So führen Sie ein WordPress-Sicherheitsaudit durch

Veröffentlicht: 2021-11-08

Das Sichern Ihrer WordPress-Site ist keine einmalige Sache. Egal, wie sehr Sie Ihrem Sicherheits-Plugin vertrauen oder wie gründlich Sie beim Website-Härten vorgegangen sind, eine sichere Website von heute ist keine sichere Website von morgen. Um Hacker in Schach zu halten, müssen Sie regelmäßig WordPress-Sicherheitsaudits durchführen und die Sicherheitslücken schließen, die Sie finden.

Website-Hacking-Taktiken schreiten immer weiter voran, und mit ihnen auch vorbeugende Maßnahmen, um Ihre Website sicher zu halten. Betrachten Sie es als einen Kreislauf. Je sicherer eine Website ist, desto kreativer müssen Hacker sein, um hineinzukommen, was bedeutet, dass Ihre Website noch sicherer werden muss, und so weiter.

Ziel ist es, mindestens alle drei Monate ein WordPress-Sicherheitsaudit durchzuführen. Jeder Monat ist besser und jede Woche (oder sogar täglich, je nachdem, wie sensibel Ihre Website ist) ist am besten. Und wenn Sie das Gefühl haben, dass mit Ihrer Website etwas nicht stimmt, führen Sie natürlich sofort ein Sicherheitsaudit durch. Jeder der folgenden Punkte sollte eine rote Flagge hissen:

  • Ihre Website ist plötzlich langsam und träge.
  • Es gibt einen großen Rückgang des Website-Traffics ohne ersichtlichen Grund.
  • Es gibt neue Konten, Anmeldeversuche oder „Passwort vergessen“-Anfragen.
  • Neue Links, die Sie nicht hinzugefügt haben, befinden sich auf Ihrer Website.

Die folgenden Schritte sind ein Muss, um Ihre Website sicherheitstechnisch in Topform zu halten. Mit einer Checkliste zur Hand gestalten Sie Ihre Audits rationalisiert statt überwältigend.

Ein Überblick über das WordPress-Sicherheitsaudit

Irgendwann wird fast jede WordPress-Website auf irgendeine Art von Sicherheitsproblem stoßen. Ein übliches ist ein Plugin oder Theme, das mit einer Schwachstelle geplagt wird, die Hackern den direkten Zugang zu Ihrer Website ermöglicht. Sobald Ihre Website gehackt wurde, kann eine Reihe von Dingen passieren:

  • Persönliche Daten von Kunden gestohlen
  • Illegale Anzeigen und Inhalte werden angezeigt
  • Der Verkehr wurde anderweitig umgeleitet
  • WordPress-Daten verschlüsselt, gelöscht oder verkauft

Das ist so viel mehr als ein paar Stunden Kopfschmerzen oder eine ausgefallene Website. Hacker können Ihre Daten für Lösegeld halten. Informationen von Ihrer Website können im Dark Web verkauft werden. Google kann Ihre Website für die Anzeige von Spam auf Webseiten auf die schwarze Liste setzen. Kunden können Sie verklagen, wenn ihre Kreditkarteninformationen gestohlen werden. Andere Websites können infiziert werden, sobald Hacker Zugriff auf Ihre Website erhalten haben.

WordPress-Sicherheitsaudits identifizieren diese Schwachstellen, damit Sie sie sofort patchen können – bevor ein Hacker einen Weg gefunden hat. Sie stellen sicher, dass die Sicherheitsmaßnahmen, die Sie derzeit ergreifen, noch funktionieren, und Sie finden auch heraus, wo Sie sich befinden brauchen mehr Schutz.

Evaluieren Sie das von Ihnen verwendete Sicherheits-Plugin

Ihr WordPress-Sicherheits-Plugin ist eines der wichtigsten Tools zum Schutz Ihrer Website. Stellen Sie auf folgende Weise sicher, dass Ihr Sicherheits-Plugin noch funktioniert:

  • Aktivitätsprotokoll: Hiermit werden die Benutzer Ihrer Site verfolgt, einschließlich wer sich wann angemeldet hat, fehlgeschlagene Anmeldeversuche und Site-Änderungen.
  • Firewall: Dies blockiert Bots, Hacker und IP-Adressen, die versuchen, auf Ihre Website zuzugreifen.
  • Anmeldeversuche: Hochwertige Sicherheits-Plugins erzwingen starke Passwörter, erfordern eine Zwei-Faktor-Authentifizierung und begrenzen Anmeldeversuche.
  • Anmeldeschutz: Dies blockiert Brute-Force-Angriffe, bei denen Hacker verschiedene Kombinationen aus Benutzername und Passwort ausprobieren, um sich anzumelden.
  • Malware-Scans und -Bereinigungen: Dies sollte täglich ausgeführt werden, die Datenbank, Dateien und Ordner Ihrer Website gründlich auf Malware scannen und alles löschen, was gefunden wird.
  • Echtzeit-Warnungen: Das Plugin sollte Sie sofort benachrichtigen, wenn auf Ihrer Website etwas Verdächtiges vor sich geht.

Sie haben noch kein Sicherheits-Plugin? Erwägen Sie, einen als ersten Schritt in Ihrem WordPress-Sicherheitsaudit zu erhalten. Wir haben die 6 besten WordPress-Sicherheits-Plugins zur Auswahl zusammengestellt.

Testen Sie Ihre Website-Backup-Lösung

Wenn auf Ihrer Website etwas schief geht, das unmöglich oder zu komplex zu beheben ist, bedeutet ein WordPress-Backup, dass Sie Ihre Website in ihrem vorherigen Zustand wiederherstellen können, bevor das Problem auftrat. Wenn Ihr Backup jedoch fehlschlägt, müssen Sie nichts wiederherstellen, was bedeutet, dass Sie auf einer infizierten oder fehlerhaften Website stecken bleiben könnten. Idealerweise verwenden Sie eine Backup-Lösung (egal ob von Ihrem Host bereitgestellt oder ein von Ihnen verwendetes Plugin), mit der Sie Ihre Backups testen können, z. B. BlogVault. Vielleicht möchten Sie auch unseren Artikel mit den 6 besten WordPress-Backup-Plugins lesen.

Gehen Sie über Ihr WordPress-Admin- und FTP-Setup

Mit WordPress können sich mehrere Personen anmelden, um an verschiedenen Projekten zu arbeiten, aber das bedeutet nicht, dass jede einzelne Person mit einem Login vollen Zugriff auf Ihre Website haben sollte. Und wenn es um Ihren FTP-Client geht, bedeutet das Ermöglichen des Zugriffs mehrerer Personen, dass sie Änderungen an Ihrer Site vornehmen können … nun ja, an allem.

Wenn Sie einen neuen Benutzer in WordPress hinzufügen, weisen Sie ihm eine Rolle zu (und Sie können auch sein Profil bearbeiten, um seine Rolle zu ändern):

Wordpress-Sicherheitsaudit

Unterschiedliche Rollen haben unterschiedliche Fähigkeiten. Beispielsweise kann ein Administrator auf alle Verwaltungstools der Website zugreifen (z. B. das Design ändern oder ein Plugin installieren), aber ein Mitwirkender kann nur seine eigenen Beiträge schreiben und verwalten. Hier finden Sie eine umfassende Aufschlüsselung der verschiedenen Rollen und ihrer Fähigkeiten.

Gehen Sie für Ihr WordPress-Sicherheitsaudit wie folgt vor:

  • Sehen Sie, welche WordPress-Benutzer Zugriff auf Administratorebene haben.
  • Entscheiden Sie, ob alle diese Benutzer diese Zugriffsebene benötigen (und ob andere mit eingeschränktem Zugriff Administratoren sein sollen).
  • Reduzieren Sie Berechtigungen und schränken Sie den Zugriff ein, indem Sie die Benutzerrollen für diese Personen aktualisieren.
  • Wenn Sie Benutzer im Dashboard nicht erkennen, löschen Sie sie – es könnte sich um Konten handeln, die von einem Hacker erstellt wurden.
  • Sind irgendwelche Benutzernamen einfach „admin“? Dies ist ein allzu gebräuchlicher Benutzername, mit dem Hacker häufig versuchen, auf Ihre Website zuzugreifen. Erstellen Sie ein neues Benutzerkonto für die Person und löschen Sie das alte Konto.
  • Löschen Sie die FTP-Konten für Benutzer, die keine so hohe Zugriffsebene benötigen.

Wenn Ihre Website Mitglieder zulässt, möchten Sie schließlich sicherstellen, dass sie bei der Anmeldung tatsächlich ein Konto erstellen müssen und dass ihre Standardrolle keinen Administratorzugriff zulässt. Gehen Sie zu Einstellungen > Allgemein . Deaktivieren Sie das Kontrollkästchen neben Jeder kann sich registrieren . Wählen Sie dann die entsprechende Option unter Standardrolle für neue Benutzer aus.

Stellen Sie sicher, dass WordPress auf dem neuesten Stand ist

Du kannst dies automatisch ausführen lassen, aber es lohnt sich trotzdem, noch einmal zu überprüfen, ob WordPress auf die neueste Version aktualisiert wurde. Updates beheben nicht nur Sicherheitslücken – sie verbessern auch die Leistung und fügen Funktionen hinzu. Gehen Sie zu Dashboard > Updates , um zu sehen, ob eines bereit ist.

Wordpress-Sicherheitsaudit

Bereinigen Sie Ihre Plugins und Themes

Plugins können die Leistungsfähigkeit Ihrer Website erweitern, sind aber auch anfällig für Angriffe, insbesondere wenn sie zu lange nicht aktualisiert werden. Zuverlässige Entwickler bleiben über die Schwachstellen ihrer Plugins auf dem Laufenden und veröffentlichen Updates mit Patches. Gehen Sie während Ihres WordPress-Sicherheitsupdates zu Ihrer Plugin-Liste und gehen Sie wie folgt vor:

  • Deaktivieren und deinstallieren Sie alle Plugins, die Sie nicht mehr verwenden oder die Sie nicht kennen.
  • Aktualisieren Sie alle verbleibenden Plugins, für die Updates bereitstehen.
  • Wenn Sie ein Plugin verwenden, das keine Updates vom Entwickler erhalten hat, sollten Sie ein anderes mit der gleichen Funktionalität verwenden – ein veraltetes Plugin ist zu anfällig für Sicherheitsprobleme.

Selbst wenn Sie Ihr WordPress-Sicherheitsaudit etwa einmal im Monat durchführen, ist es eine gute Idee, Ihre Plugins regelmäßiger zu überprüfen, um sie bei Bedarf zu aktualisieren. Entfernen Sie außerdem alle Designs, die Sie derzeit nicht verwenden oder die Sie voraussichtlich nicht benötigen werden. Genau wie bei Plugins bergen Themes das Risiko von Sicherheitslücken, daher ist es am besten, Ihre Website so übersichtlich wie möglich zu halten.

Bleibt sicher da draußen!

Sie hören nicht auf, an anderen Bereichen Ihres Unternehmens zu arbeiten – neue Produkte oder Dienstleistungen zu entwickeln, sie zu vermarkten, zu verkaufen usw. Ihre Website-Sicherheit sollte nicht anders sein. Ein kleines Problem kann schnell zu einem geschäftsbedrohlichen Hack führen, wenn Sie es nicht rechtzeitig erkennen, aber ohne zu wissen, wo die Problembereiche liegen, wissen Sie nicht, welche Korrekturen implementiert werden müssen.

Die Sicherheit Ihrer Website ist ein fortlaufender Prozess, und eine Checkliste für WordPress-Sicherheitsüberprüfungen erspart Ihnen die Mühe, sich jeden Monat daran zu erinnern, was zu tun ist. Und je mehr Sie mit einem Sicherheits-Plugin automatisieren können, desto besser. Ihre WordPress-Sicherheitsaudit-Checkliste kann viel kleiner sein, wenn Sie hauptsächlich doppelt überprüfen müssen, ob das Plugin noch richtig funktioniert. Wir haben detaillierte Übersichten über Bewertungen von zwei führenden Sicherheits-Plugins, Sucuri und Wordfence.