren. Geben Sie die erforderlichen Informationen ein.
  3. Klicken Sie auf die Schaltfläche „Senden“ und Sie sehen eine Seite wie diese:
Google reCaptcha-Site-Schlüssel

Sie müssen diese Werte dann wie beworben in die Felder in den Plugin-Einstellungen einfügen.

Zwei-Faktor-Authentifizierung (2FA)

Die Verwendung eines Zwei-Faktor-Authentifizierungsprozesses fügt den Anmeldeseiten Ihrer Website eine zusätzliche Sicherheitsebene hinzu, indem ein sogenannter „Brute-Force“-Angriff verhindert wird. Bei dieser Art von Angriffen versucht ein Bot, sich ständig mit erratenen Passwörtern und Benutzernamen auf Ihrer Website anzumelden (normalerweise folgt er einigen vordefinierten Listen, die bekannte „schwache“ Passwörter wie 123password usw. ausnutzen. Der Bot wird es tun Versuchen Sie weiterhin, auf Ihre Website zuzugreifen, bis es erfolgreich ist, was in zweierlei Hinsicht eine schlechte Nachricht ist: Erstens wurde Ihre Website jetzt gehackt, wenn das Passwort korrekt ist Benutzer.

Glücklicherweise gibt es Plugins von Drittanbietern, die helfen können, dies zu stoppen.

Zwei-Faktor-Plugin

Das Zwei-Akteur-Plugin von Plugin Contributors ist ein nützliches, einfach zu verwendendes Plugin, das Websites mit Zwei-Faktor-Schutz bietet, indem Benutzer gezwungen werden, neben ihren normalen Anmeldeinformationen einen Authentifizierungscode anzugeben. Dieser Code kann per E-Mail versendet oder mit einem Einmalpasswort-Generator wie Google Authenticator generiert werden.

Zwei-Faktor-Plugin

Google Authenticator-Plugin

Das Google Authenticator-Plugin ist ein weiteres beliebtes 2FA-Plugin, das zum Schutz Ihrer WordPress-Website eingesetzt werden kann. Dieses völlig kostenlose Plugin bietet eine Reihe von 2FA-Authentifizierungsoptionen, darunter SMS und natürlich die Verwendung der Google Authenticator-App. Das Einrichten geht recht schnell und einfach. Folgen Sie einfach den Anweisungen, wenn Sie das Plugin aktivieren.

Google Authenticator-Plugin

Inaktive Benutzer löschen

Ein weiteres leichtes Ziel für Angreifer sind Benutzerkonten von Websites, die lange nicht mehr verwendet wurden. Die Folge davon ist, dass das Passwort oft schwächer ist, als wenn der Benutzer das Konto kürzlich erstellt hätte oder sich regelmäßig auf der Website anmeldet. Aus diesem Grund lohnt es sich, inaktive Konten regelmäßig zu löschen.

Sie können ein Plug-in verwenden, um diese inaktiven Benutzer einfach zu erkennen, z. B. das Plug-in „When Last Login“.

Nach der Aktivierung fügt es einfach eine benutzerdefinierte Spalte zu Ihrer Admin-Benutzerlistentabelle hinzu, die den Zeitstempel des letzten Anmeldedatums und der Uhrzeit dieses Benutzers anzeigt. Sie können diese Spalte so sortieren, dass Sie auf einen Blick inaktive Benutzer erkennen und gegebenenfalls löschen können.

Wann letzte Anmeldung

Dann auf Benutzer -> Alle Benutzer sortieren nach der hinzugefügten Spalte „Letzte Anmeldung“:

Bei letzter Anmeldung letzte Anmeldespalte

Anmeldeversuche begrenzen

Eine weitere Möglichkeit, Ihrer WordPress-Site eine zusätzliche Sicherheitsebene hinzuzufügen, besteht darin, die Anzahl der zulässigen Anmeldeversuche innerhalb eines bestimmten Zeitraums zu begrenzen. Diese Technik vereitelt Bots, die ständig Anmeldeversuche machen. Darüber hinaus können einige Plugins, die diese Funktion bereitstellen, auch die IP-Adresse blockieren, von der die Anmeldeversuche ausgingen, und auf diese Weise verhindern, dass dieser bestimmte Bot, der von dieser IP-Adresse aus operiert, in Zukunft wiederholte Angriffe auf Ihre Website versucht.

Ein gutes Plugin, das diese Funktionalität bietet, ist das kostenlose Plugin Limit Login Attempts Reloaded.

Anmeldeversuche begrenzen Neu geladenes Plugin

Mit über 1 Million Installationen zum Zeitpunkt des Schreibens können Sie sicher sein, dass das Plugin gut funktioniert.

Nachdem Sie es installiert und aktiviert haben, gehen Sie zum Einstellungsmenü und klicken Sie dann auf „Anmeldeversuche begrenzen“. Sie können eine Reihe von Parametern ändern, einschließlich der Anzahl der zulässigen Wiederholungen, bevor der Benutzer von der Website gesperrt wird.

Einstellungen für Anmeldeversuche beschränken

Die Begrenzung der Anmeldeversuche ist eine äußerst effektive Methode zum Schutz Ihrer Website, weshalb wir dies standardmäßig auf allen von Pressidium gehosteten Websites aktivieren.

Hinweis: Wenn Sie Jetpack verwenden, enthält ein kürzlich veröffentlichtes Feature namens „Protect-Modul“ standardmäßig ein System zur Begrenzung der Anmeldeversuche. Dieses System bietet auch Informationen über die blockierten Anmeldeversuche und die Möglichkeit, IPs auf die Whitelist zu setzen. Wenn Sie dieses Plugin verwenden, müssen Sie kein separates Plugin „Login einschränken“ installieren.

Halten Sie Ihre Kerndateien, Plugins und Designs auf dem neuesten Stand

Neben vielen anderen Vorteilen ist die Aktualisierung Ihres WordPress-Kerns, -Themes und -Plugins entscheidend für die Sicherheit Ihrer Website. Statistiken zeigen, dass veraltete Versionen, Themes und Plugins die beliebteste Methode für Hacker sind, um Zugriff auf Websites zu erhalten, weshalb es oberste Priorität hat, diese auf dem neuesten Stand zu halten.

Bei Pressidium aktualisieren wir den WordPress-Kern automatisch auf die neueste Version, nachdem wir ihn zuerst getestet haben, um sicherzustellen, dass es keine wichtigen Probleme gibt, die unseren Kunden Probleme mit ihren Websites verursachen würden. Da diese Updates automatisch durchgeführt werden, können Sie sicher sein, dass auf Ihrer Website immer die neueste Version von WordPress ausgeführt wird.

Hosten Sie Ihre Website mit Pressidium

60- TÄGIGE GELD-ZURÜCK-GARANTIE

SEHEN SIE UNSERE PLÄNE

Darüber hinaus machen wir die Aktualisierung von Plugins auf bei uns gehosteten Websites so einfach wie möglich, indem wir eine Plugin-Aktualisierungsfunktion bereitstellen, auf die über das Pressidium-Dashboard zugegriffen werden kann. Auf diese Weise können unsere Kunden auf einen Blick sehen, ob die Plugins ihrer Website(s) aktualisiert werden müssen. In diesem Fall kann das Update mit wenigen Klicks im Pressidium-Dashboard durchgeführt werden. Außerdem scannen wir regelmäßig bei uns gehostete Websites auf Plugins mit bekannten Schwachstellen und informieren den Website-Inhaber über diese Schwachstelle per E-Mail. In Fällen, in denen ein veraltetes Plugin ein extremes Risiko für eine Website darstellt, werden wir dies sogar proaktiv im Auftrag des Website-Eigentümers aktualisieren.

Ändern Sie Ihre Standard-Anmelde-URL

Nachdem wir nun Möglichkeiten zur Sicherung der Anmeldeseite durchgegangen sind (und somit die „Haustür“ schützen), werfen wir einen Blick auf Optionen zum Verstecken der Haustür, um sicherzustellen, dass ein Einbrecher (oder Hacker!) nicht einmal versuchen kann, sich Zugang zu verschaffen .

Eine gute Möglichkeit, dies zu tun, besteht darin, den Speicherort der Standard-WordPress-Anmelde-URL zu ändern, indem Sie sie in eine benutzerdefinierte URL ändern. Dadurch blockieren Sie sofort den Verkehr von wp-login, was wiederum bedeutet, dass Sie keine Brute-Force-Angriffe auf Ihre Website erleben sollten.

Ein solches Plugin, mit dem Sie den Speicherort der Anmeldeseite schnell ändern können, ist WPS Hide Login.

WPS-Anmeldung ausblenden

Vermeiden Sie die Verwendung von Nulled-Themes und Plugins

Ausgelöschte Themen oder Plugins sind solche, die normalerweise Malware oder modifizierten Code enthalten, der darauf ausgelegt ist, Schaden anzurichten. Sie sind oft „billig“ erhältlich, weshalb sie die Menschen ansprechen. Schließlich gibt niemand gerne Geld für Premium-Themes und Plugins aus. Mit einigen Nulled-Themen und Plugins, die für einen Bruchteil der Kosten der „echten“ Version erhältlich sind, können Sie sehen, warum sie verlockend sind, sie zu verwenden.

In Wirklichkeit können die „Einsparungen“, die Sie durch die Verwendung von Nulled-Versionen erzielen, oft von den Kosten überschattet werden, die durch die Infektion Ihrer Website mit Malware entstehen. Selbst wenn sie keinen schädlichen Code enthalten, enthalten sie oft lästige Anzeigen und Popups, die das Erlebnis des Plugins oder Designs ruinieren können. Außerdem werden sie natürlich nicht vom ursprünglichen Entwickler unterstützt, was bedeutet, dass es niemanden gibt, an den man sich wenden kann, wenn etwas schief geht.

Kurz gesagt, verwenden Sie keine auf Null gesetzten Themen oder Plugins ... es lohnt sich wirklich nicht!

Fazit

Eine gehackte Website interessiert niemanden (außer natürlich dem Hacker). Während hochwertiges, verwaltetes WordPress-Hosting die Sicherheit Ihrer Website erheblich verbessern kann, ist es auch wichtig, daran zu denken, dass Sie als Eigentümer der Website auch eine Rolle bei der Sicherung Ihrer Website spielen müssen.

Auch das Befolgen einiger der oben beschriebenen einfachen Schritte kann wirklich dazu beitragen, die Sicherheit Ihrer Website zu verbessern, und es lohnt sich, sie umzusetzen.