WordPress-Sicherheit – Vollständige Schritt-für-Schritt-Anleitung (2020) – MalCare

Veröffentlicht: 2023-04-21

Es gibt einen guten Grund, sich um die Sicherheit Ihrer Website Sorgen zu machen. Berichten zufolge werden jede Minute des Tages über 90.000 Hackversuche auf der WordPress-Website unternommen.

Viele Websitebesitzer denken vielleicht, dass ihre Website zu klein ist, um die Aufmerksamkeit eines Hackers auf sich zu ziehen. Die Wahrheit ist, dass es Hackern umso leichter fällt, kleine Websites zu hacken, da kleine Websites die Sicherheit nachsichtig nehmen.

Ob groß oder klein – jede WordPress-Website muss Sicherheitsmaßnahmen ergreifen.

Glücklicherweise gibt es zahlreiche Dinge, die Sie tun können, um Ihre Website vor Hackern und Bots zu schützen. In diesem Artikel zeigen wir genau, welche Schritte Sie unternehmen müssen, um sicherzustellen, dass Ihre Website sicher ist.

[lwptoc skipHeadingLevel=“h1,h4,h5,h6″ skipHeadingText=“Abschließende Gedanken“]

Bedeutung der Website-Sicherheit

WordPress ist die weltweit beliebteste Plattform zum Erstellen von Websites. Derzeit gibt es 75 Millionen WordPress-Websites im Internet, und jeden Tag werden Hunderte neue erstellt. Diese Art von Popularität hat ihren Preis.

Je mehr Leute es benutzen, desto attraktiver ist es als Ziel für Hacker. Windows ist ein größeres Ziel als das Betriebssystem von Apple. Chrome ist ein größeres Angriffsziel als Firefox. Popularität zieht mehr Aufmerksamkeit auf sich, sowohl im Guten als auch im Schlechten.

Wir haben bereits erwähnt, dass kleine Websitebesitzer ihre Websites für immun halten und nicht die notwendigen Vorkehrungen treffen, was sie zu einem idealen Ziel macht.

Wenn Ihre Website gehackt wird, verwenden Hacker Websites, um böswillige Aktivitäten auszuführen. Sie könnten unter anderem größere Angriffe auf andere Websites starten, Spam-E-Mails versenden, Raubkopien speichern, Spam-Links einfügen, illegale Produkte verkaufen, Affiliate-Links mit japanischem SEO-Spam erstellen und vieles mehr.

Und das ist das Ende des Problems. Die Dinge können schnell explodieren und Suchmaschinen geben den Benutzern irreführende Website-Warnungen und können Ihre Website auf die schwarze Liste setzen. Berichten zufolge setzt Google jede Woche 50.000 Websites für Phishing-Aktivitäten und etwa 20.000 Websites für Malware auf die schwarze Liste!

Abgesehen davon können Hosting-Provider Ihr Konto auch sperren. Dies bedeutet, dass Ihre Website tagelang nicht verfügbar ist, was sich auf Ihre Einnahmenerhebung auswirkt. Wenn Sie zu lange warten, um Ihre Website zu reparieren, wird dies Ihrem Unternehmen irreparablen Schaden zufügen.

Wir sind uns alle einig, dass es viel besser ist, Sicherheitsvorkehrungen zu treffen, als eine gehackte WordPress-Website zu reparieren.

Wir zeigen Ihnen, wie Sie Ihre Website sichern können, aber vorher möchten wir eine Frage ansprechen, die viele unserer Leser beschäftigt.

[Zurück nach oben ↑]

Aber ist WordPress nicht sicher?

Der WordPress-Kern ist sicher. WordPress hat eine Armee der besten Entwickler, die unermüdlich daran arbeiten, den WordPress-Kern sicher zu halten. Sie verbessern ständig die Technologie und veröffentlichen Patches und Updates, um Störungen oder Fehler zu beheben.

Im WordPress-Core gab es schon lange keine größere Schwachstelle mehr.

Trotzdem werden jede Minute des Tages über 90.000 Hackversuche auf WordPress-Websites unternommen. Und dafür gibt es zwei Hauptgründe.

Zunächst einmal ist WordPress eine äußerst beliebte Plattform. Rund 75 Millionen Websites im Internet basieren auf WordPress, das die Aufmerksamkeit von Hackergruppen aus der ganzen Welt auf sich zieht.

Ein weiterer Grund ist das Vorhandensein anfälliger und veralteter Themes und Plugins. Tatsächlich deuten Berichte darauf hin, dass veraltete Themes und Plugins eine der Hauptursachen für mehr WordPress-Kompromisse sind.

(Psst – Sie können mehr darüber in unserem Artikel zu WordPress-Sicherheitsupdates lesen .)

warum Websites gehackt werden

Obwohl Ihr WordPress eine sichere Plattform ist, gibt es andere Faktoren, die zu einer kompromittierten Website führen können. Daher kann das Ergreifen der folgenden Sicherheitsmaßnahmen einen großen Beitrag zum Speichern Ihrer WordPress-Websites leisten.

[Zurück nach oben ↑]

[ss_click_to_tweet tweet="???? Wenn Sie es mit Ihrer Website ernst meinen, achten Sie auf die Best Practices für die WordPress-Sicherheit. ????" content=““ style=“default“]

Wie sichert man eine WordPress-Website?

Es gibt 15 verschiedene Sicherheitsmaßnahmen, die Sie ergreifen können, um Ihre WordPress-Website zu schützen. Jene sind:

  1. Installieren Sie ein WordPress-Sicherheits-Plugin
  2. Machen Sie regelmäßige Backups
  3. Verwenden Sie ein gutes Hosting-Unternehmen
  4. Halten Sie WordPress auf dem neuesten Stand
  5. Verwenden Sie ein SSL-Zertifikat
  6. Schützen Sie Ihre WordPress-Anmeldeseite
  7. Richten Sie eine Firewall ein
  8. Härten Sie Ihre Website
  9. Wenden Sie die am wenigsten privilegierten Prinzipien an
  10. Blockieren verdächtiger IP-Adressen
  11. Länderblockierung implementieren
  12. WordPress-Version ausblenden
  13. Überprüfen Sie das Aktivitätsprotokoll
  14. Verwenden Sie zum Anmelden nur die E-Mail-Adresse
  15. Verwenden Sie die HTTP-Authentifizierung

Sehen wir uns diese Maßnahmen genauer an.

1. Installieren Sie ein WordPress-Sicherheits-Plugin

Die Hauptfunktionen eines Sicherheits-Plugins oder -Dienstes sind das Scannen, Säubern und Schützen. Obwohl viele WordPress-Sicherheits-Plugins zur Auswahl stehen, sind nicht alle Plugins effektiv. Einige bieten viele Funktionen, aber es erzeugt nur viel Lärm. Ein erfahrener Hacker kann solche Sicherheits-Plugins umgehen, um Ihre Website zu hacken.

MalCare ist eines der besten WordPress-Sicherheits-Scan-Plugins auf dem Markt. Hier ist der Grund -

ich. Der Malware-Scanner von MalCare

Ein WordPress-Malware-Scanner benötigt Ressourcen, um einen Scan auszuführen. Viele Scanner sind auf die Ressourcen Ihres Webservers angewiesen, aber dies kann die Geschwindigkeit Ihrer Website verlangsamen.

Um diese Herausforderung zu meistern, verwendet MalCare seine eigenen Serverressourcen, um einen Scan Ihrer Website durchzuführen. Es überträgt die Dateien Ihrer Website auf seinen eigenen Server und führt dann den Scan dort durch. Diese Methode stellt sicher, dass Ihre Website während des Scanvorgangs nicht betroffen ist.

Viele Scanner suchen nur nach vorhandener Malware, was bedeutet, dass sie neue Arten von Malware übersehen. MalCare wurde entwickelt, um alle Arten von Malware zu identifizieren, einschließlich neuer .

ii. Malware-Entfernung von MalCare

MalCare bietet den schnellsten Dienst zum Entfernen von Malware. Die meisten WordPress-Sicherheitsdienste bieten eine ticketbasierte Reinigung an. Wenn Ihre Website gehackt wird, müssen Sie ein Ticket erstellen, die Gebühr für die Entfernung der Malware bezahlen und dann warten, bis das Sicherheitspersonal Ihre Website bereinigt und sich bei Ihnen meldet. Dieser Prozess ist zeitaufwändig und beinhaltet, einem Dritten Zugriff auf Ihre Website zu gewähren.

MalCare's Cleaner funktioniert anders. Nach einem Hack ist Zeit von entscheidender Bedeutung. Je länger es dauert, desto größer ist die Wahrscheinlichkeit, dass Google Ihre Website auf die schwarze Liste setzt oder Webhoster Ihre Website sperren. Aus diesem Grund bietet MalCare eine sofortige WordPress-Malware-Entfernung an, um eine Hacker-Website zu säubern. Alles, was Sie tun müssen, ist auf eine Schaltfläche zu klicken , sich zurückzulehnen und das Plugin Ihre Website innerhalb von Minuten reinigen zu lassen.

Malcare-Scan

iii. WordPress-Schutzmaßnahmen von MalCare

Alle bisher erwähnten Maßnahmen – von der Verwendung einer Firewall über die Ländersperre bis hin zum Härten Ihrer Website – sind Schutzmaßnahmen, die MalCare Ihnen ermöglicht, mit nur einem Klick auf die Schaltfläche zu ergreifen.

Wie verwende ich MalCare?

  • Um MalCare verwenden zu können, müssen Sie zunächst das Plugin herunterladen und auf Ihrer Website installieren.
  • Fügen Sie dann Ihre Website zum MalCare-Dashboard hinzu. Das Plugin beginnt sofort mit dem Scannen Ihrer Website. Wenn es schädliche Dateien auf Ihrer Website findet, werden Sie benachrichtigt.
  • Mit der Auto-Clean-Schaltfläche von MalCare können Sie Ihre Website sofort bereinigen.

[Zurück nach oben ↑]

2. Machen Sie regelmäßige Backups

Backups sind Ihr Sicherheitsnetz. Wenn etwas mit Ihrer Website schief geht, können Sie sie wieder normalisieren, wenn Sie eine Kopie Ihrer Website haben.

Es gibt viele Backup-Plugins da draußen. Bei der überwältigenden Auswahl an verfügbaren Optionen kann es sehr einfach sein, mit einem Service zu enden, der nicht den Anforderungen entspricht. Um den richtigen Backup-Service auszuwählen, müssen Sie wissen, wie man ein Backup-Plugin auswählt.

Darüber hinaus wird die Überprüfung von Backup-Plugins eine zeitaufwändige und teure Angelegenheit sein. Glücklicherweise haben wir einen Vergleich zwischen den wichtigsten WordPress-Backup-Plugins auf dem Markt durchgeführt. Werfen Sie einen Blick auf die besten WordPress-Backup-Plugins.

[Zurück nach oben ↑]

3. Verwenden Sie ein gutes Hosting-Unternehmen

Die beiden beliebtesten Hosting-Anbieter sind Shared Hosting und Managed Hosting.

Shared Hosting ist beliebt, weil es weniger teuer ist. Es hat Millionen von Menschen auf der ganzen Welt ermöglicht, ihre eigene Website ohne große Investitionen zu starten. Beim Shared Hosting teilen Sie sich jedoch einen Server mit anderen unbekannten Websites. Und oft, wenn eine Website kompromittiert wird, sind andere Websites auf demselben Server betroffen. Daher sind Shared-Hosting-Anbieter, obwohl sie beliebt sind, schlecht gerüstet, um mit bedrohlichen Situationen umzugehen.

Wenn Sie sich einen dedizierten Server leisten können, wählen Sie immer diesen. Es leistet bessere Arbeit, um eine WordPress-Website sicher zu halten. Sie können überprüfen, wie sich das Webhosting auf die Website-Sicherheit auswirkt.

Da es viele Hosting-Anbieter zur Auswahl gibt, haben wir einen Vergleich der besten WordPress-Hostings durchgeführt. Hoffentlich hilft es Ihnen bei der Entscheidung, für welchen Webhost-Anbieter Sie sich entscheiden sollten.

[Zurück nach oben ↑]

4. Halten Sie die WordPress-Website auf dem neuesten Stand

Wie jede andere Software entwickeln Plugins, Themes und sogar der WordPress-Kern im Laufe der Zeit Schwachstellen.

Wenn Entwickler von den Schwachstellen erfahren, veröffentlichen sie einen Patch in Form eines Updates. Wenn Websitebesitzer ihre Website nicht aktualisieren, bleiben die Schwachstellen bestehen.

Nach der Veröffentlichung eines Patches geben die Entwickler die Gründe für das Update bekannt, was bedeutet, dass die Schwachstelle öffentlich bekannt gegeben wird. Hacker wissen nun um die Sicherheitslücke und in welcher Version sie vorliegt. Sie sind sich bewusst, dass nicht jeder Websitebesitzer ihre Website sofort aktualisieren wird, also suchen sie nach Websites, die auf der anfälligen Version laufen. Diese Zeitlücke gibt ihnen gute Chancen, eine große Anzahl von Websites erfolgreich zu hacken.

Statistiken zeigen beispielsweise, dass über 80 % der Websites gehackt wurden, weil sie nicht aktualisiert wurden!

Sie müssen Ihre WordPress-Site regelmäßig aktualisieren. Erfahren Sie, wie Sie Ihre WordPress-Website sicher aktualisieren.

WordPress-Update

Möglicherweise stellen Sie fest, dass es Plugins und Themes gibt, die seit langem nicht mehr von ihren Entwicklern aktualisiert werden. In den meisten Fällen wird die Software von den Entwicklern aufgegeben. Es ist am besten, das Plugin oder Design von Ihrer Website zu entfernen und eine Alternative zu installieren.

[Zurück nach oben ↑]

5. Verwenden Sie ein SSL-Zertifikat

Werfen Sie schnell einen Blick auf die URL dieser Website.

Beachten Sie das Schloss? Diese Sperre bedeutet, dass die Website ein SSL-Zertifikat verwendet. SSL ist eine sichere Socket-Schicht, die die Daten verschlüsselt, während sie zwischen Browser und Website übertragen werden.

SSL-Zertifikat

Warum? Weil Daten (wie Kreditkartendaten), die vom Browser eines Besuchers auf Ihre Website übertragen werden, abgefangen und gestohlen werden können. Selbst wenn die Daten gestohlen werden, können Hacker sie nicht verwenden, wenn sie verschlüsselt sind.

Hier ist eine Anleitung, die Ihnen hilft, ein SSL-Zertifikat auf Ihrer Website zu installieren und die WordPress-Site von HTTP auf HTTPS zu verschieben.

[Zurück nach oben ↑]

6. Schützen Sie Ihre WordPress-Anmeldeseite

Die Anmeldeseite ist einer der am häufigsten angegriffenen Teile einer WordPress-Site. Hacker versuchen, die Anmeldedaten zu erraten und auf den WordPress-Adminbereich zuzugreifen, der ihnen die vollständige Kontrolle über die Website gibt. Daher ist es wichtig, den richtigen Schutz auf Ihrer WordPress-Anmeldeseite zu implementieren. Schauen wir uns die verschiedenen Techniken an, mit denen Sie Ihre Login-Seite schützen und die WordPress-Login-Sicherheit erhöhen können.

ich. Verwenden Sie einen eindeutigen Benutzernamen

Wenn Ihr Benutzername leicht zu erraten ist, muss der Hacker nur das Passwort herausfinden. Mit einer Sache weniger, um die man sich Sorgen machen muss, macht es die Arbeit eines Hackers viel einfacher.

Einer der häufigsten WordPress-Benutzernamen ist „admin“. Bis vor ein paar Jahren ermutigte WordPress die Leute, „admin“ als Benutzernamen zu verwenden. Obwohl WordPress „admin“ nicht mehr automatisch vorschlägt, ist es immer noch weit verbreitet. Daher müssen Sie Maßnahmen ergreifen, um sicherzustellen, dass Ihre Administratoren es vermeiden, „admin“ als Benutzernamen zusammen mit diesen häufig verwendeten Benutzernamen zu verwenden.

Wenn Sie diese Liste jedes Mal konsultieren, wenn ein neues Benutzerkonto erstellt wird, kann dies einen großen Beitrag zur Sicherheit Ihres WordPress leisten. Wenn einer Ihrer bestehenden Benutzer gemeinsame Benutzernamen verwendet, sagen Sie ihnen außerdem, dass sie ihn ändern sollen. Hier ist eine hilfreiche Anleitung zum Ändern des WordPress-Benutzernamens?

ii. Ändern Sie Ihren Anzeigenamen

Um Ihre Website zu infiltrieren, überfliegen Hacker Ihre Website und nehmen die Anzeigenamen auf. Sie verwenden verschiedene Kombinationen dieser Namen, um sich anzumelden. Hacker wissen, dass es nicht ungewöhnlich ist, denselben Benutzernamen und denselben Anzeigenamen zu haben. Wenn beispielsweise Sophia Lawrence ein Anzeigename ist, versuchen sie möglicherweise, sich mit sophialawrence oder sophia.lawrence oder sophia als Benutzernamen anzumelden.

Um Ihre Website davor zu schützen, können Sie Ihren Anzeigenamen ändern.

Gehen Sie zu „Mein Profil bearbeiten“ . Und dann ändern Sie Ihren 'Spitznamen' . Speichern Sie die Aktualisierung. Wählen Sie nun „Name öffentlich anzeigen als“ aus. Ein Dropdown-Menü wird angezeigt, in dem Sie den neuen Anzeigenamen sehen. Wählen Sie es aus und speichern Sie die Einstellung.

Wordpress-Anzeigename

Hacker werden unweigerlich scheitern, wenn sie versuchen, den Anzeigenamen zu verwenden.

[Zurück nach oben ↑]

iii. Erkennung des Benutzernamens verhindern

Abgesehen vom Anzeigenamen ist eine weitere Methode, mit der Sie den Benutzernamen von Ihrer Website ermitteln können, die WordPress-Rest-API. Dies ist ein ernstes WordPress-Sicherheitsproblem. Diese WordPress-Kernfunktion wurde 2016 eingeführt und ermöglicht es jedem, Benutzerinformationen auf Ihrer Website zu entdecken. Sie müssen lediglich eine einfache URL ausführen: example.com/wp-json/wp/v2/users

Benutzernamen entdecken

Um dies zu verhindern, verwenden Sie das folgende Code-Snippet in der Datei functions.php. Es blendet die Benutzerliste aus und gibt einen 500-Fehler aus, wenn Sie versuchen, die URL erneut auszuführen.

[php]
add_filter( 'rest_endpoints', function( $endpoints ){

if ( isset( $endpoints['/wp/v2/users'] ) ) {

unset( $endpoints['/wp/v2/users'] );

}

if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {

unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );

}

$Endpunkte zurückgeben;

});
[/php]

Der Benutzername ist eine der beiden Komponenten einer Anmeldeinformation. Schauen wir uns die zweite Komponente an – das Passwort, und versuchen Sie herauszufinden, wie Sie es vor Hackern schützen können.

[Zurück nach oben ↑]

iv. Erzwingen Sie starke Passwörter

Jedes Passwort schützt meine Website, reicht das nicht? Die Antwort ist nein, weil Hacker ständig versuchen, Passwörter von WordPress-Seiten zu erraten, um einzudringen.

Sie verwenden eine Technik namens Brute-Force-Angriffe, bei der sie Bots so programmieren, dass sie Millionen von Anmeldeversuchen unternehmen, um Ihre Anmeldeinformationen in weniger als ein paar Minuten zu erraten.

Wenn Sie ein einfaches Passwort wie Passw0rd123$ verwenden, knackt der Bot es mit ein paar Vermutungen. Aus diesem Grund ist es wichtig, ein eindeutiges und komplexes Passwort zu haben.

WordPress ermutigt Benutzer, starke Passwörter automatisch zu generieren, aber Sie können immer noch ein Konto mit einem schwachen Passwort erstellen. Daher liegt die Verantwortung für die Verwendung starker Passwörter auf Ihrer Schulter.

neuen Benutzer hinzufügen

Sie können Ihre WordPress-Administratoren dazu erziehen, sichere Passwörter zu verwenden. Die Richtlinien zum Festlegen eines starken Passworts lauten wie folgt:

– Erstellen Sie lange Passwörter

Im Allgemeinen gelten Passwörter mit mehr als 8–10 Zeichen als sicher und sind normalerweise schwer zu knacken. Jedes Zeichen, das Sie Ihrem Passwort hinzufügen, macht es stärker. In den letzten Jahren hat sich die Technologie zum Knacken von Passwörtern jedoch erheblich weiterentwickelt. Daher empfehlen viele WordPress-Sicherheitsmitarbeiter die Verwendung von Passphrasen mit einer Länge von 15 Zeichen.

  • Langes Passwort: pd&&)xG56ZhLNrjl4jjNJ4#h (schwer zu merken)
  • Lange Passphrase: Sein Wolf war weiß, da Sie nichts wissen, John Snow (leicht zu merken)
– Verwenden Sie eine Kombination aus Großbuchstaben, Kleinbuchstaben und Sonderzeichen

Bei Brute-Force-Angriffen werden Bots darauf programmiert, Passwörter zu knacken. Sie folgen bestimmten Anweisungen, zum Beispiel versuchen sie, das richtige Passwort zu erraten, indem sie eine Kombination aus verschiedenen Kleinbuchstaben ('a', 'b', 'c' usw.) finden. Die Verwendung eines einfachen Passworts wie „testpass“ bedeutet, dass sie das Passwort nach nur wenigen Versuchen knacken können.

Wenn Sie also eine Kombination aus Klein- und Großbuchstaben verwenden, dauert es lange, bis sie das Passwort herausfinden. Ein wirklich gut programmierter Bot kann jedoch jede Sekunde einige Millionen Passwörter ausprobieren. Das Mischen von Sonderzeichen, Zahlen, Klein- und Großbuchstaben sollte das Passwort also idealerweise unvorhersehbar und schwer zu knacken machen.

  • Caps hinzufügen – TestPass
  • Ziffer und Symbol hinzufügen – TestPass123$
– Vermeiden Sie die Verwendung allgemeiner Wörter und öffentlich bekannter Details

Häufige Wörter wie „test“, „admin“, „login“ sind häufige Wörter, die WordPress-Benutzer verwenden. Dies sind einige der Passwörter, die Bots zuerst ausprobieren, also vermeiden Sie es, sie zu verwenden. Laut einer Infografik von Splashdata sind die 25 am häufigsten verwendeten Passwörter:

  • Gemeinsame Sportarten und Interessen wie "Baseball", "Football" und "Star Wars", "Princess", "Solo" usw.
  • Zahlen in der Reihenfolge wie '87654321', '0123456' usw.
  • Buchstaben in der Reihenfolge wie 'abc123' usw.

Hacker, die auf Ihre Website abzielen, können Details von Ihrer Website abrufen und ausprobieren. Wenn Sie beispielsweise eine Website rund um Ihre Lieblingsserie Game of Thrones aufgebaut haben, werden Bots verschiedene Kombinationen des Ausdrucks ausprobieren, um in Ihre Websites einzudringen, wie z. B. „GoThrones123“ oder „gameofthrones123“. Um dies zu verhindern, entwerfen Sie ein Passwort, das nichts mit der Website zu tun hat.

Das Sichern von Kennwörtern minimiert die Wahrscheinlichkeit einer Sicherheitsverletzung. Aber starke Passwörter sind schwer zu merken, es sei denn, Sie haben ein paar Tricks im Ärmel.

[Zurück nach oben ↑]

v. CAPTCHA-basierter Schutz

Neben der Verwendung eindeutiger Benutzernamen und sicherer Passwörter ist die Verwendung von CAPTCHAs eine weitere perfekte Möglichkeit, Brute-Force-Angriffe auf Ihre WordPress-Website zu verhindern.

Nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche wird ein CAPTCHA generiert, um festzustellen, ob der Benutzer ein Mensch oder ein Bot ist. CAPTCHAs sind so konzipiert, dass sie von Bots nicht gelesen werden können. Daher vereitelt es Brute-Force-Angriffe, da Bots nicht auf die Anmeldeseite zugreifen können, bis sie das CAPTCHA lösen.

WordPress-Sicherheits-Plugins wie MalCare generieren bildbasierte CAPTCHAs, die nur von einem echten, menschlichen Benutzer gelöst werden können.

Captcha-Schutz

CAPTCHAs wurden entwickelt, um zu verhindern, dass Hacker-Bots Ihre Anmeldeinformationen knacken.

[Zurück nach oben ↑]

vi. Implementieren Sie die Zwei-Faktor-Authentifizierung

Haben Sie bemerkt, wie beliebte Dienste wie Facebook und Gmail Benutzer authentifizieren, wenn sie versuchen, sich anzumelden? Ein Code wird an das Smartphone gesendet, das mit Ihrem Konto verknüpft ist, um den Benutzer zu validieren. Dies wird als Zwei-Faktor-Authentifizierung bezeichnet.

WordPress bietet keine Zwei-Faktor-Authentifizierung. Um dies auf Ihrer WordPress-Site zu implementieren, können Sie daher dieser Anleitung zum Hinzufügen einer WordPress-Zwei-Faktor-Authentifizierung folgen.

[Zurück nach oben ↑]

[ss_click_to_tweet tweet=”Jeden Tag werden Hunderte von Websites gehackt. Treffen Sie noch heute Vorkehrungen und schützen Sie Ihre Website vor Hackern und Bots. ” content=”” style=”default”]

7. Richten Sie eine Firewall ein

Von den Hunderten von Besuchen, die Sie auf Ihrer Website erhalten, sind einige böswillig. Solche Besucher kommen auf Ihre Website mit der Absicht, Schwachstellen zu finden, die sie ausnutzen können, um die Kontrolle über Ihre Website zu erlangen.

Eine WordPress-Firewall überprüft jede Besucheranfrage an Ihre Website. Egal welches Gerät der Besucher verwendet – Desktop, Smartphones, Tablets, Laptops – jedem Gerät ist eine IP-Adresse zugeordnet. Wenn die Anfrage von einer verdächtigen IP stammt, wird der Besucher blockiert, andernfalls wird ihm der Zugriff auf die Website gestattet. Eine gute Firewall ist Ihre erste Verteidigungslinie gegen schädlichen Datenverkehr.

Ein WordPress-Firewall-Plugin wie das von MalCare bietet eine erweiterte Firewall, die eine bessere Sicherheit bietet. Es überprüft nicht nur Traffic-Anfragen auf Ihrer Website, sondern zeichnet auch schlechten Traffic auf. Das heißt, wenn es auf eine neue schlechte IP stößt, wird dies aufgezeichnet. Wenn die schlechte IP erneut versucht, auf Ihre Website zuzugreifen, wird sie sofort blockiert.

[Zurück nach oben ↑]

8. Härten Sie Ihre Website

Wir haben einige gemeinsame Bereiche einer WordPress-Website identifiziert, die Hacker ausnutzen. Beispielsweise könnten Sie Ihre Sicherheitsschlüssel verwenden, um Zugriff auf Ihre Website zu erhalten, oder schädliche Plugins oder Designs auf Ihrer Website installieren. Um Ihre Website vor Hackern zu schützen, müssen Sie Maßnahmen ergreifen, um Ihre Website zu stärken.

Wir haben einen Leitfaden, der Ihnen hilft, WordPress-Härtungsmaßnahmen zu ergreifen.

[Zurück nach oben ↑]

9. Wenden Sie die am wenigsten privilegierten Prinzipien an

WordPress bietet 6 standardmäßige WordPress-Benutzerrollen: Administrator, Editor, Autor, Mitwirkender, Abonnent und Superadmin. Die Zuweisung dieser Rollen muss sorgfältig erfolgen. Jede Rolle bringt ihre eigenen Befugnisse und Verantwortlichkeiten mit sich. Werfen wir einen Blick auf sie:

Der Administrator steht an der Spitze der Hierarchie. Er hat die volle Kontrolle über die Website und kann die folgenden Funktionen ausführen:

  • Inhalte erstellen, bearbeiten und löschen
  • Plugins und Themencode bearbeiten
  • Verwalten Sie alle Plugins und Themes
  • Erstellen, ändern und löschen Sie Benutzerkonten

Die Rechte nehmen ab, wenn Sie in der Hierarchie nach unten gehen. Der Redakteur kann keine großen Änderungen vornehmen, aber er kann Kategorien und Links verwalten, Kommentare moderieren, Beiträge und Seiten erstellen, bearbeiten und löschen. Autor, Mitwirkender und Abonnent haben weniger Berechtigungen.

Die höchste Verantwortung liegt bei einem Administrator, dessen Rechte Personen übertragen werden sollten, von denen Sie überzeugt sind, dass sie die Macht nicht missbrauchen.

Wenn die falsche Art von Personen Administratorzugriff erhält, könnten sie die Rolle ausnutzen. Sie können unter anderem betrügerische Plugins und Designs installieren, Ihre Daten stehlen und für einen Preis verkaufen, illegale Dateien und Ordner speichern.

[Zurück nach oben ↑]

10. Blockieren verdächtiger IP-Adressen

Wenn Sie ein WordPress-Sicherheits-Plugin wie MalCare auf Ihrer Website installiert haben, gehen Sie das Protokoll der IP-Adressen durch, die erfolglos versucht haben, sich anzumelden.

Beachten Sie, wie einige von ihnen gängige Benutzernamen verwenden könnten (wir haben darüber im Abschnitt „Eindeutigen Benutzernamen verwenden“ gesprochen) wie „adm2016“. Dieses Bild unten ist eine Aufzeichnung fehlgeschlagener Anmeldeversuche auf einer unserer Websites.

Malcare-Anmeldeversuch blockierte IP

Um diese schädlichen IP-Adressen zu blockieren, platzieren Sie den Code in Ihrer .htaccess-Datei:

[php]
Befehl zulassen, verweigern

verweigern von 61.134.52.164

von allen zulassen
[/php]

Ersetzen Sie „61.134.52.164“ durch die IP-Adresse, die Sie sperren möchten, und speichern Sie die Datei.

[Zurück nach oben ↑]

11. Länderblockierung implementieren

Das World Wide Web ermöglicht Hackern den Zugriff auf Websites auf der ganzen Welt. Sie könnten sich in Russland befinden und auf eine Website aus New York abzielen.

Statistiken zeigen, dass die Top-5-Länder, aus denen Hacking-Versuche stammen, China, die Vereinigten Staaten, die Türkei, Brasilien und Russland sind.

Wenn Sie MalCare installiert haben, ist es einfach, Benutzer zu überprüfen, die versuchen, sich auf Ihrer Website anzumelden. Sie können ihr Herkunftsland sehen.

Malcare-Anmeldeversuch Land blockiert

Wenn sich Ihre Benutzer nur in den USA befinden, sind Anmeldeversuche aus anderen Ländern höchstwahrscheinlich böswillig.

Im obigen Bild sehen wir, dass Anmeldeversuche aus vier verschiedenen Ländern unternommen wurden – den Vereinigten Staaten, dem Vereinigten Königreich, Russland und China.

Wenn Sie jetzt nur auf bestimmte Länder wie die USA abzielen, benötigen Sie keinen Verkehr aus anderen Ländern, daher können Sie das Vereinigte Königreich, Russland und China blockieren.

Um zu erfahren, wie man eine Länderblockierung implementiert, nimm die Hilfe dieser Anleitung zum Blockieren eines Landes in WordPress?

[Zurück nach oben ↑]

12. WordPress-Version ausblenden

Ein Hacker kann auch herausfinden, ob Sie Dateien mit bekannten WordPress-Schwachstellen haben, indem er die von Ihnen verwendete WordPress-Version nachschlägt. Manchmal verpassen Websitebesitzer neue WordPress-Updates, die ihre Website angreifbar machen.

Hacker können jede Schwachstelle ausnutzen, die möglicherweise in der vorherigen Version der WordPress-Kerninstallation vorhanden war. Daher kann es sinnvoll sein, die von Ihnen verwendete WordPress-Version auszublenden.

WordPress-Version Seitenquelltext anzeigen

Dazu müssen Sie einen Code in die Datei function.php einfügen.

Schritt 1: Melden Sie sich bei Ihrem Gastgeberkonto an. Greifen Sie auf cPanel > Dateimanager > public_html zu.

Schritt 2: Greifen Sie im Ordner public_html auf wp-content zu und wählen Sie den Ordner Ihres aktiven Designs aus.

Wenn Sie beispielsweise das standardmäßige WordPress-Theme Twenty-Nineteen verwenden, wählen Sie den Ordner mit dem Namen „twenty nineteen“ aus.

Beachten Sie, dass „personalblogily“ das Thema ist, das wir derzeit auf unseren Websites verwenden, Sie könnten ein anderes Thema verwenden.

functionphp-Dateimanager

Schritt 3: Klicken Sie mit der rechten Maustaste auf die Datei function.php und wählen Sie Bearbeiten. Fügen Sie hier den folgenden Code ein.

[php]
Funktion wpbeginner_remove_version() {

zurückkehren ";

}

add_filter('the_generator', 'wpbeginner_remove_version');
[/php]

Speichern Sie die Datei, und dadurch wird die WordPress-Versionsnummer nicht mehr überall auf Ihrer Website angezeigt.

[Zurück nach oben ↑]

13. Überprüfen Sie das Aktivitätsprotokoll

Ein wachsames Auge auf alles zu haben, was auf Ihrer WordPress-Website passiert, ermöglicht es Ihnen, verdächtiges Verhalten frühzeitig zu erkennen. Dies wird Ihnen helfen, mögliche böswillige Hack-Angriffe zu vereiteln, bevor sie tatsächlich passieren und Ihre WordPress-Website beschädigen.

Sie können dies tun, indem Sie ein Plugin installieren, um alles, was auf Ihrer WordPress-Website passiert, in einem WordPress-Aktivitätsprotokoll aufzuzeichnen. Es gibt mehrere verschiedene Plugins, aus denen Sie wählen können. WP Security Audit Log ist ein solches Plugin.

wpweiße Sicherheit

14. Verwenden Sie zum Anmelden nur die E-Mail-Adresse

Auf der WordPress-Anmeldeseite können Sie sich entweder mit Ihrem Benutzernamen oder Ihrer E-Mail-ID anmelden. Daher könnte die Deaktivierung der Verwendung des Benutzernamens Hacker davon abhalten, Brute-Force-Angriffe auf Ihre Website durchzuführen.

Es gibt Plugins wie No Login by Email Address, mit denen Sie die Verwendung von Benutzernamen zum Anmelden auf Ihrer Website verhindern können.

[Zurück nach oben ↑]

15. Verwenden Sie die HTTP-Authentifizierung

Die HTTP-Authentifizierung bietet eine Schutzebene über der WordPress-Anmeldeseite und ist ein wichtiger Schritt in Richtung WordPress-Sicherheit. Um auf die Seite zuzugreifen, muss der Benutzer die HTTP-Anmeldeinformationen eingeben. Andernfalls dürfen sie nicht auf die Anmeldeseite Ihrer Website zugreifen.

http-Authentifizierung

Plugins wie HTTP Auth helfen beim Aufbau dieser Schutzschicht über Ihrer Anmeldeseite. Denken Sie daran, die Anmeldeinformationen für die HTTP-Authentifizierung mit Ihren Benutzern zu teilen. Andernfalls werden sie ausgesperrt und können sich nicht auf Ihrer Website anmelden.

Damit sind wir am Ende der erweiterten Sicherheitsmaßnahmen für WordPress-Websites angelangt.

[Zurück nach oben ↑]

Übliche, aber veraltete WordPress-Sicherheitsmaßnahmen

In der Welt der WordPress-Sicherheit gibt es viele Ratschläge, die Websitebesitzer erhalten. Aber einige dieser Ratschläge sind nicht sehr effektiv. Wir werden einige der häufigsten Sicherheitsratschläge auflisten, die mit großen Nachteilen einhergehen. Diese Maßnahmen sichern Ihre Website nicht wirklich, da Hacker Wege gefunden haben, diese Maßnahmen zu umgehen.

  1. WordPress-Anmeldeseite ausblenden
  2. Setzen Sie Passwörter auf Ablauf
  3. Automatisches Abmelden, wenn keine Aktivität

1. Blenden Sie die WordPress-Anmeldeseite aus

Hacker zielen selten auf einzelne Websites ab. Sie programmieren automatisierte Bots, um Angriffe auf WordPress-Anmeldeseiten zu starten. Jeder, der WordPress lange genug verwendet hat, weiß, dass WordPress-Websites eine Standard-URL für die Anmeldeseite haben, die so aussieht: „ example.com/wp-admin“ .

Dies erleichtert die Arbeit der automatisierten Bots erheblich. Daher könnte das Ändern Ihrer Website-Anmeldeseite in etwas wie „example.com/wrongpage“ einen entgegenkommenden Angriff abwehren.

Es gibt mehrere Plugins wie WPS Hide Login, Hide WP-Admin usw., die Ihnen helfen können, Ihre WordPress-Anmeldeseite zu verbergen.

WordPress-Anmelde-URL ändern

Nachteil: Obwohl dies automatisierte Hackversuche leicht verhindern kann, garantiert es nicht, dass Ihre Website sicher ist. Dies liegt hauptsächlich daran, dass Tools wie WPS Hide Login eine Standard-Anmelde-URL anbieten. Hunderttausende von Websites, die das Tool verwenden, verwenden also dieselbe URL für ihre Anmeldeseite. Hacker können das URL-Format leicht herausfinden und Angriffe starten.

Darüber hinaus kann sich das Ausblenden der Anmeldeseite als sehr unpraktisch erweisen, ohne alle Benutzer ordnungsgemäß zu informieren. Es kann Sie sogar einen Tag Arbeit kosten.

[Zurück nach oben ↑]

2. Passwörter auf Ablauf setzen

Sie müssen bemerkt haben, dass Sie in E-Banking-Diensten aufgefordert werden, Passwörter nach Ablauf einer bestimmten Zeitspanne zu ändern. Dies ist eine Sicherheitsmaßnahme, die sicherstellt, dass der Hacker, wenn Ihr Konto gehackt wird, nur ein begrenztes Fenster erhält, um Ihr Konto auszunutzen. Die Anwendung der gleichen Maßnahme auf Ihren WordPress-Websites reduziert den Schaden.

Mit dem Plugin Expire Passwords können Sie festlegen, dass Benutzerpasswörter nach einer bestimmten Anzahl von Tagen ablaufen. Alle Benutzer sind gezwungen, ihre Passwörter zu aktualisieren.

wordpress passwort vergessen

Nachteil: Diese Maßnahme bietet zwar ein gewisses Maß an Sicherheit, aber Hacker finden Wege, sie zu übertreffen. Wenn sie beispielsweise Ihre Website hacken, erstellen sie neue Benutzerkonten oder installieren versteckte Hintertüren. Obwohl Sie also Ihr Passwort regelmäßig ändern, haben sie bereits andere Zugangspunkte geschaffen.

[Zurück nach oben ↑]

3. Automatische Abmeldung bei Inaktivität

Bei Websites mit mehreren Benutzern sind die Chancen des Missbrauchs von Benutzerrechten hoch. Es ist sogar noch höher für Benutzer, die remote arbeiten. Ein Benutzer muss möglicherweise seinen Schreibtisch verlassen, um sich um dringende Angelegenheiten zu kümmern, und vergisst, sich abzumelden.

Was passiert, wenn jemand die Website während dieser Zeit missbraucht? Um das Risiko eines solchen Missbrauchs zu verringern, können Sie Ihre WordPress-Website so einrichten, dass Benutzer automatisch abgemeldet werden, wenn sie längere Zeit inaktiv sind.

Das Plug-in „Inactive Logout“ bietet eine Funktion zum Abmelden bei inaktiver Sitzung. Auf diese Weise können Sie einen akzeptablen Zeitraum der Inaktivität festlegen, z. B. 10 oder 20 Minuten, nach dem der Benutzer automatisch abgemeldet wird.

Nachteil: Wenn jemand auf Ihrer Website herumschnüffeln möchte, wird er dies wahrscheinlich sofort tun, nachdem der Benutzer gegangen ist. In solchen Fällen kann das Abmelden inaktiver Benutzer den Missbrauch von Benutzerrechten nicht verhindern.

[Zurück nach oben ↑]

[ss_click_to_tweet tweet=“Sind Sie besorgt über die Sicherheit Ihrer Website? ???? Ergreifen Sie diese umsetzbaren Schritte, um Ihre Website vor Sicherheitslücken zu schützen.“ content=““ style=“default“]

Abschließende Gedanken

Wir wissen, dass das eine wirklich lange Lektüre war und auch ein bisschen überwältigend. Aber bevor Sie sich auf den Weg machen, um ein Nickerchen zu machen, empfehlen wir Ihnen Folgendes:

  • Lesezeichen für diesen Artikel.
  • Teilen Sie es mit Freunden und Nachbarn – allen, von denen Sie glauben, dass sie davon profitieren würden, wenn Sie unserem Leitfaden folgen.
  • Weitere Anleitungen wie Sichere deine WordPress-Site mit wp-config.php findest du in unserem WordPress-Blog.

Wir hoffen aufrichtig, dass Sie diesen Artikel hilfreich fanden. Wir möchten Sie mit einem letzten Gedanken verlassen – das Ergreifen all dieser Sicherheitsmaßnahmen kann sehr überwältigend sein, daher empfehlen wir, regelmäßige WordPress-Sicherheitsaudits durchzuführen und sich für ein Premium-WordPress-Sicherheits-Plugin wie MalCare zu entscheiden, das die Sicherheit für Sie übernimmt.

Mit MalCare haben Sie Zugriff auf raffinierte Sicherheitsfunktionen wie die Firewall, regelmäßige Malware-Scans, WordPress-Härtung und vieles mehr. Sie können sich darauf verlassen, dass für die Sicherheit Ihrer Website gesorgt ist.

Probieren Sie jetzt unser WordPress-Sicherheits-Plugin – MalCare aus!