WordPress-Sicherheitsleitfaden: WordPress sicher machen 2024
Stellen Sie sich Folgendes vor:
Sie öffnen Ihre WordPress-Website, sind voller Tatendrang und bereit, Ihren neuesten Blog-Beitrag hochzuladen... und werden dann von einem Haufen seltsamer Inhalte empfangen, die zum Kauf von pharmazeutischen Pillen auf dubiosen Websites auffordern.
Es ist der schlimmste Albtraum der meisten Webmaster, aber es ist etwas, das auch Ihrer WordPress-Website passieren kann... wenn Sie nicht die richtigen Best Practices für die Sicherheit einführen.
Wir wollen Ihnen keine Angst einjagen - WordPress ist sicher. Es hat ein engagiertes Sicherheitsteam und ein Heer von sachkundigen Mitwirkenden und Entwicklern, die dafür sorgen, dass es so bleibt.
Wenn Sie jedoch nicht auf dieser sicheren Grundlage aufbauen, indem Sie die bewährten WordPress-Sicherheitspraktiken befolgen, könnten Sie böswilligen Akteuren Tür und Tor öffnen, um ihre Klauen in Ihre Website zu schlagen.
In diesem Beitrag möchten wir Ihnen helfen, diese bewährten Verfahren kennenzulernen, damit Sie verhindern können, dass dieses Alptraumszenario Wirklichkeit wird.
Zu diesem Zweck werden wir die folgenden Abschnitte behandeln:
In diesem Artikel
- Ist WordPress sicher?
- Warum Sie nicht warten sollten, bis Sie sich ernsthaft mit WordPress-Sicherheit beschäftigen
- 20 Dinge, die Sie jetzt über WordPress-Sicherheit tun können
- 1. Verstehen der grundlegenden WordPress-Sicherheitsthemen
- 2. WordPress-Updates zeitnah anwenden
- 3. Verwenden Sie sichere Passwörter für alles
- 4. Vertrauenswürdige Plugins verwenden
- 5. Sichern Sie Ihren Computer
- 6. Sperren Sie Ihre Anmeldeseite
- 7. Regelmäßig Backups erstellen
- 8. Sicheres Hosting verwenden
- 9. Installieren Sie ein SSL-Zertifikat und verwenden Sie HTTPS
- 10. Verwenden Sie SFTP und speichern Sie keine Passwörter
- 11. XML-RPC deaktivieren
- 12. Dateibearbeitung deaktivieren
- 13. Überwachung auf Sicherheitsprobleme
- 14. Sichern Sie wichtige WordPress-Dateien und -Ordner
- 15. Richtige Dateiberechtigungen einrichten
- 16. Aktivitätsprotokollierung in Betracht ziehen
- 17. Hinzufügen der neuesten Sicherheitskopfzeilen
- 18. Sichern Sie Ihre Datenbank
- 19. Hotlinking deaktivieren
- 20. DDoS-Schutz im Voraus einrichten
- Was sind die Risiken, wenn eine Website verletzt wird?
- Wie Sie feststellen können, ob Ihre WordPress-Website gehackt wurde
- Die drei besten WordPress-Sicherheits-Plugins und -Tools
- Konzentrieren Sie sich auf diese drei Dinge für den größten WordPress-Sicherheits-ROI
- Überwachung, Identifizierung und Behebung von WordPress-Sicherheitslücken
Auch wenn Sie vielleicht ein paar Stunden brauchen, um die bewährten Verfahren in diesem Beitrag durchzuarbeiten, wird sich diese kleine Investition in Form einer sicheren, kugelsicheren WordPress-Website in Zukunft auszahlen.
Jedes Produkt, das wir auf HeroThemes empfehlen, wird von uns gründlich getestet und untersucht. Unser Prüfverfahren. Wir können auch eine Provision verdienen, wenn Sie einen Kauf über unsere Links tätigen.
Ist WordPress sicher?
Über 43 % aller Websites im Internet werden von WordPress betrieben, was bedeutet, dass es ein attraktives Ziel für böswillige Akteure ist.
Die Tatsache, dass WordPress so beliebt ist, bedeutet auch, dass es von einer Vielzahl von Menschen genutzt wird, darunter auch von Menschen mit sehr unterschiedlichem Wissensstand. Denken Sie an einen erfahrenen Entwickler im Vergleich zu jemandem, der gerade seinen ersten Blog startet... und alle dazwischen.
Hier gibt es eine gute und eine schlechte Nachricht...
Eine gute Nachricht:
WordPress ist sicher. Deshalb wird es von so vielen normalen Menschen, aber auch vongroßen Organisationen wie dem Weißen Haus der USA und Facebook verwendet.
Facebook und das Weiße Haus würden ihre Websites nicht einer unsicheren Plattform anvertrauen. Mehr noch: 43 % der Websites im Internet würden nicht auf WordPress laufen, wenn es nicht sicher wäre.
Die schlechte Nachricht:
Viele WordPress-Websites werden gehackt. In den Berichten über gehackte Websites von Sucuri ist WordPress regelmäßig die am häufigsten gehackte Plattform(denken Sie daran - es ist sehr beliebt).
Wie kann WordPress also sicher sein und gleichzeitig können Websites gehackt werden? Schließen sich diese Dinge nicht gegenseitig aus?
Nun, die Antwort liegt einzig und allein darin, wie die Menschen WordPress nutzen.
Wenn Sie sich proaktiv an bewährte Sicherheitspraktiken halten, wie die, die wir in diesem Beitrag behandeln, können Sie Ihre WordPress-Website sicher halten und Probleme vermeiden.
WordPress verfügt über einen umfangreichen Sicherheitsapparat, darunter ein offizielles Sicherheitsteam mit mehr als 50 Mitgliedern und eine Reihe von erfahrenen Entwicklern, die sichere Erweiterungen erstellen und potenzielle Probleme erkennen.
Diese Leute leisten großartige Arbeit, um WordPress sicher zu machen - aber Sie müssen trotzdem Ihren Teil dazu beitragen, wenn Sie wollen, dass es so bleibt.
Wenn Sie sich nicht auf die harte Arbeit dieser WordPress-Mitarbeiter stützen und bewährte Verfahren befolgen, können Sie Fehler machen, die Lücken in der WordPress-Software öffnen, sei es durch die Verwendung eines schwachen Passworts, die Installation eines anfälligen Plugins oder etwas anderes.
Warum Sie nicht warten sollten, bis Sie sich ernsthaft mit WordPress-Sicherheit beschäftigen
Die Sicherheit von WordPress gehört zu den Dingen, die sich anfühlen, als ob sie keine große Sache wären... bis sie eine wirklich große Sache sind.
Sie haben viel zu tun, um Ihre Website zu vermarkten und auszubauen. Da kann es leicht passieren, dass Sie die Sicherheit in den Hintergrund drängen, weil es schwierig ist, Sicherheitsverbesserungen mit Wachstumskennzahlen wie Traffic oder Umsatz zu verbinden.
Wir sind hier ein wenig unverblümt, aber diese Denkweise ist unglaublich kurzsichtig. Die Umsetzung der nachstehenden WordPress-Sicherheits-Checkliste kostet etwas Zeit und möglicherweise auch etwas Geld, aber diese Kosten verblassen im Vergleich zu dem, was Sie "zahlen" müssen, wenn Ihre Website angegriffen wird.
Ein Sicherheitsverstoß kann Sie leicht viel Zeit, Umsatz, SEO-Traffic und Vertrauen bei Ihren Besuchern kosten.
Im Grunde wollen Sie die Sicherheit Ihrer Website nicht aufs Spiel setzen. Investieren Sie jetzt die Zeit, um sich später vor hohen Kosten zu schützen.
20 Dinge, die Sie jetzt über WordPress-Sicherheit tun können
Bis jetzt haben wir über die Theorie gesprochen. Beginnen wir nun mit einer WordPress-Sicherheits-Checkliste, die Sie noch heute zum Schutz Ihrer Website einsetzen können .
1. Verstehen der grundlegenden WordPress-Sicherheitsthemen
Bevor Sie etwas an Ihrer Website ändern, sollten Sie die grundlegenden Themen der WordPress-Sicherheit verstehen:
- Zugangsbeschränkung - Beschränken Sie den Zugang zu Ihrer Website, sowohl über beabsichtigte Methoden (Benutzerkonten) als auch über unbeabsichtigte Methoden (Schwachstellen).
- Probleme eindämmen - wenn ein böswilliger Akteur Zugang erhält, wollen Sie den Schaden begrenzen, den er anrichten kann.
- Verwenden Sie nur vertrauenswürdige Drittanbieter - obwohl der WordPress-Kern sicher ist, stellt jede Erweiterung, die Sie Ihrer Website hinzufügen, eine potenzielle Schwachstelle dar.
2. WordPress-Updates zeitnah anwenden
Um Ihre Website vor neu auftretenden Sicherheitslücken zu schützen, ist es wichtig, WordPress-Core-Updates, Plugin-Updates und Theme-Updates umgehend zu installieren. Dies gilt insbesondere für Sicherheitsupdates, die Sie sofort anwenden sollten*.
*Sicherheitsupdates haben zwei Punkte in der Versionsnummer - z. B. 5.9.1. Sie können warten, bis Sie größere Funktionsaktualisierungen anwenden, die nur einen einzigen Punkt haben - z. B. 5.9.
3. Verwenden Sie sichere Passwörter für alles
Die Verwendung starker, eindeutiger Passwörter für Ihr WordPress-Administratorkonto, Ihr Hosting-Konto und andere Tools (z. B. SFTP-Zugangsdaten) kann einen großen Beitrag zur Verhinderung von Brute-Force-Angriffen und anderen Arten von Login-basierten Angriffen leisten.
Um Passwörter sicher zu speichern, können Sie einen Passwortmanager wie Bitwarden oder LastPass verwenden. Diese Passwort-Manager können Ihnen auch dabei helfen, einzigartige Passwörter zu erstellen.
4. Vertrauenswürdige Plugins verwenden
Installieren Sie nur Plugins von vertrauenswürdigen Entwicklern, die das Plugin noch aktiv pflegen, um neue WordPress-Versionen und neu entdeckte Sicherheitslücken zu berücksichtigen.
5. Sichern Sie Ihren Computer
Stellen Sie sicher, dass der Computer, den Sie für den Zugriff auf Ihre WordPress-Website verwenden, sauber ist. Verwenden Sie eine hochwertige Antiviren-Software und führen Sie regelmäßig Malware-Scans durch.
6. Sperren Sie Ihre Anmeldeseite
Zusätzlich zur Verwendung von sicheren Passwörtern können Sie Ihre Anmeldeseite durch Maßnahmen wie die Begrenzung der Anmeldeversuche und die Zwei-Faktor-Authentifizierung schützen. Sie können dies mit kostenlosen funktionsspezifischen Plugins wie Limit Login Attempts Reloaded und Two Factor Authentication erreichen. Oder Sie können einige der umfassenden WordPress-Sicherheits-Plugins verwenden, die wir später in diesem Beitrag besprechen werden.
Sie können auchdie WordPress-Anmelde-URL ändern. Das bringt zwar nicht viel zusätzliche Anmeldesicherheit, wenn Sie die oben genannten Tipps umsetzen, aber es kann den Bot-Verkehr einschränken.
7. Regelmäßig Backups erstellen
Regelmäßige Backups und deren langfristige Speicherung sind ein wichtiger Bestandteil der WordPress-Sicherheit. Wenn Sie über ein aktuelles Backup verfügen, ist ein Sicherheitsverstoß im schlimmsten Fall eine Unannehmlichkeit und keine Katastrophe, wenn es um die Daten Ihrer Website geht.
Die meisten verwalteten WordPress-Hosts bieten heutzutage automatische Offsite-Backups an. Wenn nicht, können Sie ein Plugin wie UpdraftPlus verwenden.
8. Sicheres Hosting verwenden
Verwenden Sie einen hochwertigen WordPress-Hoster, der solide Sicherheitsprotokolle wie Firewalls und Malware-Scans einsetzt. Sie sollten sich zwar nicht allein auf Ihren Hoster verlassen, aber ein hochwertiger WordPress-Hoster kann einen großen Beitrag zur Sicherheit Ihrer WordPress-Website leisten.
9. Installieren Sie ein SSL-Zertifikat und verwenden Sie HTTPS
Stellen Sie sicher, dass Sie ein SSL-Zertifikat installiert und Ihre Website so eingerichtet haben, dass der gesamte Datenverkehr auf die sichere HTTPS-Version umgestellt wird. Dadurch wird sichergestellt, dass alle Daten, die zwischen dem Webbrowser eines Besuchers und dem Server Ihrer Website übertragen werden, verschlüsselt sind.
Sie können das Support-Team Ihres Hosts oder die Dokumentation konsultieren, um zu erfahren, wie Sie ein SSL-Zertifikat installieren, und Plugins wie Really Simple SSL können Ihnen helfen, HTTPS-Verkehr auf Ihrer Website zu erzwingen.
10. Verwenden Sie SFTP und speichern Sie keine Passwörter
Stellen Sie sicher, dass Sie SFTP verwenden, wenn Sie sich mit dem Server Ihrer Website verbinden, und nicht einfaches FTP(das nicht verschlüsselt ist). Versuchen Sie außerdem, Ihre SFTP-Passwörter nicht in Ihrem FTP-Client zu speichern, es sei denn, sie sind verschlüsselt und passwortgeschützt.
11. XML-RPC deaktivieren
XML-RPC hilft einigen Anwendungen, z. B. einer iPhone-App, sich mit Ihrer WordPress-Website zu verbinden. Die meisten Menschen werden diese Apps nie für eine Verbindung verwenden, was bedeutet, dass XML-RPC nur ein unnötiger Schwachstellenvektor für Brute-Force- oder DDoS-Angriffe ist.
Aus diesem Grund deaktivieren die meisten Leute XML-RPC, was Sie mit einem Plugin wie Disable XML-RPC oder einem der allgemeinen Sicherheits-Plugins, die wir später besprechen werden, erreichen können.
12. Dateibearbeitung deaktivieren
Standardmäßig lässt WordPress Admin-Benutzer Theme- und Plugin-Dateien direkt vom WordPress-Dashboard aus bearbeiten, was eine große Schwachstelle darstellt, wenn ein böswilliger Akteur jemals Zugriff auf Ihr Dashboard erhält.
Sie können diese Funktion deaktivieren, indem Sie eine Zeile in Ihre wp-config.php-Datei einfügen.
13. Überwachung auf Sicherheitsprobleme
Regelmäßige Sicherheitsüberwachungsmaßnahmen können Ihnen helfen, Probleme zu erkennen, bevor sie zu größeren Problemen werden. Wir werden später in diesem Beitrag über angemessene Überwachungspraktiken sprechen.
14. Sichern Sie wichtige WordPress-Dateien und -Ordner
Einige WordPress-Dateien und -Ordner sind besonders anfällig. Daher sollten Sie besonders auf die Sicherung der Datei wp-config.php sowie der Ordner wp-admin und wp-includes achten.
15. Richtige Dateiberechtigungen einrichten
Dateiberechtigungen steuern den Zugriff von Benutzern und Programmen auf die Dateien und Ordner auf Ihrem Hosting-Server. Wenn sie nicht richtig konfiguriert sind, können sie böswilligen Akteuren Zugriff auf wichtige Dateien wie Ihre wp-config.php-Datei oder Ihre .htaccess-Datei geben.
Um die richtigen Berechtigungen für WordPress zu erfahren, können Sie diese Seite von WordPress.org lesen.
16. Aktivitätsprotokollierung in Betracht ziehen
Mit der Aktivitätsprotokollierung können Sie verfolgen, was auf Ihrer Website geschieht, und so verdächtiges Verhalten erkennen, bevor es zu einem größeren Problem wird.
Zur Einrichtung der Aktivitätsprotokollierung können Sie ein spezielles Plugin wie WP Activity Log verwenden. Einige universelle WordPress-Sicherheits-Plugins enthalten auch Protokollierungsfunktionen.
17. Hinzufügen der neuesten Sicherheitskopfzeilen
HTTP-Sicherheits-Header können zur Sicherheit Ihrer Website beitragen, indem sie steuern, wie Webbrowser mit dem Inhalt Ihrer Website umgehen. Diese werden in der Regel auf Serverebene konfiguriert - KeyCDN hat einen großartigen Beitrag veröffentlicht, in dem die wichtigsten Sicherheits-Header erklärt werden.
18. Sichern Sie Ihre Datenbank
Die Verwendung eines eindeutigen Datenbanktabellen-Präfixes und eines eindeutigen Datenbanknamens kann es böswilligen Akteuren etwas erschweren, bösartige Inhalte in Ihre Datenbank einzuschleusen, auch wenn einige Experten die Nützlichkeit in Frage stellen. Da diese Änderung leicht umzusetzen ist, lohnt sie sich, auch wenn es sich nur um einen kleinen Beitrag zur "Sicherheit durch Unklarheit" handelt.
19. Hotlinking deaktivieren
Die Tatsache, dass andere Websites Hotlinks zu Ihren Bildern setzen, stellt zwar kein direktes Sicherheitsrisiko dar, kann sich aber durch die Verschwendung von Ressourcen negativ auf Ihren Server auswirken, weshalb es eine gute Sicherheitspraxis ist, Hotlinking zu deaktivieren.
20. DDoS-Schutz im Voraus einrichten
Erstellen Sie einen Plan für den Umgang mit verteilten Denial-of-Service-Angriffen. Erkundigen Sie sich bei Ihrem Hoster, welche Schutzvorkehrungen er getroffen hat, oder fügen Sie Ihre Website zu Cloudflare hinzu, damit Sie bei Bedarf schnell den "I'm Under Attack"-Modus von Cloudflare aktivieren können.
Was sind die Risiken, wenn eine Website verletzt wird?
Es gibt drei Haupttypen von Risiken, wenn in Ihre Website eingebrochen wird...
Risiken für Ihre Webbesucher
Wenn Sie Daten über Ihre Besucher speichern, könnten böswillige Akteure Zugang zu all diesen Informationen erhalten, was je nach den von Ihnen gespeicherten Daten zu Problemen mit Identitätsdiebstahl oder finanziellem Diebstahl führen könnte.
Böswillige Akteure könnten auch versuchen, Benutzer zum Herunterladen bösartiger Dateien zu verleiten und ihre Computer zu infizieren.
Risiken für Standorteigentümer
Ein Sicherheitsverstoß kann unmittelbare Probleme in Form von Datenverlust, Zeitverlust und Nichtverfügbarkeit der Website verursachen. Wenn Sie keine regelmäßigen Backups erstellen(was nach der Lektüre dieses Leitfadens hoffentlich nicht mehr der Fall ist), können Sie sogar Ihre gesamte Website verlieren und müssen sie von Grund auf neu aufbauen.
Eine Datenschutzverletzung kann auch zu weniger greifbaren Problemen führen, z. B. zu einem Vertrauensverlust bei Ihren Besuchern oder einem allgemeinen Imageschaden.
Risiko für andere Standorte
Wenn Sie Shared Hosting verwenden und/oder einige Ihrer anderen Websites auf demselben Hosting-Account hosten, kann sich ein Angriff auf eine Website schnell auf andere Websites ausbreiten, wenn die Websites nicht streng voneinander isoliert sind. Auf diese Weise kann die Infizierung einer Website wie ein Dominoeffekt wirken und andere Websites in Mitleidenschaft ziehen, selbst wenn diese Websites ansonsten sicher sind.
Wie Sie feststellen können, ob Ihre WordPress-Website gehackt wurde
Es gibt zwei Möglichkeiten, wie Sie feststellen können, dass Ihre Website gehackt wurde:
- Reaktive Anzeichen - Sie entdecken ein Problem, weil Sie das Problem auf Ihrer Website sehen.
- Proaktive Anzeichen - Ihre Sicherheitsüberwachungsprotokolle machen Sie auf das Problem aufmerksam, bevor es sich auf Ihrer Website manifestiert.
Idealerweise sollten Sie Tools verwenden, mit denen Sie Probleme proaktiv beheben können, anstatt zu warten, bis sie zu einem Problem werden. Auf diese Weise können Sie den Schaden für Ihre Website minimieren.
Reaktive Anzeichen für Hacking
- Browser-Warnung - die meisten Browser zeigen eine Warnung an, wenn Sie eine infizierte Seite besuchen. Wenn das passiert, wenn Sie Ihre eigene Website besuchen, wissen Sie, dass Sie ein Problem haben.
- Suchmaschinenwarnung - Google warnt Besucher auch, wenn sie auf einen Link klicken, der zu einer infizierten Website führt. Es steht dann etwas wie "Diese Website könnte gehackt sein".
- Webmaster-Dienste - wenn Sie Google Search Console verwenden, wird Google Sie auf Sicherheitsprobleme aufmerksam machen, wenn Sie zu Sicherheit & Manuelle Aktionen → Sicherheitsprobleme gehen.
- Web-Besucher : Wenn Web-Besucher auf bösartige Inhalte stoßen, können sie Ihnen dies direkt mitteilen.
Proaktive Anzeichen für Hacking
- Malware-Scanner - ein Malware-Scanner kann bösartigen Code auf Ihrem Server aufspüren, auch wenn er noch nicht das Frontend Ihrer Website beeinträchtigt hat.
- Überprüfung der Dateiintegrität - wenn WordPress-Kerndateien nicht mit den offiziellen Versionen übereinstimmen, ist das ein Zeichen dafür, dass auf Ihrer Website etwas nicht stimmen könnte. Die meisten Sicherheits-Plugins warnen Sie automatisch, wenn eine Kerndatei geändert wurde.
- Traffic-Monitoring - die Überwachung des Traffics Ihrer WordPress-Website hilft Ihnen, Unregelmäßigkeiten sofort zu erkennen.
Das Wordfence-Plugin bietet WordPress-Sicherheitsscans
Die drei besten WordPress-Sicherheits-Plugins und -Tools
Wenn Sie in Sachen WordPress-Sicherheit auf Nummer sicher gehen wollen, können Sie ein spezielles WordPress-Sicherheits-Plugin oder einen entsprechenden Dienst verwenden.
Diese Tools machen zwar die Notwendigkeit der Wachsamkeit nicht völlig überflüssig, aber sie können die meisten bewährten WordPress-Sicherheitspraktiken für Sie übernehmen.
Hier sind drei der besten:
1. Wordfence
Wordfence ist das beliebteste WordPress-Sicherheits-Plugin auf WordPress.org. Es verfügt über ein umfassendes Funktionsset, das alle Bereiche der Sicherheit Ihrer Website schützen und überwachen kann:
- Web Application Firewall (WAF) zum proaktiven Blockieren von Bedrohungen, bevor sie Ihrer Website schaden können. Enthält einen ständig aktualisierten Satz von Definitionen, um neue Bedrohungen zu blockieren.
- Malware- und Sicherheitsscans zur Erkennung von Infektionen oder Sicherheitslücken.
- Sicherheitsfunktionen für die Anmeldung, einschließlich Begrenzung der Anmeldeversuche, Zwei-Faktor-Authentifizierung, Schutz von durchgesickerten Passwörtern, Deaktivierung/Härtung von XML-RPC und mehr.
- Echtzeit-Protokollierung zur Erkennung böswilliger Akteure.
- Benachrichtigungen, die Sie sofort auf mögliche Probleme auf Ihrer Website aufmerksam machen.
- Viele andere kleinere Absicherungstaktiken , einschließlich der Erkennung von Dateiänderungen.
- Zentrales Sicherheits-Dashboard, mit dem Sie die Sicherheit mehrerer Websites von einer Stelle aus verwalten können.
Es gibt eine kostenlose Version auf WordPress.org und Wordfence Premium gibt es ab $99.
2. Sucuri
Sucuri ist zweierlei:
- Ein kostenloses Plugin auf WordPress.org, das grundlegende Sicherheitspraktiken implementiert.
- Ein kostenpflichtiger Firewall-Dienst, der sich vor Ihren Server setzt und bösartigen Datenverkehr blockiert, bevor er auf Ihre Website gelangen kann.
Den besten Schutz erhalten Sie, wenn Sie beide Tools verwenden.
Das kostenlose Sucuri-Plugin implementiert die folgenden Sicherheitshärtungsfunktionen:
- Überwachung der Dateiintegrität
- Audit-Protokolle
- Automatische Überwachung der Schwarzen Liste
- Grundlegende Härtungsoptionen wie die Deaktivierung der Dateibearbeitung und die Sperrung bestimmter PHP-Dateien
- Überwachung fehlgeschlagener Anmeldungen zur Erkennung von Brute-Force-Angriffen
- Automatische Sicherheitswarnungen per E-Mail
Um den Firewall-Service zu nutzen, ändern Sie die Nameserver Ihrer Domain auf Sucuri und die Firewall von Sucuri schützt Ihre Website auf Netzwerkebene.
Das Sucuri-Plugin ist kostenlos, aber die Firewall kostet ab 10 US-Dollar pro Monat. Sie können auch für einen vollständigen Website-Sicherheitsplan bezahlen, der die Reinigung und Entfernung von Malware beinhaltet. Diese Pläne beginnen bei 200 $ pro Jahr.
3. iThemes Sicherheit
iThemes Security ist ein weiteres beliebtes Tool, mit dem Sie Ihre Website härten und auf Sicherheitsprobleme überwachen können.
Hier ist, wozu sie beitragen kann:
- Der Website-Scanner erkennt automatisch bekannte Sicherheitslücken auf Ihrer Website.
- Anmeldeschutz einschließlich Zwei-Faktor-Authentifizierung, Begrenzung der Anmeldeversuche, vertrauenswürdige Geräte, strenge Passwortanforderungen und mehr.
- Sicherheitsprotokolle einschließlich der Protokollierung von Sicherheitsereignissen und Benutzeraktivitäten.
- Erkennung von Dateiänderungen, um festzustellen, ob Kerndateien geändert wurden.
- E-Mail-Benachrichtigungen, die Sie sofort auf potenzielle Sicherheitsprobleme hinweisen.
- Allgemeine WordPress-Härtung , einschließlich Deaktivierung von XML-RPC, Deaktivierung der Dateibearbeitung, Überprüfung der Dateiberechtigungen und mehr.
Eine Funktion, die iThemes Security nicht bietet, ist eine Firewall - die Entwickler empfehlen, es mit dem Firewall-Service von Sucuri zu koppeln, wenn Sie eine Firewall wünschen.
Es gibt zwar eine begrenzte kostenlose Version von iThemes Security auf WordPress.org, aber den besten Schutz erhalten Sie mit iThemes Security Pro. Es beginnt bei $80.
Konzentrieren Sie sich auf diese drei Dinge für den größten WordPress-Sicherheits-ROI
Wie viele andere Dinge im Leben folgt auch die WordPress-Sicherheit dem 80/20-Pareto-Prinzip. Das heißt, wenn Sie sich auf einige grundlegende WordPress-Sicherheitstaktiken konzentrieren, werden Sie den größten Teil des Weges zu einer sicheren Website zurücklegen.
Wir halten es zwar für wichtig, die oben beschriebene WordPress-Sicherheitscheckliste zu befolgen, aber wenn Sie sich auf nur drei Bereiche konzentrieren, sind Sie vor den meisten Problemen mit der WordPress-Sicherheit geschützt.
Gehen wir sie durch...
1. Plugins
Während die WordPress-Kernsoftware sicher ist(solange Sie sie auf dem neuesten Stand halten), führen Plugins Variablen ein, die das Kernteam nicht kontrollieren kann, was sie zu einem der größten Angriffsvektoren für böswillige Akteure macht.
Allerdings sind Plugins auch ein wesentlicher Bestandteil von WordPress, so dass es keine realistische Option ist, sie nicht zu verwenden.
Im Folgenden finden Sie drei Möglichkeiten, um weiterhin von Plugins zu profitieren und gleichzeitig Ihre Risiken zu minimieren:
- Vermeiden Sie aufgegebene Plugins - wenn ein Plugin nicht mehr gewartet wird, bedeutet dies, dass es niemanden gibt, der neu entdeckte Probleme behebt und die Kompatibilität mit neueren WordPress-Versionen aufrechterhält.
- Kaufen Sie nur bei seriösen Entwicklern - verwenden Sie vertrauenswürdige Entwickler wie HeroThemes die sich an die bewährten WordPress-Sicherheitspraktiken halten und sich über neue Bedrohungen auf dem Laufenden halten.
- Aktualisieren Sie regelmäßig - selbst die besten Plugins von den besten Entwicklern können manchmal neu entdeckte Sicherheitslücken aufweisen. Qualitätsentwickler patchen diese Schwachstellen, bevor sie zu einem Problem werden - vorausgesetzt, Sie aktualisieren umgehend.
2. Brute-Force-Angriffe
Brute-Force-Angriffe sind ein gängiger Angriffsvektor, der darauf beruht, über die Anmeldeseite auf Ihre Website zu gelangen. Es spielt keine Rolle, wie sicher der Rest Ihrer Website ist - wenn ein böswilliger Akteur Ihren Benutzernamen und Ihr Passwort erraten kann, hat er den Schlüssel zur Eingangstür.
Hier erfahren Sie, wie Sie sich schützen können:
- Verwenden Sie sichere, eindeutige Passwörter - wählen Sie ein sicheres Passwort für alle Ihre Konten und verwenden Sie dasselbe Passwort nicht an mehreren Stellen.
- Begrenzen Sie die Anmeldeversuche - verhindern Sie, dass jemand Ihre Anmeldeseite ausspioniert, indem Sie die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen und/oder ein CAPTCHA hinzufügen.
- Erwägen Sie eine Zwei-Faktor-Authentifizierung - für noch mehr Sicherheit können Sie eine Zwei-Faktor-Authentifizierung per SMS oder idealerweise eine Smartphone-App oder einen Hardware-Schlüssel verwenden.
- Einzigartiger Benutzername - verwenden Sie nicht "admin" als Ihren Benutzernamen und versuchen Sie, Ihren Benutzernamen schwer zu erraten.
3. Hosting-Konto
Ihre WordPress-Site kann zwar perfekt gesichert sein, aber wenn ein böswilliger Akteur Zugang zu Ihrem Hosting-Konto erhält, kann er mit Ihrer Site so ziemlich alles anstellen, was er will.
Um dies zu verhindern, müssen Sie auch Ihr Hosting-Konto und Ihren Server sperren:
- Verwenden Sie sichere Passwörter - wie bei Ihrem WordPress-Konto sollten Sie auch für Ihre Hosting- und SFTP-Konten sichere, eindeutige Passwörter verwenden.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung - die meisten Hosting-Anbieter unterstützen die Zwei-Faktor-Authentifizierung - nutzen Sie sie.
- Verwenden Sie SFTP - verbinden Sie sich immer über SFTP und nicht über unverschlüsseltes FTP.
- Speichern Sie keine SFTP-Passwörter - speichern Sie keine unverschlüsselten SFTP-Passwörter in Ihrem FTP-Client.
Überwachung, Identifizierung und Behebung von WordPress-Sicherheitslücken
Wenn Sie alle oben genannten WordPress-Sicherheitsmaßnahmen umsetzen, werden Sie hoffentlich nie mit einer Sicherheitsverletzung konfrontiert werden.
Es ist jedoch immer möglich, dass etwas durch die Maschen schlüpft. Deshalb ist es wichtig, einen Plan zur Erkennung und Behebung von Sicherheitsproblemen zu haben.
Überwachung auf Schwachstellen
- Scannen Sie Ihre Website - verwenden Sie Tools wie Sucuri SiteCheck, um Probleme mit schwarzen Listen zu erkennen, und scannen Sie Ihren Server mit einem Sicherheits-Plugin.
- Google Search Console - achten Sie auf die Warnungen im Abschnitt "Sicherheitsprobleme".
- Verwenden Sie den Google-Site-Befehl in der Suche - suchen Sie nach site:yourite.com, um zu sehen, ob Google Inhalte indexiert hat, die bösartig aussehen. Dies könnten Inhalte sein, die Sie nicht erstellt haben, oder Inhalte mit seltsamen Titeln/Metabeschreibungen.
- Aktivitätsprotokoll - Durchsuchen Sie das Aktivitätsprotokoll Ihrer Website, um verdächtige Aktivitäten zu erkennen.
- Prüfen Sie die Analysen - achten Sie auf unerklärliche Einbrüche oder Spitzen in Ihren Traffic-Analysen.
- .htaccess-Datei - Achten Sie auf Änderungen an Ihrer .htaccess-Datei, denn hier platzieren viele Akteure bösartige Weiterleitungen oder richten User-Agent-Regeln ein, um ihren SEO-Spam vor menschlichen Besuchern zu verbergen.
Identifizieren Sie Probleme
Sobald Ihre Überwachungsmaßnahmen einen Fehler aufgedeckt haben, ist es an der Zeit, das spezifische Problem auf Ihrer Website zu identifizieren, damit Sie es beheben und Ihre Website wieder zum Laufen bringen können. Zu diesem Zweck können Sie ein Sicherheits-Plugin verwenden, um Ihre Website zu scannen und bösartige Dateien und Hintertüren zu identifizieren.
Reparieren Ihrer Website
Sobald Sie das spezifische Problem erkannt haben, ist es an der Zeit, Ihre Website zu reparieren.
Je nach Schweregrad der Infektion und Ihrem Kenntnisstand können Sie hier verschiedene Wege einschlagen:
- Verwenden Sie ein Sicherheits-Plugin - viele Sicherheits-Plugins bieten Ein-Klick-Korrekturen an, indem sie entweder die Datei bereinigen oder Ihre Website auf eine saubere Version zurücksetzen.
- Beauftragen Sie einen Experten - wenn Sie sich überfordert fühlen, können Sie für einen Expertendienst wie Sucuris Website Security oder Wordfence Site Cleaning Services bezahlen.
- Führen Sie eine manuelle Säuberung durch - wenn Sie über die technischen Kenntnisse verfügen, können Sie Ihre Website manuell säubern - MalCare hat eine detaillierte Anleitung zur Durchführung einer manuellen Säuberung.
Wenn Ihre Website von Google auf die schwarze Liste gesetzt wurde, sollten Sie nach der Bereinigung Ihrer Website ebenfalls eine Überprüfung beantragen. Sie können dies über den Abschnitt " Sicherheitsprobleme " in der Google Search Console tun.
Halten Sie Ihre WordPress-Website sicher
WordPress ist sicher, aber die Art und Weise, wie Menschen WordPress verwenden, ist nicht immer sicher.
Wenn Sie sich jetzt ein wenig Zeit nehmen, um einen proaktiven Plan für die Sicherheit von WordPress zu erstellen, wird sich dies in Form einer sicheren Website auszahlen, und Sie müssen sich in Zukunft nicht mit einer Sicherheitsverletzung auseinandersetzen.
Sie können die Tipps aus diesem Beitrag umsetzen und eine WordPress-Sicherheitscheckliste wie die Checkliste von Wordfence befolgen. Wenn Sie Hilfe benötigen, können Sie sich auch an einen Entwickler wenden oder einen WordPress-Wartungsservice beauftragen.
Die Sicherheit von WordPress ist auch nicht etwas, bei dem Sie allein sind. Die gesamte WordPress-Community unterstützt Sie bei der Erstellung sicherer Websites.
Hier bei HeroThemeskonzentrieren wir uns auf die Entwicklung sicherer, zuverlässiger Plugins und Themes, mit denen Sie Ihre WordPress-Website erweitern können, während sie gleichzeitig sicher bleibt. Es gibt haufenweise andere Entwickler, die dasselbe tun.
Wenn Sie sich an solche Erweiterungen halten und andere bewährte Sicherheitsverfahren befolgen, können Sie die Vorteile einer sicheren WordPress-Website genießen.