Eine Anleitung zum Sichern des WordPress-Administrators - MalCare
Veröffentlicht: 2023-04-13Sicherer WordPress-Admin: Wussten Sie, dass jede einzelne Minute des Tages über 90.000 Hackversuche auf WordPress-Websites unternommen werden? Dies impliziert, dass Hacking-Versuche auf Ihren Websites unmittelbar bevorstehen, unabhängig davon, ob die Website groß oder klein ist. Sicherheit ist eines der wichtigsten Anliegen für eine Website.
Hacker greifen auf verschiedene Techniken zurück, um eine WordPress-Website zu hacken, und Brute-Force-Angriffe sind eine solche Technik. Es geht darum, eine Kombination aus häufig verwendetem Benutzernamen und Passwörtern auf der Anmeldeseite der Website auszuprobieren .
Ein erfolgreicher Brute-Force-Angriff gibt Ihnen Zugriff auf den WordPress-Admin. Der WordPress-Adminbereich ist das Verwaltungszentrum einer WordPress-basierten Website. Jeder, der vollen Zugriff auf den Administrator hat, hat die volle Kontrolle über die Website. Daher ist es wichtig, Ihren WordPress-Admin vor Brute-Force-Angriffen zu schützen.
Wie sichert man den WordPress-Admin?
Wir haben eine Reihe von Techniken entwickelt, mit denen Sie den WordPress-Administrator Ihrer Website vor Hackerangriffen schützen können.
1. Verwenden Sie starke Passwörter
Einer der häufigsten Fehler, den Websitebesitzer machen, ist die Verwendung schwacher Passwörter. Im Laufe der Jahre sind Techniken zum Knacken von Passwörtern ausgereift. Leicht zu erratende Passwörter werden innerhalb weniger Minuten geknackt. Starke Passwörter schützen Ihre Website vor ausgeklügelten Techniken zum Knacken von Passwörtern. Hier ist ein ausgezeichneter Artikel darüber, wie Sie wirklich starke Passwörter für Ihre WordPress-Seite erstellen .
Es kann jedoch ein Problem sein, sich starke Passwörter zu merken. Dieser Beitrag erklärt, wie man starke WordPress-Passwörter verwaltet .
Ein weiterer sehr häufiger Fehler, den viele Leute machen, ist, wenn sie dasselbe Passwort auf mehreren Websites verwenden. Wenn ein Passwort kompromittiert wird, werden alle mit dem Passwort verknüpften Konten kompromittiert. Daher kann die Verwendung unterschiedlicher Kennwörter für Konten dazu beitragen, diese Situation zu vermeiden.
2. Vermeiden Sie die Verwendung eines gemeinsamen Benutzernamens
Das Sichern des WordPress-Passworts ist ein wichtiger Schritt zur Sicherung der WordPress-Anmeldeinformationen. Die zweite Komponente einer Anmeldeinformation ist der Benutzername. Wenn Ihr Benutzername leicht zu erraten ist, muss sich der Hacker nur auf das Passwort konzentrieren.
Einer der häufigsten WordPress-Benutzernamen ist „admin“. Bis vor ein paar Jahren schlug WordPress automatisch „admin“ als Benutzernamen vor. Obwohl WordPress aufgehört hat, „admin“ zu empfehlen, verwenden viele Websitebesitzer es immer noch. Mehrere neue Benutzerkonten werden mit dem Benutzernamen „admin“ erstellt. All diese Websites machen sich selbst zu einem leichten Ziel.
Da WordPress die Verwendung eindeutiger Benutzernamen nicht erzwingt, müssen Sie sicherstellen, dass keiner Ihrer Benutzer gemeinsame Benutzernamen verwendet und kein neues Konto mit „admin“ erstellt wird. Werfen Sie einen Blick auf diese vollständige Liste der häufig verwendeten Benutzernamen, damit Sie wissen, welche Benutzernamen Sie vermeiden sollten.
3. Verstecken Sie Ihre WordPress-Anmeldeseite
WordPress-Websites funktionieren auf eine vorher festgelegte Weise. Ein Beispiel: Alle WordPress-Websites verfügen über eine Standard-Anmeldeseite, die in etwa so aussieht:„www.anysite.com/wp-admin“.Dies erleichtert die Arbeit eines Hackers, da er gleichzeitig einen automatisierten Angriff auf mehrere gezielte WordPress-Sites starten kann. Aber wenn Sie die Anmeldeseite ausblenden, indem Sie sie ändern, können Sie solche Angriffe auf Ihre Website verhindern.
Es gibt viele Plugins, mit denen Sie Ihre Anmeldeseite ändern und eine URL verwenden können, die Ihnen das Plugin vorschlägt. Es ist wahrscheinlich, dass andere Websites, die dasselbe Plugin verwenden, dieselbe URL verwenden. Und wenn Hacker das URL-Format kennen, bringt das Verbergen Ihrer Anmeldeseite nichts. Verwenden Sie daher ein Tool, mit dem Sie Ihre eigene benutzerdefinierte Anmeldeseiten-URL erstellen können.
4. Implementieren Sie die HTTP-Authentifizierung
Um den WordPress-Admin zu sichern, kannst du deinen gesamten wp-admin-Ordner mit einem Passwort schützen. Der wp-admin-Ordner enthält Verwaltungsdateien, die das WordPress-Dashboard unterstützen. Jeder, der Zugriff auf diesen Ordner hat, kann die gesamte Site steuern. Wenn Ihr Passwort den gesamten Ordner schützt, startet der Server-Kick jedes Mal, wenn jemand den Admin-Bereich anfordert, einen Authentifizierungsprozess. Der Browser fragt den Benutzer nach einem HTTP-Authentifizierungspasswort. Es gibt viele Tools, mit denen Sie die HTTP-Authentifizierung in Ihrem WordPress-Administrator implementieren können, wie HTTP Auth , AskApache Password Protect usw.
5. Verwenden Sie Google Authenticator
Da die Techniken zum Hacken von Websites heutzutage immer ausgefeilter werden, ist es üblich, neben den starken Benutzeranmeldeinformationen eine weitere Ebene des Anmeldeschutzes hinzuzufügen. Diese Technik wird Zwei-Faktor-Authentifizierung (2FA) genannt . Die Methode beinhaltet das Senden eines Codes, den nur Sie auf Ihrem Smartphone empfangen können. Bevor Sie Zugriff auf Ihr WordPress-Dashboard erhalten, müssen Sie den eindeutigen Code auf Ihrer Website eingeben. Die Vorteile dieses Ansatzes bestehen darin, dass Hacker, selbst wenn es ihnen gelingt, Ihre Anmeldeinformationen zu knacken, immer noch den Code benötigen, der ausschließlich an Ihr Gerät gesendet wird.
Es gibt viele WordPress-Plugins, die Sie für die 2-Faktor-Authentifizierung verwenden können. Wir haben 2FA auf unserer Website mit Mini Orange aktiviert, um den WordPress-Admin zu sichern, und eine Anleitung dazu geschrieben .
6. Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche
Websites, die Brute-Force-Angriffen ausgesetzt sind , erleben Hunderte von fehlgeschlagenen Anmeldeversuchen. Um diesen unerbittlichen Angriff auf Ihren WordPress-Administrator zu verhindern, können Sie die Anzahl der fehlgeschlagenen Anmeldeversuche auf Ihrer Website begrenzen. Das MalCare-Sicherheits-Plugin verhindert, dass Benutzer versuchen, sich nach 3 fehlgeschlagenen Anmeldeversuchen anzumelden. Sie müssen ein CAPTCHA lösen, bevor sie wieder auf die WordPress-Anmeldeseite zugreifen dürfen. Dies hilft festzustellen, ob der Benutzer ein Mensch oder ein automatisierter Bot ist, der versucht, einen Brute-Force-Angriff auf die Website auszuführen.
7. SSL-Zertifikat installieren
Sehen Sie sich unsere Website-URL an! Sehen Sie ein grünes Schloss mit dem Wort „Sicher“ daneben? Auf unserer Website ist ein SSL-Zertifikat installiert, was bedeutet, dass niemand herumschnüffeln und die Anmeldeinformationen unserer Benutzer lesen kann. Bei einer Website ohne SSL-Zertifikat besteht die Gefahr, dass vertrauliche Informationen der Website unwissentlich preisgegeben werden.
Früher waren SSL-Zertifikate entweder für Zahlungsseiten oder WordPress-Verwaltungsbereiche gedacht. Aber jetzt kann ein SSL-Zertifikat dabei helfen, Ihre gesamte Website zu sichern. In seinem Bestreben, das Web zu einem sichereren Ort zu machen, hat Google eindeutig erklärt, dass SSL-Zertifikate ein Rankingfaktor sind . Sie können ein SSL-Zertifikat von Anbietern wie Comodo oder Let's Encrypt erhalten , und Ihr Webhost hilft Ihnen dabei, das Zertifikat auf Ihrer Website einzurichten.
8. Bösartige IP-Adresse auf die schwarze Liste setzen
Jeder, der das Internet nutzt, hat eine IP-Adresse. Sogar die Hacker, die Angriffe auf WordPress-Websites starten, haben eine IP-Adresse. Wenn Sie diese IP-Adressen aufzeichnen, können Sie ihnen den Zugriff auf Ihre Website verweigern. MalCare – eines der besten WordPress-Sicherheits-Plugins da draußen bietet Details (IP-Adressen) von fehlgeschlagenen Anmeldeversuchen auf der Website. Wenn Sie feststellen, dass fast regelmäßig viele fehlgeschlagene Versuche von denselben IPs unternommen werden, können Sie diese verdächtigen IPs daran hindern, auf Ihre Websites zuzugreifen, indem Sie einfach die folgenden Codes in unsere .htaccess-Datei einfügen:
Befehl zulassen, verweigern verweigern von 192.168.20.10 von allen zulassen
„192.168.20.10“ ist die IP-Adresse, die wir auf einer unserer Seiten blockieren wollten. Sie können es durch die IP ersetzen, die Sie blockieren möchten.
9. Sicherheitsschlüssel ändern
Sie müssen Ihre Anmeldeinformationen nicht jedes Mal eingeben, wenn Sie sich bei Ihrer Website anmelden müssen. Haben Sie sich jemals gefragt, wie Ihr Browser diese Anmeldeinformationen speichert? Nachdem Sie sich bei Ihrem Konto angemeldet haben, werden Ihre Anmeldeinformationen verschlüsselt im Browser-Cookie gespeichert. Sicherheitsschlüssel sind nur zufällige Variablen, die helfen, diese Verschlüsselung zu verbessern. Wenn Ihre Website gehackt wird, wird das Ändern der geheimen Schlüssel das Cookie ungültig machen und jeden aktiven Benutzer dazu zwingen, sich automatisch abzumelden. Nach dem Rauswurf verlieren die Hacker den Zugriff auf Ihren WordPress-Admin.
Zu dir hinüber
Es gibt keinen einzigen Weg, einen WordPress-Administrator zu sichern, also stellen Sie sicher, dass Sie mehrere Methoden verwenden. Wir haben mit Ihnen einige der am meisten empfohlenen Möglichkeiten zur Sicherung des WordPress-Administrators geteilt. Bevor Sie jedoch eine dieser Methoden implementieren, müssen Sie Ihre Website sichern . Wenn etwas schief geht, können Sie einfach ein Backup wiederherstellen und unsere Website im Handumdrehen zum Laufen bringen.
Abgesehen davon kannst du ein paar weitere Sicherheitsmaßnahmen ergreifen, wie IP-Blockierung, Schutz der Anmeldeseite, Sicherung der Website mit wp-config.php, Befolgung dieser vollständigen Anleitung zur WordPress-Sicherheit und Installation eines WordPress-Sicherheits-Plugins wie MalCare.
MalCare hilft Ihnen bei der Umsetzung einiger der oben genannten Maßnahmen. Das MalCare Security Plugin hilft Ihnen beispielsweise dabei, Sicherheitsschlüssel zu ändern, die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen und Ihre Website unter anderem auf dem neuesten Stand zu halten.
Probieren Sie das MalCare Security Plugin jetzt aus!