Ein Leitfaden für Anfänger zum Schutz Ihrer WordPress-Site
WordPress ist eines der beliebtesten Content-Management-Systeme.
Tatsächlich wird diese Veröffentlichungsplattform jetzt von mehr als 27,5 % der Top-10-Millionen-Sites verwendet. Andere Plattformen wie Joomla und Drupal verblassen im Vergleich einfach. Was WordPress so weit verbreitet macht, ist seine Benutzerfreundlichkeit, die es ermöglicht, in kurzer Zeit eine voll funktionsfähige Website zu erstellen.
Die Tatsache, dass WordPress so weit verbreitet ist, macht es aber auch zur Zielscheibe für Hacker.
Jegliche Sicherheitslücken können Ihre Website anfällig für böswillige Angriffe machen und dabei sogar Benutzerdaten gefährden. Diese Art von Angriff kann für jedes Unternehmen absolut verheerend sein.
Eine kompromittierte Website verringert nicht nur das Vertrauen Ihrer Besucher, sondern kann auch dazu führen, dass Ihre Seiten bei Google auf die schwarze Liste gesetzt werden. Tatsächlich ist ein Schritt, den Google bereits in Richtung eines sichereren Webs unternimmt, das Anzeigen einer Warnung für Chrome-Benutzer, wenn sie versuchen, eine potenziell unsichere oder irreführende Website (z. B. Phishing oder Malware) zu besuchen.
Jeder, der Ihre Website besucht (falls sie angegriffen wurde), könnte mit Folgendem konfrontiert werden:
Die Bedeutung der Website-Sicherheit kann nicht genug betont werden.
Es genügt ein einziger Angriff, um den Verkauf vollständig zum Erliegen zu bringen und Ihre Website möglicherweise auf die schwarze Liste von Google zu setzen. Das Entfernen Ihrer Website ist sicherlich möglich, aber Sie müssen eine manuelle Überprüfung anfordern, deren Lösung je nach Problem mehrere Tage oder sogar Wochen dauern kann. Eine viel bessere Lösung ist dann, Maßnahmen zum Schutz Ihrer Website zu ergreifen.
Hier werfen wir einen detaillierten Blick darauf, wie Sie Ihre WordPress-Site schützen und sicher halten können.
Halten Sie WordPress auf dem neuesten Stand
Updates für WordPress sind von entscheidender Bedeutung.
Eine Bewertung von über 11.000 infizierten Websites ergab, dass 75 % auf WordPress waren. Noch überraschender ist jedoch die Tatsache, dass über 50 % dieser Websites veraltet waren. Durch die Aktualisierung auf die neueste Version erhalten Sie nicht nur Zugriff auf neuere Funktionen, sondern beheben auch bekannte Sicherheitslücken, die Angreifer ausnutzen könnten.
Tatsächlich werden diese Sicherheitslücken bekannt, wenn neue Updates verfügbar sind. Hier ist ein Beispiel für ein Sicherheitsprotokoll für eine aktualisierte Version von WordPress:
Diese Informationen sind offen verfügbar, wenn neue Updates veröffentlicht werden. Aber wenn Sie nicht sofort aktualisieren, machen Sie Ihre Website anfällig für Angriffe. Aktualisieren Sie immer auf die neueste Version, um Ihre Website vor neu entdeckten Schwachstellen zu schützen. Wenn Updates verfügbar sind, wird oben in Ihrem Dashboard eine Benachrichtigung angezeigt:
Neuere Versionen von WordPress lassen sich einfach per Knopfdruck aktualisieren. Denken Sie daran, dass Ihre Website für kurze Zeit in den Wartungsmodus versetzt wird, bis das Update abgeschlossen ist. Die Aktualisierung dauert nur wenige Minuten, aber wenn sie fertig ist, brauchen Sie nichts weiter zu tun.
Sie haben keine Lust, Ihre Website jedes Mal manuell zu aktualisieren?
Benachrichtigungen können ziemlich nervig sein. Aber das Aktualisieren Ihres WordPress ist eine der einfachsten Möglichkeiten, Ihre Website sicher zu halten. Wenn Sie sich keine Gedanken darüber machen möchten, ob Ihre Website über die neueste Version verfügt, können Sie automatische Updates mit ein paar einfachen Änderungen konfigurieren.
Öffnen Sie die Datei wp-config.php und fügen Sie die folgende Zeile hinzu:
define('WP_AUTO_UPDATE_CORE', true);
Sie können auch automatische Plugin-Updates aktivieren, indem Sie der gleichen Datei die folgende Zeile hinzufügen:
add_filter( 'auto_update_plugin', '__return_true' );
Und fügen Sie diese Zeile hinzu, um Updates für Themen zu aktivieren:
add_filter( 'auto_update_theme', '__return_true' );
Durch das Hinzufügen dieser Zeilen wird sichergestellt, dass Ihre Website auf dem neuesten Stand gehalten wird, ohne dass weitere Maßnahmen erforderlich sind. Wenn Sie jemand sind, der sich einfach nicht mit Updates oder Benachrichtigungen beschäftigen kann, sollten Sie auf jeden Fall automatische Updates konfigurieren, um sicherzustellen, dass Ihre Website immer auf dem neuesten Stand ist.
Schützen Sie den Admin-Bereich
Egal wie sicher etwas ist, jeder kann sich leicht Zugang verschaffen, wenn er die richtigen Werkzeuge hat oder die Eigentümer nachlässig sind. Bei WordPress ist der Admin-Bereich ein bevorzugtes Ziel für Hacker.
Befolgen Sie diese Schritte, um diese Seite sicher zu halten:
Verwenden Sie ein sicheres Passwort
Wenn Sie ein schwaches Passwort verwenden (z. B. „12345″, „Passwort“ usw.), setzen Sie Ihre Website einem größeren Risiko aus, da Angreifer mit automatisierten Skripten Brute-Force-Eindringlinge verwenden können. Dies bedeutet, dass Sie wiederholt versuchen, ein Passwort einzugeben, bis eines endlich funktioniert Aber die Verwendung eines starken Passworts, das eine Kombination aus Zahlen und Symbolen enthält, macht es selbst den ausgeklügeltsten Programmen fast unmöglich, es zu knacken.
Verwenden Sie ein Tool wie den Strong Password Generator, um ein starkes und sicheres Passwort für Ihre WordPress-Site zu erstellen:
Ein solches Passwort brutal zu erzwingen, würde ein Computerprogramm Jahre oder sogar Jahrzehnte brauchen, um es zu knacken. Der Nachteil ist jedoch, dass ein starkes Passwort schwer zu merken ist. Aber der Kompromiss lohnt sich auf jeden Fall, wenn er bedeutet, dass Angreifer daran gehindert werden, Zugriff auf Ihre Website zu erhalten. Glücklicherweise gibt es eine Reihe von Passwort-Managern, mit denen Sie Ihr Passwort speichern können.
Ändern Sie Ihren Benutzernamen
Wenn Sie WordPress zum ersten Mal installieren, werden Sie aufgefordert, einen Benutzernamen einzugeben.
Angreifer können nicht auf Ihr Dashboard zugreifen, wenn sie nicht sowohl Ihren Benutzernamen als auch Ihr Passwort haben. Sie können Brute-Force-Versuche einfach blockieren, indem Sie einfach einen eindeutigeren Benutzernamen verwenden. Verwenden Sie also nicht „admin“, wenn Sie einen Benutzernamen auswählen.
Anmeldeversuche begrenzen
Wie bereits erwähnt, können Angreifer mit Brute-Force-Programmen in Ihre Website eindringen. Es sind jedoch Plugins wie Login LockDown verfügbar, mit denen Sie Anmeldeversuche von einer bestimmten IP-Adresse aus einschränken können. Wenn mehr als ein paar Versuche fehlschlagen, wird dieser Benutzer gesperrt.
Benennen Sie Ihre Anmeldeseite um
Schließlich besteht eine weitere Möglichkeit, den Admin-Bereich zu schützen, darin, die Anmeldeseite insgesamt zu verschieben. Der Zugriff auf das Dashboard erfolgt normalerweise über www.yoursite.com/wp-admin
. Ein eklatantes Problem ist jedoch, dass Hacker wissen, dass das einfache Anhängen von „ /wp-admin
“ an eine WordPress-Site ihnen Zugriff auf die Admin-Seite verschafft.
Protect WP-Admin löst dieses Problem, indem es Webmastern ermöglicht, die URL des Admin-Panels anzupassen:
Der Schutz des Admin-Bereichs durch Befolgen dieser Schritte kann automatisierte Angriffe auf Ihre Website erheblich reduzieren und blockieren.
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem sie es Angreifern noch schwerer macht, sich Zugang zu Ihrem Konto zu verschaffen. Die Anmeldung erfordert nicht nur einen Benutzernamen und ein Passwort, sondern auch einen zusätzlichen Autorisierungscode, der normalerweise per SMS an ein mobiles Gerät gesendet wird.
Selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort irgendwie errät, kann er sich ohne den Autorisierungscode nicht bei Ihrem Konto anmelden. Laden Sie das Google Authenticator-Plugin herunter und installieren Sie es, um die Zwei-Faktor-Authentifizierung auf Ihrer Website einfach einzurichten:
Neben der Möglichkeit, die Google Authenticator App zur Verifizierung zu verwenden, bietet das Plugin auch zusätzliche Optionen zur Zwei-Faktor-Authentifizierung wie E-Mail- und Telefonanruf-Verifizierung. Die Zwei-Faktor-Authentifizierung kann auch verwendet werden, wenn Ihre Website mehrere Benutzer hat.
Verwenden Sie .htaccess, um den Zugriff auf wichtige Dateien zu beschränken
Mit der .htaccess-Datei können Sie die Sicherheit auf Ihrer WordPress-Seite weiter erhöhen. Diese Datei wird in WordPress hauptsächlich zur Website-Optimierung verwendet, z. B. zum Umschreiben von URLs, um benutzer- und suchmaschinenfreundlicher zu sein. Es kann aber auch verwendet werden, um die Sicherheit Ihrer Website zu verbessern.
Die .htaccess-Datei befindet sich normalerweise im Stammordner und kann entweder über einen FTP-Client oder cPanel aufgerufen werden. Es sind auch mehrere Plugins verfügbar, darunter SEO by Yoast, das einen direkten Zugriff vom Dashboard aus ermöglicht.
Hier sind mehrere Möglichkeiten, Ihre Website mit der .htaccess-Datei zu schützen:
wp-config.php ausblenden
Die Datei wp-config.php ist Standard bei jeder Installation, enthält aber auch vertrauliche Informationen wie Sicherheitsschlüssel und Datenbankverbindungsdetails zu Ihrer Website. Das sind Details, die Sie sicher nicht in die falschen Hände geben wollen. Die beste Lösung ist dann, diese Datei vollständig auszublenden und unzugänglich zu machen.
Verstecke die wp-config.php-Datei, indem du den folgenden Code zur .htaccess-Datei hinzufügst:
order allow,deny
deny from all
Durchsuchen von Verzeichnissen verhindern
Aufgrund der Art und Weise, wie WordPress seine Dateistruktur implementiert, ist es für Besucher durchaus möglich, auf die Ordner und Dateien deiner Website zuzugreifen, indem sie einfach zu yoursite.com/wp-content/uploads navigieren. Sie sollten also das Durchsuchen von Verzeichnissen verhindern, da Angreifer diese Informationen für schändliche Zwecke verwenden könnten.
Fügen Sie Ihrer .htaccess-Datei die folgende Zeile hinzu:
Options All -Indexes
Es ist unglaublich wichtig, PHP-Dateien zu schützen, da Hacker diese Dateien verwenden können, um bösartigen Code einzuschleusen, um eine Website zu infizieren. Fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu, um den Zugriff auf die PHP-Dateien Ihres Plugins und Ihres Themes zu verhindern:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Allein das Hinzufügen dieser Änderungen zu Ihrer .htaccess-Datei wird die Sicherheit Ihrer WordPress-Seite verbessern und es Angreifern noch schwerer machen, sich Zugriff auf Ihre Seite zu verschaffen. Unabhängig davon gibt es keine Website, die absolut sicher ist, da ständig neue Schwachstellen entdeckt und ausgenutzt werden.
Deshalb brauchen Sie einen Backup-Plan für den Fall, dass sich die Dinge zum Schlechten wenden.
Sichern Sie Ihre Website regelmäßig. Führen Sie regelmäßige Sicherungen durch
Egal wie viele Sicherheitsmaßnahmen Sie ergreifen, Ihre Website könnte immer noch anfällig sein.
Obwohl es WordPress seit weit über einem Jahrzehnt gibt, identifiziert und behebt das Entwicklungsteam ständig Sicherheitsprobleme. Ganz zu schweigen davon, dass alle neuen Designs oder Plugins, die Sie installieren, auch Exploits enthalten können, die noch nicht behoben wurden.
Aus diesem Grund ist es eine gute Idee, Ihre Website regelmäßig zu sichern. Auf diese Weise können Sie Ihre Website schnell wiederherstellen und Verluste minimieren, wenn Ihre Website durch einen Angriff heruntergefahren wird.
Sie sollten sicherstellen, dass Ihre Website regelmäßig gesichert und auch in der Cloud gespeichert wird. Wenn Ihr Computer kompromittiert ist, können Sie auf diese Sicherung zugreifen und von einem anderen Gerät wiederherstellen. Wir empfehlen die Verwendung einer automatisierten Lösung wie BackupBuddy.
Die meisten Backup-Lösungen erfordern ein kostenpflichtiges Abonnement. Aber wenn Sie sich für Ihr Geschäft auf Ihre Website verlassen, lohnt es sich, allein für die Sicherheit zu bezahlen. Für den Fall, dass Ihre Website aufgrund eines Angriffs heruntergefahren wird, können Sie mit Ihrem Hosting-Provider zusammenarbeiten und Ihre Website mit einem Backup problemlos auf eine frühere Version zurücksetzen.
Fazit
Während WordPress selbst relativ sicher ist, erhöht das Hinzufügen von Designs, Plugins und benutzerdefiniertem Code die Wahrscheinlichkeit einer Sicherheitslücke, die Hacker ausnutzen können (und tun). Wenn Sie nicht sofort bestimmte Sicherheitsmaßnahmen ergreifen, könnte Ihre Website ein potenzielles Ziel sein.
Es ist wichtig zu beachten, dass kein System vollständig sicher ist. Es gibt jedoch Vorsichtsmaßnahmen, die Sie ergreifen können, um die Wahrscheinlichkeit, von einem böswilligen Angriff betroffen zu werden, erheblich zu verringern.
Befolgen Sie die hier beschriebenen Schritte, um die Sicherheit Ihrer WordPress-Site zu erhöhen.