WordPress-Sicherheitsleitfaden: WordPress sicher machen 2022

Veröffentlicht: 2022-02-17

Stell dir das vor:

Du öffnest deine WordPress-Seite, ganz strahlend, buschig und bereit, deinen neuesten Blog-Beitrag hochzuladen … nur um auf einen Haufen seltsamer Inhalte zu stoßen, die die Leute dazu bringen, pharmazeutische Pillen von zwielichtigen Websites zu kaufen.

Es ist der schlimmste Alptraum der meisten Webmaster, aber es ist etwas, das Ihrer WordPress-Site passieren kann … wenn Sie nicht die richtigen Best Practices für die Sicherheit einführen.

Wir versuchen nicht, Sie zu erschrecken – WordPress ist sicher. Es verfügt über ein engagiertes Sicherheitsteam und eine Armee sachkundiger Mitwirkender und Entwickler, die dazu beitragen, dass dies so bleibt.

Aber wenn Sie nicht auf dieser sicheren Grundlage aufbauen, indem Sie die Best Practices für WordPress-Sicherheit befolgen, könnten Sie böswilligen Akteuren die Tür öffnen, um ihre Reißzähne in Ihre Website zu bekommen.

In diesem Beitrag möchten wir Ihnen dabei helfen, diese Best Practices kennenzulernen, damit Sie verhindern können, dass dieses Albtraumszenario Wirklichkeit wird.

Zu diesem Zweck behandeln wir die folgenden Abschnitte:

  • Ist WordPress sicher?
  • Warum Sie nicht warten sollten, um Ihre Sicherheit in Ordnung zu bringen
  • 21 Dinge, die Sie jetzt in Sachen Sicherheit tun können
  • Die Risiken einer Sicherheitsverletzung
  • So erkennen Sie, ob Ihre Website gehackt wurde
  • Drei erstklassige WordPress-Sicherheits-Plugins
  • Die drei wichtigsten Sicherheitstaktiken zur Implementierung
  • Überwachung und Behebung von WordPress-Sicherheitsverletzungen

Es kann zwar ein paar Stunden dauern, bis Sie die Best Practices in diesem Beitrag durchgearbeitet haben, aber diese kleine Investition wird sich in Zukunft in Form einer sicheren, kugelsicheren WordPress-Site auszahlen.

Ist WordPress sicher?

WordPress betreibt über 43 % aller Websites im Internet, was bedeutet, dass es ein attraktives Ziel für böswillige Akteure ist.

Die Tatsache, dass WordPress so beliebt ist, bedeutet auch, dass es von einer Vielzahl von Menschen verwendet wird, einschließlich Menschen mit sehr unterschiedlichen Wissensständen. Stellen Sie sich einen erfahrenen Entwickler im Vergleich zu jemandem vor, der gerade seinen ersten Blog startet … und alle dazwischen.

Hier gibt es gute und schlechte Nachrichten…

Gute Nachrichten:

WordPress ist sicher. Aus diesem Grund wird es von so vielen normalen Menschen sowie von großen Organisationen wie dem US-Weißen Haus und Facebook verwendet.

WordPress wird von großen Marken verwendet, die Wert auf Sicherheit legen

Facebook und das Weiße Haus würden ihre Websites keiner unsicheren Plattform anvertrauen. Außerdem würden 43 % der Websites im Internet nicht auf WordPress laufen, wenn es nicht sicher wäre.

Schlechte Nachrichten :

Viele WordPress-Seiten werden gehackt . In den Berichten über gehackte Websites von Sucuri ist WordPress routinemäßig die am häufigsten gehackte Plattform ( denken Sie daran – sie ist sehr beliebt ).

Also – wie kann WordPress sicher sein und auch Seiten gehackt haben? Schließen sich diese Dinge nicht gegenseitig aus?

Nun, die Antwort liegt ganz darin, wie die Leute WordPress verwenden.

Wenn Sie proaktiv Best Practices für Sicherheit befolgen, wie die, die wir in diesem Beitrag behandeln, können Sie Ihre WordPress-Site sicher halten und Probleme vermeiden.

WordPress verfügt über einen großen Sicherheitsapparat, darunter ein offizielles Sicherheitsteam mit über 50 Mitgliedern und eine Reihe erfahrener Entwickler, die sichere Erweiterungen erstellen und potenzielle Probleme melden.

Diese Leute leisten großartige Arbeit, um WordPress sicher zu machen – aber Sie müssen trotzdem Ihren Teil dazu beitragen, wenn Sie dies so bleiben wollen.

Wenn Sie nicht auf der harten Arbeit dieser WordPress-Mitwirkenden aufbauen und Best Practices befolgen, können Sie Fehler machen, die Löcher in der WordPress-Software öffnen, sei es durch die Verwendung eines schwachen Passworts, die Installation eines anfälligen Plugins oder etwas anderes.

Warum Sie nicht warten sollten, um die WordPress-Sicherheit ernst zu nehmen

WordPress-Sicherheit ist eines dieser Dinge, die sich anfühlen, als wäre es keine große Sache … bis es eine wirklich große Sache ist.

Sie haben eine Menge Dinge in Bezug auf Marketing und Wachstum Ihrer Website zu tun, daher ist es einfach, die Sicherheit in den Hintergrund zu drängen, da es schwierig ist, Sicherheitsverbesserungen an Wachstumskennzahlen wie Verkehr oder Umsatz zu binden.

Wir sind hier etwas unverblümt, aber diese Denkweise ist unglaublich kurzsichtig. Die Implementierung der unten stehenden WordPress-Sicherheitscheckliste erfordert einige Zeit und möglicherweise ein wenig Geld, aber diese Kosten sind im Vergleich zu dem, was Sie „bezahlen“, wenn Ihre Website verletzt wird, blass.

Eine Sicherheitsverletzung „kostet“ Sie leicht mehr in Bezug auf verlorene Zeit, Einnahmen, SEO-Traffic und Vertrauen bei Ihren Besuchern.

Grundsätzlich möchten Sie nicht mit der Sicherheit Ihrer Website spielen. Nehmen Sie sich jetzt die Zeit, um sich später vor hohen Kosten zu schützen.

20 Dinge, die Sie sofort in Bezug auf die WordPress -Sicherheit tun können

Bisher haben wir über Theorie gesprochen. Beginnen wir nun mit einigen umsetzbaren Taktiken zum Sperren Ihrer Website, beginnend mit einer WordPress-Sicherheitscheckliste, die Sie heute zum Schutz Ihrer Website implementieren können .

1. Grundlegende WordPress-Sicherheitsthemen verstehen

Bevor Sie etwas auf Ihrer Website ändern, sollten Sie die grundlegenden Themen der WordPress-Sicherheit verstehen:

  • Zugriff einschränken – Beschränken Sie den Zugriff auf Ihre Website, sowohl über beabsichtigte Methoden (Benutzerkonten) als auch über unbeabsichtigte Methoden (Schwachstellen).
  • Probleme eindämmen – Wenn ein böswilliger Akteur Zugriff erhält, möchten Sie den Schaden begrenzen, den er anrichten kann.
  • Verwenden Sie nur vertrauenswürdige Drittanbieter – während der WordPress-Kern sicher ist, ist jede Erweiterung, die Sie zu Ihrer Website hinzufügen, eine potenzielle Schwachstelle.

2. WordPress-Updates umgehend anwenden

Um Ihre Website vor neu auftretenden Sicherheitslücken zu schützen, ist es wichtig, WordPress-Core-Updates, Plugin-Updates und Theme-Updates umgehend anzuwenden. Dies gilt insbesondere für Sicherheitsupdates, die Sie umgehend einspielen sollten*.

*Sicherheitsupdates haben zwei Punkte in der Versionsnummer – zB 5.9.1. Sie können warten, bis wichtige Funktionsupdates angewendet werden, die nur einen einzigen Punkt haben – z. B. 5.9.

3. Verwenden Sie starke Passwörter für alles

Die Verwendung starker, eindeutiger Passwörter für Ihr WordPress-Admin-Konto, Hosting-Konto und andere Tools (z. B. SFTP-Anmeldeinformationen) kann einen großen Beitrag zur Verhinderung von Brute-Force-Angriffen und anderen Arten von Login-basierten Angriffen leisten.

Um Passwörter sicher zu speichern, können Sie einen Passwortmanager wie Bitwarden oder LastPass verwenden. Diese Passwort-Manager können Ihnen auch dabei helfen, eindeutige Passwörter zu generieren.

4. Verwenden Sie vertrauenswürdige Plugins

Installieren Sie nur Plugins von vertrauenswürdigen Entwicklern, die das Plugin immer noch aktiv warten, um neue WordPress-Versionen und neu entdeckte Schwachstellen zu berücksichtigen.

5. Sichern Sie Ihren Computer

Stellen Sie sicher, dass der Computer, den Sie für den Zugriff auf Ihre WordPress-Site verwenden, sauber ist. Verwenden Sie hochwertige Antivirensoftware und führen Sie regelmäßige Malware-Scans durch.

6. Sperren Sie Ihre Anmeldeseite

Zusätzlich zur Verwendung starker Passwörter können Sie Ihre Anmeldeseite mit Taktiken wie der Begrenzung der Anmeldeversuche und der Zwei-Faktor-Authentifizierung schützen. Sie können dies mit kostenlosen funktionsspezifischen Plugins wie Limit Login Attempts Reloaded und Two Factor Authentication erreichen. Oder Sie können einige der breiten WordPress-Sicherheits-Plugins verwenden, die wir später in diesem Beitrag besprechen werden.

Sie können auch die WordPress-Anmelde-URL ändern. Dies fügt zwar nicht viel zusätzliche Anmeldesicherheit hinzu, wenn Sie die obigen Tipps umsetzen, kann aber den Bot-Verkehr reduzieren.

7. Machen Sie regelmäßige Backups

Regelmäßige Backups zu erstellen und diese an einem langen Ort zu speichern, ist ein großes Element der WordPress-Sicherheit. Wenn Sie über ein aktuelles Backup verfügen, ist eine Sicherheitsverletzung im schlimmsten Fall eher eine Unannehmlichkeit als eine Katastrophe, wenn es um die Daten Ihrer Website geht.

Die meisten verwalteten WordPress-Hosts bieten heutzutage automatische Offsite-Backups an. Wenn nicht, können Sie ein Plugin wie UpdraftPlus verwenden.

8. Verwenden Sie sicheres Hosting

Verwenden Sie einen hochwertigen WordPress-Host, der solide Sicherheitsprotokolle wie Firewalls und Malware-Scans implementiert. Du solltest dich zwar nicht nur auf deinen Host verlassen, aber ein hochwertiger WordPress-Host kann einen großen Beitrag zur Sicherung deiner WordPress-Site leisten.

9. Installieren Sie ein SSL-Zertifikat und verwenden Sie HTTPS

Stellen Sie sicher, dass Sie ein SSL-Zertifikat installiert und Ihre Website so eingerichtet haben, dass der gesamte Datenverkehr auf die sichere HTTPS-Version umgeleitet wird. Dadurch wird sichergestellt, dass alle Daten, die zwischen dem Webbrowser eines Besuchers und dem Server Ihrer Website ausgetauscht werden, verschlüsselt sind.

Sie können das Support-Team oder die Dokumentation Ihres Hosts konsultieren, um zu erfahren, wie Sie ein SSL-Zertifikat installieren, und Plugins wie Really Simple SSL können Ihnen dabei helfen, HTTPS-Datenverkehr auf Ihrer Website zu erzwingen.

10. Verwenden Sie SFTP und speichern Sie keine Passwörter

Stellen Sie sicher, dass Sie SFTP verwenden, wenn Sie sich mit dem Server Ihrer Website verbinden, und nicht einfaches FTP (das unverschlüsselt ist). Versuchen Sie außerdem, Ihre SFTP-Passwörter nicht in Ihrem FTP-Client zu speichern, es sei denn, sie sind verschlüsselt und passwortgeschützt.

11. Deaktivieren Sie XML-RPC

XML-RPC hilft einigen Apps, wie z. B. einer iPhone-App, sich mit Ihrer WordPress-Site zu verbinden. Die meisten Menschen werden diese Apps niemals zum Herstellen einer Verbindung verwenden, was bedeutet, dass XML-RPC nur ein unnötiger Schwachstellenvektor für Brute-Force- oder DDoS-Angriffe ist.

Aus diesem Grund deaktivieren die meisten Leute XML-RPC, was Sie mit einem Plugin wie Disable XML-RPC oder einem der allgemeinen Sicherheits-Plugins erreichen können, die wir später besprechen werden.

12. Deaktivieren Sie die Dateibearbeitung

Standardmäßig lässt WordPress Admin-Benutzer Themen- und Plugin-Dateien direkt über das WordPress-Dashboard bearbeiten, was eine große Schwachstelle darstellt, wenn ein böswilliger Akteur jemals Zugriff auf Ihr Dashboard erhält.

Du kannst es deaktivieren, indem du eine Zeile zu deiner wp-config.php- Datei hinzufügst.

13. Überwachung auf Sicherheitsprobleme

Regelmäßige Sicherheitsüberwachungsrichtlinien können Ihnen dabei helfen, Probleme zu erkennen, bevor sie zu größeren Problemen werden. Wir werden später in diesem Beitrag über angemessene Überwachungspraktiken sprechen.

14. Sichern Sie wichtige WordPress-Dateien und -Ordner

Einige WordPress-Dateien und -Ordner sind besonders anfällig, daher solltest du besonders darauf achten, die Datei wp-config.php und die Ordner wp-admin und wp-includes zu sichern.

15. Implementieren Sie die richtigen Dateiberechtigungen

Dateiberechtigungen steuern den Zugriff, den Benutzer und Programme auf die Dateien und Ordner auf Ihrem Hosting-Server haben. Wenn sie nicht richtig konfiguriert sind, können sie böswilligen Akteuren Zugriff auf wichtige Dateien wie Ihre wp-config.php- Datei oder Ihre .htaccess -Datei gewähren.

Um die richtigen Berechtigungen für WordPress zu erfahren, kannst du diese WordPress.org-Seite lesen.

16. Betrachten Sie die Aktivitätsprotokollierung

Mit der Aktivitätsprotokollierung können Sie verfolgen, was auf Ihrer Website passiert, was Ihnen helfen kann, verdächtiges Verhalten zu erkennen, bevor es zu einem größeren Problem wird.

Um die Aktivitätsprotokollierung einzurichten, können Sie ein spezielles Plugin wie WP Activity Log verwenden. Oder einige Allzweck-WordPress-Sicherheits-Plugins enthalten auch Protokollierungsfunktionen.

17. Fügen Sie die neuesten Sicherheitsheader hinzu

HTTP-Sicherheitsheader können Ihre Website schützen, indem sie steuern, wie Webbrowser mit dem Inhalt Ihrer Website interagieren. Sie konfigurieren diese normalerweise auf Serverebene – KeyCDN hat einen großartigen Beitrag, in dem die wichtigsten Sicherheitsheader erklärt werden.

18. Sichern Sie Ihre Datenbank

Die Verwendung eines eindeutigen Datenbanktabellenpräfixes und eines eindeutigen Datenbanknamens kann es böswilligen Akteuren etwas erschweren, schädliche Inhalte in Ihre Datenbank einzuschleusen, obwohl einige Experten deren Nützlichkeit diskutieren. Da diese Änderung einfach anzuwenden ist, lohnt es sich immer noch, selbst wenn es sich um eine kleine Menge „Sicherheit durch Unklarheit“ handelt.

19. Hotlinking deaktivieren

Wenn andere Websites Ihre Bilder per Hotlink verlinken, stellt dies möglicherweise kein direktes Sicherheitsrisiko dar, aber es kann sich negativ auf Ihren Server auswirken, da Ressourcen verschwendet werden. Daher ist es eine gute Sicherheitspraxis, Hotlinking zu deaktivieren.

20. DDoS-Schutz im Voraus einrichten

Erstellen Sie einen Plan für den Umgang mit verteilten Denial-of-Service-Angriffen. Sie können Ihren Hoster fragen, welche Schutzmechanismen vorhanden sind, oder Ihre Website zu Cloudflare hinzufügen, damit Sie den „Ich werde angegriffen“-Modus von Cloudflare bei Bedarf schnell aktivieren können.

Was sind die Risiken, wenn eine Website verletzt wird?

Es gibt drei Hauptarten von Risiken, wenn Ihre Website verletzt wird…

Risiken für Ihre Web-Besucher

Wenn Sie Daten über Ihre Besucher speichern, könnten böswillige Akteure Zugriff auf all diese Informationen erhalten, was je nach den von Ihnen gespeicherten Daten Probleme mit Identitätsdiebstahl oder Finanzdiebstahl verursachen könnte.

Böswillige Akteure könnten auch versuchen, Benutzer dazu zu verleiten, bösartige Dateien herunterzuladen und ihre Computer zu infizieren.

Risiken für Websitebesitzer

Eine Sicherheitsverletzung kann direkte Probleme in Form von Datenverlust, Zeitverschwendung und Nichtverfügbarkeit der Website verursachen. Wenn Sie keine regelmäßigen Backups erstellen ( was nach dem Lesen dieser Anleitung hoffentlich nicht mehr der Fall ist ), könnten Sie sogar Ihre gesamte Site verlieren und von Grund auf neu erstellen müssen.

Ein Verstoß kann auch weniger greifbare Probleme verursachen, wie z. B. einen Vertrauensverlust bei Ihren Besuchern oder einen allgemeinen Rufschaden.

Risiko für andere Websites

Wenn Sie Shared Hosting verwenden und/oder einige Ihrer anderen Websites auf demselben Hosting-Konto hosten, kann sich eine verletzte Website schnell auf andere Websites ausbreiten, wenn die Websites nicht streng voneinander isoliert sind. Auf diese Weise kann die Infektion einer Website wie ein Dominostein wirken, der andere Websites ausschaltet, selbst wenn diese Websites ansonsten sicher wären.

So erkennen Sie, ob Ihre WordPress-Site gehackt wurde

Es gibt zwei Möglichkeiten, wie Sie herausfinden können, ob Ihre Website gehackt wurde:

  • Reaktive Zeichen – Sie entdecken ein Problem, weil Sie das Problem auf Ihrer Website sehen.
  • Proaktive Zeichen – Ihre Sicherheitsüberwachungsprotokolle machen Sie auf das Problem aufmerksam, bevor es sich auf Ihrer Website manifestiert.

Idealerweise möchten Sie Tools verwenden, mit denen Sie Probleme proaktiv beheben können, anstatt darauf zu warten, dass sie zu einem Problem werden. Auf diese Weise können Sie den Schaden an Ihrer Website minimieren.

Reaktive Anzeichen von Hacking

  • Browserwarnung – Die meisten Browser zeigen eine Warnung an, wenn Sie eine infizierte Seite besuchen. Wenn das passiert, wenn Sie Ihre eigene Website besuchen, wissen Sie, dass Sie ein Problem haben.
  • Suchmaschinenwarnung – Google warnt Besucher auch, wenn sie auf einen Link klicken, der zu einer infizierten Website führt. Da steht so etwas wie „Diese Website wurde möglicherweise gehackt“.
  • Webmaster-Dienste – Wenn Sie die Google Search Console verwenden, weist Google Sie auf Sicherheitsprobleme hin, wenn Sie zu Sicherheit & manuelle Maßnahmen → Sicherheitsprobleme gehen.
  • Webbesucher – Wenn Webbesucher auf bösartige Inhalte stoßen, teilen sie Ihnen dies möglicherweise direkt mit.
Google Chrome zeigt eine Warnung an, wenn eine Website mit Malware infiziert ist

Proaktive Anzeichen von Hacking

  • Malware-Scanner – ein Malware-Scanner kann bösartigen Code auf Ihrem Server erkennen, selbst wenn er noch nicht begonnen hat, das Frontend Ihrer Website zu beeinträchtigen.
  • Dateiintegritätsprüfungen – wenn WordPress-Kerndateien nicht mit den offiziellen Versionen übereinstimmen, ist dies ein Zeichen dafür, dass auf Ihrer Website etwas nicht stimmen könnte. Die meisten Sicherheits-Plugins warnen Sie automatisch, wenn eine Kerndatei geändert wurde.
  • Verkehrsmonitore – Die Überwachung des Verkehrs Ihrer WordPress-Site hilft Ihnen, Unregelmäßigkeiten zu erkennen, sobald sie auftreten.
Das Wordfence-Plugin bietet WordPress-Sicherheitsscans

Die drei besten WordPress-Sicherheits-Plugins und -Tools

Wenn Sie in Bezug auf die WordPress-Sicherheit zusätzliche Sicherheit wünschen, können Sie die Verwendung eines speziellen WordPress-Sicherheits-Plugins oder -Dienstes in Betracht ziehen.

Obwohl diese Tools die Notwendigkeit, wachsam zu sein, nicht vollständig beseitigen, können sie die meisten Best Practices für die WordPress-Sicherheit für Sie handhaben.

Hier sind drei der besten:

1. Wordfence

Wordfence ist eines der besten WordPress-Sicherheits-Plugins

Wordfence ist das beliebteste WordPress-Sicherheits-Plugin auf WordPress.org. Es verfügt über ein umfassendes Feature-Set, das alle Bereiche der Sicherheit Ihrer Website schützen und überwachen kann:

  • Web Application Firewall (WAF) , um Bedrohungen proaktiv zu blockieren, bevor sie Ihrer Website schaden können. Enthält einen ständig aktualisierten Satz von Definitionen, um neu auftretende Bedrohungen zu blockieren.
  • Malware- und Sicherheitsscans zur Erkennung von Infektionen oder Sicherheitslücken.
  • Login-Sicherheitsfunktionen, einschließlich der Begrenzung von Login-Versuchen, Zwei-Faktor-Authentifizierung, Schutz vor Leaked Password, XML-RPC-Deaktivierung/Härtung und mehr.
  • Echtzeitprotokollierung zur Erkennung böswilliger Akteure.
  • Benachrichtigungen , um Sie sofort auf potenzielle Probleme auf Ihrer Website aufmerksam zu machen.
  • Viele andere kleinere Hardening-Taktiken, einschließlich der Erkennung von Dateiänderungen.
  • Zentrales Sicherheits- Dashboard , mit dem Sie die Sicherheit mehrerer Standorte von einem Ort aus verwalten können.

Es gibt eine kostenlose Version bei WordPress.org und Wordfence Premium beginnt bei 99 $.

2. Sukuri

Sucuri ist ein Plugin und eine Firewall

Sucuri ist zweierlei:

  1. Ein kostenloses Plugin auf WordPress.org, das grundlegende Sicherheitshärtungspraktiken implementiert.
  2. Ein kostenpflichtiger Firewall-Dienst, der sich vor Ihrem Server befindet und schädlichen Datenverkehr blockiert, bevor er Ihre Website erreichen kann.

Für den besten Schutz sollten Sie beide Tools verwenden.

Das kostenlose Sucuri-Plugin implementiert die folgenden Sicherheitshärtungsfunktionen:

  • Überwachung der Dateiintegrität
  • Audit-Protokolle
  • Automatische Blacklist-Überwachung
  • Grundlegende Härtungsoptionen wie das Deaktivieren der Dateibearbeitung und das Blockieren bestimmter PHP-Dateien
  • Fehlgeschlagene Login-Überwachung zur Erkennung von Brute-Force-Angriffen
  • Automatische Sicherheitswarnungen per E-Mail

Um den Firewall-Service zu nutzen, ändern Sie die Nameserver Ihrer Domain auf Sucuri und die Firewall von Sucuri schützt Ihre Website auf Netzwerkebene.

Das Sucuri-Plugin ist kostenlos, aber die Firewall beginnt bei 10 US-Dollar pro Monat. Sie können auch für einen vollständigen Website-Sicherheitsplan bezahlen, der Malware-Bereinigung und -Entfernung umfasst. Diese Pläne beginnen bei 200 $ pro Jahr.

3. iThemes-Sicherheit

iThemes Security Pro für WordPress

iThemes Security ist ein weiteres beliebtes Tool, mit dem Sie Ihre Website härten und auf Sicherheitsprobleme überwachen können.

Hier ist, womit es helfen kann:

  • Der Site-Scanner erkennt automatisch bekannte Schwachstellen auf Ihrer Site.
  • Anmeldeschutz, einschließlich Zwei-Faktor-Authentifizierung, Begrenzung von Anmeldeversuchen , vertrauenswürdige Geräte, starke Kennwortanforderungen und mehr.
  • Sicherheitsprotokolle, einschließlich Protokollierung von Sicherheitsereignissen und Benutzeraktivitätsprotokollierung.
  • Erkennung von Dateiänderungen, um festzustellen , ob Kerndateien geändert wurden.
  • E- Mail-Benachrichtigungen , um Sie sofort auf potenzielle Sicherheitsprobleme aufmerksam zu machen.
  • Allgemeines WordPress-Härten einschließlich Deaktivieren von XML-RPC, Deaktivieren der Dateibearbeitung, Dateiberechtigungsprüfung und mehr.

Eine Funktion, die iThemes Security nicht bietet, ist eine Firewall – die Entwickler empfehlen, sie mit dem Firewall-Dienst von Sucuri zu koppeln, wenn Sie eine Firewall wünschen.

Während es auf WordPress.org eine begrenzte kostenlose Version von iThemes Security gibt, sollten Sie iThemes Security Pro für den besten Schutz benötigen. Es beginnt bei 80 $.

Konzentrieren Sie sich auf diese drei Dinge für den größten WordPress-Sicherheits-ROI

Wie vieles im Leben folgt auch die WordPress-Sicherheit dem 80/20-Pareto-Prinzip. Das heißt, wenn Sie sich auf ein paar grundlegende WordPress-Sicherheitstaktiken konzentrieren, werden Sie den größten Teil des Weges zu einer sicheren Website erreichen.

Obwohl wir es sicherlich für wichtig halten, die oben geteilte WordPress-Sicherheitscheckliste zu befolgen, schützt Sie die Konzentration auf nur drei Bereiche vor den meisten Problemen mit der WordPress-Sicherheit.

Gehen wir sie durch…

1. Plugins

Während die WordPress-Kernsoftware sicher ist ( solange Sie sie auf dem neuesten Stand halten ), führen Plugins Variablen ein, die das Kernteam nicht kontrollieren kann, was sie zu einem der größten Angriffsvektoren für böswillige Akteure macht.

Plugins sind jedoch auch ein wesentlicher Bestandteil von WordPress, daher ist es keine realistische Option, sie nicht zu verwenden.

Hier sind drei Möglichkeiten, um weiterhin von Plugins zu profitieren und gleichzeitig Ihre Risiken stark zu minimieren:

  • Vermeiden Sie aufgegebene Plugins – wenn ein Plugin nicht mehr gewartet wird, bedeutet das, dass niemand da ist, um neu entdeckte Probleme zu beheben und es mit neueren Versionen von WordPress kompatibel zu halten.
  • Kaufen Sie nur von seriösen Entwicklern – verwenden Sie vertrauenswürdige Entwickler wie HeroThemes, die die Best Practices für WordPress-Sicherheit befolgen und über aufkommende Bedrohungen auf dem Laufenden bleiben.
  • Aktualisieren Sie regelmäßig – selbst die besten Plugins der besten Entwickler können manchmal neu entdeckte Schwachstellen aufweisen. Qualifizierte Entwickler patchen diese Schwachstellen, bevor sie zu einem Problem werden – solange Sie umgehend aktualisieren.

2. Brute-Force-Angriffe

Brute-Force-Angriffe sind ein gängiger Angriffsvektor, der darauf beruht, über die Anmeldeseite auf Ihre Website zu gelangen. Es spielt keine Rolle, wie sicher der Rest Ihrer Website ist – wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort erraten kann, hat er die Schlüssel zur Vordertür.

So schützen Sie sich:

  • Verwenden Sie starke, eindeutige Passwörter – wählen Sie ein starkes Passwort für alle Ihre Konten und verwenden Sie dasselbe Passwort nicht an mehreren Stellen.
  • Begrenzen Sie Anmeldeversuche – verhindern Sie, dass Personen Ihre Anmeldeseite brutal erzwingen, indem Sie fehlgeschlagene Anmeldeversuche begrenzen und/oder ein CAPTCHA hinzufügen.
  • Ziehen Sie die Zwei-Faktor-Authentifizierung in Betracht – für noch mehr Sicherheit können Sie die Zwei-Faktor-Authentifizierung per SMS oder idealerweise eine Smartphone-App oder einen Hardwareschlüssel in Betracht ziehen.
  • Eindeutiger Benutzername – verwenden Sie nicht „admin“ als Benutzernamen und versuchen Sie, Ihren Benutzernamen schwer zu erraten zu machen.
Ein Beispiel für die Begrenzung von Anmeldeversuchen bei WordPress

3. Hosting-Konto

Ihre WordPress-Site könnte perfekt gesperrt sein; Wenn jedoch ein böswilliger Akteur Zugriff auf Ihr Hosting-Konto erhält, kann er mit Ihrer Website so ziemlich alles machen, was er will.

Um dies zu stoppen, ist es wichtig, auch Ihr Hosting-Konto und Ihren Server zu sperren:

  • Verwenden Sie starke Passwörter – wie bei Ihrem WordPress-Konto verwenden Sie starke, eindeutige Passwörter für Ihre Hosting- und SFTP-Konten.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung – die meisten Hosting-Anbieter unterstützen die Zwei-Faktor-Authentifizierung – nutzen Sie sie.
  • Verwenden Sie SFTP – verbinden Sie sich immer über SFTP und nicht über unverschlüsseltes FTP.
  • Keine SFTP-Passwörter speichern – Speichern Sie keine unverschlüsselten SFTP-Passwörter in Ihrem FTP-Client.

Überwachung, Identifizierung und Behebung von WordPress-Sicherheitsverletzungen

Wenn Sie alle oben genannten WordPress-Sicherheitstaktiken implementieren, sollten Sie sich hoffentlich nie mit einer Sicherheitsverletzung befassen müssen.

Es ist jedoch immer möglich , dass etwas durch die Ritzen rutscht, weshalb es wichtig ist, einen Plan zu haben, um Sicherheitsprobleme zu erkennen und zu beheben.

Überwachung auf Schwachstellen

  • Scannen Sie Ihre Website – verwenden Sie Tools wie Sucuri SiteCheck, um Probleme mit der schwarzen Liste zu erkennen, und scannen Sie Ihren Server mit einem Sicherheits-Plugin.
  • Google Search Console – Achten Sie auf Warnungen im Abschnitt „Sicherheitsprobleme“.
  • Verwenden Sie den Google-Site-Befehl in der Suche – suchen Sie nach site:yoursite.com, um zu sehen, ob Google Inhalte indiziert hat, die bösartig aussehen. Dies können Inhalte sein, die Sie nicht erstellt haben, oder Inhalte mit seltsamen Titeln/Meta-Beschreibungen.
  • Aktivitätsprotokoll – Durchsuchen Sie das Aktivitätsprotokoll Ihrer Website nach verdächtigen Aktivitäten.
  • Überprüfen Sie die Analyse – suchen Sie nach unerklärlichen Einbrüchen oder Spitzen in Ihrer Verkehrsanalyse.
  • .htaccess-Datei – Achten Sie auf Änderungen an Ihrer .htaccess-Datei, da viele Akteure dort böswillige Weiterleitungen platzieren oder User-Agent-Regeln einrichten, um ihren SEO-Spam vor menschlichen Besuchern zu verbergen.
Ein Beispiel für den Blacklist-Check in Sucuri SiteCheck

Identifizieren Sie Probleme

Sobald Ihre Überwachungsbemühungen einen Fehler festgestellt haben, ist es an der Zeit, das spezifische Problem auf Ihrer Website zu identifizieren, damit Sie es beheben und Ihre Website zum Laufen bringen können. Dazu können Sie ein Sicherheits-Plugin verwenden, um Ihre Website zu scannen und schädliche Dateien und Hintertüren zu identifizieren.

Reparieren Ihrer Website

Sobald Sie das spezifische Problem identifiziert haben, ist es an der Zeit, Ihre Website zu reparieren.

Abhängig von der Schwere der Infektion und Ihrem Wissensstand gibt es einige verschiedene Wege, die Sie hier einschlagen können:

  • Verwenden Sie ein Sicherheits-Plugin – viele Sicherheits-Plugins bieten Ein-Klick-Korrekturen, entweder durch Bereinigen der Datei oder durch Zurücksetzen Ihrer Website auf eine saubere Version.
  • Beauftragen Sie einen Experten – wenn Sie sich überfordert fühlen, können Sie für einen Expertendienst wie Sucuri’s Website Security oder Wordfence Site Cleaning Services bezahlen.
  • Führen Sie eine manuelle Bereinigung durch – wenn Sie über das technische Wissen verfügen, können Sie Ihre Website manuell bereinigen – MalCare hat eine detaillierte Anleitung zur Durchführung einer manuellen Bereinigung.

Wenn Ihre Website von Google auf die schwarze Liste gesetzt wurde, sollten Sie auch nach dem Bereinigen Ihrer Website eine Überprüfung anfordern. Sie können dies im Abschnitt " Sicherheitsprobleme " in der Google Search Console tun.

Halten Sie Ihre WordPress-Site sicher

WordPress ist sicher, aber die Art und Weise, wie Menschen WordPress verwenden, ist nicht immer sicher.

Sich jetzt ein wenig Zeit zu nehmen, um einen proaktiven Plan für die WordPress-Sicherheit zu erstellen, zahlt sich in Form einer sicheren Website aus und vermeidet die Notwendigkeit, sich in Zukunft mit einer Sicherheitsverletzung auseinanderzusetzen.

Sie können die Tipps aus diesem Beitrag umsetzen und einer WordPress-Sicherheitscheckliste wie der Checkliste von Wordfence folgen. Wenn Sie Hilfe benötigen, können Sie auch Hilfe von einem Entwickler erhalten oder einen WordPress-Wartungsdienst beauftragen.

Die WordPress-Sicherheit ist auch nicht etwas, mit dem Sie alleine sind. Sie haben die gesamte WordPress-Community auf Ihrer Website, die Ihnen hilft, sicherere Websites zu erstellen.

Hier bei HeroThemes konzentrieren wir uns auf die Erstellung sicherer, zuverlässiger Plugins und Themes, mit denen Sie Ihre WordPress-Site erweitern und gleichzeitig sicher halten können. Es gibt haufenweise andere Entwickler, die dasselbe tun.

Wenn Sie sich an Erweiterungen wie diese halten und andere Best Practices für Sicherheit befolgen, können Sie die Vorteile einer sicheren WordPress-Site genießen.