Kategorien
Webdesign

13 einfache WordPress Tricks für die Sicherheit Ihrer Webseite

Ich habe viele Website-Betreiber über die Sicherheit von WordPress klagen hören. Es wird angenommen, dass ein Open-Source-Skript anfällig für alle Arten von Angriffen ist. Ist das eine Tatsache? Und wenn ja, wie sichern Sie Ihre WordPress-Website?

Glücklicherweise ist das Fehlen einer integrierten WordPress-Sicherheit ein Mythos. Tatsächlich ist es manchmal genau umgekehrt – WordPress-Seiten sind viel sicherer als ihre Online-Geschwister.

Heute möchte ich einige einfache Tricks besprechen, die Ihnen helfen können, Ihre WordPress-Website noch sicherer zu machen.

Nachdem Sie diese Taktiken umgesetzt und kontinuierliche WordPress-Sicherheitsüberprüfungen durchgeführt haben, sind Sie auf dem besten Weg, Ihre WordPress-Seite für immer zu sichern.

Einrichten einer Website-Sperrfunktion und Sperren von Benutzern

Eine Sperrfunktion für fehlgeschlagene Anmeldeversuche kann das riesige Problem der kontinuierlichen Brute-Force-Versuche lösen. Immer wenn es einen Hacker-Versuch mit wiederholt falschen Passwörtern gibt, wird die Website gesperrt und Sie werden über diese unbefugte Aktivität informiert.

Ich habe herausgefunden, dass das iThemes-Sicherheits-Plugin eines der besten derartigen Plugins ist, die es gibt, und ich benutze es schon seit einiger Zeit. Das Plugin hat in dieser Hinsicht eine Menge zu bieten. Zusammen mit über 30 anderen großartigen WordPress-Sicherheitsmaßnahmen können Sie eine bestimmte Anzahl von fehlgeschlagenen Anmeldeversuchen festlegen, bevor das Plugin die IP-Adresse des Angreifers verbietet.

Verwendung der Zwei-Faktor-Authentifizierung für die Sicherheit von WordPress

Die Einführung eines Zwei-Faktor-Authentifizierungsmoduls (2FA) auf der Anmeldeseite ist eine weitere gute Sicherheitsmaßnahme. In diesem Fall gibt der Benutzer die Anmeldedaten für zwei verschiedene Komponenten an. Der Website-Eigentümer entscheidet, was diese beiden Komponenten sind. Es kann ein normales Passwort sein, gefolgt von einer geheimen Frage, einem Geheimcode, einem Zeichensatz oder, populärer, der Google Authenticator-App, die einen Geheimcode an Ihr Telefon sendet. Auf diese Weise kann sich nur die Person, die Ihr Telefon benutzt (Sie), auf Ihrer Website anmelden.

Ich ziehe es vor, einen Geheimcode zu verwenden, wenn ich 2FA auf einer meiner Websites veröffentliche. Das Google Authenticator-Plugin hilft mir dabei mit nur wenigen Klicks.

Benutzen Sie Ihre E-Mail zur Anmeldung

Standardmäßig müssen Sie Ihren Benutzernamen eingeben, um sich bei WordPress anzumelden. Die Verwendung einer E-Mail-ID anstelle eines Benutzernamens ist ein sichererer Ansatz. Die Gründe dafür liegen auf der Hand. Benutzernamen sind leicht vorhersehbar, E-Mail-IDs hingegen nicht. Außerdem wird jedes WordPress-Benutzerkonto mit einer eindeutigen E-Mail-Adresse erstellt, die eine gültige Kennung für das Einloggen darstellt.

Mehrere WordPress-Sicherheits-Plugins ermöglichen es, Anmeldeseiten einzurichten, so dass alle Benutzer ihre E-Mail-Adressen zum Einloggen verwenden müssen.

4. Benennen Sie Ihre Anmelde-URL um, um Ihre WordPress-Site zu sichern

Die Änderung der Anmelde-URL ist eine einfache Angelegenheit. Standardmäßig kann die WordPress-Anmeldeseite leicht über wp-login.php oder wp-admin aufgerufen werden, die der Haupt-URL der Website hinzugefügt wird.

Wenn Hacker die direkte URL Ihrer Anmeldeseite kennen, können sie versuchen, mit brutaler Gewalt in die Website einzudringen. Sie versuchen, ihre GWDb (Guess Work Database, d.h. eine Datenbank mit erratenen Benutzernamen und Passwörtern; z.B. Benutzername: admin und Passwort: p@ssword … mit Millionen solcher Kombinationen) zu benutzen.

Zu diesem Zeitpunkt haben wir bereits die Login-Versuche der Benutzer eingeschränkt und die Benutzernamen gegen E-Mail-IDs ausgetauscht. Jetzt können wir die Login-URL ersetzen und 99% der direkten Brute-Force-Angriffe beseitigen.

Dieser kleine Trick schränkt den Zugang einer nicht autorisierten Entität zur Login-Seite ein. Nur jemand mit der genauen URL kann dies tun. Auch hier kann das iThemes-Sicherheits-Plugin Ihnen helfen, Ihre Anmelde-URLs zu ändern.

5. Passen Sie Ihre Passwörter an

Spielen Sie mit Ihren Passwörtern und ändern Sie sie regelmäßig, um Ihre WordPress-Webseite zu sichern. Verbessern Sie ihre Stärke, indem Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen hinzufügen. Viele Leute entscheiden sich für lange Passphrasen, da diese für Hacker fast unmöglich vorherzusagen sind, aber leichter zu merken sind als ein Haufen zufälliger Zahlen und Buchstaben.

Und, okay, wir alle wissen, dass wir das oben genannte tun „sollten“, aber es ist nicht immer etwas, für das wir Zeit haben. An dieser Stelle kommen einige hochwertige Passwortmanager ins Spiel. Sie generieren nicht nur sichere Passwörter für Sie, sondern bewahren sie auch in einem sicheren Tresor auf, was Ihnen die Mühe erspart, sich diese zu merken.

6. Schützen Sie das Verzeichnis wp-admin

Das wp-admin-Verzeichnis ist das Herzstück jeder WordPress-Website. Wenn dieser Teil Ihrer Website verletzt wird, kann daher die gesamte Website beschädigt werden.

Eine Möglichkeit, dies zu verhindern, ist der Passwortschutz des wp-admin-Verzeichnisses. Mit einer solchen WordPress-Sicherheitsmaßnahme kann der Website-Besitzer durch die Eingabe von zwei Passwörtern auf das Dashboard zugreifen. Eines schützt die Anmeldeseite, das andere den WordPress-Admin-Bereich.

7. SSL zur Verschlüsselung von Daten verwenden

Die Implementierung eines SSL (Secure Socket Layer)-Zertifikats ist ein kluger Schachzug zur Sicherung des Verwaltungsbereichs. SSL gewährleistet eine sichere Datenübertragung zwischen den Browsern der Benutzer und dem Server, wodurch es für Hacker schwierig wird, die Verbindung zu unterbrechen oder Ihre Daten zu verfälschen.

Ein SSL-Zertifikat für Ihre WordPress-Website zu erhalten ist einfach. Sie können ein solches von einem Drittanbieter erwerben oder prüfen, ob Ihr Hostingunternehmen ein solches kostenlos zur Verfügung stellt.

Ich verwende auf den meisten meiner Websites das kostenlose Open-Source-SSL-Zertifikat Let’s Encrypt. Jede gute Hosting-Firma wie SiteGround bietet ein kostenloses Let’s Encrypt SSL-Zertifikat mit ihren Hosting-Paketen an.

Das SSL-Zertifikat wirkt sich auch auf die Google-Rankings Ihrer Website aus. Google neigt dazu, Websites mit SSL höher zu bewerten als Websites ohne SSL. Das bedeutet mehr Verkehr. Wer will das nicht?

8. Ändern Sie das WordPress-Datenbank-Tabellen-Präfix

Wenn Sie jemals WordPress installiert haben, dann ist Ihnen das wp-Tabellen-Präfix, das von der WordPress-Datenbank verwendet wird, vertraut. Ich empfehle Ihnen, es in etwas Einzigartiges zu ändern.

Die Verwendung des Standard-Präfixes macht Ihre Website-Datenbank anfällig für SQL-Injection-Angriffe. Solche Angriffe können verhindert werden, indem wp- auf einen anderen Begriff geändert wird. Sie können ihn zum Beispiel zu mywp- oder wpnew- machen.

Wenn Sie Ihre WordPress-Website bereits mit dem Standard-Präfix installiert haben, dann können Sie einige Plugins verwenden, um es zu ändern. Plugins wie WP-DBManager oder iThemes Security können Ihnen dabei helfen, die Arbeit mit nur einem Klick auf eine Schaltfläche zu erledigen. (Stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer Website erstellen, bevor Sie etwas an der Datenbank vornehmen).

9. Erstellen Sie regelmäßig Backups, um Ihre WordPress-Site zu sichern.

Ganz gleich, wie sicher Ihre WordPress-Site ist, es gibt immer Raum für Verbesserungen. Aber am Ende des Tages kann es das beste Gegenmittel sein, ein Off-Site Backup irgendwo aufzubewahren, egal was passiert.

Wenn Sie ein Backup haben, können Sie Ihre WordPress-Site immer wieder in einen funktionierenden Zustand bringen. Es gibt einige Plugins, die Ihnen in dieser Hinsicht helfen können. Zum Beispiel gibt es alle diese.

Wenn Sie nach einer erstklassigen Lösung suchen, empfehle ich Ihnen VaultPress von Automattic, was großartig ist. Ich habe es so eingerichtet, dass es jede Woche ein Backup erstellt. Und sollte einmal etwas Schlimmes passieren, kann ich die Website mit nur einem Klick wiederherstellen.

Ich weiß, dass einige große Websites stündlich gesichert werden, aber für die meisten Unternehmen ist das übertrieben. Ganz zu schweigen davon, dass Sie dafür sorgen müssten, dass die meisten dieser Sicherungen nach einer neuen gelöscht werden, da jede Sicherungsdatei Platz auf Ihrer Festplatte belegt. Dennoch würde ich für die meisten Unternehmen wöchentliche oder monatliche Backups empfehlen.

Zusätzlich zu den Backups überprüft VaultPress auch meine Website auf Malware und warnt mich, wenn etwas Ungewöhnliches vor sich geht.

10 Schützen Sie die Datei wp-config.php

Die Datei wp-config.php enthält wichtige Informationen über Ihre WordPress-Installation, und sie ist die wichtigste Datei im Stammverzeichnis Ihrer Website. Sie zu schützen bedeutet, den Kern Ihres WordPress-Blogs zu sichern.

Diese Taktik macht es Hackern schwer, die Sicherheit Ihrer Website zu verletzen, da die wp-config.php-Datei für sie unzugänglich wird.

Als Bonus ist der Schutzprozess wirklich einfach. Nehmen Sie einfach Ihre wp-config.php-Datei und verschieben Sie sie auf eine höhere Ebene als Ihr Stammverzeichnis.

Die Frage ist nun, wenn Sie sie anderswo speichern, wie greift der Server darauf zu? In der aktuellen WordPress-Architektur sind die Einstellungen der Konfigurationsdatei auf die höchste Stufe der Prioritätsliste gesetzt. Selbst wenn sie also einen Ordner oberhalb des Stammverzeichnisses gespeichert ist, kann WordPress sie immer noch sehen.

11. Verzeichnisberechtigungen sorgfältig festlegen

Falsche Verzeichnisberechtigungen können fatal sein, insbesondere wenn Sie in einer gemeinsam genutzten Hosting-Umgebung arbeiten.

In einem solchen Fall ist das Ändern von Dateien und Verzeichnisberechtigungen ein guter Schritt, um die Website auf der Hosting-Ebene zu sichern. Die Einstellung der Verzeichnisberechtigungen auf „755“ und der Dateien auf „644“ schützt das gesamte Dateisystem – Verzeichnisse, Unterverzeichnisse und einzelne Dateien.

Dies kann entweder manuell über den Dateimanager in Ihrem Hosting-Kontrollzentrum oder über das Terminal (mit SSH verbunden) erfolgen – verwenden Sie den Befehl „chmod“.

Für weitere Informationen können Sie sich über das korrekte Berechtigungsschema für WordPress informieren oder das iThemes-Sicherheits-Plugin installieren, um Ihre aktuellen Berechtigungseinstellungen zu überprüfen.

12. Verstehen und schützen Sie sich vor DDoS-Angriffen

Ein DDoS-Angriff ist eine übliche Art von Angriff auf die Bandbreite Ihres Servers, bei dem der Angreifer mehrere Programme und Systeme verwendet, um Ihren Server zu überlasten. Obwohl ein solcher Angriff Ihre Website-Dateien nicht gefährdet, soll er Ihre Website für einen langen Zeitraum zum Absturz bringen, wenn er nicht aufgelöst wird. Normalerweise hört man von DDoS-Angriffen nur dann, wenn sie bei großen Unternehmen wie GitHub oder Target vorkommen. Sie werden von so genannten Cyber-Terroristen durchgeführt, also könnte das Motiv einfach darin bestehen, Verwüstungen anzurichten.

Man muss jedoch nicht unbedingt ein Fortune-500-Unternehmen sein, um gefährdet zu sein.

Wenn Sie das beunruhigt, empfehlen wir Ihnen, sich für die Sucuri– oder Cloudflare-Premium Leistungen anzumelden. Diese Lösungen verfügen über Webanwendungs-Firewalls, um die genutzte Bandbreite zu analysieren und DDoS-Angriffe vollständig zu blockieren.

13. Regelmäßige Updates für die Sicherheit von WordPress

Jedes gute Softwareprodukt wird von seinen Entwicklern unterstützt und von Zeit zu Zeit aktualisiert. Diese Aktualisierungen sind dazu gedacht, Fehler zu beheben und enthalten manchmal wichtige Sicherheitspatches. WordPress, und seine Plugins, ist nicht anders.

Wenn Sie Ihre Themes und Plugins nicht aktualisieren, kann dies Probleme verursachen. Viele Hacker verlassen sich auf die bloße Tatsache, dass Sie sich nicht die Mühe machen können, Ihre Plugins und Themes zu aktualisieren. Meistens nutzen diese Hacker Fehler aus, die bereits behoben wurden.

Wenn Sie also ein WordPress-Produkt verwenden, aktualisieren Sie es regelmäßig. Plugins, Themes, alles. Die gute Nachricht ist, dass WordPress automatisch Aktualisierungen für seine Benutzer freigibt, so dass Sie eine E-Mail erhalten, die Sie über die Aktualisierung informiert und Sie über die Korrekturen in Ihrem Dashboard auf dem Laufenden hält.

Was die Plugins betrifft, so müssen sie manuell aktualisiert werden, indem Sie auf Plugins in Ihrem Dashboard gehen. Wenn ein Plugin eine neue Version hat, werden Sie benachrichtigt und erhalten einen Link, um jetzt zu aktualisieren.

Abschließende Überlegungen zur Sicherung Ihrer WordPress-Website

Wenn Sie ein Anfänger sind, dann war das eine Menge zu verarbeiten. Aber alles, was ich in diesem Artikel erwähnt habe, ist ein Schritt in die richtige Richtung. Je mehr Sie sich um Ihre WordPress-Sicherheit kümmern, desto schwieriger wird es für einen Hacker, in das System einzudringen.

Wenn das gesagt ist, ist die Leistung einer Website wahrscheinlich genauso wichtig wie die Sicherheit. Im Grunde genommen werden Ihre Besucher ohne eine Website, die schnell geladen wird, nie eine Chance bekommen, Ihre Inhalte zu konsumieren. Der durchschnittliche Website-Besucher wird nur 2 Sekunden warten, bevor er frustriert ist und die Website verlässt.