So führen Sie ein WordPress-Sicherheitsaudit durch – 8 einfache Schritte – MalCare

Veröffentlicht: 2023-04-19

Es war einmal, dass Sie sich hingesetzt und ein vollständiges WordPress-Sicherheitsaudit auf Ihrer Website durchgeführt haben. Es war nicht etwas, auf das Sie Lust hatten, aber Sie haben es getan, um die bösen Hacker in Schach zu halten.

  • Sie haben ein WordPress-Sicherheits-Plugin auf Ihrer Website installiert, weil die Gurus es gesagt haben.
  • Sie haben alle Ihre WordPress-Plugins und -Themes aktualisiert, weil Sie genau wissen, was passiert, wenn Sie dies nicht tun.
  • Sie haben sich über Website-Härtungsmaßnahmen informiert und die nachhaltigsten implementiert.

Kurz gesagt: Sie waren sich zu 100 % sicher, dass Ihre Website vor Hackern sicher ist.

Und dann, ein paar Monate später, bist du aufgewacht und hattest erwartet, dass alles wie gewohnt weitergeht …

Nur um festzustellen, dass Ihre Website gehackt wurde.

Es könnte absolut alles sein. Es kann sich um eine böswillige Umleitung auf eine andere Website handeln. Oder Sie stellen vielleicht fest, dass Ihre Website Popups enthält, die versuchen, etwas zu verkaufen, das absolut nichts mit Ihrem Unternehmen zu tun hat.

Dann stellen Sie fest, dass Sie Ihre Website nicht gesichert haben.

Dies ist ein Szenario, mit dem die meisten WordPress-Site-Besitzer konfrontiert sind. Und wenn Sie damit konfrontiert sind, dann sind Sie beim richtigen Artikel gelandet.

Hier ist die Sache: Ihr einziger Fehler war, dass Sie angenommen haben, dass das WordPress-Sicherheitsaudit eine einmalige Aktivität war. Als Sie alle Kästchen auf der Liste abgehakt haben, dachten Sie, es sei alles erledigt und abgestaubt.

Die Wahrheit ist, dass die Sicherheit Ihrer Website genau wie Werbung ist – es ist eine fortlaufende Aktivität. Sie würden nicht aufhören, für Ihr Unternehmen zu werben, oder?

Website-Sicherheitstools und vorbeugende Maßnahmen werden ständig weiterentwickelt, aber die Hacker werden sich nicht zurücklehnen und Ihnen einfach die Kontrolle über Ihr Unternehmen überlassen. Es ist Ihr Geschäft und Sie müssen jeden Tag dafür kämpfen.

Ein WordPress-Sicherheitsaudit ist der einfachste Weg, um herauszufinden, was funktioniert und was nicht. Sind Ihre Sicherheitsmaßnahmen veraltet?

Ohne WordPress-Sicherheitsaudits alle 3 Monate ist die Wahrscheinlichkeit, dass ein Hacker in Ihre Website eindringt und Ihrem Unternehmen Schaden zufügt, viel höher.

Aber keine Sorge, das alles kann vermieden werden, indem Sie sicherstellen, dass Ihre Sicherheitsmaßnahmen auf dem neuesten Stand sind. Heute zeigen wir Ihnen die Schritte zur Durchführung eines erfolgreichen WordPress-Sicherheitsaudits auf Ihrer Website.

TL;DR: Um Ihre WordPress-Site vollständig zu sichern, empfehlen wir die Verwendung eines Sicherheits-Plugins. Installieren Sie MalCare, um Ihre Website regelmäßig zu scannen und zu überwachen. Es blockiert auch Hackversuche auf Ihrer Website. Und ja, es führt auch jeden Tag automatisch ein WordPress-Sicherheitsaudit für Sie durch.

Was ist ein WordPress-Sicherheitsaudit?

Früher oder später stoßen die meisten WordPress-Websites auf Sicherheitsprobleme. Beispielsweise können Plugins und Themes Schwachstellen entwickeln, die von Hackern ausgenutzt werden könnten, um in Ihre Website einzudringen.

Sobald sie Zugriff auf Ihre Website erhalten, können sie Ihren Datenverkehr umleiten, illegale Inhalte und Anzeigen anzeigen, Ihre Kunden betrügen und persönliche Daten stehlen, neben einer langen Liste böswilliger Handlungen.

Ein WordPress-Sicherheitsaudit kann helfen, diese Probleme zeitnah zu erkennen, damit Sie Maßnahmen ergreifen können, um Sicherheitslücken auf Ihrer Seite zu schließen. Wenn Sie ein Sicherheitsaudit durchführen, überprüfen Sie die bestehenden Sicherheitsmaßnahmen auf Ihrer Website. Identifizieren Sie dann, welche weiteren Sicherheitsmaßnahmen Sie auf Ihrer Website implementieren können, um sicherzustellen, dass sie geschützt ist.

Ein vollständiges Sicherheitsaudit kann mehrere Schritte umfassen und kann zu einem Durcheinander werden, wenn Sie keinen Prozess und keine Checkliste haben.

Nun, es ist sehr wahrscheinlich, dass du schon einmal ein WordPress-Sicherheitsaudit durchgeführt hast. Der Sinn dieses Artikels besteht darin, Ihnen dabei zu helfen, einen Prozess einzurichten, den Sie alle 3 Monate wiederholen können. Idealerweise sollte täglich ein WordPress-Sicherheitsaudit durchgeführt werden. Aber um auf der sicheren Seite zu sein und trotzdem vernünftig zu sein, empfehlen wir, dies jeden Monat zu tun.

Heute führen wir Sie Schritt für Schritt durch unseren WordPress Security Auditing Guide. Dieser Prüfpfad ermöglicht es Ihnen, eine vollständige und umfassende Prüfung Ihrer Website durchzuführen.

So führen Sie ein erfolgreiches Sicherheitsaudit durch

Bei diesem Audit überprüfen wir die Sicherheit Ihrer Website gründlich. Lass uns anfangen.

  1. Evaluieren Sie Ihr Sicherheits-Plugin
  2. Testen Sie Ihre WordPress-Backup-Lösung
  3. Untersuchen Sie Ihr aktuelles Administrator-Setup
  4. Entfernen Sie nicht verwendete Plugins, die installiert und aktiv sind
  5. Löschen Sie zusätzlich installierte WordPress-Designs
  6. Bewerten Sie Ihren aktuellen Hosting-Provider und Plan
  7. Überprüfen Sie Benutzer mit FTP-Zugriff
  8. Überprüfen Sie Ihre WordPress Hardening-Maßnahmen

Checkliste für Sicherheitsüberprüfungen von WordPress-Websites

1. Evaluieren Sie Ihr Sicherheits-Plugin

Das Sicherheits-Plugin Ihrer Website ist Ihr erster Kontrollpunkt. Wenn Sie noch kein Sicherheits-Plug-in verwenden, sollten Sie sofort eines auf Ihrer Website aktivieren. Ein Sicherheits-Plugin schützt WordPress-Websites vor Hackern und Bots. Es gibt viele Optionen zur Auswahl. Aber nicht alle sind effektiv, daher müssen Sie das richtige Sicherheits-Plugin auswählen. Hier ist eine Liste der Funktionen, die Ihr Sicherheits-Plugin bieten MUSS:

1. Malware-Scan – Hacker sind immer auf der Suche nach anfälligen Plugins. Wir empfehlen dringend, ein Plugin zu verwenden, das einen täglichen Scan Ihrer Website durchführt. Es sollte einen tiefen Scan durchführen, der jede Datei und jeden Ordner Ihrer Website, einschließlich Ihrer Datenbank, überprüft.

2. Offsite-Scan – Der Scanvorgang erfordert viele Serverressourcen, um ausgeführt zu werden. Wenn das Plugin Ihren eigenen Server verwendet, kann der Scan Ihre Website überlasten und zu einer Verlangsamung führen. Suchen Sie nach einem Plugin, das seine eigenen Server verwendet, um Ihre Website zu scannen.

3. Firewall – Sie benötigen eine Firewall auf Ihrer Website, die Hacker und böswillige Bots und IP-Adressen, die versuchen, in Ihre Website einzudringen, proaktiv blockiert. Um eine Firewall einzurichten, benötigen Sie technisches Know-how. Sie können jedoch Sicherheits-Plugins finden, die es für Sie installieren und aktivieren.

4. Login-Schutz – Hacker greifen häufig Ihre Login-Seite an und versuchen verschiedene Kombinationen von Benutzernamen und Passwörtern, um in Ihre Website einzudringen (bekannt als Brute-Force-Angriff). Das Sicherheits-Plugin sollte in der Lage sein, solche Angriffe zu blockieren.

5. Echtzeit-Warnungen – Wenn es auf Ihrer Website verdächtige Aktivitäten gibt, sollte das Plugin diese erkennen und Sie sofort warnen. So können Sie schnell handeln.

6. Malware-Bereinigung – Mit einem guten Sicherheits-Plugin können Sie Ihre Website schnell bereinigen. Es sollte in der Lage sein, Ihre Website vollständig zu bereinigen.

7. Aktivitätsprotokoll – Ein WordPress-Sicherheits-Audit-Protokoll verfolgt die Aktivität des Benutzers auf Ihrer Website, z. B. wer sich angemeldet hat, Details zu fehlgeschlagenen Anmeldeversuchen, was WordPress-Benutzer auf der Website getan haben. Ein Aktivitätsprotokoll ist praktisch, wenn Sie herausfinden möchten, wie Ihre Website gehackt wurde oder welche Änderungen vorgenommen wurden, um Fehlfunktionen zu verursachen.

Wenn Sie der Meinung sind, dass Ihre Sicherheitslösung nicht effektiv ist, können Sie aus den besten verfügbaren Sicherheits-Plugins wählen.

Wir empfehlen die Verwendung von MalCare, da es alle diese Funktionen abdeckt. Es verfügt über einen der besten Malware-Scanner, der jede Art von Malware erkennen kann. Und darüber hinaus können Sie jede Malware-Infektion in weniger als ein paar Minuten bereinigen!

2. Testen Sie Ihre WordPress-Backup-Lösung

Ein Backup Ihrer WordPress-Site kann sich als nützlich erweisen, wenn etwas schief gehen sollte. Sie können Ihr Backup einfach wiederherstellen und Ihre Website wieder normalisieren.

Aber was passiert, wenn Ihr Backup fehlschlägt? Was passiert, wenn Sie es nicht wiederherstellen können?

Aus diesem Grund müssen Sie Ihr Backup testen. Wenn Sie ein Host-Backup verwenden, bieten einige davon keine Testoptionen an. Hier ist, was wir empfehlen, um Ihr Backup zu testen:

Installieren Sie das BlogVault-Backup-Plugin auf Ihrer WordPress-Site. Es wird automatisch eine vollständige Sicherung Ihrer Website erstellt.

Beachten Sie, dass die erste Sicherung eine Weile dauern kann, da die gesamte Website auf ihre eigenen Server kopiert wird. Nachfolgende Sicherungen sind viel schneller, da inkrementelle Technologie verwendet wird, bei der nur die vorgenommenen Änderungen gesichert werden.

Greifen Sie nach Abschluss der Sicherung im BlogVault-Dashboard auf die Option „Wiederherstellung testen“ zu.

Blogvault-Testwiederherstellung

Sobald dies erledigt ist, werden Sie benachrichtigt, dass Ihre Wiederherstellung erfolgreich war.

3. Untersuchen Sie Ihr aktuelles Administrator-Setup

WordPress ermöglicht es mehreren Personen, zusammenzuarbeiten und zur WordPress-Entwicklung und WordPress-Wartung beizutragen. Aber nicht jeder WordPress-Benutzer benötigt vollständigen Zugriff auf die Seite. Beispielsweise benötigt ein Autor nur Zugriff zum Schreiben und Veröffentlichen von Inhalten. Sie müssen keinen Zugriff haben, um andere Änderungen wie das Installieren von Plugins oder das Ändern des Designs vorzunehmen.

Um zu verhindern, dass jedem Benutzer auf Ihrer Website vollständigen Zugriff gewährt wird, verfügt WordPress über sechs verschiedene Benutzerrollen, die Sie zuweisen können – Super-Admin, Administrator, Redakteur, Autor, Mitwirkender und Abonnent. Jede Rolle hat unterschiedliche Berechtigungsstufen.

WordPress-Rollen

Während Sie Ihr WordPress-Sicherheitsaudit durchführen, müssen Sie zunächst die Benutzer analysieren, die Sie zu Ihrer WordPress-Site hinzugefügt haben.

  • Überprüfen Sie, wie viele dieser Benutzer Administratorzugriff haben.
  • Bestimmen Sie, wie viele tatsächlich Administratorzugriff benötigen.
  • Beschränken Sie den Zugriff und gewähren Sie niedrigere Berechtigungen, indem Sie die Benutzerrollen für diejenigen ändern, die keine Administratoren sein müssen.
  • Stellen Sie sicher, dass Sie alle Benutzer auf Ihrem Dashboard erkennen können. Löschen Sie alle Benutzer, die Sie nicht erkennen, da es sich um betrügerische Benutzerkonten handeln könnte, die von Hackern erstellt wurden.

Stellen Sie als Nächstes sicher, dass niemand, der Administrator Ihrer Website ist , den Benutzernamen „admin“ verwendet . Dies ist der häufigste Benutzername, den WordPress-Administratoren für ihre Konten verwenden. Hacker sind sich dessen bewusst und versuchen, den Namen zu verwenden, um Zugriff auf Ihre Website zu erhalten

Um den Namen von „admin“ in einen eindeutigeren Namen zu ändern, müssen Sie zuerst ein neues Benutzerkonto für diese Person erstellen. Sie können alle Inhalte dem von Ihnen neu erstellten WordPress-Benutzer zuweisen. Als nächstes können Sie das alte „admin“-Konto löschen.

4. Entfernen Sie nicht verwendete Plugins, die installiert und aktiv sind

Wir arbeiten seit über einem Jahrzehnt mit WordPress und haben viele Fälle gesehen, in denen WordPress-Websites aufgrund anfälliger Plugins gehackt wurden.

Plugins für WordPress werden von Drittentwicklern erstellt, die sie pflegen und aktualisieren. Wie bei jeder Software treten jedoch im Laufe der Zeit Schwachstellen auf. Entwickler beheben sie normalerweise umgehend und veröffentlichen ein Update. Dieses Update enthält einen Sicherheitspatch, der die Schwachstelle von Ihrer Website entfernt.

Wenn Sie das Update verzögern, bleibt Ihre Website angreifbar.

  • Überprüfen Sie während Ihres Audits die Liste der von Ihnen installierten Plugins. Viele von uns Website-Besitzern neigen dazu, neue Themen und Plugins auszuprobieren. Wir verwenden die meisten von ihnen nicht, vergessen aber, dass sie immer noch auf unserer Website installiert sind. Löschen Sie die Plugins, die Sie nicht verwenden. Dadurch werden unnötige Elemente von Ihrer Website entfernt und die Wahrscheinlichkeit verringert, dass Hacker in Ihre Website eindringen.
  • Stellen Sie sicher, dass Sie alle installierten Plugins erkennen. Wenn Sie oder Ihr Team ein Plugin nicht erkennen, empfehlen wir, es zu löschen. Dies liegt daran, dass Hacker, wenn sie in Ihre Website eindringen, manchmal ihre eigenen Plugins installieren. Diese Plugins enthalten Hintertüren, die ihnen geheimen Zugriff auf Ihre Website gewähren.
  • Wenn Sie eine Raubkopien- oder Nulled-Version von Plugins installiert haben, löschen Sie diese sofort. Solche Software enthält oft Malware, die Ihre Website bei der Installation infiziert. Hacker verwenden raubkopierte Software, um ihre Malware zu verbreiten.

Jetzt, da Sie nur die Plugins haben, die Sie verwenden, stellen Sie sicher, dass Sie sie aktualisieren, wenn Entwickler Updates veröffentlichen.

5. Löschen Sie zusätzlich installierte WordPress-Designs

Als Websitebesitzer neigen wir dazu, verschiedene Themen zu installieren, um eines zu finden, das uns gefällt. Oftmals vergessen wir jedoch, diejenigen zu löschen, die wir nicht benötigen. Genau wie Plugins können auch Themes Schwachstellen aufweisen.

Wir empfehlen, alle anderen Designs zu löschen und nur das von Ihnen verwendete Design beizubehalten. Stellen Sie sicher, dass Sie die neueste verfügbare Version Ihres aktiven Designs verwenden.

6. Bewerten Sie Ihren aktuellen Hosting-Anbieter und Plan

Dank Shared Hosting können mehr Menschen Websites ohne große Investitionen erstellen. Shared-Hosting-Pläne sind billiger und auf kleine WordPress-Sites zugeschnitten.

Möglicherweise haben Sie sich zu Beginn für einen Shared-Hosting-Plan entschieden, aber wenn Sie wachsen, müssen Sie prüfen, ob Sie ein Upgrade benötigen.

Shared-Hosting-Pläne bedeutet, dass Sie einen Server mit anderen Websites teilen. Sie haben keine Kontrolle darüber, was die anderen Websites tun, die Ihren Server teilen. Wenn ihre Website gehackt wird, kann dies zu viele Ressourcen des Servers verbrauchen. Dies verlangsamt Ihre Website und verringert ihre Leistung. Es besteht auch eine geringe Wahrscheinlichkeit, dass sich eine Malware-Infektion auf Websites ausbreitet, die denselben Server nutzen. Wenn Sie sich also ein Upgrade leisten können, empfehlen wir Ihnen, auf einen dedizierten Server umzusteigen.

Wenn Sie mit dem Service Ihres aktuellen Hosts nicht zufrieden sind, können Sie verschiedene Hosts vergleichen und sehen, ob Sie Ihre Website auf einen besseren migrieren möchten.

7. Überprüfen Sie Benutzer, die FTP-Zugriff haben

Ein FTP ist ein Dateiübertragungsprotokoll, mit dem Sie Ihren lokalen Computer mit Ihrem Website-Server verbinden können. Sie können auf die Dateien und Ordner Ihrer Website zugreifen und Änderungen vornehmen.

Da Sie Dateien Ihrer WordPress-Site hinzufügen, ändern und löschen können, sollte der Zugriff auf FTP nur denen gewährt werden, denen Sie vertrauen und die unbedingt Zugriff benötigen.

Wir empfehlen, die Liste der FTP-Benutzer zu überprüfen und gegebenenfalls Ihre FTP-Passwörter zurückzusetzen. Dazu müssen Sie auf Ihr WordPress-Hosting-Konto > cPanel > FTP-Konten zugreifen.

cpanel ftp-Konten

Hier sehen Sie eine Liste aller FTP-Konten, die für Ihre Website erstellt wurden. Sie können diejenigen löschen, die keinen Zugriff benötigen.

8. Überprüfen Sie Ihre WordPress Hardening-Maßnahmen

WordPress empfiehlt bestimmte Härtungsmaßnahmen, die Ihre Website sicherer machen. Diese beinhalten:

  1. Deaktivieren des Dateieditors in Plugins und Designs
  2. Plugin-Installation deaktivieren
  3. Zurücksetzen von WordPress-Schlüsseln und Salts
  4. Durchsetzung starker Passwörter
  5. Begrenzung der WordPress-Anmeldeversuche
  6. Implementierung der Zwei-Faktor-Authentifizierung

Wenn Sie weitere Anleitungen benötigen, empfehlen wir Ihnen, unseren umfassenden Leitfaden zur WordPress-Härtung zu lesen .

Während Ihres WordPress-Sicherheitsaudits empfehlen wir zu überprüfen, ob diese Maßnahmen vorhanden sind. Wenn Sie beispielsweise ein Plugin verwenden, um Anmeldeversuche oder die 2-Faktor-Authentifizierung zu begrenzen, stellen Sie sicher, dass das Plugin noch funktioniert und auf dem neuesten Stand ist. Prüfen Sie, ob es bessere Optionen gibt.

Viele der Härtungsmaßnahmen erfordern technisches Know-how zur Umsetzung. Wenn Sie jedoch das MalCare-Sicherheits-Plugin verwenden, können Sie WordPress-Härtungsmaßnahmen mit wenigen Klicks implementieren.

Malcare-Site ist sauber

Dies sind acht sehr wichtige Aufgaben, die regelmäßig ausgeführt werden müssen. Wir empfehlen, halbjährlich oder mindestens jährlich ein Audit durchzuführen. Um zusammenzufassen, was wir behandelt haben, hier ist eine Checkliste, der Sie folgen können:

Checkliste für das WordPress-Sicherheitsaudit

1. Sicherheits-Plugin – Bewerten Sie Ihr Sicherheits-Plugin. Wir empfehlen die Verwendung von MalCare.

2. WordPress-Backup – Testen Sie Ihr Website-Backup, um sicherzustellen, dass es wiederhergestellt werden kann. Wir empfehlen die Verwendung der Testwiederherstellungsoption von BlogVault.

3. Admin-Benutzer – Untersuchen Sie Ihr aktuelles Admin-Setup. Stellen Sie sicher, dass Sie nur denjenigen Administratorrechte gewährt haben, die diese benötigen. Löschen Sie alle inaktiven Benutzer.

4. Plugins – Entfernen Sie nicht verwendete Plugins, die installiert und aktiv sind. Behalten Sie nur die Plugins, die Sie tatsächlich verwenden, und stellen Sie sicher, dass sie regelmäßig aktualisiert werden.

5. Themes – Löschen Sie zusätzlich installierte WordPress-Themes. Behalten Sie nur das aktive Design auf Ihrer Website bei und stellen Sie sicher, dass Sie die neueste verfügbare Version verwenden.

6. Webhost – Bewerten Sie Ihren aktuellen Hosting-Anbieter und Plan. Wir empfehlen, vertrauenswürdige Webhosts und einen dedizierten Serverplan zu verwenden.

7. FTP – Überprüfen Sie Benutzer, die FTP-Zugriff haben. Gewähren Sie nur denjenigen Zugriff, die ihn benötigen.

8. Härtung – Stellen Sie sicher, dass Ihre WordPress-Härtungsmaßnahmen intakt und auf dem neuesten Stand sind.

Abschließende Gedanken

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, einen wiederholbaren Prozess für ein WordPress-Sicherheitsaudit zu erstellen. Wenn Sie diesen Prozess regelmäßig ausführen können, garantieren wir Ihnen, dass Sie Hacker daran hindern können, die Sicherheit Ihrer Website zu umgehen.

Ja, ein vollständiges WordPress-Sicherheitsaudit ist ein langer und langwieriger Prozess. Aber die Wahrheit ist, dass es dazu beitragen kann, Ihr Unternehmen für lange Zeit zu schützen.

Und wenn Sie der Meinung sind, dass ein WordPress-Sicherheitsaudit zu langwierig ist, können Sie den Prozess automatisieren, indem Sie das MalCare-Plugin installieren. Im Gegensatz zu den meisten anderen Website-Sicherheits-Plugins bietet MalCare eine umfassende Suite von Sicherheitstools, die viel mehr können als ein WordPress-Sicherheitsaudit.

MalCare automatisiert viele langwierige und manuelle Sicherheitsaktivitäten wie Malware-Scanning und -Entfernung, regelmäßige Website-Backups, Installation von Firewalls und Bot-Schutz sowie WordPress-Härtung.

All dies können Sie mit nur wenigen Klicks in einem hochmodernen, benutzerfreundlichen Dashboard erledigen.

Sichern Sie Ihre WordPress-Site mit MalCare !