Top 10 WordPress-Sicherheitsempfehlungen
Veröffentlicht: 2023-02-15Was sind die zehn wichtigsten Schritte, die Sie unternehmen können, um Ihre WordPress-Site zu schützen? Welche Sicherheitsmaßnahmen wirken sich am stärksten auf die Sicherheit Ihrer Website aus? Sicherheit ist in der WordPress-Community immer ein heißes Thema, und Fragen wie diese sind aus gutem Grund wichtig. WordPress macht fast die Hälfte des Internets aus und seine führende Position macht es zu einem vorrangigen Ziel für Hacker.
Tausende von WordPress-Websites werden täglich Opfer von Cyberangriffen. Es ist ein Tropfen auf den heißen Stein der Gesamtzahl der WordPress-Sites, aber wenn es Ihnen passiert? Das ist riesig. Einige Websitebesitzer leiden unter langfristigen Folgen von Datenverlust, Datendiebstahl und Betrug. Schlechte Sicherheitsrichtlinien und Risikomanagement führen zu Katastrophen wie dieser. Was bedeutet es, als Eigentümer einer WordPress-Website solide Sicherheitsrichtlinien zu haben? Was sind die Hauptrisiken und wie können Sie sie managen?
Der Schlüssel liegt darin, sichere Grundlagen zu schaffen und diese dann mit konsistenten Sicherheitspraktiken weiter auszubauen. In diesem Leitfaden erfahren Sie, wie Sie das tun und Ihre WordPress-Site noch heute sichern können.
In diesem Leitfaden tauchen wir tief in die WordPress-Sicherheit ein. Sie erfahren mehr über die gefährlichsten Cyberangriffe auf WordPress. Sie lernen, wie Sie Ihr Risiko, ihnen zum Opfer zu fallen, minimieren. Wir stellen Ihnen unsere Top-Ten-WordPress-Sicherheitsempfehlungen vor und erklären, wie Sie diese umsetzen. Dann sind Sie in der Lage, sich gegen die raffiniertesten und bösartigsten Angriffe von heute zu verteidigen.
Ist WordPress sicher? Ja!
Kurz gesagt, ja, die zentrale WordPress-Plattform ist sicher.
Als ausgereiftes, zwanzig Jahre altes Open-Source-Softwareprojekt ist WordPress eines der am längsten erprobten und sichersten Frameworks zum Erstellen von Websites.
Eine Community aus Entwicklern und Sicherheitsexperten pflegt den WordPress-Kern. Darüber hinaus ist die Codebasis öffentlich verfügbar. Das bedeutet, dass es Sicherheitsforschern freisteht, es zu analysieren. Unter öffentlicher Beobachtung werden alle Fehler, die die anfänglichen Testphasen einer neuen Version bestanden haben, in der Regel schnell entdeckt. WordPress erhält regelmäßig Updates und patcht schnell alle Schwachstellen, die im WordPress-Kern gefunden werden. Diese ständige Anpassung erhöht insgesamt die Sicherheit und Qualität der Plattform.
Was macht eine WordPress-Site unsicher?
Wenn Leute Websites mit WordPress erstellen, steht die Sicherheit möglicherweise nicht im Vordergrund. Nachlässige Anpassungen in Kombination mit schlechten Sicherheitspraktiken (oder gar keinen) führen zu erheblichen Sicherheitsrisiken für das gesamte WordPress-Ökosystem.
Websitebesitzer, die keine Updates ausführen
Regelmäßige Updates und Unterstützung durch WordPress-Entwickler machen WordPress hochsicher. Die Popularität von WordPress hat jedoch viel mit der Leichtigkeit zu tun, es mit Plugins und Themes anzupassen. Diese Add-Ons von Drittanbietern werden möglicherweise so gut unterstützt und getestet wie der WordPress-Kern. Sie müssen auch aktualisiert werden, wenn neue Versionen eingeführt werden. Für eine WordPress-Site mit 12-24 Plugins können jede Woche mehrere neue Updates verfügbar sein. Wenn Sie bekannte Schwachstellen ungepatcht lassen und keine regelmäßigen Updates durchführen, erhöht sich die Wahrscheinlichkeit, dass Ihre WordPress-Website gehackt wird, erheblich.
Der WordPress-Kern erhält auch das ganze Jahr über Updates. In der Regel wird es vier Hauptversionen geben. Sicherheits- und Wartungsversionen werden ebenfalls erscheinen, wenn sie benötigt werden. Ab 2023 verwenden etwa 60 % der WordPress-Sites die neueste (6.1) Version des WordPress-Kerns. 40 % tun dies nicht, und das ist nicht gut für ihre Sicherheit. Ab Dezember 2022 werden die WordPress-Versionen 3.7 – 4.0 nicht mehr unterstützt und erhalten möglicherweise keine Sicherheitspatches.
Websitebesitzer und Hosts, die PHP nicht aktualisieren
Eine besorgniserregendere Statistik ist, dass viele WordPress-Sites eine Version von PHP verwenden, die niedriger als 7.4 ist. PHP ist Teil der Serverumgebung Ihres Hosts. Es ist die Sprache, auf der WordPress läuft. Anfang 2023 wurden 55 % aller WordPress-Seiten auf PHP 7.4 gehostet. Das ist die letzte große Version des PHP 7-Zweigs. Es ist die höchste Version von PHP, die derzeit offiziell von WordPress unterstützt wird, obwohl viele WordPress-Hosts PHP 8 anbieten. Gut verwaltete WordPress-Hosts werden die Sicherheit von PHP 7 aufrechterhalten, aber es hat das Ende seiner Lebensdauer für den offiziellen Support erreicht. WordPress-Plugins werden im Laufe der Zeit immer mehr PHP 8 erfordern. Websites, die mit der WordPress- und PHP-Entwicklung nicht Schritt halten, laufen ein höheres Risiko, gehackt zu werden.
Warum WordPress-Sicherheit wichtig ist
Die Sicherheit von WordPress-Websites ist wichtig! Jetzt ist immer der beste Zeitpunkt, es ernst zu nehmen, wenn Sie keine konsistenten Sicherheitspraktiken haben. Die zunehmende Komplexität und das Volumen von Cyber-Angriffen machen die Website-Sicherheit extrem wichtig, insbesondere für Besitzer von WordPress-Websites. Angreifer wählen nicht einfach aus, in welche Websites sie sich hacken möchten. Moderne Cyberangriffe sind hochgradig automatisiert, und Tausende von WordPress-Sites können gleichzeitig angegriffen werden. Die Popularität von WordPress und die Anzahl der Websites, die nicht aktualisiert wurden, machen es zu einem großen und einfachen Ziel.
Ob Sie einen Blog, eine Unternehmens-Website oder einen Online-Shop betreiben, Ihnen ist die Sicherheit Ihrer Kunden und ihrer Daten anvertraut. Eine Datenschutzverletzung kann Ihr Unternehmen gefährden und Ihren Ruf erheblich schädigen. Schlechte Sicherheitspraktiken können zu ernsthaften finanziellen Verlusten führen.
Eine kürzlich durchgeführte Studie hat gezeigt, dass die meisten kleinen und mittelständischen Unternehmen (KMU) denken, dass sie keine Ziele für Hackerangriffe sind, aber sie liegen falsch. Angriffe nehmen zu und richten sich gezielt gegen sie. Im Durchschnitt zahlen kleine Unternehmen, die eine digitale Sicherheitsverletzung erleben, am Ende Kosten von über 100.000 US-Dollar.
Die fünf häufigsten WordPress-Sicherheitsprobleme
Die häufigsten Bedrohungen, denen WordPress im Jahr 2022 ausgesetzt war und die Schwachstellen interner Websites ausnutzen, waren Cross-Site-Scripting- (XSS) und Cross-Site-Request-Forgery-Angriffe (CSRF) sowie SQL-Injections (SQLi). Häufige Payloads oder Schäden, die gehackten und infizierten Websites zugefügt werden, sind Backdoors und böswillige Weiterleitungen. Schließlich handelt es sich bei den häufigsten Angriffen überhaupt nicht um eine Software-Schwachstelle. Dies sind Brute-Force-Anmeldeversuche, Password Stuffing, Card Skimming, Carding und Distributed Denial-of-Service (DDoS)-Angriffe.
Lassen Sie uns einen Blick auf diese Bedrohungen werfen und uns mit den Lösungen befassen, die sie daran hindern, in Ihre WordPress-Site einzudringen.
Password Stuffing, Brute-Force-Anmeldung und DDOS-Angriffe
Brute-Force- und DDoS-Angriffe sind hochgradig verteilte Bot-gesteuerte Cyber-Angriffe. Sie versuchen, in eine Website einzubrechen oder sie offline zu schalten, indem sie den Server, auf dem sie gehostet wird, mit Webanfragen überlasten. Beide Arten von Angriffen beinhalten oft ein Netzwerk von Bots (auch als Botnet bezeichnet), das vom Angreifer kontrolliert wird.
Brute-Force-Login-Angriffe, auch bekannt als Passwort-Erraten-Angriffe, verwenden ein Netzwerk von (normalerweise gehackten) Computern, um Tausende von zufälligen Kombinationen von Buchstaben, Zahlen und Symbolen zu testen, um einen gültigen Login-Namen und ein gültiges Passwort für eine Zielseite zu ermitteln.
Password Stuffing ist eine Art Brute-Force-Angriff, bei dem tatsächliche Passwörter verwendet werden, die an anderer Stelle gestohlen wurden, um Zugriff auf Ihre Website zu erhalten. Wenn Sie oder die Benutzer Ihrer Website die gleichen Anmeldeinformationen auf einer anderen Website verwendet haben, die kompromittiert wurde, kann Password Stuffing auf Ihrer Website erfolgreich sein.
Wenn ein Angreifer Tausende von Anmeldungen pro Minute versucht, kann dies den Effekt eines DDoS-Angriffs haben. DDoSes werfen so viele Anfragen an Ihren Server, dass er überlastet ist. Manchmal werden DDoS-Angriffe einfach durchgeführt, um Websites auf diese Weise offline zu schalten.
Wenn es um WordPress und WooCommerce geht, sind Carding-Angriffe ein gutes Beispiel für einen Brute-Force-Versuch, gestohlene Kreditkartenkontonummern in eine E-Commerce-Website zu stecken, um betrügerische Einkäufe zu tätigen. Carding-Angriffe können auch einen DDoS-Effekt haben.
Cross-Site-Scripting und Anforderungsfälschung
Cross-Site-Scripting und Cross-Site-Request-Forgery, auch bekannt als XSS und CSRF, sind Cyberangriffe, die versuchen, schädliche Skripte auf Ihrer Website auszuführen, die die Computer Ihrer Besucher ausnutzen. Unter Verwendung Ihrer Website senden diese Angriffe im Namen Ihres Benutzers nicht autorisierte Anfragen von ihr. Das Ziel ist es, die Besucher Ihrer Website zu betrügen und ihnen vertrauliche Informationen oder Geld zu stehlen. Cross-Site-Scripting und Request-Fälschung gelten als zwei der gefährlichsten Cyberangriffe auf WordPress-Websites.
Eines der prominentesten Beispiele für Cross-Site-Scripting-Angriffe, die WordPress betreffen, sind JavaScript-basierte Karten-Skimmer, die in WooCommerce-Shops injiziert werden. Card-Skimming-Malware, die von der Website des Angreifers geladen wird, wird in die Browser Ihrer Besucher eingeschleust. Dieser bösartige Code versucht, wichtige Zahlungsinformationen von der Checkout-Seite zu stehlen, sobald ein Kauf getätigt wurde.
Hintertüren und Web-Shells
Hintertüren und Web-Shells sind zwei verwandte Arten von bösartiger Software, die bei der ersten Sicherheitsverletzung häufig als Nutzlast auf gehackte Websites hochgeladen werden. Beide ermöglichen eine tiefere Ebene des Schadens: Malware-Infektion. Beides sind Werkzeuge, die böswillige Hacker verwenden, um tiefer in Ihre Server- und Web-Apps einzudringen oder um Betrug und weitere Angriffe auf andere Websites durchzuführen.
Hintertüren sind Software, die in eine Website eingeschleust wird, um es dem Angreifer zu ermöglichen, unbefugten Zugriff auf ihre kritischen Bereiche zu erlangen, indem normale Authentifizierungsmethoden umgangen werden. Web-Shells wiederum sind bösartige Dienstprogramme zur Dateiverwaltung, die von Hackern verwendet werden, um weitere bösartige Payloads auf die kompromittierte Website hochzuladen.
Hintertüren können sich oft an Website-Eigentümern und sogar Antivirus-Software vorbeischleichen. Eine Hintertür ermöglicht es dem Hacker, zu einem späteren Zeitpunkt zurückzukehren und eine Website erneut zu infizieren oder weiter auszunutzen, selbst wenn alle erforderlichen Sicherheitsmaßnahmen ergriffen wurden. Auch wenn eine Web-Shell nicht entfernt wird, behält der Angreifer die Kontrolle über die Website.
Schädliche Weiterleitungen
Eines der häufigsten Ziele eines Angreifers ist es, Ihre Besucher mit Malware zu infizieren. Eine der häufigsten Methoden, um dieses Ziel zu erreichen, besteht darin, ahnungslose Benutzer von vertrauenswürdigen Websites umzuleiten, über die die Angreifer die Kontrolle erlangt haben.
Hacker können böswillige Weiterleitungen überall auf gehackten Websites platzieren, was das Auffinden und Entfernen erschweren kann. Oft müssen Websitebesitzer WordPress neu installieren (was einfach ist) oder ihre gesamte Website aus einem Backup wiederherstellen (was schwieriger sein kann), um sie von bösartigen Weiterleitungen zu befreien, nachdem sie die Schwachstelle gepatcht haben, die diesen Exploit ermöglicht hat.
Als eine Art SEO-Spam waren Pharma-Hacks einer der berüchtigtsten Angriffe auf WordPress-Websites. Angreifer füllen eine kompromittierte WordPress-Website mit Spam-Schlüsselwörtern für beliebte Medikamente, um sie in Suchmaschinen weit oben zu platzieren, und leiten dann Besucher auf betrügerische Portale weiter, die regulierte Arzneimittel verkaufen. Meistens platzieren Angreifer böswillige Weiterleitungen in einer Apache- .htaccess file
oder erstellen zu diesem Zweck eine scheinbar harmlose .ico-Datei.
SQL-Injection-Angriffe
Ein SQL-Injection-Angriff, auch als SQL-Insertion (SQLi) bekannt, ist eine Art von Data-Injection-Angriff, der eine unzureichende Benutzereingabevalidierung ausnutzt, die es einem Angreifer ermöglicht, die Datenbank der Website auf böswillige Weise zu manipulieren. Sowohl SQL-Injections als auch Cross-Site-Scripting nutzen sogenannte Input-Schwachstellen aus, die bestimmte Bereiche Ihrer WordPress-Website betreffen können. Eingabeschwachstellen entstehen, wenn ein Plug-in von Benutzern übermittelte Daten oder Inhalte akzeptiert, aber nicht auf bösartigen Code überprüft. Dieser Code kann Abfragen in Ihrer Datenbank ausführen, um private Daten zu stehlen oder zu beschädigen.
Top 10 WordPress-Sicherheitsempfehlungen
Wenn es um die Sicherheit von WordPress-Websites geht, ist ein achtsamer Ansatz zur Reduzierung der Angriffsfläche der Schlüssel. Wenn Sie die häufigsten WordPress-Schwachstellen und Arten von Cyberangriffen kennen, können Sie die Sicherheit Ihrer Website erheblich verbessern. Die folgenden 10 wichtigsten WordPress-Sicherheitsempfehlungen sind das Kernwissen, das Sie benötigen, um jede WordPress-Site zu sichern. Die meisten dieser Empfehlungen sind relativ einfach zu befolgen und erfordern keine kostenpflichtigen Sicherheitslösungen.
Führen Sie regelmäßige Updates durch und installieren Sie keine Software aus nicht verifizierten Quellen
Eine der wichtigsten WordPress-Sicherheitsempfehlungen ist die regelmäßige Durchführung von Core-, Theme- und Plugin-Updates. Stellen Sie sicher, dass die gesamte von Ihnen installierte Software aus verifizierten, vertrauenswürdigen Quellen stammt. Da WordPress in PHP geschrieben ist, stellen Sie sicher, dass Sie eine unterstützte PHP-Version aus der neuesten Hauptversion verwenden. Derzeit ist es PHP 7.4 mit nur Beta-Unterstützung für PHP 8.
Die standardmäßigen WordPress-Funktionen erfüllen selten alle Anforderungen von Geschäftsinhabern, daher erweitern sie die Fähigkeiten der Plattform, indem sie weitere Plugins und Themen installieren. Themes und Plugins von Drittanbietern vergrößern die Angriffsfläche und machen WordPress-Sites anfälliger für mehr Sicherheitsbedrohungen.
Größere Probleme können durch die Verwendung inoffizieller Raubkopien von kostenpflichtigen Plugins und Designs entstehen. Diese stammen immer aus höchst fragwürdigen Quellen. Die Verwendung veralteter Versionen von WordPress und das Versäumnis, Schwachstellen zu patchen, ist ebenfalls äußerst riskant.
Verwenden Sie ein Sicherheits-Plugin wie iThemes Security Pro
Der beste Weg, um Ihre Website sicher zu halten, besteht darin, automatische Updates für Core, Themes und Plugins zu aktivieren. iThemes Security Pro kann problemlos alle verfügbaren Software-Updates verfolgen und neue Versionen des WordPress-Kerns sowie Designs und Plugins installieren. Wenn Sie mehrere WordPress-Websites verwalten, können Sie mit iThemes Sync Pro alle Verwaltungsaufgaben von einer einzigen Oberfläche aus ausführen und die Verfügbarkeitsüberwachung und die Verfolgung von SEO-Metriken nutzen.
Die meisten WordPress-Hosting-Lösungen, wie z. B. die von Nexcess angebotenen verwalteten Cloud-WordPress-Hosting-Pläne, kümmern sich auch um alle Software-Updates für Sie und verfügen sogar über integrierte Tools wie den visuellen Vergleich, mit denen Sie potenzielle Plugin-Konflikte und andere Probleme im Voraus verfolgen können irgendwelche Updates durchführen. Nexcess stellt Ihnen auch einen Katalog von Premium-WordPress-Lösungen zur Verfügung. Es bietet Kadence WP als integriertes Blockthema mit benutzerdefinierten Blöcken, um Ihnen beim Entwerfen der Website Ihrer Träume zu helfen und gleichzeitig deren Sicherheit zu gewährleisten.
Erstellen Sie eine starke Backup-Strategie
Eine starke Backup-Strategie ist für die Sicherheit von WordPress absolut unerlässlich. Das Durchführen regelmäßiger Sicherungen Ihrer WordPress-Site bereitet Sie auf eine einfache Wiederherstellung im Falle eines Verstoßes, eines fehlgeschlagenen Updates oder eines anderen Problems vor, das auftreten kann.
Es ist am besten, mindestens zehn Tage oder sogar zwei Wochen vollständige WordPress-Backups zu haben, die Ihre WordPress-Datenbank, Website-Dateien und alle anderen zugehörigen Inhalte enthalten. Zusätzlich zu den täglichen und stündlichen Backups können wöchentliche und monatliche Backups sehr vorteilhaft sein.
Beachten Sie unbedingt das Prinzip der Datenredundanz. Bewahren Sie Arbeitskopien Ihrer WordPress-Website an mehr als einem Ort auf. Dies wird Ihnen helfen, Ihre Informationen wiederherzustellen, falls etwas mit einem Backup-Archiv passiert
Sie können die von Ihrem Hosting-Provider bereitgestellten Backup-Lösungen verwenden, einschließlich cPanel- und Acronis-Backups, um Kopien Ihrer Website in täglichen, wöchentlichen und monatlichen Zyklen zu speichern. Ein WordPress-Backup-Plugin kann Ihnen dabei helfen, einen flexibleren Backup-Zeitplan zu erstellen. BackupBuddy ist ein erstklassiges Datenschutz- und Wiederherstellungs-Plugin für WordPress. Es kann Ihnen helfen, eine starke Backup-Strategie zu entwickeln und einfachen Zugriff auf One-Click-Wiederherstellungen zu erhalten, wann immer Sie sie brauchen.
Führen Sie regelmäßige Schwachstellen- und Malware-Scans durch
Das Scannen auf Schwachstellen und die Überwachung der Dateiintegrität sind eines der besten Tools, mit denen Sie alle kritischen Bereiche Ihrer WordPress-Website schützen können. Die integrierte WordPress Site Health-Oberfläche ist ein großartiges Tool für den Anfang. Wenn Sie weitere auf Ihre Website zugeschnittene WordPress-Sicherheitsempfehlungen benötigen, liefert Ihnen der iThemes Pro Site Scan einen umfassenden Bericht über die Sicherheit Ihrer WordPress-Website.
Prävention ist der Schlüssel, aber auch die frühzeitige Erkennung und Abwehr von Angriffen. Der Hauptzweck der meisten Malware besteht darin, so lange wie möglich unentdeckt zu bleiben. Es ist nicht ungewöhnlich, dass WordPress-Websites wochenlang gehackt werden, bis ihre Besitzer es bemerken. iThemes Security Pro bietet eine erweiterte Überwachung von Dateiänderungen, die Sie jedes Mal warnt, wenn verdächtige Aktivitäten in Ihren WordPress-Website-Dateien stattfinden.
Die Durchführung regelmäßiger Malware-Scans hilft dabei, eine Malware-Infektion frühzeitig zu erkennen. Das ist der Schlüssel, um die bösen Jungs zu blockieren und Ihre WordPress-Website zu reinigen, bevor irreversibler Schaden entsteht. Wenn Sie nach großartigen kostenlosen Malware-Scannern suchen, hat sich ImunifyAV von CloudLinux als äußerst zuverlässig und benutzerfreundlich erwiesen.
Dateiberechtigungen sicher halten und wp-config.php schützen
WordPress-Dateiberechtigungen können die Gesamtsicherheit Ihrer WordPress-Website stark beeinflussen. Falsche Berechtigungseinstellungen können das gesamte System ernsthaft gefährden, insbesondere wenn Sie Ihren eigenen Server unterhalten und mehrere Websites darauf ausführen. Die sichere Konfiguration Ihrer WordPress-Dateiberechtigungen ist absolut unerlässlich.
Einer der anfälligsten Bereiche Ihrer WordPress-Website ist die Hauptkonfigurationsdatei: wp-config.php
. Die dort gespeicherten kritischen Daten, einschließlich der WordPress-Datenbank-Verbindungsinformationen, machen wp-config.php
zu einem Ziel mit hoher Priorität für Angriffe, die versuchen, die Kontrolle über Ihre Website zu übernehmen.
Eine der wichtigsten WordPress-Sicherheitsempfehlungen, die Sie jetzt implementieren können, besteht darin, die Berechtigungen für die Datei wp-config.php
Ihrer Website auf mindestens 640 festzulegen Das Tool hilft Ihnen dabei, es herauszufinden.
Kontoübergreifende Kompromittierungen werden durch unsichere Dateiberechtigungen und schlechte Benutzerisolierung erleichtert
Hacker nutzen aktiv eine schlechte Benutzerisolierung in Kombination mit unsicheren Dateiberechtigungen aus, um gefährliche kontenübergreifende Angriffe durchzuführen. Diese werden als „Symlink-Hacks“ oder „Anonymous Fox“-WordPress-Hacks bezeichnet.
Durch die Verwendung einer gehackten Website als Einstiegspunkt kann ein Angreifer kontoübergreifende symbolische Links zu den Konfigurationsdateien anderer Websites erstellen, z. B. wp-config.php
, um vertrauliche Informationen offenzulegen und die Kontrolle über alle Websites auf dem angegebenen Server zu erlangen. Dieser Hack ist nur möglich, wenn Ihre wp-config.php
-Datei von anderen Benutzern auf demselben Server gelesen werden kann.
Einige WordPress-Sicherheitsempfehlungen schlagen vor wp-config.php
zu verschieben, was helfen könnte, aber das wird nicht wirklich alle Risiken ansprechen. Schützen Sie Dateiberechtigungen und stellen Sie sicher, dass alle Websites auf demselben Server voneinander isoliert sind. Eine der besten Möglichkeiten, dies zu erreichen, ist die Verwendung von CageFS, das vom CloudLinux-Betriebssystem bereitgestellt wird.
Konfigurieren Sie eine Web Application Firewall
Eine weitere wichtige WordPress-Sicherheitsempfehlung ist die Verwendung einer Webanwendungs-Firewall oder besser noch mehrerer Verteidigungssysteme wie einer hostbasierten und einer cloudbasierten WAF. Eine Webanwendungs-Firewall dient als erste Verteidigungslinie gegen alle bekannten Cyberangriffe und filtert böswilligen Datenverkehr basierend auf einem ständig aktualisierten Regelsatz heraus.
WAFs scannen den gesamten Webverkehr auf verdächtige Anfragen basierend auf einer Reihe von Mustern, die durch die von uns definierten Regeln festgelegt werden. Dies gewährleistet einen hohen Schutz vor DDoS- und Brute-Force-Angriffen sowie SQLi und XSS.
Eine Cloud-basierte WAF wie Cloudflare WAF kann eine Vielzahl von Angriffen abschwächen und gleichzeitig die Last auf dem Ursprungsserver verringern. Die Anfragen, die zu dem Server gelangen, auf dem Ihre WordPress-Website gehostet wird, werden dann einer weiteren Überprüfungsrunde durch eine hostbasierte WAF wie ModSecurity unterzogen. Beide Lösungen sind komplett kostenlos und gelten als Industriestandard für WordPress-Sicherheit.
Richten Sie HTTP-Sicherheitsheader ein
HTTP-Sicherheitsantwort-Header sind eines der wertvollsten Tools, die Sie haben, um die Sicherheit Ihrer WordPress-Website zu erhöhen. Ähnlich wie Firewalls für Webanwendungen können HTTP-Antwortheader den Zugriff auf kritische Bereiche Ihrer Website blockieren und alle Aktivitäten verhindern, die Ihre Kunden und deren Daten gefährden könnten.
Zu den wichtigsten HTTP-Sicherheitsheadern für WordPress gehören:
- Inhaltssicherheitsrichtlinie (CSP). Eine robuste Lösung, die dabei helfen kann, Cross-Site-Scripting und Clickjacking sowie andere gefährliche Cyberangriffe auf WordPress-Websites abzuwehren. Die Verwendung von CSP hilft Ihnen, die Liste der Ressourcen zu definieren, die Inhalte von Ihrer Website laden können, sowie die Liste der Ressourcen, von denen Ihre Website Inhalte laden kann.
- Set-Cookie . Der Set-Cookie-Antwortheader steuert, wie Cookies vom Server an den Browser des Benutzers gesendet werden. Die Konfiguration des SameSite-Attributs kann dazu beitragen, Ihre WordPress-Website vor Cross-Site-Request-Fälschung und Clickjacking zu schützen.
- Strikte Transportsicherheit (HSTS). Der HSTS-Response-Header stellt sicher, dass Ihre WordPress-Website nur über HTTPS aufgerufen werden kann, was eine Ende-zu-Ende-Verschlüsselung zwischen Server und Browser ermöglicht.
Meistens können Sie HTTP-Sicherheitsheader für Ihre WordPress-Website in Ihrer lokalen .htaccess
Datei konfigurieren. Bitte beachte, dass die meisten WordPress-Hosting-Anbieter HTTP-Antwort-Header für dich einrichten, daher musst du dich möglicherweise mit dem Support-Team deines Hosts in Verbindung setzen, um zu sehen, ob du irgendwelche Regeln lokal neu definieren musst.
Deaktivieren Sie die PHP-Ausführung im Ordner „Uploads“ und deaktivieren Sie die Verzeichnisindizierung
Bei WordPress neigen Hacker dazu, Malware in Ordnern zu verstecken, die normalerweise keinen ausführbaren Code enthalten. Ein solcher Ordner ist das Uploads-Verzeichnis in wp-content
. Es ist eine gute Idee, die PHP-Ausführung im Uploads-Ordner zu deaktivieren. Dies kann dazu beitragen, den Umfang einer Malware-Infektion zu begrenzen und die Malware-Beseitigung zu beschleunigen.
Wenn Sie Apache HTTP zur Verwendung zur Verfügung haben, erstellen Sie eine .htaccess
Datei in wp-content/uploads und fügen Sie die folgende Regel hinzu. Dadurch wird verhindert, dass PHP-Skripte aus dem Uploads-Ordner geladen werden. Dies ist ein häufiger Ort, an dem ein Angreifer schädlichen Code platzieren kann.
Neben dem Blockieren der PHP-Ausführung ist das Deaktivieren der Verzeichnisindizierung auf Ihrer Website ein weiterer wichtiger Punkt auf der Liste unserer WordPress-Sicherheitsempfehlungen. Wenn die Verzeichnisindizierung nicht deaktiviert ist, lädt der Browser die Liste der im angeforderten Verzeichnis vorhandenen Dateien, wenn eine index.php
oder index.html
Datei fehlt.
Angreifer nutzen diese Fähigkeit weitgehend aus, insbesondere wenn es um kontenübergreifende Symlink-Angriffe geht, die weiter oben in diesem Leitfaden beschrieben wurden. Sie können die Verzeichnisindizierung global oder pro Verzeichnis blockieren, indem Sie die folgende Regel in .htaccess
verwenden:
Ändern Sie Ihr WordPress-Datenbankpräfix und den Standard-Admin-Benutzernamen
Sofern Sie den Standard-Installationsprozess nicht ändern, verwendet WordPress automatisch das Standard wp-
Präfix für seine Datenbank und erstellt einen Standard- admin
Benutzer. Da dies öffentlich bekannt ist, gehen Brute-Force- und Data-Injection-Angriffe davon aus.
Entfernen Sie den standardmäßigen Administratorbenutzer und ändern Sie das Präfix der WordPress-Datenbank in etwas Ähnliches wie wp2789_
. Sie können dies tun, indem Sie alle Datenbanktabellen mit phpMyAdmin oder über die MySQL-Befehlszeilenschnittstelle umbenennen. Stelle sicher, dass du danach das Datenbankpräfix in wp-config.php
aktualisierst.
Beschränken Sie den Zugriff auf XMLRPC und WordPress Login
Wenn es um Brute-Force- und DDoS-Angriffe geht, sind xmlrpc.php
und die WordPress-Anmeldeseite die beiden Bereiche von WordPress-Websites, auf die Angreifer am meisten abzielen. Wenn der Zugriff auf diese beiden Schnittstellen uneingeschränkt ist, wird Ihre WordPress-Site wahrscheinlich unter schlechter Leistung und häufigen Ausfallzeiten leiden. Darüber hinaus besteht jede Möglichkeit, dass ein Hacker Ihr Admin-Konto knacken und Chaos auf Ihrer Website anrichten kann.
XMLRPC ist eine Anwendungsprogrammierschnittstelle (API), die es WordPress ermöglicht, mit anderen Systemen zu kommunizieren, und es ist seit der Gründung der Plattform Teil von WordPress. Da WordPress jedoch stark auf die REST-API angewiesen ist, wird XMLRPC selten verwendet und kann normalerweise ohne negative Folgen vollständig deaktiviert werden. Sie können die folgende Regel zu .htaccess file
Ihrer Website hinzufügen oder einfach die Berechtigungen der xmlrpc.php-Datei zu diesem Zweck auf Null setzen.
Das Einschränken des Zugriffs auf Ihr WordPress-Admin-Panel ist eine weitere unserer wichtigsten WordPress-Sicherheitsempfehlungen. Während das Ändern der Adresse des WordPress-Logins es viel schwieriger macht, es zu entdecken, wird das Risiko, dass ein Angreifer unbefugten Zugriff auf das WordPress-Backend erhält, effektiv eliminiert, wenn die Login-Seite mit einem Passwort geschützt wird oder ein exklusiver Bereich von IP-Adressen definiert wird, die darauf zugreifen können.
Verwenden Sie starke Passwörter und konfigurieren Sie die Multi-Faktor-Authentifizierung
Die Bedeutung der Verwendung sicherer Passwörter kann nicht genug betont werden. Einige Besitzer von WordPress-Websites neigen jedoch dazu zu vergessen, dass das WordPress-Admin-Panel nicht der einzige Angriffsvektor ist. Eine große Anzahl von WordPress-Sites wird gehackt, wenn ein Angreifer Zugriff auf ihre Webhosting-Control-Panel-Konten erhält.
Bei vielen Hosts entspricht der Kontoname Ihrer WordPress-Website einem tatsächlichen Benutzer, der auf dem Hostserver erstellt wurde. Es ist leicht zu erraten oder öffentlich sichtbar. In Kombination mit seinem Passwort können Sie mit dem Anmeldedatenpaar möglicherweise eine Verbindung zu Ihrer Website über SSH und SFTP herstellen. So greifen Sie auf Ihr Hosting-Kontrollfeld zu. Wenn dieses Konto kompromittiert wird, kann ein Angreifer nicht nur vollen Zugriff auf Ihre Website, sondern auch auf Ihr gesamtes Hosting-Konto, Ihre E-Mails und sogar Ihre Domainnamen oder DNS-Einträge erlangen.
Wenden Sie starke Passwortrichtlinien und Multi-Faktor-Authentifizierung sowohl für Ihre WordPress-Administratorbenutzer als auch für das Hosting-Control-Panel-Konto Ihrer Website an. Deaktivieren Sie nach Möglichkeit die Kennwortauthentifizierung für SSH vollständig zugunsten schlüsselbasierter Authentifizierungsmethoden.
Mit iThemes Security Pro können Sie eine passwortlose Authentifizierung für Ihr WordPress-Admin-Panel mit Passkeys mit biometrischen Logins einrichten. In Kombination mit der für Ihr Hosting-Konto eingerichteten Multi-Faktor-Authentifizierung gewährleistet dies einen vollständigen Schutz vor Brute-Force-Angriffen und sichert Ihre Website, selbst wenn Ihre Anmeldeinformationen kompromittiert wurden.
Implementieren Sie die besten WordPress-Sicherheitsempfehlungen mit iThemes Security Pro
Als beliebtestes Content-Management-System der Welt ist WordPress überall ein Ziel mit hoher Priorität für Hacker. Um Datenschutzverletzungen auszunutzen und Malware zu verteilen, verwenden Angreifer eine breite Palette ausgeklügelter Techniken wie Datenbankinjektionen, Cross-Site-Scripting und Cross-Site-Request-Fälschung. Wenn Ihre WordPress-Site nicht vor diesen häufigen Sicherheitsbedrohungen geschützt ist, kann sie zu einem leichten Ziel werden.
Angesichts der unzähligen WordPress-Sicherheitsempfehlungen, die herumschwirren, kann es schwierig sein zu verstehen, wie Sie Ihre Website sicher halten können, insbesondere wenn es mehrere Strategien gibt, um jeden Cyberangriff abzuschwächen. Die WordPress-Sicherheit zugänglicher zu machen, ist das Ziel von iThemes. Lassen Sie iThemes Security Pro und BackupBuddy Ihre persönlichen Sicherheitsassistenten sein! Sie bieten mehr als 50 Möglichkeiten, Ihre WordPress-Site vor den gefährlichsten Cyberangriffen zu schützen, die es heute gibt.
Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress
WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.
Kiki hat einen Bachelor-Abschluss in Information Systems Management und mehr als zwei Jahre Erfahrung mit Linux und WordPress. Derzeit arbeitet sie als Sicherheitsspezialistin für Liquid Web und Nexcess. Davor war Kiki Teil des Liquid Web Managed Hosting-Supportteams, wo sie Hunderten von WordPress-Websitebesitzern half und lernte, auf welche technischen Probleme sie häufig stoßen. Ihre Leidenschaft für das Schreiben ermöglicht es ihr, ihr Wissen und ihre Erfahrung zu teilen, um Menschen zu helfen. Abgesehen von der Technik lernt Kiki gerne etwas über den Weltraum und hört sich True-Crime-Podcasts an.