Alles, was Sie über WordPress-Sicherheit wissen müssen (+20 Tipps zur Absicherung)

Wenn Sie nach einem erstklassigen, alles-in-einem Content-Management-System suchen, um Ihre Website zu betreiben, suchen Sie nicht weiter als WordPress.

WordPress ist eine ausgezeichnete, sichere Plattform direkt ab Werk, aber es gibt definitiv mehr, was Sie tun können (und sollten!), um Ihre Website vor bösartiger Absicht zu schützen. Viele dieser Sicherheitsverbesserungen sind leicht umzusetzen und können manuell in nur wenigen Minuten durchgeführt werden. Andere erfordern einfach die Installation eines bestimmten Plugins.

In diesem Artikel führe ich Sie durch 20 verschiedene Strategien, um die Verteidigung Ihrer WordPress-Festung zu verstärken. Aber zunächst, lassen Sie uns etwas tiefer darauf eingehen, warum Website-Sicherheit Ihnen wichtig sein sollte.

Warum WordPress-Sicherheit so wichtig ist

Die Wahl von WordPress als Ihre Plattform ist eine hervorragende Möglichkeit, zu beginnen, wenn Sie versuchen, eine Website zu erstellen. Es ist nicht nur eine flexible, leistungsstarke Plattform zum Erstellen von Websites — es ist auch von sich aus bemerkenswert sicher.

Natürlich kann keine Plattform 100% sicher sein, und es gibt viele Gründe, sich um die Sicherheit Ihrer WordPress-Site zu sorgen:

• Beliebtheit – WordPress betreibt einen großen Teil aller Websites im Internet und ist damit ein Hauptziel für Cyberkriminelle. Die weit verbreitete Nutzung macht es zu einer attraktiven Plattform, um Schwachstellen auszunutzen und unbefugten Zugriff auf Websites zu erlangen.
• Schwachstellen – Wie bei jeder Software ist auch WordPress nicht immun gegen Schwachstellen. Hacker suchen ständig nach Schwachstellen in WordPress-Themes, Plugins und der Kernsoftware. Das Ausnutzen dieser Schwachstellen kann zu unbefugtem Zugriff, Datenverletzungen, Verunstaltung oder sogar zur vollständigen Kontrolle über eine Website führen.
• Datenverletzungen – WordPress-Websites speichern oft sensible Benutzerinformationen wie E-Mail-Adressen, Passwörter und persönliche Daten. Ein Sicherheitsbruch kann diese vertraulichen Daten offenlegen und zu Identitätsdiebstahl, finanziellen Verlusten oder sogar rechtlichen Konsequenzen führen (oje!).
• SEO-Auswirkungen – Eine kompromittierte WordPress-Website kann für bösartige Aktivitäten verwendet werden, wie das Hosten von Malware, das Weiterleiten von Besuchern auf schädliche Websites oder das Versenden von Spam-E-Mails. Suchmaschinen können solche Websites kennzeichnen und bestrafen, was zu einem erheblichen Rückgang der Rankings und des organischen Traffics führt, sobald Sie die Kontrolle über Ihre Website zurückerlangen.
• Ruf und Vertrauen – Wenn eine WordPress-Website kompromittiert und für bösartige Zwecke verwendet wird, kann dies den Ruf des Website-Betreibers schwer schädigen und das Vertrauen der Nutzer erodieren. Denken Sie an einen E-Commerce-Store, zum Beispiel. Wenn der Laden sich nicht dazu verpflichten kann, die persönlichen Daten der Käufer sicher zu halten, werden die Leute dort einfach nicht einkaufen (und wer kann es ihnen verdenken?).
• Ausfallzeiten und finanzielle Verluste – Eine gehackte Website kann verlängerte Ausfallzeiten erleben, während der Website-Betreiber daran arbeitet, den Sicherheitsbruch zu beheben. Daraus resultierende Ausfallzeiten können zu Geschäftsverlusten, sinkenden Einnahmen und zusätzlichen Ausgaben für die Wiederherstellung und Reparatur führen.

Angesichts dieser Risiken ist es unerlässlich, in WordPress-Sicherheitsmaßnahmen zu investieren, um Ihre Website und die Daten Ihrer Nutzer zu schützen. Idealerweise sollten Sie ebenso viel Zeit und Mühe in die Sicherheit stecken, wie Sie Ihre Website entworfen haben (wenn nicht sogar mehr). Glücklicherweise gibt es für Sie, lieber Leser, viele einfache und schnelle Möglichkeiten, die Sicherheit Ihrer Website zu verbessern, sowie einige komplexere Techniken, die Sie vielleicht anwenden möchten — und unten decken wir sie alle ab.

Top WordPress-Sicherheitslücken

Wie das Sprichwort sagt, kenne deinen Feind. Bevor wir in unsere Sicherheitstipps eintauchen, lernen wir mehr über die Sicherheitslücken, die du schützen musst, um deine WordPress-Seite zu sichern.

• Veraltete Software, Themes und Plugins – Die Verwendung veralteter Versionen von WordPress, Themes oder Plugins kann Ihre Website anfällig für bekannte Sicherheitslücken machen.
• Schwache Benutzernamen und Passwörter – Schwache Anmeldeinformationen erleichtern Hackern den Zugriff auf Ihre Website. Vermeiden Sie gängige Benutzernamen wie “admin” und wählen Sie starke, einzigartige Passwörter, die eine Kombination aus Buchstaben, Zahlen und Symbolen enthalten.
• Brute-Force-Angriffe – Brute-Force-Angriffe beinhalten wiederholte Versuche, Ihre Anmeldeinformationen zu erraten. Sie können sie verhindern, indem Sie die Anmeldeversuche begrenzen und eine Zwei-Faktor-Authentifizierung verwenden (mehr dazu später in diesem Artikel).
• Cross-Site Scripting (XSS) – XSS-Schwachstellen treten auf, wenn bösartige Skripte in Webseiten eingefügt werden, was die Browser oder Sitzungsdaten der Benutzer gefährden kann. Viele Sicherheits-Plugins bieten Funktionen zur Verhinderung von XSS.
• Malware-Infektionen – Malware kann durch Sicherheitslücken, infizierte Themes oder Plugins oder kompromittierte Dateien in Ihre Website eingeschleust werden. Um Malware zu vermeiden, installieren Sie keine Plugins, ohne sich zuvor über deren Ruf zu informieren. Regelmäßige Malware-Scans können Infektionen erkennen, bevor sie die Chance haben, auf Ihrer Website Schaden anzurichten.
• Backdoors – Ein Backdoor ist ein versteckter Zugangspunkt auf einer Website, der unbefugten Zugriff auch nach Implementierung von Sicherheitsmaßnahmen ermöglicht. Backdoors können von bösartigen Akteuren erstellt oder versehentlich durch kompromittierte Themes, Plugins oder schwache Sicherheitspraktiken eingeführt werden. Ist einmal ein Backdoor etabliert, kann es einem Angreifer unbefugten Zugriff gewähren, der dann die Website manipulieren, Daten stehlen oder andere bösartige Aktivitäten ohne Wissen des Websiteinhabers durchführen kann.

Die Implementierung von Sicherheits-Plugins und anderen bewährten Verfahren kann Ihre Website vor diesen Schwachstellen schützen. Ohne weitere Umschweife kommen wir zu dem, wofür Sie hier sind: umsetzbare WordPress-Sicherheitstipps und wie Sie diese in die Praxis umsetzen können.

20 WordPress Sicherheitstipps

Hoffentlich habe ich Sie von der Wichtigkeit überzeugt, eine sichere WordPress-Website zu unterhalten. Wenn nicht, muss ich mich wohl wieder in Überzeugendes Schreiben 101 einschreiben. Bitte bringen Sie mich nicht dazu.

Im weiteren Verlauf dieses Artikels werde ich 20 Strategien vorstellen (zusammen mit einigen der besten WordPress-Sicherheits-Plugins), um Ihre Website vor einigen der häufigsten und gefährlichsten Sicherheitslücken zu schützen. Sie müssen nicht jeden Vorschlag auf dieser Liste umsetzen (obwohl Sie das sicherlich können!), aber je mehr Schritte Sie unternehmen, um Ihre Website zu sichern, desto geringer ist die Wahrscheinlichkeit, dass Sie später auf ein Desaster stoßen.

1. Verwenden Sie einen qualitativ hochwertigen Host

Sie können sich Ihren Webhost als die Straße Ihrer Website im Internet vorstellen – es ist der Ort, an dem Ihre Site „lebt“. Und wie ein gutes Schulviertel für die Zukunft Ihres Kindes wichtig ist (so sagt man; ich bin auch gut rausgekommen), zählt die Qualität Ihrer Website-Heimatbasis in vielerlei Hinsicht.

Ein solider Hosting-Anbieter kann beeinflussen, wie gut Ihre Website funktioniert, wie zuverlässig sie ist, wie groß sie wachsen kann und sogar, wie sie in Suchmaschinen eingestuft wird. Die besten Hosts bieten eine Vielzahl nützlicher Funktionen, hervorragenden Support und einen Service, der auf Ihre gewählte Plattform zugeschnitten ist.

Wie Sie wahrscheinlich schon vermutet haben, kann Ihr Webhost auch einen erheblichen Einfluss auf die Sicherheit Ihrer Website haben. Es gibt mehrere Sicherheitsvorteile, wenn Sie sich für eines der besten Hosting-Unternehmen entscheiden.

Wie Hosting die WordPress-Sicherheit verbessern kann:

• Ein qualitativ hochwertiger Host wird seinen Service, seine Software und seine Tools ständig aktualisieren, um auf die neuesten Bedrohungen zu reagieren und potenzielle Sicherheitslücken zu beseitigen.
• Webhosts bieten oft verschiedene gezielte Sicherheitsfunktionen an, wie SSL/TLS-Zertifikate und DDoS-Schutz. Sie sollten auch Zugang zu einer Web Application Firewall (WAF) erhalten, die dazu beiträgt, ernsthafte Bedrohungen für Ihre Website zu überwachen und zu blockieren.
• Ihr Webhost wird höchstwahrscheinlich eine Möglichkeit bieten, Ihre Website zu sichern (in einigen Fällen sogar Echtzeit-Backups für Sie durchführen), sodass Sie im Falle eines Hacks leicht zu einer stabilen, früheren Version zurückkehren können.
• Wenn Ihr Host einen zuverlässigen Support rund um die Uhr bietet, haben Sie immer jemanden zur Verfügung, der Ihnen bei einem sicherheitsbezogenen Problem helfen kann.

Diese Liste sollte Ihnen einen guten Ausgangspunkt bieten, wenn Sie nach einem Host für Ihre neue Website suchen. Sie sollten einen finden, der alle Funktionen und Möglichkeiten bietet, die Sie benötigen, und zudem einen Ruf für Zuverlässigkeit und hervorragende Leistung hat.

DreamPress ist ein verwaltetes WordPress-Hosting-Dienst, der schnell, zuverlässig, skalierbar und natürlich sicher ist. DreamPress beinhaltet ein vorinstalliertes SSL/TLS-Zertifikat und bietet ein dediziertes WAF, das mit Regeln entwickelt wurde, um WordPress-Seiten zu schützen und Hacking-Versuche zu blockieren. Mit Ihrem Hosting-Plan erhalten Sie auch automatisierte Backups, 24/7-Support von WordPress-Experten und Jetpack Premium — ein Plugin, das viele zusätzliche Sicherheitsfunktionen zu Ihrer Seite hinzufügt — ohne zusätzliche Kosten.

Mit DreamPress können Sie beruhigt sein, da Ihre Seite geschützt ist. Unser Hosting-Service kümmert sich sogar um viele der anderen sicherheitsfördernden Maßnahmen auf dieser Liste – obwohl wir Sie dennoch ermutigen, weiterzulesen, um zu erfahren, welche zusätzlichen Maßnahmen Sie ergreifen können, um Ihre Seite zu schützen.

2. Registrieren Sie Ihre Domain privat

Um eine Domain zu registrieren, werden Sie gebeten, Ihren Namen, Ihre Adresse und Ihre Telefonnummer anzugeben. Diese Informationen werden verwendet, um den Eigentum an Domainnamen zu verfolgen und können online mit einer schnellen Suche im WHOIS-Verzeichnis gefunden werden.

Während es wichtig ist, diese Informationen im Auge zu behalten, um die Gesundheit des Internets zu gewährleisten, ist es verständlich, dass Sie Ihre persönlichen Informationen nicht online haben möchten. Hier kommt die Private Registrierung ins Spiel. Wenn Sie eine Domain bei DreamHost (oder einer anderen sicheren Hosting-Plattform, ich nehme an) registrieren, haben Sie die Möglichkeit, Ihre persönlichen Informationen durch die relevanten Daten der Hosting-Plattform zu ersetzen — so zeigt eine Abfrage Ihrer Domain bei WHOIS die Adresse und Kontaktinformationen von DreamHost anstatt Ihrer eigenen. Sie können sogar diese Sicherheitsfunktion aktivieren, nachdem Ihre Domain bereits registriert wurde!

3. Ändern Sie Ihren Admin-Benutzernamen

Wenn Sie Ihre Website zum ersten Mal erstellen, ganz neu und glänzend, erhalten Sie ein Benutzerprofil. Sie können jederzeit zurückgehen und Ihren Spitznamen ändern oder Ihren vollständigen Namen ausfüllen, aber Ihren Benutzernamen ändern ist eine andere Geschichte — Sie müssen einen ganz neuen Benutzer erstellen und diesem Konto die Administratorrolle gewähren. Der Nachteil? Sie müssen eine andere E-Mail-Adresse verwenden als die, die von Ihrem aktuellen Konto verwendet wird.

Sie können dann Ihren Benutzernamen ändern, indem Sie einen neuen Benutzer erstellen, ihm die Administratorrolle zuweisen, all Ihre Inhalte darauf übertragen und Ihr ursprüngliches Konto löschen. Wenn Ihr vorheriger Benutzername gelöscht wurde, können Sie die E-Mail-Adresse Ihres neuen Kontos ändern, wenn Sie möchten.

4. Aktivieren Sie eine Webanwendungs-Firewall

Sie kennen wahrscheinlich das Konzept einer Firewall — ein Programm, das hilft, alle Arten von unerwünschten Angriffen auf Ihre Website zu blockieren. Wahrscheinlich haben Sie eine Art Firewall auf Ihrem Computer. Eine Web Application Firewall (WAF) ist einfach eine speziell für Websites entwickelte Firewall. Sie kann Server, bestimmte Websites oder ganze Gruppen von Websites schützen.

Ein WAF auf Ihrer WordPress-Website fungiert als Barriere zwischen Ihrer Website und dem Rest des Webs. Eine Firewall überwacht eingehende Aktivitäten, erkennt Angriffe, Malware und andere unerwünschte Ereignisse und blockiert alles, was sie als Risiko für den Zugriff auf Ihren Webserver betrachtet. #winning

Sie haben viele Optionen, um Ihrer Website eine WAF hinzuzufügen (WordFence ist eine beliebte Wahl). Aber wenn Sie sich für unser DreamPress-Paket entschieden haben, können Sie sich entspannen; Sie benötigen keine zusätzliche Firewall. DreamPress enthält eine integrierte WAF, die Ihre Website auf Bedrohungen überwacht und bösartigen Benutzern und Programmen den Zugang verwehrt. Keine Aktion Ihrerseits erforderlich.

DreamHost bietet auch DreamShield an, unseren hauseigenen Malware-Scan-Service. Wenn Sie DreamShield auf Ihrem Hosting-Konto aktivieren, scannen wir Ihre Website täglich auf bösartige Software. Wenn wir etwas Verdächtiges finden, werden Sie sofort per E-Mail benachrichtigt.

5. Zwei-Faktor-Authentifizierung implementieren

Zwei-Faktor-Authentifizierung (auch bekannt als Zwei-Schritt-Authentifizierung und unter vielen ähnlichen Namen) bezieht sich auf einen zweistufigen Prozess, den Sie beim Einloggen in Ihre Website befolgen müssen. Dies erfordert etwas mehr Zeit und Mühe, trägt jedoch erheblich dazu bei, Hacker fernzuhalten.

Die Zwei-Faktor-Authentifizierung beinhaltet die Verwendung eines Smartphones oder eines anderen Geräts, um Ihre Anmeldung zu verifizieren. Zuerst besuchen Sie Ihre WordPress-Seite und geben wie gewohnt Ihren Benutzernamen und Ihr Passwort ein. Anschließend wird ein einzigartiger Code an Ihr Mobilgerät gesendet, den Sie angeben müssen, um die Anmeldung abzuschließen. Dies ermöglicht es Ihnen, Ihre Identität nachzuweisen, indem Sie zeigen, dass Sie Zugang zu etwas haben, das ausschließlich Ihnen gehört — wie ein bestimmtes Telefon oder Tablet.

Wie bei vielen WordPress-Merkmalen ist die Zwei-Faktor-Authentifizierung einfach mit einem dedizierten Plugin hinzuzufügen. Das Two Factor Authentication-Plugin ist eine solide Wahl — es wurde von zuverlässigen Entwicklern erstellt, ist kompatibel mit Google Authenticator und ermöglicht es Ihnen, die Zwei-Faktor-Funktionalität ohne Umstände auf Ihrer Website zu implementieren.

Eine weitere Option ist das Two-Factor Plugin, das hauptsächlich von Kernentwicklern von WordPress entwickelt wurde und für seine Zuverlässigkeit bekannt ist. Wie bei jedem Plugin dieser Kategorie gibt es eine gewisse Einarbeitungszeit, aber es wird seine Arbeit erledigen und ist unglaublich sicher. Wenn Sie bereit sind, ein wenig Geld auszugeben, können Sie auch die Clef-ähnliche Premium-Lösung von Jetpack ausprobieren.

Welchen Weg Sie auch wählen, stellen Sie sicher, dass Sie im Voraus mit Ihrem Team planen, da Sie Telefonnummern und andere Informationen für alle Benutzerkonten sammeln müssen. Damit ist Ihre Anmeldeseite jetzt gesichert und einsatzbereit.

6. Achten Sie darauf, wenn Sie neue Plugins und Themes hinzufügen

Eines der besten Dinge bei WordPress ist die sofortige Verfügbarkeit von Plugins und Themes für nahezu jeden Bedarf. Mit diesen praktischen Tools können Sie Ihre Website genau richtig gestalten und fast jede Funktion oder Funktionalität hinzufügen, die Sie sich vorstellen können.

Nicht alle Plugins und Themes sind gleich geschaffen.

Entwickler, die nicht vorsichtig sind oder nicht über das richtige Maß an Erfahrung verfügen, können Plugins erstellen, die unzuverlässig oder unsicher sind – oder einfach nur miserabel. Sie könnten schlechte Programmierpraktiken verwenden, die Lücken hinterlassen, die Hacker leicht ausnutzen können oder unwissentlich wichtige Funktionalitäten stören.

Dies bedeutet, dass Sie sehr vorsichtig sein müssen, was die Themes und Plugins betrifft, die Sie Ihrer Website hinzufügen. Jedes einzelne sollte geprüft werden, um sicherzustellen, dass es eine solide Option ist, die Ihrer Website nicht schadet oder Probleme verursacht. Hier erfahren Sie, wie Sie qualitativ hochwertige Werkzeuge auswählen:

• Bewertungen lesen – Überprüfen Sie die Benutzerbewertungen und -rezensionen, um herauszufinden, ob andere gute Erfahrungen mit dem Plugin oder Theme gemacht haben.
• Entwicklerunterstützung – Schauen Sie, wann das Plugin oder Theme zuletzt aktualisiert wurde. Wenn es länger als sechs Monate her ist, ist es wahrscheinlich nicht so sicher, wie es sein könnte.
• Einfach angehen – Installieren Sie neue Plugins und Themes einzeln, damit Sie, falls etwas schief geht, wissen, was die Ursache war. Denken Sie auch daran, Ihre Website zu sichern, bevor Sie etwas hinzufügen.
• Geprüfte Quellen – Beziehen Sie Ihre Plugins und Themes von vertrauenswürdigen Quellen, wie den WordPress.org Theme- und Plugin-Verzeichnissen, ThemeForest und CodeCanyon und zuverlässigen Entwickler-Websites.

7. WordPress regelmäßig aktualisieren

WordPress aktuell zu halten ist eine der wichtigsten Maßnahmen, um Ihre Website zu sichern. Kleinere Patches und Sicherheitsupdates werden automatisch durchgeführt, aber Sie müssen möglicherweise größere Updates selbst genehmigen (keine Sorge, das ist sehr einfach). Es versteht sich wahrscheinlich von selbst, aber DreamHost kümmert sich um diese Updates für Sie, sodass Sie sich keine Sorgen machen müssen.

Aber Ihre Arbeit ist nicht erledigt, nur weil WordPress auf dem neuesten Stand ist.

Sie müssen auch regelmäßig Ihre Plugins, Themes und andere WordPress-Installationen aktualisieren, um sicherzustellen, dass sie gut zusammenarbeiten und gegen die neuesten Bedrohungen gesichert sind. Glücklicherweise ist dies auch ziemlich einfach — gehen Sie einfach zu Ihrem WordPress-Armaturenbrett, suchen Sie nach den roten Benachrichtigungen, die Ihnen sagen, dass es Themes oder Plugins mit verfügbaren Updates gibt, und klicken Sie neben jedem auf “Jetzt aktualisieren”.

Sie können Ihre Plugins auch in einer Charge aktualisieren, indem Sie alle auswählen und dann entweder hier oder im WordPress-Panel auf die Aktualisierungsschaltfläche klicken.

8. Dateiberechtigungen konfigurieren

Lassen Sie uns einen Moment technisch sprechen.

Viele Informationen, Daten und Inhalte auf Ihrer WordPress-Website werden in einer Reihe von Ordnern und Dateien im Backend gespeichert. Diese sind in einer hierarchischen Struktur organisiert, und jedem wird ein Berechtigungslevel zugewiesen. Die Berechtigungen einer WordPress-Datei oder eines Ordners bestimmen, wer sie anzeigen und bearbeiten kann. Sie können so eingestellt werden, dass sie jedem, nur Ihnen oder fast allem dazwischen Zugang gewähren.

Dateiberechtigungen werden in WordPress durch eine dreistellige Zahl dargestellt, und jede Ziffer hat eine Bedeutung. Die erste Ziffer steht für einen individuellen Benutzer (den Besitzer der Website), die zweite Ziffer für die Gruppe (zum Beispiel Mitglieder Ihrer Website) und die dritte für jeden auf der Welt. Die Zahl selbst bedeutet, dass der Benutzer, die Gruppe oder die Welt:

• 0: Hat keinen Zugriff auf die Datei.
• 1: Kann die Datei nur ausführen.
• 2: Kann die Datei bearbeiten.
• 3: Kann die Datei bearbeiten und ausführen.
• 4: Kann die Datei lesen.
• 5: Kann die Datei lesen und ausführen.
• 6: Kann die Datei lesen und bearbeiten.
• 7: Kann die Datei lesen, bearbeiten und ausführen.

Wenn also beispielsweise einer Datei das Berechtigungsniveau 640 zugewiesen wird, bedeutet dies, dass der Hauptbenutzer die Datei lesen und bearbeiten kann, die Gruppe die Datei lesen, aber nicht bearbeiten kann und der Rest der Welt keinen Zugang dazu hat. Es ist wichtig sicherzustellen, dass jede Person nur das Zugriffsniveau auf die Dateien und Ordner Ihrer Website hat, das Sie möchten.

WordPress empfiehlt, Ordner auf eine Berechtigungsebene von 755 und Dateien auf 644 einzustellen. Sie sind ziemlich sicher, wenn Sie sich an diese Richtlinien halten, obwohl Sie jede beliebige Kombination einrichten können. Denken Sie nur daran, dass es am besten ist, niemandem mehr Zugang zu gewähren, als unbedingt nötig ist, insbesondere zu Kerndateien.

Sie sollten auch bedenken, dass Ihre idealen Berechtigungseinstellungen etwas von Ihrem Hosting-Service abhängen, daher möchten Sie vielleicht herausfinden, was Ihr Host empfiehlt.

Hinweis: Seien Sie sehr vorsichtig, wenn Sie Änderungen an Ihren Berechtigungsstufen vornehmen — die Auswahl falscher Werte (wie die gefürchtete 777) kann Ihre Website unzugänglich machen.

Und während wir gerade bei diesem Thema sind, ist es wichtig zu erwähnen, dass WordPress mit einem eingebauten Code-Editor geliefert wird, der es Benutzern ermöglicht, Theme- und Plugin-Dateien direkt aus dem Admin-Bereich zu bearbeiten. Das ist praktisch, wenn Sie es benötigen, aber ein großes Sicherheitsrisiko, wenn Ihre Seite in die falschen Hände gerät. Deshalb sollten Sie die Dateibearbeitung mit einem Plugin wie Sucuri deaktivieren.

9. Halten Sie die Anzahl der WordPress-Benutzer auf einem Minimum

Wenn Sie Ihre WordPress-Site alleine betreiben, müssen Sie sich um diesen Schritt keine Sorgen machen. Geben Sie einfach niemandem anders ein Konto auf Ihrer Site, und Sie werden die einzige Person sein, die Änderungen vornehmen kann.

Es gibt jedoch viele Gründe, ein weiteres Benutzerkonto auf Ihrer Website hinzuzufügen: Sie möchten vielleicht anderen Autoren ermöglichen, Inhalte beizutragen, oder Sie benötigen Personen, die beim Bearbeiten von Inhalten und Verwalten Ihrer Website helfen. Möglicherweise haben Sie sogar ein ganzes Team von Benutzern, die regelmäßig auf Ihre WordPress-Website zugreifen und eigene Änderungen vornehmen.

Dies kann vorteilhaft (oder sogar notwendig) sein. Es stellt jedoch auch ein potentielles Sicherheitsrisiko dar.

Je mehr Personen Sie auf Ihre Website lassen, desto höher ist die Wahrscheinlichkeit, dass jemand einen Fehler macht, Probleme verursacht oder einfach nur ein Trottel ist. Deshalb sollten Sie die Benutzeranzahl Ihrer Website so gering wie möglich halten, ohne deren Wachstumsmöglichkeiten zu beeinträchtigen. Versuchen Sie insbesondere, die Anzahl der Administratoren und anderer Benutzerrollen mit hohen Privilegien zu begrenzen.

Hier sind einige weitere bewährte Methoden:

• Beschränken Sie jeden Benutzer nur auf die Berechtigungen, die für seine Arbeit notwendig sind.
• Ermutigen Sie Benutzer, starke Passwörter zu verwenden.
• Versuchen Sie, sich auf einen Administrator und eine kleine Gruppe von Redakteuren zu beschränken.
• Entfernen Sie Benutzer, die die Seite verlassen haben oder keinen Zugang mehr benötigen.
• Melden Sie regelmäßig inaktive Benutzer ab (das Inactive Logout Plugin ist hierfür großartig!).
• Erwägen Sie, ein Plugin wie Members herunterzuladen, das eine Benutzeroberfläche für das Rollen- und Berechtigungssystem von WordPress bietet.

10. Loginversuche begrenzen

Jeder vergisst manchmal sein Passwort. Aber gute Nachrichten! Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl von Vermutungen.

Aber ist das wirklich eine gute Nachricht? Brute-Force-Angriffe, also Angriffe, bei denen ein Hacker beliebig viele Passwörter ausprobiert, sind eine der häufigsten Methoden, mit denen Hacker Zugang zu privaten Konten erhalten. Ohne Begrenzung der Anmeldeversuche könnte ein Hacker oder Bot jedes Passwort im Buch ausprobieren, ohne Konsequenzen.

Zuerst überprüfen Sie Ihre Web Access Firewall (WAF), um die Anzahl der Anmeldeversuche, die ein Benutzer machen kann, zu begrenzen. Wenn Ihre Firewall bereits eingerichtet ist, wird bereits eine Begrenzung vorhanden sein, aber Sie können auch ein separates Plugin dafür verwenden! Sowohl Login Lockdown als auch Cerber Limit Login Attempts zeichnen die IP-Adresse und den Zeitstempel für jeden fehlgeschlagenen Anmeldeversuch auf, lassen Sie die Anzahl der fehlgeschlagenen Versuche in einem bestimmten Zeitraum begrenzen und sperren IP-Adressen, die das Limit überschreiten. Beide Plugins sind kostenlos, aber Login Lockdown ist einfacher und benutzerfreundlicher für Anfänger. Wenn Sie ein robusteres System benötigen, ist Cerber Limit Login Attempts der richtige Weg, da es nicht nur IP-Weiß-/Schwarzlistung erlaubt, sondern auch Admins benachrichtigt, wenn eine bestimmte Anzahl von Aussperrungen erreicht ist.

11. Überwachen Sie Ihre Admin-Bereichsaktivität

Wenn Sie mehrere Benutzer haben, ist es eine gute Idee, den Überblick darüber zu behalten, was sie alle auf der Website tun. Die Überwachung der Aktivitäten in Ihrem WordPress-Adminbereich hilft Ihnen zu erkennen, wenn andere Benutzer Dinge tun, die sie nicht tun sollten — und kann Ihnen helfen zu erkennen, wenn unbefugte Benutzer Zugang erhalten haben.

Aber Sie benötigen auch ein Werkzeug, um zu sehen, wer hinter verschiedenen Website-Aktivitäten steckt — wie zum Beispiel, wenn jemand eine unbefugte Änderung vornimmt oder eine verdächtige neue Installation durchführt. Dafür benötigen Sie ein weiteres Plugin. Simple History macht seinem Namen alle Ehre, indem es ein übersichtliches, leicht verständliches Protokoll von Änderungen und Ereignissen auf Ihrer Website erstellt.

Für umfassendere Tracking-Funktionen schauen Sie sich WP Security Audit Log an, das so ziemlich alles verfolgt, was auf Ihrer Website passiert und bietet Premium-Zusätze an.

12. Schützen Sie Ihre Anmeldeseite mit einem Passwort

Die Anmeldeseite ist der wahrscheinlichste Weg für Hacker, auf Ihre Website zuzugreifen, daher ist es eine großartige Möglichkeit, den Rest Ihrer Seite zu schützen. Dies kann etwas technisch sein, aber es lohnt sich trotzdem, es zu lernen. Verwenden Sie dieses Tutorial, um zu lernen, wie Sie eine htaccess-Datei erstellen und Ihrer Anmeldeseite eine Passwortaufforderung hinzufügen. Eine Anmeldung für Ihre Anmeldung — was werden sie sich als nächstes einfallen lassen?

Und wenn Sie Inhalte hosten, die nicht jeder sehen muss, können Sie andere Teile Ihrer Website mit einem Passwort schützen. Für Blogbeiträge und andere Seiten können Sie den Passwortschutz hinzufügen, indem Sie zu Seiten >> alle Beiträge gehen. Klicken Sie auf „bearbeiten“, und Sie werden die Option sehen, die Sichtbarkeit auf „Passwortgeschützt“ zu ändern. Einfach veröffentlichen, und badabing-badaboom, diese Seite ist sicher verschlossen!

13. Verbergen Sie Ihre Anmeldeseite

Das Hinzufügen eines Passwortschutzes zu Ihrer Anmeldeseite ist großartig, aber noch besser ist es, wenn Hacker sie gar nicht erst finden können. Das Ändern Ihrer wp-admin- und wp-login-Seiten ist einfach und hilft dabei, Hacker abzuwehren, die Ihre Anmeldeseite leicht finden können, wenn Sie die Standardeinstellungen beibehalten.

Es gibt mehrere Plugins, die die Standard-Login-Seite auf eine andere Seite Ihrer Wahl umleiten können. Viele Plugins bieten dies als Teil eines größeren Pakets an (zum Beispiel beinhaltet Defender auch einen Malware Scanner und eine Firewall). Aber wenn Sie etwas Einfaches suchen, versuchen Sie WPS Hide Login, das einfach Ihr Login verbirgt. Vergessen Sie nur nicht, Ihre neue Login-Seite zu bookmarken, damit Sie sie finden können.

14. PHP aktualisieren

Genau wie Amerika von Dunkin’ abhängt (zitieren Sie uns nicht darauf), läuft WordPress auf PHP. Es ist nicht ausreichend, WordPress zu aktualisieren, um Ihre Webseite sicher und geschützt zu halten — Sie müssen auch sicherstellen, dass Sie die neueste Version von PHP verwenden.

Normalerweise wird jede PHP-Version mindestens zwei Jahre nach ihrem Veröffentlichungsdatum unterstützt, was bedeutet, dass Schwachstellen von den Ingenieuren, die den Code entworfen haben, behoben werden. Wenn der Code veraltet ist (oder sein EOL oder „Ende der Lebensdauer“ erreicht), ist es Zeit für ein Upgrade, oder Sie riskieren, Sicherheitsbedenken, Leistungsverlangsamungen und zahlreiche Fehler ausgesetzt zu sein.

Um zu sehen, welche Version von PHP Sie derzeit verwenden, melden Sie sich bei Ihrer WordPress-Site an und wählen Sie Werkzeuge >> Website-Gesundheit. Navigieren Sie zu Info und dann zu Server, und sehen Sie Ihre aktuelle PHP-Version an.

15. Sichern Sie Ihre WordPress-Datenbank

Alles auf den Standardeinstellungen zu belassen, ist ein Segen für Hacker, und standardmäßig verwendet WordPress wp_ als Präfix für alle entsprechenden Tabellen. Gute Nachrichten! Wenn Sie den One-Click Installer verwenden, haben Sie bereits ein Präfix aus zufälligen Buchstaben und Zahlen. Solange es mit einem Unterstrich endet, ist das System zufrieden. Noch bessere Nachrichten! Selbst wenn Ihr WordPress bereits installiert ist, könnte es für den One-Click Installer geeignet sein, solange die Website vollständig gehostet ist und einige andere Richtlinien erfüllt.

Beachten Sie nur, dass das Beschädigen etwas so einfach wie ein fehlender Unterstrich sein kann. Glücklicherweise gibt es eine Standardversion der wp-config.php-Datei auf WordPress Core, sodass Sie schnell und einfach neu aufbauen können — egal, ob Sie versucht haben, das Datenbankpräfix manuell zu ändern, oder mit einem Dienst wie phpMyAdmin.

16. Sicherheitsfragen hinzufügen

Sicherheitsfragen werden oft übersehen, aber sie geben Ihrer Sicherheit zusätzlichen Schwung. Abhängig vom gewählten Plugin wählen Sie entweder aus bestehenden Sicherheitsfragen aus oder erstellen Ihre eigenen.

17. Verbergen Sie Ihre WordPress-Version

Sicherheit durch Obskurität — wenn sie es nicht finden können, können sie es nicht hacken!

Verbergen Sie, welche Version von WordPress Sie verwenden (oder verbergen Sie, dass Sie überhaupt WordPress verwenden) indem Sie den Header-Code ändern. Wenn das zu technisch klingt, verwenden Sie ein Plugin wie WPCode. Achten Sie darauf, den Code zu ändern und nicht nur die Anzeigeinformationen in Ihren Theme-Einstellungen zu bearbeiten — diese Code-Schnipsel werden bei der nächsten Theme-Aktualisierung wieder erscheinen.

18. Hotlinking verhindern

Hotlinking ist der Akt, Bandbreite zu stehlen, indem Dateien, die auf einer Website gehostet sind, auf einer anderen verlinkt werden. Zum Beispiel, nehmen wir an, jemand zeichnet einen ziemlich cleveren Comic, und eine andere Website möchte ihn ohne Erlaubnis präsentieren. Sie könnten den Comic hotlinken statt ihn auf ihren eigenen Servern zu hosten, was der ursprünglichen Website mehr Bandbreite und daher mehr Geld kostet.

Um das Hotlinking zu verhindern, können Sie bestimmte Domains ablehnen, nur bestimmte Domains zulassen oder die Möglichkeit zum Hotlinking ganz entfernen, indem Sie einige Änderungen an Ihrer htaccess-Datei vornehmen. Sie können sogar einen Ausschnitt in Ihre .htaccess-Datei einfügen, der alle Versuche des Hotlinkings auf eine Seite oder ein Bild Ihrer Wahl umleitet — vielleicht eines, das sagt: „Stoppen Sie das Hotlinking, Schnorrer!“

19. DDoS-Schutz (XML RPC deaktivieren)

Ein Distributed Denial of Service Angriff (oder DDoS) erfolgt, wenn ein Hacker mehrere Systeme verwendet, um eine enorme Datenmenge zu senden und sein Ziel zu überwältigen. Dies kann das Ziel verlangsamen und zum Absturz bringen – stellen Sie sich einen riesigen Verkehrsstau für Ihre Website vor, bei dem kein legitimer Verkehr eindringen kann.

Wir wissen, dass Geduld online schwer zu finden ist, wobei der durchschnittliche Nutzer nur 3 Sekunden wartet, bevor er eine Seite verlässt, also je schneller Sie einen Angriff auf Ihre Website identifizieren und beheben können, desto besser.

Obwohl es entmutigend erscheinen mag, einen DDoS-Angriff zu verhindern, ist einer der ersten Schritte, den Sie unternehmen können, das Entfernen oder Deaktivieren von alten oder ungenutzten Plugins. Plugins sind unglaublich praktisch, aber indem sie die Funktionalität erhöhen, haben sie auch Zugang zu Ihrer Webseite, der ausgenutzt werden kann. Zum ersten Mal ist das Herunterladen weiterer Plugins keine Lösung!

XML-RPC ermöglicht den Zugriff auf WordPress über die App auf Ihrem mobilen Gerät. Wenn Sie Ihr Smartphone nicht verwenden, um Änderungen an Ihrer WordPress-Website vorzunehmen, benötigen Sie diese Funktion wahrscheinlich nicht. Das Deaktivieren erfordert das Hinzufügen eines kurzen Code-Schnipsels zu Ihrer htaccess-Datei, und Sie werden dadurch sicherer sein.

20. Malware Scanning

Malware (kurz für bösartige Software) verbirgt sich in anscheinend sicheren Anwendungen, sodass der Benutzer nicht weiß, dass sein Computer oder seine Website infiziert wurde.

Das Scannen nach Malware ist eine wichtige Verteidigungsmaßnahme, die Anti-Malware-Software verwendet, um verdächtige Dateien zu identifizieren und zu isolieren, bis Sie entscheiden, ob sie entfernt werden müssen. Wenn eine Bedrohung erkannt wird, wird ein guter Malware-Scanner jede Spur davon so schnell wie möglich von Ihrem Computer löschen. Glücklicherweise verfügen mehrere Firewall-Plugins über integrierte Malware-Scans, also stellen Sie sicher, dass Sie Ihre Sicherheits-Plugins überprüfen, um zu sehen, was sie bieten.

Wenn Sie DreamHost als Ihre Hosting-Plattform haben, können Sie DreamShield aktivieren, um das tägliche Malware-Scanning für Sie zu übernehmen.

WordPress-Sicherheit: Absicherung

Wenn Ihre Website gehackt wird, werden Sie Stunden (vielleicht sogar Tage) damit verbringen, den Schaden zu reparieren. Sie könnten dauerhaft Daten verlieren oder Ihre persönlichen Informationen gefährdet sehen – oder schlimmer: die Daten Ihrer Kunden.

Deshalb müssen Sie genügend Zeit und Energie darauf verwenden, sicherzustellen, dass Ihre Website sicher ist. Andernfalls riskieren Sie nur, wertvolles Geschäft und kostbare Zeit zu verlieren.

Diese WordPress-Sicherheitstipps sollten helfen. Einige sind einfache Anpassungen, während andere Ihre gesamte Website betreffen. Aber wenn Sie nach einer wirkungsvollen Änderung suchen, die Sie heute vornehmen können, um Ihre Website sicher zu halten, stellen Sie sicher, dass sie auf einem gesicherten WordPress-Host läuft.

DreamPress-Hosting (mit kostenloser WordPress-Migration) ist speziell für die WordPress-Umgebung konzipiert. Außerdem, falls Sie jemals auf ein Sicherheitsproblem stoßen, sind wir mit automatischen täglichen Backups, einem täglichen Malware-Scan und unserem Team von WordPress-Experten für Sie da! Bereit, Ihre Website vor Bedrohungen und Schwachstellen zu schützen? Erfahren Sie heute mehr über DreamPress-Hosting.