So verhindern Sie, dass eine WordPress-Site gehackt wird
Veröffentlicht: 2024-05-28WordPress-Websites machen über 43 Prozent aller Websites aus und diese Popularität macht die Plattform zu einem Ziel für Online-Angriffe. Das bedeutet, dass WordPress zwar scheinbar unbegrenzte Vorteile bietet, aber auch bekannte Schwachstellen aufweist, die Hacker ausnutzen können.
Aus diesem Grund ist es eine gute Idee, die richtigen Web-Sicherheitsmaßnahmen zu ergreifen, um zu verhindern, dass Ihre WordPress-Site gehackt wird. Auf diese Weise können Sie alle Ihre sensiblen Daten schützen, den Ruf Ihres Unternehmens wahren und das Vertrauen und die Loyalität Ihrer Kunden wahren.
In diesem Beitrag werfen wir einen genaueren Blick auf häufige WordPress-Hacks und Schwachstellen. Anschließend zeigen wir Ihnen, wie Sie WordPress-Hackerversuchen vorbeugen.
Wie häufig kommen WordPress-Hacks vor?
Die WordPress-Kernsoftware ist sehr sicher und wird regelmäßig von Entwicklern überprüft. Allerdings macht die Beliebtheit des Content-Management-Systems (CMS) es zu einem Ziel für Hacker, die ein weites Netz auswerfen wollen, um vertrauliche Informationen zu stehlen, Malware zu verbreiten und andere böswillige Aktionen durchzuführen.
WordPress kann auch deshalb ins Visier genommen werden, weil WordPress als Open-Source-Software alle Sicherheitslücken öffentlich bekannt macht. Tatsächlich sind in der Datenbank von WPScan derzeit 49.000 WordPress-Schwachstellen aufgeführt.
Dies kann es für böswillige Akteure einfacher machen, die Software zu kompromittieren. Da es sich um eine einsteigerfreundliche Plattform handelt, wissen viele WordPress-Benutzer außerdem nicht, wie sie ihre Websites richtig pflegen und sichern. Eine der besten Möglichkeiten, WordPress zu schützen, besteht beispielsweise darin, die Software auf dem neuesten Stand zu halten. Doch nur 80 Prozent der WordPress-Nutzer haben Version sechs der Software installiert.
Und von diesen 80 Prozent verwenden nur 75 Prozent die absolut neueste WordPress-Version. Daher kann es für diese Websites schwieriger sein, WordPress-Hacks zu verhindern.
Häufige Schwachstellen, die WordPress-Site-Hacks verursachen
Nachdem Sie nun etwas mehr über das Problem wissen, werfen wir einen Blick auf die wichtigsten Schwachstellen, die zu WordPress-Hacks führen können.
1. Veralteter WordPress-Kern und Plugins
Die WordPress-Kernsoftware wird regelmäßig mit neuen Funktionen, Fehlerbehebungen und anderen Sicherheitsverbesserungen aktualisiert. Tatsächlich gab es in diesem Jahr bisher bereits zehn WordPress-Releases.
Die neueste Version enthielt zwei Fehlerkorrekturen in Core, 12 Korrekturen für den Blockeditor und eine zusätzliche Sicherheitskorrektur. Die meisten Plugin-Entwickler veröffentlichen auch neuere Versionen ihrer eigenen Software, die Sicherheitsupdates enthalten.
Sobald eine Software also schon seit einiger Zeit existiert, ist es wahrscheinlicher, dass Hacker herausfinden, wie sie ihre Schwächen ausnutzen können. Dann können sie es als Hintertür nutzen, um sich unbefugten Zugriff auf Ihre Website zu verschaffen und böswillige Aktivitäten auszuführen.
2. Schwache Passwörter
Eine weitere häufige Ursache für WordPress-Hacks ist eine schwache Passwortauswahl, und sie ist eine der am einfachsten zu behebenden Ursachen. Die schlechte Nachricht ist, dass viele Benutzer beim Festlegen neuer Passwörter den Komfort vor die Sicherheit stellen.
Tatsächlich war „123456“ letztes Jahr das am häufigsten verwendete Passwort und wurde mehr als 4,5 Millionen Mal verwendet. Das am zweithäufigsten verwendete Passwort war „admin“, das vier Millionen Mal verwendet wurde.
Auch wenn Website-Besitzer die Bedeutung sicherer Passwörter verstehen, wird nicht jeder Benutzer die Vorsichtsmaßnahme ergreifen, diese festzulegen. Aus diesem Grund ist es eine gute Idee, Benutzer zu schulen und mithilfe von Tools wie dem Password Policy Manager sichere Passwörter in WordPress durchzusetzen.
3. Unsichere und veraltete Themes
Wie beim WordPress-Kern und den WordPress-Plugins sind unsichere und veraltete Themes ein weiterer Hauptkandidat für WordPress-Hacks. Wie bei Plugins fehlen auch bei veralteten Themes häufig Sicherheitspatches und Fehlerbehebungen.
Außerdem können sie mit anderen Plugins und der Kernsoftware inkompatibel werden, was zu WordPress-Fehlern wie dem „White Screen of Death“ führen kann. Da WordPress außerdem Open Source ist, kann jeder Entwickler Themes online verkaufen.
Deshalb ist es wichtig, sich an vertrauenswürdige Quellen und Entwickler zu halten, um sicherzustellen, dass die Themes sicher verwendet werden können. Ein weiteres positives Zeichen sind häufige Aktualisierungen, die Sie auf der Seite des entsprechenden Themas überprüfen können. Es ist auch nützlich, sich die Bewertungen anzusehen und die Rezensionen zu lesen. Viele aktive Installationen können auch darauf hinweisen, dass die Verwendung eines Themes sicher ist.
4. Fehlen eines Sicherheits-Plugins
Sicherheits-Plugins bieten eine proaktive Möglichkeit, Bedrohungen zu erkennen und Ihre Website vor WordPress-Angriffen zu schützen. Besser noch: Die meisten Sicherheits-Plugins funktionieren automatisch. Das bedeutet, dass Ihr Sicherheitstool nach der Konfiguration im Hintergrund arbeitet und kaum oder gar keine manuelle Verwaltung erforderlich ist.
Ohne Sicherheits-Plugins können die häufigsten Anzeichen eines WordPress-Hackerversuchs leicht übersehen werden. Lösungen wie Jetpack Security verfügen beispielsweise über Brute-Force-Schutz und eine Web Application Firewall (WAF), um verdächtigen Datenverkehr auf Ihrer Website herauszufiltern.
Darüber hinaus bietet Jetpack Echtzeit-Malware-Scans sowie Kommentar- und Spam-Schutz. Sie können den Backup-Prozess auch automatisieren und Ihre Website-Kopien an einem sicheren, entfernten Ort speichern. Außerdem ist es einfach, Ihre Website wiederherzustellen, wenn etwas schief geht.
Wie Hacker diese Schwachstellen ausnutzen
Nachdem Sie nun die wichtigsten Schwachstellen kennen, die zu WordPress-Hacks führen, werfen wir einen Blick auf die häufigsten Methoden, mit denen Hacker diese Schwachstellen ausnutzen. Die primäre Methode für WordPress-Hacks besteht darin, entweder auf Kerndateien, Plugins, Themes oder Anmeldeseiten abzuzielen.
Viele Hacker nutzen Bots, die Websites automatisch scannen, um Schwachstellen zu identifizieren, die später ausgenutzt werden können. Darüber hinaus können Hacker Websites täuschen, indem sie unterschiedliche Benutzeragenten verwenden und unterschiedliche Informationen über den Browser und das Betriebssystem an Websites senden.
Auch die WordPress-Anmeldeseite ist ein häufiger Einstiegspunkt für Hacker. Wenn Sie die Standard-URL der WordPress-Anmeldeseite nicht ändern, kann sie jeder finden, indem er am Ende Ihres Domainnamens ein bestimmtes Suffix wie „/admin“ hinzufügt.
Dann können Angreifer Brute-Force-Angriffe nutzen, bei denen sie Hunderte von Benutzernamen- und Passwortkombinationen ausprobieren, bis sie Zugriff auf Ihre Website erhalten. Und wie bereits erwähnt, verlassen sich viele Benutzer auf schwache Passwörter, die sehr schnell geknackt werden können.
Die finanziellen und rufschädigenden Folgen einer gehackten Website
Einer der Hauptgründe, warum Menschen wissen möchten, wie sie WordPress-Hacking-Versuche verhindern können, besteht darin, die finanziellen Folgen einer gehackten Website zu vermeiden. Wenn eine unbefugte Person Zugriff auf Ihre Website erhält, kann sie natürlich private Daten einsehen, manipulieren und stehlen.
Wenn Sie persönliche Daten oder Zahlungsdaten von Kunden gespeichert haben, verstoßen Sie möglicherweise gegen Datenschutzgesetze, die mit empfindlichen Strafen verbunden sind. Tatsächlich können schwere DSGVO-Verstöße bis zu 20 Millionen Euro kosten. Und im vergangenen Jahr beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf fast 9,5 Millionen Dollar.
Darüber hinaus stellt ein Verstoß dieser Art lediglich eine Verletzung der Privatsphäre dar, was zum Verlust des Vertrauens und der Loyalität langjähriger Kunden führen kann. Dadurch kann der Ruf Ihres Unternehmens dauerhaft geschädigt werden. Es kann schwierig sein, sich davon zu erholen, insbesondere wenn Ihre Marke weniger etabliert ist.
Sie müssen auch über die Kosten für die Reparatur oder Wiederherstellung einer Website nachdenken, die von der Art des WordPress-Hacks abhängen. Um Ransomware-Angriffe abzuwehren, müssen Sie möglicherweise viel Geld bezahlen, um wieder Zugriff auf Ihre Website zu erhalten. In der Zwischenzeit kann es teuer sein, wichtige Site-Dateien zu bereinigen oder zu ersetzen.
Schließlich können gehackte Websites, die als verdächtig oder gefährlich gelten, auf die Sperrlisten von Google gesetzt werden. In diesem Fall kann es schwierig sein, Ihre Website aus den Sperrlisten zu entfernen. Und da Ihre Website erst dann in den Suchergebnissen erscheint, wenn sie aus dieser Liste entfernt wird, werden Sie wahrscheinlich Einbußen beim Traffic und beim Umsatz hinnehmen müssen.
Maßnahmen, um zu verhindern, dass eine WordPress-Site gehackt wird
Nachdem Sie nun die Hauptursachen und Folgen von Hacks kennen, werfen wir einen Blick darauf, wie Sie WordPress-Hacking-Versuche verhindern können.
1. Halten Sie WordPress auf dem neuesten Stand
Eine der Hauptmethoden für Hacker, sich unbefugten Zugriff auf Ihre Website zu verschaffen, besteht darin, bekannte Schwachstellen in alten Softwareversionen auszunutzen. Dies gilt für die WordPress-Kernsoftware, Plugins und Themes.
Darüber hinaus enthalten die meisten Updates Fehlerbehebungen und andere Sicherheitsverbesserungen, die es Hackern erschweren, Angriffe durchzuführen. Und wenn es um Plugins und Themes geht, kann sogar deaktivierte Software ins Visier genommen werden. Daher ist es am besten, Software zu löschen, die Sie nicht mehr verwenden.
Um WordPress-Hacks zu verhindern, ist es wichtig, Ihre Website zu aktualisieren, sobald neue Versionen verfügbar sind. Normalerweise wird eine Benachrichtigung angezeigt, wenn Updates bereit sind. Sie können aber auch im WordPress-Admin-Bildschirm zu Dashboard → Updates gehen.
Hier können Sie sehen, ob eine neue Version von WordPress installiert werden muss, oder Sie können auf den Link „Erneut prüfen“ klicken, um sicherzugehen. Wenn eine neue Version verfügbar ist, empfiehlt es sich, Ihre Website zu sichern, bevor Sie das Update ausführen, und das Update zunächst in einer Staging-Umgebung durchzuführen.
Weiter unten werden alle Themes und Plugins aufgelistet, für die Updates verfügbar sind.
Um Plugins und Themes zu aktualisieren, aktivieren Sie das Kontrollkästchen neben jedem Plugin und klicken Sie dann auf Plugins aktualisieren oder Themes aktualisieren.
Um beruhigt zu sein, kann es am besten sein, automatische Updates für Plugins zu aktivieren, die Sie regelmäßig verwenden. Auf diese Weise müssen Sie sich keine Sorgen machen, dass die Software veraltet und unsicher wird. Navigieren Sie dazu einfach zur Seite „Installierte Plugins“ .
In der Spalte „Automatische Updates“ sollte neben jedem installierten Plugin ein Link „Automatische Updates aktivieren“ angezeigt werden. Alles was Sie tun müssen, ist auf den Link zu klicken. Wenn Sie dann irgendwann Ihre Meinung ändern, deaktivieren Sie einfach diese Funktion.
2. Wählen Sie einen sicheren Hosting-Anbieter
Wenn Sie sich fragen, wie Sie WordPress-Hacking-Versuche verhindern können, ist es wichtig, einen sicheren Hosting-Anbieter zu wählen. Obwohl es unzählige Webhosts gibt, ergreifen einige Lösungen zusätzliche Maßnahmen, um Server vor bekannten Bedrohungen zu schützen.
Ein hochwertiger Hosting-Dienst sollte auch eine Methode zur Überwachung verdächtigen Datenverkehrs (z. B. eine Firewall) umfassen. Darüber hinaus verfügen die meisten guten Webhoster über Tools, um DDoS-Angriffe (Distributed Denial of Service) zu verhindern und regelmäßige Backups bereitzustellen, um Ihre Website schnell wiederherzustellen.
Bluehost ist ein beliebter Hosting-Anbieter, der eine Reihe erschwinglicher Tarife anbietet.
Bluehost bietet außerdem eine umfassende Suite an Sicherheitsfunktionen. Tatsächlich bietet es Datenverschlüsselung, automatische Backups, Malware-Scans und Support rund um die Uhr. Besser noch: Ausgewählte Pakete enthalten DDoS-Abwehr, eine Web Application Firewall (WAF) und mehr.
Es ist auch wichtig, die Art des Website-Hostings zu berücksichtigen, das Sie verwenden möchten. Shared Hosting ist zwar die kostengünstigste Option, birgt jedoch ein höheres Risiko einer standortübergreifenden Kontamination. Das liegt daran, dass Sie bei dieser Art von Plan einen Server mit anderen Websites teilen, die möglicherweise nicht die gleichen Sicherheitsvorkehrungen treffen wie Sie.
Vor diesem Hintergrund kann es besser sein, sich für ein dediziertes oder virtuelles privates Server-Hosting (VPS) zu entscheiden.
Oder Managed-Hosting-Lösungen bieten in der Regel eine sichere Umgebung für Ihre Website, da viele Wartungsaufgaben für Sie erledigt werden. Dazu gehören häufig Backups, Updates und andere Sicherheitskonfigurationen.
3. Installieren Sie ein All-in-One-Sicherheits-Plugin
Wie bereits erwähnt, besteht eine der bequemsten Möglichkeiten, WordPress-Hacks zu verhindern, darin, ein All-in-One-Sicherheits-Plugin zu installieren. Auf diese Weise können Sie viele Sicherheitsprozesse automatisieren, sodass Sie Konfigurationen nicht ständig überprüfen oder manuell aktualisieren müssen.
Auch hier gibt es eine Reihe von Sicherheits-Plugins, aber Jetpack Security ist eine hervorragende Option für WordPress-Websites.
Mit einem eleganten Dashboard und einer intuitiven Benutzeroberfläche ist es auch für absolute Anfänger geeignet. Sie erhalten Zugriff auf eine Premium-WAF, um den gesamten eingehenden Webverkehr zu filtern. Und Sie können sogar bestimmte IP-Adressen blockieren, von denen Sie wissen, dass sie verdächtig sind.
Dank eines 30-Tage-Aktivitätsprotokolls haben Sie jede auf Ihrer Website durchgeführte Aktion im Blick. Dies erleichtert die Identifizierung der Ursache von Sicherheitsproblemen und Fehlern. Darüber hinaus bietet Jetpack Echtzeit-Malware-Scans mit vielen Ein-Klick-Korrekturen.
Darüber hinaus werden alle Backups in der Jetpack Cloud gespeichert. Wenn Ihr Server also kompromittiert wird, bleiben Ihre Backups sicher und geschützt. Und Sie können Ihre Website auf einen genauen Zeitpunkt wiederherstellen und gleichzeitig die aktuellen Bestelldetails des Kunden beibehalten.
4. Setzen Sie Richtlinien für sichere Passwörter durch
Wenn Sie wissen möchten, wie Sie WordPress-Hacking-Versuche verhindern können, besteht eine weitere Strategie darin, das WordPress-Anmeldeverfahren zu stärken. Ein großer Teil davon umfasst die Verwendung und Durchsetzung starker Passwortrichtlinien.
Ein sicheres Passwort enthält eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Aber selbst wenn Ihr Passwort alle diese Parameter erfüllt, kann es sofort geknackt werden, wenn es weniger als sieben Zeichen lang ist. Entscheiden Sie sich daher am besten für lange Passwörter.
Doch selbst wenn Sie diese Best Practices für Ihre eigenen Passwörter befolgen, ist dies im Wesentlichen sinnlos, wenn andere Benutzer Ihrer Website schwache Passwörter verwenden. Daher ist es eine gute Idee, sichere Passwörter in WordPress durchzusetzen, indem Sie ein Plugin wie den Password Policy Manager verwenden.
Auf diese Weise können Sie die Passwortstärke bestimmen, das Zurücksetzen von Passwörtern erzwingen und einen Zeitraum festlegen, in dem Passwörter automatisch ablaufen. Darüber hinaus können Sie mit der Premium-Version inaktive Benutzer aussperren und zufällige Passwörter generieren, um Brute-Force-Angriffe zu verhindern.
5. Implementieren Sie die Zwei-Faktor-Authentifizierung (2FA)
Starke Passwörter spielen eine entscheidende Rolle bei der Absicherung des WordPress-Anmeldevorgangs, Sie können jedoch mithilfe der Zwei-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene hinzufügen. Bei diesem Setup müssen Benutzer einen zweiten Schlüssel (sowie ein Passwort) angeben, um Zugriff auf Ihre Site zu erhalten.
Normalerweise handelt es sich bei diesem zweiten Schlüssel um einen eindeutigen Code, der an eine E-Mail-Adresse oder ein Mobilgerät gesendet wird, das mit dem Benutzerkonto verknüpft ist. Die gute Nachricht ist, dass Sie die Anmeldung sichern können – einschließlich der Anforderung von 2FA –, indem Sie die Anmeldung auf der Website über ein WordPress.com-Konto erzwingen. Dies kann mit der sicheren Authentifizierungsfunktion von Jetpack erfolgen.
Selbst wenn es Hackern gelingt, Passwörter und Benutzernamen abzurufen, können sie auf diese Weise den zweiten Schlüssel (der normalerweise in Echtzeit generiert wird) nicht eingeben.
6. Sichere Datei- und Verzeichnisberechtigungen
WordPress-Websites bestehen aus verschiedenen Dateien und Verzeichnissen mit Steuerelementen, die bestimmen, welche Benutzer darauf zugreifen und sie bearbeiten können. Ohne diese Berechtigungen kann jeder mit Zugriff auf Ihre Site Dateien anzeigen und ändern.
Dies kann ein Sicherheitsrisiko darstellen, insbesondere wenn Benutzerkonten von böswilligen Akteuren übernommen werden, die dann Schaden anrichten könnten. Wenn Sie cPanel verwenden oder über das File Transfer Protocol (FTP) auf Ihre Website zugreifen, haben Sie wahrscheinlich die WordPress-Dateien und -Verzeichnisse gesehen.
Im Allgemeinen sind die korrekten Dateiberechtigungswerte für WordPress 644 für Dateien und 755 für Ordner. Es gibt jedoch Fälle, in denen Sie Ihre Dateien möglicherweise lieber weiter sichern möchten, wie dies häufig bei der Datei wp-config.php und der Datei .htaccess der Fall ist.
Wenn Sie diese Dateien weniger freizügig machen möchten, können Sie die Werte auf 640 oder 600 ändern. Um die Dateien noch weiter zu sperren, bevorzugen Sie vielleicht sogar einen Wert von 444, aber das kann Plugins einschränken, die Zugriff auf die Dateien benötigen (wie viele Caching-Plugins).
7. Installieren Sie ein SSL-Zertifikat
Das Secure Sockets Layer (SSL)-Protokoll bietet eine zusätzliche Sicherheitsebene für Websites, die die Übertragung sensibler Informationen wie Kreditkartendaten verarbeiten. Mit einem SSL-Zertifikat werden die Daten verschlüsselt. Das heißt, selbst wenn es von Hackern abgefangen wird, bleibt es unlesbar.
Darüber hinaus überprüft die SSL-Sicherheit die Inhaberschaft Ihrer Website, wodurch Hacker daran gehindert werden, gefälschte Versionen davon zu erstellen. Daher kann es auch dazu beitragen, Glaubwürdigkeit aufzubauen und das Vertrauen der Kunden zu stärken.
Die gute Nachricht ist, dass viele Webhosting-Anbieter im Rahmen ihrer Hosting-Dienste kostenlose SSL-Zertifikate anbieten. Alternativ können Sie ein SSL-Zertifikat von einer gültigen Zertifizierungsstelle wie Let's Encrypt erwerben.
Wir bewachen Ihre Website. Sie leiten Ihr Unternehmen.
Jetpack Security bietet benutzerfreundliche, umfassende WordPress-Site-Sicherheit, einschließlich Echtzeit-Backups, einer Webanwendungs-Firewall, Malware-Scans und Spam-Schutz.
Sichern Sie Ihre Website8. Installieren Sie eine Web Application Firewall (WAF)
Eine weitere beliebte Möglichkeit, WordPress-Hacks zu verhindern, ist die Installation einer Webanwendungs-Firewall. Dadurch können Sie den gesamten eingehenden Datenverkehr filtern und verdächtige IP-Adressen blockieren.
Es handelt sich um eine vorbeugende Maßnahme, die wie eine Barriere wirkt, sodass Sie sicher sein können, dass Hacker es erst gar nicht auf Ihre Website schaffen. Und wenn Sie Jetpack Security verwenden, können Sie auf diese zusätzliche Sicherheitsebene zugreifen und spezifische Regeln dafür konfigurieren.
Um die Firewall von Jetpack zu aktivieren, benötigen Sie zunächst einen Plan, der Jetpack Scan beinhaltet. Gehen Sie dann zu Jetpack → Einstellungen. Scrollen Sie dann nach unten zum Abschnitt „Firewall“ und verwenden Sie die Umschalttasten, um die Firewall zu aktivieren, bestimmte IPs zu blockieren und bestimmte IPs zuzulassen.
Um IPs zu blockieren oder zuzulassen, müssen Sie vollständige IP-Adressen in die entsprechenden Felder eingeben. Klicken Sie dann auf „Sperrliste speichern“ oder „Zulassungsliste speichern“.
9. Scannen Sie Ihre Website regelmäßig auf Schwachstellen
Wenn Sie sich fragen, wie Sie WordPress-Hacking-Versuche verhindern können, ist es auch eine gute Idee, regelmäßige Schwachstellenscans einzurichten. Auf diese Weise können Sie rund um die Uhr auf Schutz zugreifen und potenzielle Bedrohungen schnell erkennen.
Jetpack Security bietet dank WAF und Echtzeit-Malware-Scans, die die aktuellsten Bedrohungen erkennen, rund um die Uhr Schutz. Wenn Ihr Budget jedoch knapp ist, sollten Sie lieber mit Jetpack Scan beginnen, der nur Zugriff auf diese Funktionen bietet (ohne die zusätzlichen Vorteile von Jetpack Security wie Echtzeit-Backups und Spam-Schutz).
Sie können weiterhin den WAF- und Malware-Dienst von Jetpack nutzen. Und wenn mit Ihrer Website etwas nicht stimmt, werden Sie sofort per E-Mail benachrichtigt. Eine der besten Funktionen ist, dass alle Scans auf den eigenen Servern von Jetpack stattfinden, sodass Sie auch dann noch auf Ihre Website zugreifen können, wenn diese ausfällt.
Dieses Plugin identifiziert alle Schwachstellen in Plugins, Themes und ausgewählten Dateien und Verzeichnissen. Standardmäßig erhalten Sie einen täglichen Scan, Sie können Scans jedoch auch manuell starten. Und Sie können die Scanergebnisse direkt in Ihrem Dashboard anzeigen (und für die meisten Probleme Ein-Klick-Lösungen aktivieren).
10. Entfernen Sie inaktive Benutzerkonten
Inaktive Benutzerkonten können Ihre Website verstopfen und Sicherheitsbedenken aufwerfen. Wenn sich ein Benutzer in den letzten 90 Tagen nicht bei seinem Konto angemeldet hat, ist dies normalerweise ein klares Zeichen für Benutzerinaktivität.
Es ist wichtig, diese Konten zu entfernen, um Sicherheitsrisiken vorzubeugen. Alte Konten enthalten beispielsweise Passwörter, die seit langem nicht geändert wurden, sodass die Wahrscheinlichkeit größer ist, dass sie im Dark Web durchgesickert sind.
Melden Sie sich dann beim WordPress-Dashboard an und gehen Sie zu Benutzer → Alle Benutzer. Unterhalb des Benutzerprofils können Sie bei Bedarf einen Link zum Zurücksetzen des Passworts senden. Oder klicken Sie einfach auf Löschen und bestätigen Sie die Aktion auf der nächsten Seite.
Es liegt an Ihnen, die spezifischen Grenzen für die Definition ungenutzter Konten festzulegen. Möglicherweise haben Sie Benutzer, die ein Konto erstellt haben, aber noch nie einen Beitrag geleistet oder ein Produkt gekauft haben. Oder es gibt Benutzer, die ihre Konten nie regelmäßig genutzt haben.
Wenn Sie mit einer großen Anzahl von Benutzern zu tun haben und nicht sicher sind, wie aktiv diese sind, können Sie jederzeit ein kostenloses Plugin wie WP Last Login installieren, um dies zu verfolgen. Mit diesem Tool können Sie das letzte Anmeldedatum der Benutzer direkt im WordPress-Dashboard anzeigen.
11. Verfolgen und überwachen Sie die Benutzeraktivität
Eine weitere gute Möglichkeit, WordPress-Hacking-Versuche zu verhindern, besteht darin, Benutzeraktivitäten zu verfolgen und zu überwachen. Auf diese Weise können Sie jede Aktion, die auf Ihrer Website ausgeführt wird, vollständig protokollieren.
Je nachdem, welches Tool Sie verwenden, können Sie beispielsweise sehen, wenn ein Benutzer ein Update ausführt, ein Plugin installiert, Bilder hochlädt, Kommentare hinterlässt und mehr. Dies macht die Site-Verwaltung deutlich transparenter und kann Reparaturen und Debugging beschleunigen.
Die gute Nachricht ist, dass Sie bei Verwendung von Jetpack Security Zugriff auf ein Aktivitätsprotokoll erhalten, in dem Benutzeraktionen gespeichert werden. Darüber hinaus erhalten Sie detaillierte Informationen zum Ereignis, einschließlich des Benutzers, der die Aktion ausgeführt hat, und des genauen Zeitpunkts, zu dem sie stattgefunden hat.
Besser noch: Selbst mit der kostenlosen Version von Jetpack können Sie die letzten 20 Ereignisse anzeigen, die auf Ihrer Website durchgeführt wurden. Dies kann Ihnen helfen, Brute-Force-Angriffe zu verhindern, da Sie auch über Anmeldeversuche von Benutzern benachrichtigt werden.
12. Benennen Sie das Standardbenutzerkonto „admin“ um
Wie wir besprochen haben, kann es für Hacker leicht sein, auf Ihre Website zuzugreifen, wenn Sie die Standard-URL der Anmeldeseite nicht ändern (worauf wir später noch näher eingehen). Viele Leute behalten aber auch weiterhin „admin“ als Benutzernamen ihres WordPress-Kontos bei.
Das bedeutet, dass Hacker nur Ihr Passwort richtig erraten müssen und bereits die vollständige Kontrolle über Ihre Website erlangen, da das Administratorkonto keinerlei Einschränkungen unterliegt. Daher ist es am besten, den Standardkontonamen „admin“ zu ändern, um WordPress-Hacks zu verhindern.
Gehen Sie dazu im WordPress-Dashboard zu Benutzer → Neuen Benutzer hinzufügen . Füllen Sie alle erforderlichen Felder aus, einschließlich eines eindeutigen Benutzernamens, der nicht „admin“ ist. Wählen Sie dann im Dropdown-Menü „Rolle“ die Option „Administrator“ aus.
Klicken Sie nun unten auf der Seite auf „Neuen Benutzer hinzufügen“ . Jetzt sollten Sie auf dem Bildschirm „Alle Benutzer “ das neue Administratorkonto sehen, das Sie gerade erstellt haben.
Zu diesem Zeitpunkt müssen Sie sich von Ihrem aktuellen Konto (dem alten Administratorkonto) abmelden und sich mit den Anmeldeinformationen Ihres neuen Administratorkontos wieder bei WordPress anmelden. Kehren Sie dann zum Bildschirm „Benutzer“ → „Alle Benutzer“ zurück und klicken Sie auf den Link „Löschen“ unter dem alten Administratorkonto.
Es ist jedoch wichtig, alle Beiträge und Seiten dem neuen Administratorkonto zuzuordnen. Andernfalls werden alle Inhalte gelöscht, die mit dem alten Administratorkonto erstellt wurden.
Daher müssen Sie das Kontrollkästchen „ Alle Beiträge zuordnen“ aktivieren und über das Dropdown-Feld den neuen Admin-Benutzer auswählen.
Klicken Sie dann auf „Löschen bestätigen“.
13. Verstecken Sie wp-admin/ und wp-login.php
Um WordPress-Hacking-Versuche zu verhindern, können Sie auch die Seiten wp-admin und wp-login.php ausblenden. Standardmäßig verwendet WordPress eine Standard-Anmelde-URL, die Ihren Domainnamen mit dem Suffix wp-login.php kombiniert.
Diese Grundstruktur sieht auch dann gleich aus, wenn Sie Subdomains und Unterverzeichnisse verwenden. Daher können Hacker dies in die Suchleiste eingeben und direkt auf Ihrer WordPress-Anmeldeseite landen.
Wenn Sie Ihre Domain außerdem mit dem Suffix wp-admin kombinieren, können Hacker auf die Admin-Anmeldeseite geleitet werden. Wenn Sie es also Angreifern erschweren möchten, auf Ihre Website zuzugreifen, ändern Sie am besten die URLs der Anmeldeseite.
Der einfachste Weg, dies zu tun, ist die Verwendung eines Plugins wie WPS Hide Login, das den Zugriff auf das wp-admin-Verzeichnis und die Seite /wp-login.php unzugänglich macht.
Mit diesem Tool können Sie es durch eine benutzerdefinierte Anmelde-URL ersetzen, die Sie nur mit Benutzern teilen, denen Sie vertrauen. Es funktioniert auch auf Subdomains und Unterordnern. Wenn Sie jedoch kein Plugin verwenden möchten, können Sie die URLs der Anmeldeseite auch manuell ausblenden.
14. Sichern Sie Ihre /wp-config.php-Datei
Eine weitere gängige Möglichkeit, WordPress-Hacking-Versuche zu verhindern, besteht darin, Ihre wp-config.php- Datei zu sichern. Dies ist eine der wichtigsten WordPress-Dateien, da sie Informationen über Ihre WordPress-Installation enthält, wie z. B. Datenbankverbindungsdetails und WordPress-Sicherheitsschlüssel.
Die schlechte Nachricht ist, dass WordPress einen Standardspeicherort für die Datei hat, was es Hackern erleichtert, sie zu finden. Daher können Sie diesen Ordner außerhalb des Stammverzeichnisses Ihrer Site verschieben (das normalerweise mit / public_html gekennzeichnet ist). und es wird immer noch funktionieren.
Darüber hinaus möchten Sie möglicherweise auch die Dateiberechtigungen einschränken, sodass nur echte Eigentümer die Datei bearbeiten können. Dazu müssen Sie die .htaccess- Datei herunterladen, die Sie ebenfalls im Stammordner finden.
Öffnen Sie dann die Datei in einem Nur-Text-Editor und fügen Sie den folgenden Code hinzu:
<files wp-config.php> order allow,deny deny from all </files>
Jetzt können Sie die aktualisierte .htaccess- Datei zurück in den Stammordner hochladen, um den Zugriff auf die Datei wp-config.php zu verweigern.
15. Sichern Sie regelmäßig Ihre Website
Es ist leicht, in Panik zu geraten, wenn Ihre Website gehackt wird. Wenn Sie jedoch über eine aktuelle Kopie Ihrer Website verfügen, können Sie das Problem umgehend beheben.
Obwohl Sie manuelle Backups Ihrer Datenbank erstellen können, ist die einfachste Methode die Installation eines Sicherheits-Plugins wie Jetpack Security. Auf diese Weise erhalten Sie Zugriff auf Jetpack VaultPress Backup, eine spezielle WordPress-Backup-Lösung.
Das Plugin erstellt das erste Backup Ihrer Website, sobald der Kauf abgeschlossen ist. Es ist eine ideale Wahl für E-Commerce-Shops, da es alle Kunden- und Bestelldaten sowie Bilder, Seiteninhalte und mehr sichert.
Das Beste daran ist, dass Backups im Gegensatz zu integrierten Webhosting-Optionen im Remote-Cloud-Speicher von Jetpack gespeichert werden. Das bedeutet, dass Sie eine saubere Version Ihrer Website wiederherstellen können, auch wenn Sie sich nicht anmelden können. Außerdem können Sie den genauen Zeitpunkt auswählen, zu dem Sie Ihre Website wiederherstellen möchten.
Wie Jetpack Security mit der Sicherheit von WordPress umgeht, damit Sie beruhigt sein können
Nachdem Sie nun wissen, wie Sie WordPress-Hacking-Versuche verhindern können, erfahren Sie hier, wie Jetpack Security Ihre Website schützt, damit Sie völlig beruhigt sein können.
Malware- und Schwachstellen-Scanning rund um die Uhr
Jetpack Security hilft Ihnen vor allem dabei, WordPress-Hacks zu verhindern, indem Malware und Schwachstellen in Echtzeit gescannt werden. Unter Malware versteht man bösartige Software, die dazu verwendet werden kann, Daten zu stehlen oder zu löschen, Kernfunktionen zu kapern und die Aktivitäten Ihres Computers auszuspionieren.
Jetpack Scan beschränkt sich jedoch nicht nur auf die Malware-Erkennung. Es kann auch verdächtige Änderungen an zentralen WordPress-Dateien, veralteten oder unsicheren Plugins und webbasierten Shells erkennen, die Hackern vollen Zugriff auf Ihren Server ermöglichen.
Sobald Sie Jetpack Security installiert haben, wird der erste Scan sofort gestartet. Gehen Sie dann zu Jetpack → Schützen → Scannen, um die Ergebnisse anzuzeigen (obwohl Sie möglicherweise zuerst Ihr WordPress.com-Konto autorisieren müssen).
Hier können Sie auch manuell einen neuen Scan starten und Ihre Scanergebnisse einsehen. Außerdem können Sie sehen, ob aktive Bedrohungen vorhanden sind. Und wenn mehr als eine Bedrohung identifiziert wird, werden diese nach Schweregrad priorisiert.
Wenn Bedrohungen erkannt werden, erhalten Sie außerdem sofort eine E-Mail-Benachrichtigung und können die Bedrohungen im WordPress-Dashboard anzeigen. Darüber hinaus bietet Jetpack häufig Ein-Klick-Lösungen zur Problemlösung.
Echtzeit-Backups und Wiederherstellungen mit einem Klick
Backups ermöglichen Ihnen eine schnelle Wiederherstellung nach einem WordPress-Hack. Ohne ein Backup bleibt Ihre Website möglicherweise eine Weile inaktiv, während Sie versuchen, Patches zur Behebung des Problems zu finden. Dies wird sich wahrscheinlich auf den Traffic und den Umsatz Ihrer Website auswirken.
Mit Jetpack Security können Sie die betroffene Website einfach durch eine saubere und aktuelle Version ersetzen. Die Echtzeit-Backups von Jetpack werden in der Cloud gespeichert, sodass Sie auch dann auf die replizierte Website zugreifen können, wenn Ihr gesamter Server betroffen ist.
Darüber hinaus sichert Jetpack sogar WooCommerce-Bestellungen, -Produkte und -Datenbanken – was Ihnen dabei hilft, die Datenschutzgesetze einzuhalten. Und der Wiederherstellungsprozess kann mit nur einem Klick durchgeführt werden.
Schutz vor Brute-Force-Angriffen
Brute-Force-Angriffe wurden im Jahr 2022 als eine der Hauptursachen für Cyberangriffe auf Unternehmen in den Vereinigten Staaten aufgeführt. Im Jahr 2023 wurden sie auch als fünfthäufigste Ursache für Ransomware-Angriffe weltweit eingestuft.
Brute-Force-Angriffe verlangsamen Ihre Website aufgrund wiederholter Serveranfragen. Das eigentliche Ziel besteht jedoch darin, Zugriff auf wichtige Website-Dateien zu erhalten, in die Hacker schädlichen Code oder Skripte einfügen können. Aber mit Jetpack Security können Sie Angriffe dieser Art über Ihr Dashboard blockieren.
Alles, was Sie tun müssen, ist zu Jetpack → Einstellungen zu gehen und nach unten zum entsprechenden Abschnitt zu scrollen, wo Sie einen Schalter zum Aktivieren oder Deaktivieren der Funktion sehen.
Tatsächlich blockiert Jetpack im Laufe der Lebensdauer einer Website durchschnittlich 5193 Brute-Force-Angriffe. Es blockiert automatisch schädliche IPs, bevor sie Ihre Website erreichen. Und Sie können bekannte IPs zulassen, um Fehlalarme zu reduzieren.
Ein 30-tägiges Benutzeraktivitätsprotokoll
Wenn Sie wissen möchten, wie Sie WordPress-Hacking-Versuche verhindern können, ist ein Aktivitätsprotokoll eine hervorragende Lösung. Auf diese Weise können Sie jede auf Ihrer Website durchgeführte Aktion verfolgen – wie Plugin- und Theme-Updates, Einstellungsänderungen und Benutzeranmeldungen.
Mit Jetpack Security können Sie Benutzeraktionen bis zu 30 Tage lang speichern, was die Aufgaben der Site-Verwaltung vereinfachen und die Effektivität von Debugging und Reparaturen verbessern kann. Darüber hinaus erhalten Sie detaillierte Informationen zu jedem Ereignis, einschließlich Zeitstempel, Benutzer und Beschreibung.
Einfache Ein-Klick-Reparaturen
Eine weitere Möglichkeit, mit der Jetpack Security WordPress-Hacks verhindert, sind einfache Ein-Klick-Lösungen. Dies unterscheidet Jetpack von anderen Sicherheits-Plugins, die die Probleme zwar gut identifizieren können, aber keine Möglichkeit bieten, sie zu beheben.
Dies bedeutet, dass Ihre Website möglicherweise längere Zeit ausfällt, Ihre Inhalte für Besucher nicht zugänglich sind und Sie keine Einnahmen erzielen können. Die gute Nachricht ist, dass Sie mit Jetpack Security Zugriff auf Schwachstellenscans in Echtzeit erhalten.
Wie bereits erwähnt, können Sie einen Scan durchführen, indem Sie zu Jetpack → Schützen → Scannen gehen. Hier können Sie auch die Ergebnisse von Scans einsehen. Darüber hinaus finden Sie weitere Informationen zu den erkannten Bedrohungen und können sogar auf die Schaltfläche „Alle beheben“ klicken, um Probleme in großen Mengen zu beheben.
Kommentar- und Formular-Spam-Schutz
Akismet ist eines der beliebtesten Anti-Spam-Plugins und bietet einige beeindruckende Funktionen. Es blockiert durchschnittlich 7,5 Millionen Spam-Einsendungen pro Stunde. Und mit Jetpack -Sicherheit (sowie anderen ausgewählten Jetpack -Plänen) erhalten Sie Zugriff auf das Plugin, um den Kommentarspam zu blockieren und Spam zu bilden.
Natürlich kann Spam sehr frustrierend sein, und es kann Ihre Website aus Sicht eines Kunden weniger vertrauenswürdig und zuverlässig aussehen lassen. Es kann jedoch auch gefährliche Malware enthalten, mit der Geräte beschädigt und empfindliche Daten gestohlen werden können.
Im Grunde ermöglichen der Kommentarbereich und die Formularfelder von Formbildern die Interaktion mit Ihrer Website. Als solche sind diese Bereiche tendenziell Hauptziele für Spam -Angriffe.
Glücklicherweise können Sie dieses Problem angehen, indem Sie von Ihrem Dashboard zu Jetpack → Akismet-Anti-Spam gehen.
Hier können Sie sehen, wie viele Spam -Versuche blockiert wurden, und eine Genauigkeitsbewertung anzeigen, die über verpasste Spam und falsch positive Ergebnisse berücksichtigt.
Darüber hinaus können Sie die automatische Spam -Filterung einrichten, damit Sie nie die schlimmsten und am weitesten verbreiteten Spam -Instanzen sehen müssen. Sie können die Einstellungen so konfigurieren, dass jedes Stück Spam in einen speziellen Spam -Ordner gerichtet ist, in dem Sie ihn überprüfen können.
5 Millionen+ Websites vertrauen Jetpack für ihre Website -Sicherheit
Während WordPress weitgehend als eine sichere Plattform für Websites angesehen wird, ist es auch ein attraktives Ziel für Hacker, da es so beliebt ist. Vor diesem Hintergrund ist es wichtig, Maßnahmen zu ergreifen, um WordPress -Hacks zu verhindern. Auf diese Weise können Sie Kundendaten besser schützen und Ihren guten Ruf bewahren.
Starke Passwörter, Zwei-Faktor-Authentifizierung und eine Firewall für Webanwendungen sind alles große Verteidigung. Sie müssen jedoch auch einen sicheren Webhost auswählen, Software auf dem Laufenden halten und Ihre Website regelmäßig nach Sicherheitslücken scannen.
Mit Jetpack Security erhalten Sie Zugriff auf ein All-in-One-Sicherheits-Plugin, das eine Reihe von Online-Angriffen verhindert. Es hilft Ihnen, Backups zu automatisieren, Benutzeraktivitäten zu überwachen, Kommentare zu blockieren und Spam zu formen und auf Einklick-Fixes zuzugreifen. Beginnen Sie noch heute!