WordPress-Sicherheit: Der ultimative Leitfaden zum Sichern einer WordPress-Site

Die Cyberkriminalität ist auf einem Allzeithoch, da Hacker und Malware in der riesigen Online-Landschaft toben. Google setzt jede Woche über 20.000 Websites wegen Schadsoftware und über 50.000 Websites als potenzielle Phishing-Websites auf die schwarze Liste! Lassen Sie die Zahlen einen Moment auf sich wirken. Aus diesem Grund haben wir für diese Lektüre einen umfassenden Leitfaden zusammengestellt, der Ihnen hilft, Ihre WordPress-Sicherheit zu verbessern.

Sie sehen, wenn Ihre Website die besten Sicherheitspraktiken nicht einhält, werden Ihre Website und alle ihre Inhalte gehackt. Aber nicht nur Ihre Inhalte stehen auf dem Spiel, denn auch ungesicherte Webseiten werden von den Suchalgorithmen von Google abgestraft.

Hacker und Malware sind nicht nur für Ihre Website-Inhalte gefährlich, sondern auch für Besucher Ihrer Website. Wenn Sie sich also nicht an die grundlegenden Sicherheitsrichtlinien halten – was übrigens sehr einfach ist – werden Sie von Google auf der SERP (Search Engine Results Page) herabgestuft.

Glücklicherweise haben WordPress-Benutzer Zugriff auf dedizierte Plugins und eine ultra-intuitive Benutzeroberfläche, die dazu beitragen kann, Ihre WordPress-Sicherheit erheblich zu verbessern. Damit Sie also nicht länger warten müssen, hier sind unsere Top 10+ Möglichkeiten zur Verbesserung Ihrer WordPress-Sicherheit:

Top 10+ Möglichkeiten zur Verbesserung Ihrer WordPress-Sicherheit

1. Installieren Sie Backup-Plugins

Das Konzept hier ist ziemlich einfach – es ist besser, jetzt auf Nummer sicher zu gehen, als sich später zu entschuldigen!

Indem Sie Ihre Online-Inhalte und Datenbanken sichern, ist alles sicher und geschützt, selbst im unglücklichen Fall, dass Sie Opfer von Hackern und Malware werden. Dies macht die Installation eines Backup-Plugins zum ersten Kapitel der WordPress-Sicherheit 101 und setzt es ganz oben auf die Prioritätenliste.

Ein Backup-Plugin wie unser WPvivid Backup-Plugin kann automatische Routine-Backups Ihrer gesamten WordPress-Website einschließlich der Datenbank erstellen. Sie können es so konfigurieren, dass die Sicherungen entweder wöchentlich oder täglich erfolgen. Die gesicherten Daten werden in der Regel auf einer separaten Cloud-Speicherplattform gespeichert – entweder vom Plugin selbst bereitgestellt oder unter den verschiedenen bereits vorhandenen Plattformen wie Google Drive, Amazon S3, Dropbox usw.

Wenn Ihre Website zu einem späteren Zeitpunkt aufgrund von Malware oder Hackern ausfällt, sind alle Ihre Daten weiterhin zugänglich und Sie können die Backups auf Ihrer Website wiederherstellen, um sie wieder in ihren vorherigen Betriebszustand zu versetzen. Denken Sie nur daran, die Sicherheitslücken zu vertuschen, die die Hacker oder Malware verwendet haben, um in Ihre Website einzudringen, damit dies nicht noch einmal passiert.

Wenn Sie nach einer Empfehlung suchen, welches Backup-Plugin zusätzlich zu unserem WPvivid Backup-Plugin zur Verbesserung Ihrer WordPress-Sicherheit verwendet werden soll, dann sind hier einige Optionen:

• UpDraftPlus
• BackWPup

2. Installieren Sie ein Firewall-Plugin, um Ihre WordPress-Site zu überwachen

Ähnlich wie bei der Firewall-Software, die Sie auf Ihrem Desktop/Laptop eingerichtet haben, überwacht ein Firewall-Plugin den eingehenden Datenverkehr und blockiert häufige Sicherheitsbedrohungen, die Ihre WordPress-Website erreichen.

Die Plugins beziehen sich im Allgemeinen auf eine Datenbank, die aus bösartigen Signaturen und IP-Adressen auf der schwarzen Liste besteht, um potenzielle Bedrohungen für Ihre Website zu scannen und sie sofort zu blockieren.

Wie Sie sehen können, ist es so einfach wie die Installation eines WordPress-Plugins, verbessert aber Ihre WordPress-Sicherheit, indem verhindert wird, dass Hacker, Malware, Würmer und Viren auf Ihre Website gelangen.

3. Legen Sie ein sicheres Passwort für die Administratoranmeldung fest

Wenn Sie darüber nachdenken, ist der Zugriff auf Ihr WordPress-Backend-Dashboard keine so große Sache. Es ist allgemein bekannt, dass das Hinzufügen von „/wp-admin“ am Ende einer WordPress-Site-URL den Benutzer zur Admin-Anmeldeseite führt. Hier ist das einzige, was den Zugriff auf das Backend der Website einschränkt, das einfache Erraten des Benutzernamens und des Passworts.

Da der Benutzername „admin“ nun fast immer mit einer WordPress-Website verbunden ist, muss der Hacker nur noch das Passwort erraten und hat dann direkten Zugriff auf alle Inhalte und Daten Ihrer Website. Eine beängstigende Vorstellung, nicht wahr?

In Anbetracht dessen besteht die offensichtlichste WordPress-Sicherheitsverbesserung, die Sie anwenden können, darin, Ihr Passwort extrem komplex und selbst mit roher Gewalt schwer zu entziffern. Dazu gehört das Erstellen längerer Passwörter mit mindestens 10-12 Zeichen. Denken Sie auch daran, Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen in Ihrem Passwort zu verwenden.

Und damit Sie es am Ende nicht selbst vergessen, schreiben Sie es irgendwo auf, wo Sie wissen, dass es sicher und geschützt ist.

4. Passen Sie den Admin-Benutzernamen an

Ähnlich wie beim Ändern des Passworts Ihres WordPress-Admin-Logins sollten Sie auch in Betracht ziehen, den leicht vorhersehbaren Standardbenutzernamen – admin – zu ändern. Jetzt muss der Hacker also das Passwort zusammen mit dem korrekten Benutzernamen entschlüsseln, um in das Backend Ihrer Website zu gelangen, was Ihre WordPress-Sicherheit exponentiell erhöht.

Allerdings ist das Ändern des Standard-Admin-Benutzernamens etwas schwierig. Zuerst müssen Sie sich bei Ihrem WordPress-Backend anmelden > Benutzer > Neuen Benutzer hinzufügen und dann einen neuen Benutzer (mit dem neuen Benutzernamen) erstellen, dessen Benutzerrolle auf – Administrator gesetzt ist. Wenn Sie fertig sind, melden Sie sich mit dem neuen Benutzerkonto an und löschen Sie das Standard-Benutzerkonto „admin“, wodurch Hacker gezwungen werden, nicht nur das richtige Passwort, sondern auch Ihren neuen Benutzernamen zu entschlüsseln. Alternativ können Sie Benutzerrollen mit einem Benutzerrollen-Editor-Plugin verwalten und bearbeiten.

5. Passen Sie die Anmelde-URL an

Bis jetzt haben wir darüber gesprochen, wie man es den Hackern erschweren kann, die Anmeldedaten für das WordPress-Backend zu erraten. Aber eine noch bessere WordPress-Sicherheitstaktik wäre, den Zugriff der Hacker auf Ihren Anmeldebildschirm insgesamt zu verweigern.

Wie bereits erwähnt, besteht die Standard-URL für die Backend-Anmeldeseite Ihrer Website aus Ihrer Website-URL gefolgt von „/wp-admin“. Wussten Sie jedoch, dass Sie den letzten Teil Ihrer Website-Anmelde-URL an jede andere alphanumerische Zeichenfolge anpassen können, die Sie sich vorstellen können, wie z. B. „/zero-hackers-allowed“.

Beachten Sie jedoch, dass dies keine Standardfunktion des CMS (Content Management System) ist und Sie ein WordPress-Plugin wie WPS Hide Login installieren müssen, um Ihnen zu helfen. Nach der Installation und Aktivierung ermöglicht Ihnen das Plugin, die Anmelde-URL zu ändern, sodass Hacker nicht einfach auf die Seite wp-login.php und das wp-admin-Verzeichnis zugreifen können.

Inzwischen haben wir es den Hackern nicht nur schwer gemacht, die richtige Kombination aus Passwort und Benutzername für den Zugriff auf unsere Website zu erraten, sondern wir haben die Anmeldeseite auch effektiv vor neugierigen Blicken verborgen. Wie Sie sich vorstellen können, erhöht dies Ihre WordPress-Sicherheit drastisch und macht Brute-Force-Angriffe praktisch unmöglich.

6. Legen Sie ein sicheres Passwort für den Datenbankbenutzer fest

Wenn Ihre Website mehrere Benutzer hat, von denen einige direkten Zugriff auf Ihre Datenbank oder andere vertrauliche Informationen haben, stellen Sie sicher, dass sie starke Passwörter für ihre Konten festlegen. Hacker versuchen mit gleicher Wahrscheinlichkeit, in Ihre Website einzudringen, indem sie die anderen Benutzer auf Ihrer Website ausnutzen. Vor diesem Hintergrund ist jedes lose Ende eine potenzielle Schwachstelle und eine Sicherheitsbedrohung.

Sie können Benutzer dazu verpflichten, ihren Konten ein starkes Passwort zuzuweisen, indem Sie die oben genannten Schritte ausführen. Alternativ können Sie Plugins von Drittanbietern verwenden, um Benutzer zu zwingen, ein sicheres Passwort zu erstellen, um ihren Kontoerstellungsprozess abzuschließen.

7. Aktivieren Sie SSL (HTTP zu HTTPS)

SSL, kurz für Secure Sockets Layer, ist das Standard-Sicherheitsprotokoll im Internet, das eine verschlüsselte Verbindung zwischen dem Client und dem Server herstellt. Nach der Aktivierung werden Sie feststellen, dass HTTP-Text am Anfang Ihrer URL durch HTTPS oder HTTP-gesichert ersetzt wird. Indem Sie ein SSL-Zertifikat aktivieren, erschweren Sie es Hackern, Daten abzugreifen, während sie zwischen dem Server und dem Client übertragen werden.

Auch Google nimmt die SSL-Zertifizierung sehr ernst. Zum Beispiel werden Websites, die noch auf HTTP sind, im Google Chrome-Browser als „nicht sicher“ angezeigt. Darüber hinaus werden sie auch von ihrem Suchmaschinenalgorithmus bestraft. Auf der anderen Seite werden HTTPS von SSL-zertifizierten Websites von der Suchmaschine vergeben. Daher haben wir die Installation eines SSL als ersten Schritt für die SEO eines neuen WordPress-Blogs festgelegt.

Diese beiden Punkte sollten Grund genug für Sie sein, ein SSL-Zertifikat auf Ihrer Website zu installieren – vor allem, wenn Sie der Meinung sind, dass es kein so großer Aufwand ist. Zunächst einmal enthalten die meisten gängigen Webhosting-Dienste ein kostenloses SSL-Zertifikat. Und falls Sie keinen kostenlosen bekommen haben, können Sie dies ganz einfach mit Let's Encrypt tun.

Sie haben sogar Zugriff auf ein dediziertes WordPress-SSL-Plugin – Really Simple SSL, um HTTP in HTTPS umzuwandeln und Ihre WordPress-Sicherheit zu verbessern.

8. Verschiebe wp-config auf eine höhere Ebene als das Stammverzeichnis

Standardmäßig befindet sich die wp-config.php im selben Ordner wie Ihr WordPress-Blog/Ihre Website. Dies kann ein Sicherheitsalbtraum sein, da die Datei Ihren MySQL-Datenbank-Benutzernamen, Ihr Passwort, WordPress-Authentifizierungsschlüssel und andere sensible Daten enthält.

Wenn jemand diese Datei in die Hände bekommt, hat er im Grunde genommen die vollständige Kontrolle über jedes Detail Ihrer Website. Aus diesem Grund empfiehlt sogar der WordPress-Codex , dass Benutzer die wp-config.php vom Standard-Root-Verzeichnis in einen übergeordneten Ordner verschieben sollten, der keinen öffentlichen Zugriff hat.

Dies kann leicht erreicht werden, indem das folgende Code-Snippet in den .htaccess-Ordner eingefügt wird:

 <Dateien wp-config.php>

Befehl erlauben, verweigern

abgelehnt von allen

</Dateien>

Wie Sie sehen können, müssen Sie mit den Kerndateien Ihrer WordPress-Website herumspielen, und daher wird empfohlen, dass Sie eine Sicherungskopie erstellen, bevor Sie mit diesem Schritt fortfahren.

9. Verhindern, dass Verzeichnisse mit .htaccess aufgelistet werden, wenn ein Ordner keine index.php-Datei enthält

Die Verzeichnisauflistung, auch als Verzeichnissuche bekannt, ermöglicht es jedem Benutzer, den Inhalt einzelner Ordner (Verzeichnisse) auf Ihrer Website anzuzeigen. Wie Sie sich vorstellen können, erfordert dies große Sicherheitsbedenken, da Hacker mühelos durch all Ihre verschiedenen Dateien surfen und potenzielle Schwachstellen finden können, um in Ihre Website einzudringen.

Nun, zur Verteidigung des WordPress-CMS, enthalten bestimmte Verzeichnisse eine index.php-Datei, die der Server sofort ausführt/lädt, wenn jemand den Ordner betritt. Dies verhindert, dass Zuschauer Ihre Verzeichnisse durchsuchen und Zugriff auf Ihre Site-Struktur erhalten.

Was aber, wenn die Datei index.php nicht vorhanden ist?

Selbst dann können die Probleme leicht gelöst werden, indem eine kleine Änderung an der .htaccess-Datei vorgenommen wird. Alles, was Sie tun müssen, ist einfach die folgende Zeile am Ende der .htaccess hinzuzufügen und zu speichern.

 Optionen Alle -Indizes

Sobald dies erledigt ist und ein Benutzer versucht, auf eines Ihrer Verzeichnisse zuzugreifen, dem eine index.php-Datei fehlt, wird dem Benutzer der Fehler 403-Zugriff verboten oder 404-Seite nicht gefunden angezeigt.

10. Aktualisieren Sie WordPress regelmäßig

WordPress ist immens beliebt und betreibt über 30 % aller Websites im World Wide Web. Dies macht das CMS zum Hauptziel von Hackern und böswilligen Akteuren. Sie sind ständig damit beschäftigt, Sicherheitslücken und Lücken im Code zu finden, die sie ausnutzen können, um Zugriff auf die Daten Ihrer Website zu erhalten.

Ebenso sucht das WordPress-Entwicklungsteam aktiv nach Fehlern und Sicherheitslücken, damit sie diese patchen können, bevor die Hacker sie ausnutzen. Daher geht es beim Upgrade auf die neueste Version von WordPress nicht nur darum, auf neue Features und Funktionalitäten zuzugreifen, sondern auch darum, sicherzustellen, dass der Code keine Fehler aufweist, die Hacker ausnutzen können.

Jetzt, sobald ein neues WordPress-Update veröffentlicht wird, kann die ganze Welt, einschließlich der Hacker, etwas über die Sicherheitslücken erfahren, die in der vorherigen Version vorhanden waren. Wenn Sie das schnelle Upgrade Ihrer Website auf die neueste Iteration hinauszögern, können Hacker die jetzt bekannten Sicherheitslücken auf Ihrer Website ausnutzen, wodurch Ihre WordPress-Sicherheit viel schwächer als zuvor wird. Da WordPress mit PHP erstellt wurde, ist es außerdem wichtig, Ihre WordPress-Site auf die neueste PHP-Version zu aktualisieren, um die Leistung und Sicherheit Ihrer Website zu verbessern. Denken Sie daran, ein vollständiges Backup Ihrer Website zu erstellen, bevor Sie ein Update durchführen!

11. Entfernen Sie die WordPress-Versionsnummer

Obwohl Sie Ihre WordPress-Website immer aktualisieren sollten, sobald ein neues CMS-Update veröffentlicht wird, ist dies manchmal nicht die beste Entscheidung, die Sie treffen können. Einige mögliche Gründe für die Verzögerung des Website-Upgrades können ein fehlerhaftes Update, Kompatibilitätsprobleme mit Ihren aktuellen Plugins und Designs usw. sein.

Wie wir jedoch gerade besprochen haben, werden Sie durch das Verschieben des Upgrades einer Fülle von Sicherheitsbedrohungen und Hacking-Versuchen ausgesetzt. Dies kann jedoch vermieden werden, wenn Sie die WordPress-Versionsnummer von Ihrer Website entfernen können. Aus diesem Grund wissen Hacker nicht sofort, dass Ihre Website auf einer älteren Version ausgeführt wird, was Ihre Chancen verringert, von den neu entdeckten Sicherheitslücken ausgenutzt zu werden.

Um nun die WordPress-Versionsnummer von Ihrer Website zu entfernen, müssen Sie zur Datei functions.php gehen und das folgende Code-Snippet eingeben:

 Funktion remove_wordpress_version() {
Rückkehr '';
}
add_filter('the_generator', 'remove_wordpress_version');

Dadurch wird die WordPress-Versionsnummer sowohl aus Ihrer Head-Datei als auch aus Ihrem RSS-Feed entfernt, um sicherzustellen, dass Hacker keine Möglichkeit haben, zu erraten, welche Version von WordPress Sie verwenden.

Abschließend

Das waren einige unserer empfohlenen Tipps und Tricks zur Verbesserung Ihrer WordPress-Sicherheit. Wir hoffen, dass Sie diese Lektüre hilfreich fanden und dass sie eine nützliche Ressource war, um Ihre Website sicherer zu machen.

Wie Sie sehen können, können viele der Verbesserungen vorgenommen werden, indem Sie einfach ein oder zwei grundlegende Schritte ausführen und einige Sicherheits-Plugins installieren. Nun gibt es auch einige technische Aspekte, um die Sie sich kümmern sollten. Sie müssen sich jedoch nicht allzu viele Gedanken darüber machen, wenn Sie gerade erst mit Ihrem WordPress-Blog/Ihrer Website beginnen.

Aber wenn Ihre Website weiter wächst, sollten Sie sich darüber im Klaren sein, dass die Hacker immer mehr versuchen werden, einzudringen und Ärger zu verursachen. Halten Sie sich daher immer über die neuesten Sicherheitstrends auf dem Laufenden, ganz zu schweigen von der Abdeckung aller oben besprochenen technischen Schritte wie dem Verschieben Ihrer wp-config-Datei und dem Passwortschutz Ihrer Datenbank.

Vor diesem Hintergrund werden erfahrene Benutzer ermutigt, sich an der Unterhaltung zu beteiligen und ihre persönlichen Taktiken hinzuzufügen, um sicherzustellen, dass ihre Website frei von Hackern und Malware ist. Ihre Mitleser werden von Ihren Erkenntnissen sehr profitieren, und es könnte ihnen helfen, ihre Website vor potenziellen Cyber-Bedrohungen zu schützen.

Falls es Sie auch interessiert, finden Sie hier unseren umfassenden Leitfaden zur Monetarisierung eines Blogs.