So schützen Sie Ihre WordPress-Site: Ultimative WordPress-Sicherheitscheckliste
So schützen Sie Ihre WordPress-Site: Ultimative WordPress-Sicherheitscheckliste
Veröffentlicht: 2023-02-23
Warum ist WordPress-Sicherheit wichtig? Eine Website ist der erste Kontaktpunkt für potenzielle Kunden, um Sie kennenzulernen und Ihrer Marke und Ihrem Unternehmen zu vertrauen. Daher ist es wichtig, Ihre Website in Bezug auf ihre Sicherheit immer gesund zu halten.
Da WordPress in den letzten Jahren an Popularität gewonnen hat, ist es für Hacker zu einem faszinierenden Punkt geworden, darin einzubrechen und Ihre Dateien und schließlich Ihr Unternehmen zu beschädigen. Neben Hacking gibt es auch andere Bedrohungen wie Ransomware.
In diesem Artikel werden wir die folgenden Themen behandeln –
Inhaltsverzeichnis
Warum WordPress-Sicherheit wichtig ist
Wie sicher ist WordPress?
WordPress-Sicherheits-Plugins
Die 5 besten WordPress-Sicherheits-Plugins 2023
Malware
Sucuri-Sicherheit
iThemes-Sicherheit
WordFence-Sicherheit
SecuPress
Arten von WordPress-Sicherheitslücken
25 Beste WordPress-Sicherheitscheckliste
Abschluss:
Häufig gestellte Fragen
Warum WordPress-Sicherheit wichtig ist
Einer der Hauptgründe, warum WordPress-Sicherheit wichtig ist, ist, dass eine Sicherheitsverletzung schwerwiegende Folgen haben kann.
Sicherheitsverletzungen können schwerwiegende Folgen haben, einschließlich unbefugtem Zugriff auf vertrauliche Informationen und Schäden an Ihrer Website.
Hacker können auf vertrauliche Daten wie Benutzerdaten, Passwörter und Finanzinformationen zugreifen, was zu Identitätsdiebstahl, Finanzbetrug und anderen Formen der Cyberkriminalität führt.
Sicherheitsverletzungen können auch Schäden an Ihrer Website verursachen, einschließlich Verunstaltung oder vollständiger Zerstörung Ihrer Inhalte.
Ransomware ist eine Art von Software, die den Zugriff auf Ihre Website blockieren und eine Zahlung verlangen kann, um sie freizugeben.
Google kann Ihre Website auf die schwarze Liste setzen und den Index aufheben, wenn sie von einem Virus oder Hackerangriff betroffen ist, was sich negativ auf den Ruf und den Datenverkehr Ihrer Website auswirken kann.
Besucher Ihrer Website werden möglicherweise auch vor dem Sicherheitsproblem gewarnt, wenn sie versuchen, darauf zuzugreifen.
All dies macht es für Sie wirklich wichtig, Ihre Website zu sichern, indem Sie die Best Practices für die Sicherheit von WordPress befolgen und die besten Branchentools übernehmen.
Neben den richtigen Tools und Praktiken ist es sehr wichtig, die Rolle Ihres Hosting-Anbieters zu verstehen.Es ist wichtig, dass Sie Ihre Website bei einem vertrauenswürdigen und zuverlässigen Webhosting-Anbieter hosten.
Was sind die Vorteile der Sicherung Ihrer WordPress-Site?
Die Sicherung Ihrer WordPress-Site kann unbefugten Zugriff verhindern, sensible Daten schützen und finanzielle Verluste verhindern.
Es kann dazu beitragen, den Ruf Ihrer Website zu wahren, indem verhindert wird, dass sie auf die schwarze Liste gesetzt oder als unsicher gekennzeichnet wird.
Verbesserte Platzierungen in Suchmaschinen können sich ergeben, wenn Sie Suchmaschinen zeigen, dass Sie Sicherheit ernst nehmen.
Das Sichern Ihrer Website kann Ihnen die Gewissheit geben, dass sie sicher und geschützt ist.
Einige häufige Missverständnisse über WordPress-Sicherheit
Es gibt eine Reihe verbreiteter Missverständnisse über die Sicherheit von WordPress, einige davon sind:
Kleine Websites sind nicht immun gegen Sicherheitsverletzungen, da Hacker sie aufgrund ihrer Verwundbarkeit und ihres potenziellen Zugriffs auf größere Netzwerke häufig ins Visier nehmen.
Starke Passwörter sind wichtig, aber nur ein Aspekt einer umfassenden Sicherheitsstrategie für WordPress-Seiten.
Die Aktualisierung Ihrer Website und Plugins, die Verwendung von Sicherheits-Plugins und die Implementierung anderer Sicherheitsmaßnahmen sind ebenfalls entscheidend für den Schutz Ihrer Website.
Auch wenn Sie auf Ihrer Website keine sensiblen Daten sammeln, kann eine Sicherheitsverletzung Ihrer Website und Ihrem Ruf schaden, weshalb es wichtig ist, Sicherheit ernst zu nehmen.
Wie sicher ist WordPress?
Mit WordPress beziehen wir uns auf die WordPress-Kerndateien. WordPress ist sehr sicher, vorausgesetzt, die Benutzer behalten alle anderen Sicherheitsparameter im Auge und befolgen alle Sicherheitsverfahren. Für den WordPress-Administrator ist es wichtig, alle Kerndateien auf der neuesten Version zu halten und alle Designs und Plugins auf dem neuesten Stand zu halten.
WordPress-Sicherheits-Plugins
Es ist ratsam, vertrauenswürdige WP-Sicherheits-Plugins wie Wordfence, Sucuri oder All in One WordPress Security and Firewall zu verwenden. Es gibt sowohl kostenlose als auch kostenpflichtige Versionen dieser Plugins. Diese Sicherheits-Plugins behalten alle verdächtigen Aktivitäten im Auge und blockieren Angriffe. Sie können diese Plugins einfach über ihre jeweiligen Dashboards konfigurieren.
WPOven-Server sind bereits mit allen Funktionen dieser Sicherheits-Plugins ausgestattet, und Sie können sie über das WPOven-Dashboard konfigurieren und überwachen.
Die 5 besten WordPress-Sicherheits-Plugins 2023
Diese Plugins sind billig. Kann aber während des Black Friday zu noch günstigeren Preisen in Anspruch genommen werden.
Malware
Wir empfehlen Malcare, da es mit sofortiger Malware-Überprüfung und -Bereinigung ausgestattet ist. Mit diesem Plugin können Sie Ihre Website in den einfachsten Schritten automatisch löschen. Es bietet auch eingebautes Staging und sehr guten Support. Die Preise beginnen bei nur 99 $ pro Jahr .
Jetzt downloaden
Sucuri-Sicherheit
Sucuri Security ist ein sehr effektives WP-Sicherheits-Plugin mit Funktionen wie Security Activity Auditing, File Integrity Monitoring, Remote Malware Scanning und Blacklist Monitoring mit E-Mail-Benachrichtigungen. Es gibt sowohl eine kostenlose als auch eine kostenpflichtige Option mit einem monatlichen Abonnement ab 9,99 $/Monat .
Jetzt downloaden
iThemes-Sicherheit
Itheme Security ist ein sehr vielseitiges Sicherheits-Plugin mit Optionen wie Malware-Scan, Protokollierung von Benutzeraktionen und Online-Dateivergleich. Außerdem sind in dieses Plugin viele andere Optionen integriert, z. B. das Ändern von URLs für das WordPress-Dashboard, das Entfernen von RSD-Header-Informationen, das Ändern des wp-Content-Pfads usw. Es gibt sowohl eine kostenlose als auch eine kostenpflichtige Option mit einem Jahresabonnement ab $99 proJahr .
Jetzt downloaden
WordFence-Sicherheit
Wordfence verfügt über aktuelle Malware-Firewall-Regeln und eine Liste bösartiger IP-Adressen mit Funktionen wie Länderblockierung und Deaktivierung oder Hinzufügen von 2FA zu XML-RPC. Es verfügt über eine spezielle Version für Multisite, bekannt als Wordfence Central, als bewährte Methode zum Sichern mehrerer Sites in Ihrer Multisite-Umgebung. Es gibt sowohl eine kostenlose als auch eine kostenpflichtige Option mit einem Jahresabonnement ab 119 $ proJahr .
Jetzt downloaden
SecuPress
SecuPress ist ein einfaches WordPress-Sicherheits-Plugin mit Malware-Scans; die Bots und verdächtige IPs blockieren. Es ist eine einfache, aber effektive WordPress-Installation und liefert PDF-Sicherheitsberichte. Es kümmert sich auch um die Verwendung sicherer Benutzernamen und Passwörter mit seinen Funktionen wie dem Festlegen der Passwortlebensdauer und dem Verbot der Verwendung von Benutzernamen, die leicht erraten werden können. Es gibt eine kostenlose und eine kostenpflichtige Option mit einem Jahresabonnement ab 60 € proJahr .
Jetzt downloaden
Lesen Sie: Die 5 besten Plugins zum Entfernen von WordPress-Malware zum Sichern von Websites
Arten von WordPress-Sicherheitslücken
Um zu verstehen, wie Sie Ihre Website sichern können, ist es wichtig zu verstehen, welche Faktoren Ihre WordPress-Sicherheit bedrohen. Hier ist eine Liste von Bedrohungen:
Hintertüren
Denial-of-Service (DoS)-Angriffe
Cross-Site-Scripting (XSS)
Schädliche Weiterleitungen
Brute-Force-Anmeldeversuche
Pharma-Hacks
Phishing
Hintertüren
Hacker zielen oft auf unkonventionelle Schwachstellen in WordPress ab, wie z. B. gefährdete Dateien im WordPress-Kernpaket, Design- oder Plugin-Dateien und FTP-Zugriff von ungesicherten Computern.
Schädliche Dateien können legitimen WordPress-Dateien ähneln, wodurch sie schwer zu identifizieren und zu entfernen sind.
Backdoor-Dateien können verwendet werden, um WordPress-Sites auszunutzen, indem illegitime WP-Benutzer erstellt und Benutzerdaten gestohlen werden.
Das regelmäßige Aktualisieren und Scannen Ihrer Dateien mit Plugins wie WordFence, SiteCheck oder Sucuri kann dazu beitragen, diese Art von Angriffen zu verhindern und die WordPress-Sicherheit zu verbessern.
Denial of Service
Die Verwendung von Designs und Plugins von vertrauenswürdigen Entwicklern ist wichtig, um anfällige Fehler im Code zu vermeiden.
Bei dieser Art von Angriff nutzen Hacker Schwachstellen im Code aus, um die RAM-Nutzung des Servers zu erhöhen, indem sie wiederkehrende Anfragen stellen, was dazu führen kann, dass die Website nicht mehr auf andere Besucher reagiert.
Mehrere Systeme können verwendet werden, um eine einzelne Ressource zu belegen, was das Problem verschärft und möglicherweise zu enormen Geschäftsverlusten führt.
Die WordPress-Schwachstelle kann reduziert werden, indem Best Practices und Tipps für sicheres Codieren und Website-Management befolgt werden.
Cross-Site-Scripting (XSS):
Hacker können anfällige Dateien in Ihre WordPress-Installation einfügen, um Daten von Website-Besuchern zu stehlen, einschließlich wichtiger Passwörter.
Diese Angriffe finden sich häufig in Plugins, die von neuen oder nicht vertrauenswürdigen Entwicklern entwickelt wurden.
Cross-Site-Scripting-Angriffe (XSS) werden über JavaScript und CSS ausgeführt und können Website-Besuchern auf verschiedene Weise Schaden zufügen, z. B. durch Cookie-Diebstahl, Einschleusen von Trojanern, Keylogging, Phishing und Identitätsdiebstahl.
Die Folgen eines XSS-Angriffs können schwerwiegend sein, da Website-Besucher möglicherweise nicht einmal bemerken, dass ihre Daten kompromittiert wurden.
Um XSS-Angriffe zu verhindern, ist es wichtig, nur vertrauenswürdige Plugins zu verwenden und Ihre WordPress-Installation und Plugins auf dem neuesten Stand zu halten.
Lesen Sie: Die häufigsten WordPress-Fehler
Schädliche Weiterleitungen
Hacker können einen Umleitungscode verwenden, um Website-Besucher auf andere Websites umzuleiten.
Dieser Umleitungscode wird oft in eine Datei eingefügt, typischerweise eine .htaccess-Datei.
Wenn Besucher versuchen, auf Ihre Website oder eine bestimmte Seite zuzugreifen, werden sie auf eine bösartige Website umgeleitet.
Dies kann dazu führen, dass Ihr Unternehmen das Vertrauen potenzieller Kunden verliert
Brute-Force-Anmeldeversuche
Hacker verwenden oft automatisierte Skripte, um schwache Passwörter zu identifizieren und Zugriff auf das WordPress-Dashboard zu erhalten.
Brute-Force-Angriffe sind eine weitere gängige Methode, die von Hackern verwendet wird, um Zugriff auf das Backend einer Website zu erhalten, was zum Diebstahl persönlicher und geschäftlicher Daten, zum Löschen von Website-Dateien und zu anderen Arten von Schäden führen kann.
Brute-Force-Angriffe können verhindert werden, indem Maßnahmen wie die Begrenzung von Anmeldeversuchen, die Verwendung von Captcha auf Anmeldebildschirmen und die Aktivierung von Anmeldungen mit Zwei-Faktor-Authentifizierung implementiert werden.
Diese Maßnahmen sind entscheidend, um die Sicherheit Ihrer WordPress-Website zu gewährleisten.
Pharma-Hacks
Halten Sie Ihre WordPress-Kerndateien, Designdateien und Plug-in-Dateien auf dem neuesten Stand.
Hacker können veraltete Dateien ausnutzen, indem sie Codes einfügen, die Ihren Besuchern Pharma-Werbung anzeigen und oft für illegale Medikamente wie Viagra werben.
Diese Anzeigen können auf der Seite oder als Pop-ups erscheinen, was zu einem Vertrauensverlust bei den Besuchern Ihrer Website führt.
Phishing
Hacker verwenden Phishing-E-Mails, um Benutzer dazu zu bringen, auf einen Link zu klicken, der ihre Passwörter preisgibt. Die E-Mail scheint von einer vertrauenswürdigen Quelle zu stammen, ist es aber nicht.
Hacker können Ihren Server und Ihre WordPress-Installation verwenden, um schädliche E-Mails an die E-Mail-Liste ihrer Opfer zu senden.
Es ist schwierig festzustellen, ob Ihre Website mit Phishing-Skripten infiziert ist, aber regelmäßige Scans können helfen, dieses Problem zu vermeiden.
25 Beste WordPress-Sicherheitscheckliste
Finden Sie ein sicheres, zuverlässiges und vertrauenswürdiges WordPress-Hosting
Machen Sie häufig Backups
Halten Sie die neueste Version von PHP auf dem Server
Starke Benutzernamen und Passwörter
DDOS-Schutz
HTTPS-SSL-Zertifikat
Deaktivieren Sie XML-RPC
Deaktivieren Sie die Ausführung der PHP-Datei
Inaktive Benutzer abmelden
Löschen Sie nicht verwendete Design- und Plugin-Dateien
Verwenden Sie so wenig Plugins wie möglich
Captcha oder Sicherheitsfrage zum Anmeldebildschirm hinzufügen
Robuste Datei- und Ordnerberechtigungen
Anmeldeversuche einschränken
Zwei-Faktor-Authentifizierung
Ändern Sie die Standard-Anmelde-URL
Sichern Sie die Anmelde-URL
Datenbankpräfix aktualisieren
Dateibearbeitung deaktivieren
Sichere wp-config-Datei
WP-Version ausblenden
1. Finden Sie ein sicheres, zuverlässiges und vertrauenswürdiges WordPress-Hosting
Wie bereits erwähnt, ist es wichtig, einen Hosting-Anbieter zu wählen, der sehr auf Sicherheit achtet, einen hohen Standard an Sicherheitsmaßnahmen befolgt und über ein gutes Support-System verfügt.
Ein guter Hosting-Anbieter wird immer:
Behalten Sie verdächtige Aktivitäten von Hackern im Auge und richten Sie Kontrollpunkte ein, um sich vor jeder Art von Angriff zu schützen.
Verwendet modernste Tools, um sowohl kleine als auch große Angriffe durch kontinuierliche Überwachung des Servers zu identifizieren. Sie können die Website-Überwachung auch hier kostenlos überprüfen.
Haben alle verwendeten Skripte (einschließlich der neuesten PHP-Versionen), Software und Hardware auf dem neuesten Stand der Technik und werden häufig aktualisiert.
Benutzer-Firewalls und Intrusion-Detection-Systeme.
Führen Sie regelmäßige Sicherungen durch und bieten Sie einfache und automatische Sicherungs- und Wiederherstellungsoptionen.
Scannen Sie alle Dateien auf Malware, Ransomware und andere Viren.
Bietet HTTPS-Unterstützung.
Haben Sie hervorragendes Support-Personal, um im Falle von Vorfällen Maßnahmen zu ergreifen.
Bieten Sie verwaltete WordPress-Hosting-Pläne an, die speziell für WordPress-Anforderungen entwickelt wurden.
WPOven Das All-Inclusive Managed WordPress Hosting bietet alle oben genannten Möglichkeiten, damit Sie Ihre WordPress-Website betreiben können, ohne sich Gedanken über die Sicherheit machen zu müssen. WPOven bietet im Rahmen ihres Managed WordPress Hosting-Plans auch:
Einige Schlüsselfunktionen von WPOven
Tägliche Malware-Scans
DDOS-Schutz
Kostenlose Malware-Bereinigung
Tägliche Offsite-Backups und Wiederherstellung mit einem Klick
Hardened-Server-Setup
One-Click-Dateiberechtigungseinstellungen.
Optimierte Serversicherheit und -leistung für WordPress und WooCommerce
Aktualisieren Sie Designs und Dateien direkt über das WPOven-Dashboard
Kostenloses HTTPS/SSL für jede Website
Die Sicherung ist für bis zu 14 Tage verfügbar.
Lesen Sie: Beste WordPress-Wartungsdienste und -pläne – WPOven
2. Halten Sie die neueste Version von PHP auf dem Server
Die Verwendung der neuesten Version von PHP ist wichtig, um die Grundlage Ihrer WordPress-Website zu erhalten, da alle Dateien mit PHP-Codes entwickelt werden.
PHP-Versionen werden bis zu 2 Jahre gegen Sicherheitsprobleme unterstützt und stellen während dieser Zeit die erforderlichen Sicherheitspatches bereit.
Versionen unter PHP 7.0 sind ungesichert, während die aktuellste Version, PHP 7.3, auf Geschwindigkeit und Sicherheit optimiert ist.
WPOven verwendet nur die PHP-Version 7.0 und höher und ermöglicht Benutzern die Auswahl der PHP-Version, die sie verwenden möchten, wodurch die WordPress-Schwachstelle verringert wird.
3. Führen Sie häufig Backups durch
Es ist ratsam, häufig Backups Ihrer WordPress-Website-Dateien und -Datenbanken zu erstellen.
Sie können Backups manuell erstellen oder WordPress-Plugins wie UpdraftPlus, VaultPress, BackupBuddy oder andere Backup-Plugins verwenden.
Sie können mit diesen Plugins automatische Backups planen und sicherstellen, dass es auch eine einfache Wiederherstellungsoption gibt.
Um Backups im Falle von Problemen mit dem Server sicher aufzubewahren, ist es besser, sie außerhalb des Servers aufzubewahren.
WordPress-Sicherungsdienste:
Es stehen einige externe WordPress-Sicherungsdienste zur Verfügung, die die Sicherungen in der Cloud speichern. Einige der kostenpflichtigen Dienste sind wie:
VaultPress: Es ist ein abonnementbasierter Sicherungsdienst und eine umfassende Sicherheitslösung, einschließlich regelmäßiger Scans, Spam-Abwehrsystem, Betriebszeitüberwachung und anderer Sicherheitsfunktionen.
WPOven : Innerhalb ihres Dienstes sichern sie Kerndateien und Datenbanken auf Amazon S3 und verfügen über eine 1-Klick-Wiederherstellungsfunktion.Basierend auf dem gewählten Paket können Sie die Sicherungshäufigkeit (sogar 2 Mal pro Tag) wählen und zwischen US- oder EU-Servern wählen.
BlogVault: Es ist ein Anbieter von WordPress-Backup-, Migrations-, Staging-, Wiederherstellungs- und Verwaltungslösungen mit einer Wiederherstellungsrate von 100 %.
WordPress Backup-Plugins:
Sie können auch einige kostenlose und sehr vertrauenswürdige Plugins verwenden. Einige Plugins bieten On-Server-Backups, während andere Off-Server-Backups bieten, die Backup-Dateien an Off-Server-Standorten wie AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace usw. speichern.
Lesen Sie: Die 10 besten WordPress-Backup-Plugins für 2023 (kostenlos und kostenpflichtig)
4. Verwenden Sie sichere Benutzernamen und Passwörter
Verwenden Sie starke und schwer zu erratende Benutzernamen und Passwörter, um Ihre WordPress-Website sicher zu halten.
Ändern Sie Ihr Passwort alle paar Monate oder Wochen, um die Sicherheit Ihrer WordPress-Website zu erhöhen.
Vermeiden Sie es, den standardmäßigen und beliebten Benutzernamen „admin“ als Benutzernamen für WordPress zu verwenden.
Verwenden Sie den Ein-Klick-Installationsprozess, um extrem sichere Anmeldedaten für das WordPress Admin Dashboard zu generieren.
Bewahren Sie alle anderen mit Ihrer WordPress-Website verbundenen Passwörter sicher auf, einschließlich FTP, CPanel, E-Mails (zugehörig zu WordPress-Benutzerkonten), Datenbankpasswörter usw.
5. DDOS-Schutz
Die harte Realität über DDOS-Angriffe ist, dass selbst die aktuellsten Versionen von WordPress solche Angriffe nicht verhindern können. Dies kann nur durch die Sicherung von Hosting-Servern verhindert werden. Es gibt einige Tools von Drittanbietern, die Sie auf Ihren WordPress-Websites installieren können, um dies zu verhindern.
Hinweis : Wenn Sie zuverlässige und vertrauenswürdige Partner wie WPOven verwenden, können Sie deren Tools verwenden, um Website-Analysen, Serverleistung und Ressourcennutzungsdaten zu überwachen.
Es ist wichtig, den ungewöhnlichen Anstieg der Ressourcennutzung zu erkennen und Ihren Dienstanbieter zu benachrichtigen.
Ihr Anbieter kann alle erforderlichen Protokolle überprüfen und die erforderlichen Maßnahmen ergreifen, um den Denial-of-Service-Angriff zu stoppen.
6. HTTPS-SSL-Zertifikat
Websitebesitzer übersehen die Bedeutung von SSL, die meisten von ihnen denken, dass es nur ein Zeichen ist, das nur dann notwendig ist, wenn Ihre Website Finanztransaktionen beinhaltet. Ein SSL-Zertifikat auf einer Website trägt entscheidend dazu bei, eine sichere Verbindung zwischen Ihrer Website und dem Browser des Benutzers herzustellen.
Ein weiterer zusätzlicher Vorteil der Verwendung von HTTPS sind bessere Platzierungen in Suchmaschinen.
WPOven bietet ein kostenloses HTTPS-Zertifikat über LetsEncrypt mit einem Klick, Installation mit automatischer Verlängerung für alle Websites.
7. Deaktivieren Sie XML-RPC
XML-RPC ermöglicht die Ausführung mehrerer Prozesse mit einem einzigen Befehl, kann aber von Hackern böswillig verwendet werden, um eine Website zu hacken.
Die effektivste Lösung, um dies zu verhindern, besteht darin, XML-RPC für Ihre WordPress-Website vollständig zu deaktivieren.
Sie können verfügbare Plugins verwenden, um XML-RPC zu deaktivieren, wie z. B. das kostenlose Plugin „Disable XML-RPC“ oder das kostenpflichtige Plugin von „Perfmait“.
Aber wenn Sie WPOven verwenden, brauchen Sie sich darüber keine Gedanken zu machen, da es bereits standardmäßig auf seinem Server für alle gehosteten Websites deaktiviert ist.
8. Deaktivieren Sie die Ausführung der PHP-Datei
Es gibt bestimmte Verzeichnisse in der WordPress-Installationsumgebung, in denen keinerlei PHP-Ausführung erforderlich ist. Ein Beispiel für ein solches Verzeichnis ist das Unterverzeichnis uploads unter wp-content.
Um das Verzeichnis zu deaktivieren, erstellen Sie eine neue .htaccess-Datei unter diesem bestimmten Verzeichnis und fügen Sie den folgenden Code darin ein:
<Files *.php> Deny from all </Files>
9. Inaktive Benutzer abmelden
Manchmal können Benutzer ihre Browser schließen, ohne sich ordnungsgemäß abzumelden. Hacker können diese Gelegenheit nutzen, um in das WordPress-Dashboard einzudringen und Benutzeranmeldeinformationen zu übernehmen. Sie können ein Plugin verwenden, um die inaktiven Benutzer nach einer festgelegten Dauer automatisch abzumelden. Dies ist sehr wichtig für Ihre wp-Sicherheit.
10. Löschen Sie nicht verwendete Design- und Plugin-Dateien
Identifizieren Sie unnötige Plugins und löschen Sie sie aus dem System
Löschen Sie Standarddesigns wie Twenty Seventeen und Twenty Nineteen
Behalten Sie nur ein Standarddesign als Fallback-Option für den Fall, dass das Hauptdesign fehlschlägt
Stellen Sie sicher, dass das Fallback-Design regelmäßig aktualisiert wird, auch wenn es nicht verwendet wird.
11. Minimierung von Plugin-Installationen
Lassen Sie uns dies anhand eines Beispiels erläutern. Viele moderne Themen und Seitenersteller (Avia, Thrive, Elementor usw.). Wenn Ihr Theme oder der von Ihnen verwendete Seitenersteller bereits über ein Kontaktformular-Element verfügt, benötigen Sie für einfache Formulare kein separates Kontaktformular-Plugin. Es ist ratsam, die Verwendung zusätzlicher Plugins zu vermeiden, es sei denn, es besteht ein besonderer Bedarf. Man sollte der WP-Sicherheit gebührende Bedeutung beimessen.
12. Captcha oder Sicherheitsfrage zum Anmeldebildschirm hinzufügen
Eine weitere beliebte Methode zur Verbesserung der WordPress-Sicherheit ist eine einfache Methode zum Hinzufügen eines Captchas oder einer Sicherheitsfrage auf dem Anmeldebildschirm. Dazu können Sie die verfügbaren Plugins verwenden.
13. Robuste Datei- und Ordnerberechtigungen
Dies ist ein sehr wichtiger Schritt, um zu verhindern, dass Ihre Website angegriffen wird. Grundsätzlich gibt es drei Arten von Dateiberechtigungen (Lesen, Schreiben, Ausführen). Für eine optimale und effektive Website-Leistung ist es wichtig zu verstehen, welche Dateien welche Berechtigungsstufe benötigen. Sie können diese Datei- und Ordnerberechtigungen entweder über den Dateimanager oder mithilfe von FTP-Software festlegen.
Aber bei WPOven bietet die All-in-One-WP-Sicherheit Single-Click-Dateiberechtigungen über ihr Dashboard.
14. Anmeldeversuche einschränken
Hacker versuchen ständig, sich mit erratenen Passwörtern bei Ihrem WordPress anzumelden. Sie können steuern, indem Sie Plugins verwenden, um Anmeldeversuche zu begrenzen.
Das Managed WordPress Hosting von WPOven deckt dies bereits in allen seinen Plänen ab.
15. Zwei-Faktor-Authentifizierung
Aktivieren Sie die Zwei-Faktor-Authentifizierung für zusätzliche Anmeldesicherheit
Die Zwei-Faktor-Authentifizierung erfordert vor der Anmeldung einen zusätzlichen OTP-Code
Der OTP-Code wird per SMS oder Anruf auf Ihrem Telefon empfangen
Verwenden Sie Plugins wie Google Authenticator oder Duo Two-Factor Authentication
Beide Plugins haben ihre jeweiligen Android- und iPhone-Apps
Sobald die Zwei-Faktor-Authentifizierung hinzugefügt wurde, bietet der Anmeldebildschirm zusätzliche Optionen zum Senden eines Authentifizierungscodes
Geben Sie den generierten Code, den Sie auf Ihrem Telefon erhalten haben, korrekt ein, um sich anzumelden
Die Zwei-Faktor-Authentifizierung ist eine großartige Methode, um Brute-Force-Angriffe zu verhindern.
16. Ändern Sie die Standard-Anmelde-URL
Hacker suchen nach der Standard-Anmelde-URL für das WordPress-Dashboard, nämlich websitename.com/wp-login.php oder websitename.com/wp-admin/. Eine der offensichtlichen Lösungen besteht darin, die Anmelde-URL in etwas anderes zu ändern. Sie können dies tun, indem Sie eines der Plugins wie dasWPS-Hide-Login-Plugin oder das Premium-PluginPerfmattersverwenden.
17. Sichern Sie die Anmelde-URL
Sie können Ihre Anmelde-URL für den WordPress-Administrator mithilfe der HTTP-Authentifizierung sichern. Immer wenn jemand versucht, auf die Admin-URL zuzugreifen, muss er/sie einen zusätzlichen Benutzernamen und ein Passwort verwenden, um auf diesen Link zuzugreifen. Hier können Sie mehr über Ankerlinks lesen
Hinweis: Verwenden Sie dies nicht im E-Commerce oder auf Websites mit Mitgliedern, die sich anmelden müssen.
18. Datenbankpräfix aktualisieren:
Standardmäßig verwendeten WordPress-Installationen Tabellenpräfixe wie wp_, was Hackern das Erraten erleichtert. Die offensichtliche Methode, dies zu vermeiden, besteht darin, das Tabellenpräfix in etwas anderes zu ändern, was für Hacker nicht leicht zu erraten ist.
Sie können dies zum Zeitpunkt der Installation tun:
Die WordPress-Installation von WPOven generiert ein zufälliges Tabellenpräfix für jede ihrer Websites. Dies wird Ihre WordPress-Sicherheitsprobleme reduzieren.
19. Deaktivieren Sie die Dateibearbeitung
Admin-Benutzer einer WordPress-Website können über den Editor im Dashboard auf Theme-Dateien zugreifen.
Dadurch werden Designdateien anfällig für unbeabsichtigte Änderungen und vorsätzliche Angriffe.
Um dies zu verhindern, können Sie die Dateibearbeitung deaktivieren.
Sie können dies tun, indem Sie die folgende Codezeile zur Datei wp-config.php hinzufügen:
define('DISALLOW_FILE_EDIT',true);
WPOven- Benutzer können dies mit der Website-Sperrfunktion mit einem Klick tun.
20. Sichere wp-config-Datei:
Die Datei wp-config.php unter deiner WordPress-Installation enthält Datenbank-Anmeldedaten und andere Authentifizierungsschlüssel sowie andere Details zu deiner Datenbank (wie Tabellenpräfix und DB-Host-URL).
Es gibt verschiedene Möglichkeiten, es zu sichern, wie im Folgenden beschrieben:
Ändere den Speicherort der Datei wp-config.php
Ändern Sie die standardmäßigen WP-Sicherheitsschlüssel in der wp-config-Datei
Den Zugriff auf wp-config.php durch entsprechende Dateiberechtigungen verweigern
wp-config-Speicherort ändern: Standardmäßig befindet sich die wp-config-Datei im Stammverzeichnis Ihrer WordPress-Installation.Sie müssen nur eine andere wp-config-Datei erstellen, die sich nicht an einem leicht zugänglichen Ort befindet, und sie als Referenz in der ursprünglichen wp-config-Datei verwenden.
Ändern Sie die standardmäßigen WP-Sicherheitsschlüssel: Es gibt 4 Arten von zufällig generierten alphanumerischen Schlüsseln in jeder wp-config:AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEYundNONCE_KEY.Mit diesem WP-Sicherheitsschlüssel-Tool können Sie einen neuen zufälligen Schlüssel generieren.
Dateiberechtigungen ändern : Es ist ratsam, die Dateiberechtigungen auf 400 zu ändern, damit sie nicht von externen Quellen gelesen werden können.Alternativ können Sie es auf 440 setzen, wenn 400 ein Problem für die ordnungsgemäße Funktion der WP-Installation verursacht.
21. WP-Version ausblenden
Wenn ein Angreifer weiß, welche Version von WordPress Sie verwenden, kann er die für diese Version spezifischen Schwachstellen ausnutzen. Daher ist es ratsam, es vollständig zu verbergen. Sie können dies tun, indem Sie Ihrer Dateifunctions.phpeinen kleinen Code hinzufügen. Dies verringert Ihre WordPress-Schwachstelle
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Neben dem Erscheinen in der Kopfzeile können Sie die WordPress-Version auch anhand der Readme-Textdatei identifizieren. Sie können diese Datei (readme.html) aus Ihrer Installation löschen.
22. Regelmäßiges Scannen:
Sie können mithilfe von Sicherheits-Plugins in regelmäßigen Abständen Scans durchführen und beobachten, ob Änderungen an den Originaldateien vorgenommen wurden. Es gibt auch Online-Tools, mit denen Sie verdächtige Dateien finden können. Mit diesem kostenlosen Tool namens WPSec können Sie beispielsweise die Ergebnisse von Online-Sicherheitsscans ermitteln.
23. Halten Sie Designs und Plugins auf dem neuesten Stand
WordPress, Theme-Entwickler und Plugin-Entwickler veröffentlichen häufig neue Versionen.
Es wird empfohlen, alles mit der neuesten Version Ihrer WordPress-Installation auf dem neuesten Stand zu halten.
Neuere Versionen enthalten Sicherheitspatches zum Schutz vor neuen Viren und Malware.
Veraltete Versionen sind anfällig für Angriffe und es mangelt an Unterstützung durch den Entwickler.
WPOven in one wp Security Dashboard bietet eine Schnittstelle zum Anzeigen der installierten Plugins und Themes, und sie können direkt vom Dashboard aus aktualisiert werden:
Plugins aktualisieren – WPOven
24. Verwenden Sie vertrauenswürdige Themes und Plugins:
Bevor Sie ein neues Design oder Plugin installieren, überprüfen Sie seine Bewertungen, Rezensionen und die Anzahl der Installationen, um seine Qualität sicherzustellen.
Überprüfen Sie auch die Änderungsprotokolle, um zu sehen, wie oft der Entwickler die Versionen aktualisiert.
Prüfen Sie vor der Installation, ob das Plugin oder Theme mit Ihrer Version von WordPress kompatibel ist.
Überprüfen Sie die Historie des Entwicklers und andere Produkte, die er erstellt hat, um seine Erfahrung und die Qualität seiner Produkte sicherzustellen.
Mit der WPOven-Anmeldung können Sie kostenlose Premium-WordPress-Designs und -Plugins erhalten.
25. Schützen Sie WordPress-Mediendateien
Schützen Sie WordPress-Mediendateien vor Google-Indizierung und direktem Datei-URL-Zugriff mit ein paar einfachen Klicks mit Prevent Direct Access (PDA) Gold. Tatsächlich bietet das Plugin Massenschutz für alle Datei-Uploads in die WordPress-Medienbibliothek, einschließlich, aber nicht beschränkt auf PDF, DOCX, PPTX, PNG, JPG, MP4 und MP3.
Mit PDA Gold können Sie den direkten Dateizugriff nur auf autorisierte Benutzer beschränken . Das bedeutet, dass die Dateizugriffsberechtigung entweder auf Administrator, angemeldete Benutzer oder sogar bestimmte Benutzer und benutzerdefinierte Mitgliedschaften festgelegt werden kann.
Außerdem können Sie unbegrenzt ablaufende Download-Links erstellen und diese dann mit einer Gruppe von Benutzern und Abonnenten teilen. Diese Download-Links laufen nach einer gewissen Zeit oder Klicks automatisch ab.
Zu guter Letzt bietet PDA Gold eine intuitive Benutzeroberfläche, um Ihre WordPress-Site sofort zu sichern:
WordPress-Version ausblenden
Bild-Hotlinking verhindern
Schützen Sie den WordPress-Upload-Ordner
Blockieren Sie den direkten Zugriff auf WordPress-sensible Dateien, zB readme.html und license.txt
Schützen Sie alle Dateien unter Uploads und/oder im Stammverzeichnis mit einer Ordnerschutzfunktion
Es gibt andere Ressourcen, in denen Sie Details zu den jüngsten Sicherheitsproblemen finden können. Hier sind sie:
WPScan Vulnerability Database: Dies ist ein Katalog aller identifizierten Schwachstellen in WordPress, Themes, Plugins und APIs. Benutzer können hier ihre eigenen Vorfälle einreichen, um andere Benutzer auf die Probleme aufmerksam zu machen.
ThreatPress: Dies ist eine weitere Datenbank mit Schwachstellen, die täglich von ihrem Forschungs- und Entwicklungsteam aktualisiert wird.
Abschluss:
Der obige Artikel muss Ihnen einen guten Einblick gegeben haben, wie Sie Ihr WordPress sicher machen, aber es ist wichtig zu verstehen und zu erkennen, dass ein guter Hosting-Anbieter Ihr Partner ist, wenn es darum geht, Ihre Website sicher zu machen. Ihre Website ist ein Synonym für Ihr Unternehmen, und eine gesicherte Website schafft Vertrauen bei Ihren potenziellen Kunden, was für das Unternehmenswachstum unerlässlich ist.
Sie haben die richtige Entscheidung getroffen, wenn Sie sich für WPOven als Ihren Hosting-Partner entschieden haben, falls noch nicht geschehen, unternehmen Sie den ersten Schritt, um Ihre Website bei WPOven zu hosten und Ihre Website mit modernster Technologie zu stärken, die gleichzeitig sehr gut ist bequem zu bedienen.
Häufig gestellte Fragen
Ist WordPress sicher?
WordPress selbst ist jedoch eine sehr sichere Plattform, vorausgesetzt, die Benutzer behalten alle anderen Sicherheitsparameter im Auge und befolgen alle Sicherheitsverfahren. Sie können die Sicherheit jedoch weiter erhöhen, indem Sie die besten WordPress-Sicherheitspraktiken befolgen.
Ist WordPress leicht zu hacken?
WordPress ist eine sichere Plattform, aber wie jede andere Website-Plattform kann sie anfällig für Sicherheitsbedrohungen sein, wenn sie nicht ordnungsgemäß gesichert und gewartet wird. Hacker können Schwachstellen in schlecht codierten Plugins, Designs oder benutzerdefiniertem Code ausnutzen. Die Implementierung von Best Practices für die Sicherheit kann das Risiko, gehackt zu werden, erheblich verringern.
Wie stelle ich die Sicherheit auf WordPress sicher?
Grundlegende WordPress-Sicherheitsmaßnahmen, die Sie befolgen können: 1. Verwenden Sie starke Passwörter 2. Halten Sie WordPress und Plugins auf dem neuesten Stand 3. Sichern Sie Ihre WordPress-Site regelmäßig 4. Anmeldeversuche einschränken 5. Verwenden Sie die Zwei-Faktor-Authentifizierung 6. Schützen Sie Ihren Computer und Ihr Netzwerk
Zusammenhängende Posts:
7 einfache Möglichkeiten zum Schutz Ihrer WP Business Site
Die Bedeutung des Schutzes Ihrer sensiblen Informationen in…
Das Jetpack-Plugin: Alles, was Sie für Ihr WordPress brauchen…
WordPress 3.5.2 Wartungs- und Sicherheitsversion
Können WordPress-Sicherheitsupdates schlecht für Ihre Website sein?
