WEB-sicherheitWeb und WordPressWeb-tipps und tricks

10 innovative WordPress-Sicherheitshacks zum Schutz Ihrer Website

9
Inhalt Verbergen
1 Verwenden Sie die Zwei-Faktor-Authentifizierung:
2 Deaktivieren Sie die Bearbeitung von Vorlagendateien über das WP Dashboard
3 Anmeldefehler-Feedback von Besuchern ausblenden
4 Löschen Sie den Benutzer „admin”.
5 Blenden Sie die WordPress-Versionsnummer aus
6 Blockieren Sie den Zugriff auf Bots
7 Verwenden Sie die richtigen Datei-/Ordnerberechtigungen
8 Anmeldeversuche von Benutzern begrenzen:
9 Verwenden Sie den SSL-Modus für Anmeldesitzungen
10 Deaktivieren Sie den Zugriff auf den Ordner „wp-content”.

Unabhängig davon, ob Sie ein privates Blog oder eine geschäftskritische Website mit sensiblen Daten besitzen, müssen Sie darauf achten, diese so weit wie möglich zu sichern. Um zu verhindern, dass ein Besucher mit böswilliger Absicht Zugriff auf Ihre Website erhält, ist es wichtig, eine Sicherheitscheckliste zu erstellen und regelmäßige Sicherheitsüberprüfungen durchzuführen.

Allerdings ist ein hundertprozentig sicheres System praktisch unmöglich zu konfigurieren, da immer die Wahrscheinlichkeit besteht, dass neue „Bedrohungen” aus heiterem Himmel auftauchen. Obwohl es möglicherweise nicht möglich ist, das Risiko von Sicherheitsverletzungen vollständig zu beseitigen, kann Ihnen das Befolgen einer Reihe von Best Practices dabei helfen, die potenziellen Schwachstellen zu minimieren.

Wenn es um die Sicherung einer WordPress- Website geht, haben Sie die Qual der Wahl, was die Verfügbarkeit von Ressourcen betrifft. Es gibt viele Tipps, Optimierungen und Tutorials, die auf einer Vielzahl von Websites und Blogs veröffentlicht wurden. Bei genauerem Hinsehen wird man jedoch von der fehlenden Substanz enttäuscht. Die auf den meisten dieser Websites aufgeführten WordPress-Sicherheitsmaßnahmen sind sehr grundlegender Natur. Sei es das Upgrade auf die neueste Version von WordPress, die Planung regelmäßiger Backups oder die Verwendung eines Admin-Passworts mit hoher Komplexität – all diese grundlegenden Maßnahmen haben Sie möglicherweise bereits umgesetzt. Ganz offensichtlich ist die Frage, die Ihnen in den Sinn kommt, "Was kommt als nächstes?"

Dieses Tutorial soll eine eindeutige Antwort auf Ihre Frage geben. Hier werden zehn innovative Sicherheitsmaßnahmen besprochen, die Ihnen dabei helfen können, die Kontrolle über eine WordPress-Website in Ihrer sicheren Verwahrung zu behalten. Kommen wir nun zu den Details.

1 Verwenden Sie die Zwei-Faktor-Authentifizierung:

Wenn Sie die Zwei-Faktor-Authentifizierung implementieren, muss eine Person, die versucht, sich bei Ihrem WordPress-Dashboard anzumelden, neben dem Standard-Benutzernamen und -Passwort ein zufällig generiertes OTP (One Time Password) eingeben. Kryptografische Funktionen werden verwendet, um OTP in Echtzeit zu generieren, und es wird nur an den beabsichtigten Empfänger auf einem Kommunikationsgerät über ein sicheres Gateway gesendet. Das Handy ist das am weitesten verbreitete Kommunikationsgerät für diesen Zweck.

Selbst wenn es einem Hacker gelingt, Ihren Benutzernamen und Ihr Passwort zu stehlen, kann er ohne das One Time Password dennoch nicht auf Ihr WordPress-Admin-Panel zugreifen.

Wie implementiert man die Zwei-Faktor-Authentifizierung?

Sie können jedes OTP-generierende Plugin verwenden, um die Zwei-Faktor-Authentifizierung auf Ihrer WordPress-Website zu implementieren. Auf dem Markt sind sowohl kommerzielle als auch kostenlos nutzbare Plugins erhältlich. Zwei empfohlene Plugins, die im WordPress-Repository frei verfügbar sind, sind:

  1. Zwei-Faktor-Authentifizierung
  2. Duo-Zwei-Faktor-Authentifizierung

Beide Plugins sind selbst für einen Anfänger-Webmaster sehr einfach zu konfigurieren. Eine ausführliche Dokumentation zur Installation und Einrichtung finden Sie auf den jeweiligen Plugin-Seiten.

2 Deaktivieren Sie die Bearbeitung von Vorlagendateien über das WP Dashboard

Ein WordPress-Benutzer mit Administratorzugriff kann die Vorlagendateien Ihrer Website bearbeiten, indem er zu Darstellung > Editor navigiert. Falls es einem Besucher mit böswilliger Absicht gelingt, Ihre Admin-Benutzeranmeldeinformationen zu hacken, kann auch er die gewünschten Änderungen an diesen Dateien direkt von Ihrem WordPress-Dashboard aus vornehmen. Um dies zu verhindern, können Sie die Dateibearbeitung im WordPress-Dashboard deaktivieren.

Wie deaktiviere ich die Bearbeitung von Vorlagendateien?

Um die Dateibearbeitung über das Dashboard-Editor zu deaktivieren, müssen Sie der Konfigurationsdatei Ihrer WordPress-Website eine Codezeile hinzufügen. Gehen Sie zum Dateimanagerprogramm, das in Ihrem Hosting-Kontrollfeld verfügbar ist, und navigieren Sie zum Stammverzeichnis. Öffne die Datei wp-config.php in einem Texteditor und füge die folgende Codezeile am Ende der Datei an.

define( 'DISALLOW_FILE_EDIT', true );

3 Anmeldefehler-Feedback von Besuchern ausblenden

Welchem ​​Zweck dient es, Ihren Besuchern Fehlerprotokolle anzuzeigen? Absolut gar nichts. Wenn etwas schief geht, sollten nur Sie als Administrator davon erfahren. Um die Sache noch schlimmer zu machen, geben Sie durch die Veröffentlichung des Fehler-Feedbacks einem technisch versierten Besucher gerade genug Hinweise, um zu versuchen, Ihre Website zu hacken.

Wie stoppe ich die Anzeige von Fehler-Feedback?

Es gibt eine einfache Methode, um zu verhindern, dass Feedback zu WordPress-Anmeldefehlern öffentlich angezeigt wird. Nachdem Sie sich bei Ihrem WordPress-Admin-Panel angemeldet haben, navigieren Sie zu Aussehen > Editor. Öffnen Sie die Datei functions.php des aktiven Designs und platzieren Sie das folgende Code-Snippet irgendwo in der Datei.

add_filter('login_errors',create_function('$a', "return null;"));

4 Löschen Sie den Benutzer „admin”.

Das standardmäßige administrative Benutzerkonto, das zum Zeitpunkt der WordPress-Installation automatisch erstellt wird, ist „admin”. Es ist auch der anfälligste Bereich in Bezug auf die WordPress-Sicherheit, der von den Hackern meistens ausgenutzt wird. Daher ist es eine sehr gute Idee, dieses standardmäßige „Admin”-Konto zu löschen und Ihre Website von einem anderen „Pseudo”-Admin-Konto aus zu verwalten, um die Hacker in Schach zu halten. Zumindest wird es jedem potenziellen Hacker das Leben ein wenig schwerer machen.

Wie lösche ich den Standardbenutzer „admin”?

Diese Aktivität kann in zwei verschiedenen Phasen durchgeführt werden, wie unten beschrieben:

  1. Während der Installation von WordPress: Wenn es sich um ein neues Hosting-Konto handelt, auf dem Sie Ihre WordPress-Website erstellen möchten, können Sie den Benutzer „admin” während der Installation von WordPress entfernen. Auf dem ersten Installationsbildschirm erhalten Sie vom Benutzer konfigurierbare Optionen. Der Benutzername ist ein solches Element, das Sie ändern dürfen. Bevor Sie auf die Schaltfläche „Installieren” unten auf Ihrem Bildschirm klicken, ersetzen Sie einfach den Standardbenutzernamen „admin” durch einen beliebigen Namen. Fahren Sie dann wie gewohnt mit dem Installationsvorgang fort.
  2. Für eine bestehende WordPress-Installation: Wenn Sie bereits eine bestehende WordPress-Website haben, müssen Sie sich zuerst mit Ihrem „Admin”-Konto anmelden und ein neues Benutzerkonto erstellen. Stellen Sie sicher, dass Sie dem neuen Benutzer volle Administratorrechte gewähren. Melden Sie sich dann vom ‘admin-Konto ab und wieder mit dem neu erstellten Benutzerkonto an. Gehen Sie in Ihrem WordPress-Dashboard zur Registerkarte „Benutzer” und löschen Sie das Benutzerkonto „admin”. Sie können Ihr Dashboard jetzt mit dem neu erstellten Administrator verwalten.

5 Blenden Sie die WordPress-Versionsnummer aus

Jede Version von WordPress hat ein paar Schwachstellen, die normalerweise behoben werden, wenn die nachfolgende Version veröffentlicht wird. Wenn es einem Hacker gelingt, herauszufinden, welche Version von WordPress Sie verwenden, kann er diese leicht mit einer bekannten Schwachstelle in Verbindung bringen und sie ausnutzen, um die Kontrolle über Ihre Website zu erlangen. Um ein solches Szenario zu verhindern, können Sie die WordPress-Funktionsdatei anweisen, die Versionsnummer nicht preiszugeben.

Wie versteckt man die WP-Versionsnummer?

Normalerweise wird die WordPress-Versionsnummer über die Funktion „wp-head()” in die Header-Datei deines Themes eingefügt. Das Entfernen der Funktion ist jedoch keine Lösung, da dieselbe Funktion möglicherweise auch von einigen der von Ihnen installierten Plugins verwendet wird. Stattdessen ist es eine bessere Alternative, das folgende Code-Snippet zu Ihrer Datei functions.php hinzuzufügen.

remove_action('ks29so_head','ks29so_generator');

6 Blockieren Sie den Zugriff auf Bots

Bots sind computerprogrammierte automatisierte Tools, die von Hackern verwendet werden, um die Kontrolle über Ihre Website zu übernehmen. Diese automatisierten Programme können auch Ihre Webhosting-Ressourcen nutzen, um andere Aktivitäten im Namen des Hackers durchzuführen. Indem Sie verhindern, dass Bots Zugriff auf Ihre Webseiten und Verzeichnisse erhalten, können Sie die Website-Administration besser in den Griff bekommen.

Wie kann man verhindern, dass Bots auf Ihre Website zugreifen?

Mod Rewrite ist ein wirksames Mittel, um den Bot-Zugriff zu blockieren. Öffnen Sie mit einem beliebigen Texteditorprogramm die .htaccessDatei „ ” in Ihrem WordPress-Stammverzeichnis. Scrollen Sie bis zum Ende der Datei, fügen Sie das unten genannte Code-Snippet ein und speichern Sie die Datei dann an derselben Stelle. Stellen Sie sicher, dass Sie den Dateinamen nicht ändern.

SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out

7 Verwenden Sie die richtigen Datei-/Ordnerberechtigungen

Dateiberechtigungen sind nichts anderes als eine Zugriffsbeschränkungsmethode. Mit den richtigen Dateiberechtigungsparametern können Sie verhindern, dass Besucher auf wichtige Konfigurationsdateien zugreifen, die sich in Ihrem WordPress-Installationsverzeichnis befinden.

Wie implementiert man Zugriffsbeschränkungen?

Nachfolgend sind die empfohlenen Datei- und Ordnerberechtigungseinstellungen für Ihre WordPress-Website aufgeführt:

Der CHMOD-Wert für alle Datendateien sollte auf 644 gesetzt werden.

Der CHMOD-Wert für alle Ordner und Unterordner sollte auf 755 gesetzt werden.

Der CHMOD-Wert für die WordPress-Konfigurationsdatei (wp-config.php) sollte auf 640 gesetzt werden.

8 Anmeldeversuche von Benutzern begrenzen:

Höchstwahrscheinlich wird erwartet, dass ein Hacker verschiedene Kombinationen aus Benutzername und Passwort verwendet, um in Ihr WordPress-Admin-Panel einzudringen. Sofern die Anzahl der fehlgeschlagenen Anmeldeversuche nicht begrenzt ist, kann ein Hacker so lange weitermachen, bis er die richtige Kombination aus Benutzername und Passwort gefunden hat.

Wie kann man Anmeldeversuche begrenzen?

Die einfachste Möglichkeit, die Anmeldeversuche von Benutzern zu begrenzen, ist die Verwendung eines Open-Source-Plug-ins, Limit Login Attempts. Es kann kostenlos aus dem WordPress-Plugin-Repository heruntergeladen werden. Nach der Installation und Aktivierung des Plugins können Sie die Anzahl der fehlgeschlagenen Anmeldeversuche festlegen, die ein Benutzer für einen bestimmten Zeitraum versuchen darf.

9 Verwenden Sie den SSL-Modus für Anmeldesitzungen

Das Erzwingen des SSL-Modus Ihrer WordPress-Website für die Anmeldung gewährleistet eine sichere Datenübertragung zwischen dem Webbrowser des Benutzers und Ihrem Server. Der Webbrowser verschlüsselt den Benutzernamen und das Passwort, bevor er sie über einen sicheren Kanal an Ihr Serversystem sendet, wenn SSL verwendet wird.

Wie verwende ich den SSL-Modus für alle Anmeldungen?

In erster Linie müssen Sie ein gültiges SSL-Zertifikat auf Ihrem Webserver installiert haben. Um den SSL-Modus für alle Benutzeranmeldungen zu erzwingen, müssen Sie SSL-Anmeldeeinstellungen in Ihrer WordPress-Konfigurationsdatei (wp-config.php) definieren. Sie können den SSL-Modus entweder nur für den Admin-Benutzer erzwingen oder diese Funktion für alle Anmeldungen aktivieren. Gehe in dein Stammverzeichnis und öffne die Datei wp-config.php. Fügen Sie dann je nach Anforderung eines der unten angegebenen Code-Snippets hinzu.

Nur für Admin-Anmeldesitzungen:

define('FORCE_SSL_ADMIN', true);

Für alle Benutzeranmeldesitzungen:

define('FORCE_SSL_LOGIN', true);

10 Deaktivieren Sie den Zugriff auf den Ordner „wp-content”.

Alle Bilder und Mediendateien, die Sie auf Ihre WordPress-Website hochladen, werden im Ordner „wp-content” gespeichert. Es enthält auch alle Plugin-Dateien. Hacker können es als Einstiegspunkt verwenden, um schädliche Elemente auf Ihrer Website einzuschleusen. Eine weitere unethische Aktivität, die über denselben Kanal ausgeführt werden kann, ist Bandbreitendiebstahl. Es wird daher dringend empfohlen, den öffentlichen Zugriff auf dieses Verzeichnis zu blockieren.

Wie deaktiviere ich den Zugriff auf Mediendateien und Plugins?

Sie können Ihrer .htaccessDatei eine Regel hinzufügen, um den Zugriff auf alle Dateitypen zu verhindern, die im Ordner „wp-content” verfügbar sind. Denken Sie daran, dass CSS- und JavaScript-Dateien zusammen mit den Bildern (jpg, png, gif) dem höchsten Risiko ausgesetzt sind, von Hackern ausgenutzt zu werden.

Order Allow,Deny
Deny from all
<files ?.(jpg|gif|png|js|css)$? ~>
Allow from all

Fazit:

Mit jedem Tag erfinden die Hacker neue Techniken, um die Kontrolle über Ihre Website und Ihr Geschäft zu übernehmen. Es hat keinen Sinn, sich an das zu halten, was die „Anderen” seit Ewigkeiten machen. Um die Möglichkeit auszuschließen, dass Ihre WordPress-Website gehackt wird, müssen Sie einen Schritt voraus bleiben und schlauer sein als Ihr Erzfeind.

Das könnte dir auch gefallen Mehr vom Autor

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. Annehmen Weiterlesen