Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs

16 WordPress-Sicherheitstipps zum Schutz Ihrer Website (2024)

August 6, 2024
16 WordPress-Sicherheitstipps zum Schutz Ihrer Website (2024)

16 WordPress-Sicherheitstipps zum Schutz Ihrer Website (2024)

Benötigen Sie eine vollständige Liste mit WordPress-Sicherheitstipps, die Ihre Site vor den üblichen Gefahren schützen, für die WordPress bekannt ist?

In diesem Beitrag finden Sie über ein Dutzend grundlegende und erweiterte Sicherheitstipps, die Sie umsetzen können, um Ihre Site vor Schwachstellen und Hacks zu schützen.

Hier sind die WordPress-Sicherheitstipps, die wir in diesem Beitrag behandeln:

  1. Wählen Sie einen hochwertigen WordPress-Host.
  2. Verwalten Sie den WordPress-Kern, Designs und Plug-ins.
  3. Installieren Sie ein WordPress-Sicherheits-Plugin.
  4. Installieren Sie ein Backup-Plugin.
  5. Wählen Sie Designs und Plug-Ins von Drittanbietern sorgfältig aus.
  6. Informieren Sie sich über WordPress-Benutzerrollen und ihre Berechtigungen.
  7. Implementieren Sie Schutzprotokolle auf der Backend-Anmeldeseite Ihrer Site.
  8. Verwenden Sie sichere Benutzernamen und Passwörter.
  9. Aktivieren Sie ein SSL-Zertifikat für Ihre Site.
  10. Deaktivieren Sie die Dateibearbeitung.
  11. Deaktivieren Sie die PHP-Ausführung.
  12. Ändern Sie das WordPress-Datenbankpräfix.
  13. Sichern Sie Ihre wp-config.php-Datei.
  14. Benennen Sie die WordPress-Anmeldeseite um.
  15. Deaktivieren Sie das Durchsuchen von Verzeichnissen.
  16. Inaktive Benutzer abmelden.

Wir haben sie in zwei separate Listen unterteilt: grundlegende Sicherheitstipps und erweiterte Sicherheitstipps.

Beginnen wir oben mit grundlegenden Sicherheitstipps.

Grundlegende WordPress-Sicherheitstipps für alle Benutzer

1. Wählen Sie einen hochwertigen WordPress-Host

Hier beginnt alles.

Wenn Sie keinen hochwertigen WordPress-Host mit gutem Ruf wählen, ist Ihre Site unabhängig von der Sicherheitsausstattung, die Sie in WordPress implementieren, anfällig für Angriffe.

Obwohl Ihre Site aus Code besteht, befindet sich dieser Code in Dateien, die auf einem Webserver installiert werden müssen.

Wählen Sie zumindest einen Host, der dafür bekannt ist, schnelle und sichere Server zu unterhalten, seine Servertechnologie auf dem neuesten Stand zu halten und Zugriff auf die neuesten PHP-Versionen bereitzustellen.

Wir verwenden Cloudways zum Hosten von Blogging Wizard. Es ist schnell und erschwinglich. Auch die Skalierbarkeit ist ein wichtiger Faktor, da wir viel Verkehr haben.

Sie bieten die folgenden Sicherheitsfunktionen:

  • Ein Cloudflare Enterprise-Add-on, das DDoS-Schutz und eine Web Application Firewall (WAF) implementiert.
  • Server-Firewalls.
  • Anmeldesicherheit.
  • Datenbanksicherheit.
  • Bot-Schutz.
  • Kostenlose SSL-Zertifikate.
  • Benutzerrollenverwaltung.
  • Sichere Betriebssystemverwaltung.
  • Zwei-Faktor-Authentifizierung.

Was die WordPress-Sicherheit betrifft, sind Sie jedoch möglicherweise mit einem verwalteten WordPress-Host besser dran, insbesondere wenn Sie kein fortgeschrittener WordPress-Benutzer sind.

Verwaltetes WordPress-Hosting

Managed WordPress-Hosting ist eine Form des WordPress-Hostings, bei der Ihr Host viele Aspekte der Pflege einer WordPress-Site für Sie übernimmt.

Dies umfasst normalerweise Aspekte der WordPress-Sicherheit.

Hier ist ein Beispiel mit unserem am meisten empfohlenen verwalteten WordPress-Host WPX Hosting. Dieser Hosting-Anbieter bietet die folgenden Sicherheitsfunktionen:

  • Entfernung von Malware in allen Plänen enthalten.
  • Site-Korrekturen, falls Ihre Site offline geht.
  • DDoS-Schutz.
  • Automatische Backups mit Speicher für bis zu 28 Tage Backups.
  • Proprietäres CDN mit 35 Edge-Standorten.
  • Kostenlose SSL-Zertifikate.
  • Ein Staging-Bereich zum Testen von Updates, bevor Sie diese live schalten.
  • Zwei-Faktor-Authentifizierung.
  • Erweiterte Kontosicherheit, mit der Sie den Zugriff auf Ihr WPX-Hosting-Konto auf Hardwareebene beschränken können.

2. WordPress-Kern, Themes und Plugins richtig verwalten

Wie bereits erwähnt, besteht Ihre WordPress-Site aus Dateien und Code. Dazu gehören WordPress-Themes und WordPress-Plugins sowie WordPress selbst, das als „WordPress-Kern“ bezeichnet wird.

Wie die von Ihnen verwendeten Computer- und Telefonanwendungen werden WordPress-Dateien regelmäßig aktualisiert, um neue Funktionen und Sicherheitsfixes zu implementieren.

Aus diesem Grund ist es zwingend erforderlich, dass Sie WordPress selbst sowie Ihre Designs und Plugins so oft wie möglich auf dem neuesten Stand halten. Andernfalls kann Ihre Website verheerenden Sicherheitslücken ausgesetzt sein.

Sie sollten immer versuchen, die neueste WordPress-Version auf Ihrer Site zu verwenden.

Glücklicherweise führt WordPress Notfall-Sicherheitsupdates bereits automatisch durch und Sie können auch generelle automatische WordPress-Updates einrichten.

Allerdings empfiehlt es sich, die meisten WordPress-Updates manuell über einen Staging-Bereich (wie den von WPX Hosting zu erstellenden) durchzuführen, sodass Sie die durch diese Updates an Ihrer Site vorgenommenen Änderungen in einer kontrollierten Umgebung testen können, bevor Sie sie in die Live-Produktionsversion Ihrer Site übertragen.

Alles in allem sollten Sie jede Woche Zeit einplanen, um nach WordPress-Updates für Ihre Site zu suchen, diese zu testen und anzuwenden, um sie so sicher wie möglich zu halten.

Entfernen Sie außerdem unbedingt Designs und Plugins, die Sie nicht mehr verwenden.

Automatische Updates für Themes und Plugins aktivieren

Sie können automatische WordPress-Updates für Designs und Plugins ohne ein Plugin in WordPress aktivieren.

Um Designs anzuzeigen, gehen Sie zu „Darstellung“ → „Designs“, klicken Sie auf ein Design und dann auf die Schaltfläche „Automatische Updates aktivieren“.

Das Aktivieren automatischer Updates für Plugins funktioniert auf die gleiche Weise.

Gehen Sie zu Plugins → Installierte Plugins und klicken Sie auf die Schaltfläche „Automatische Updates aktivieren“ für jedes Plugin, für das Sie automatische Updates aktivieren möchten.

Sie können sogar die Massenaktualisierungsoption verwenden, um automatische Updates für alle Plugins auf einmal zu aktivieren.

3. Installieren Sie ein spezielles WordPress-Sicherheits-Plugin

Wenn Sie Ihre WordPress-Website nicht bei einem verwalteten WordPress-Host hosten, verwenden Sie am besten ein dediziertes WordPress-Sicherheits-Plugin.

Wir empfehlen die WordPress-Sicherheits-Plugins MalCare oder Sucuri.

MalCare implementiert die folgenden Funktionen in Ihre WordPress-Site:

  • Malware-Scanner.
  • Virus-Entfernung.
  • Speziell für WordPress entwickelte Firewall.
  • Login-Schutz.
  • Überwachung der Betriebszeit.
  • Inkrementelle Backups und Site-Wiederherstellungen mit einem Klick.
  • Bot-Schutz.
  • Schwachstellenscanner.
  • Aktivitätsprotokoll, mit dem Sie verdächtiges Verhalten erkennen können.
  • E-Mail-Benachrichtigungen zu Malware und Schwachstellen.

Sucuri bietet viele dieser Funktionen ebenfalls, ist jedoch vor allem für seine Funktionen zum Scannen und Entfernen von Malware sowie für die Möglichkeit bekannt, eine Firewall zum Schutz Ihrer WordPress-Site zu implementieren.

MalCare ist günstiger als Sucuri und beinhaltet sogar einen eingeschränkten kostenlosen Plan.

4. Installieren Sie ein WordPress Back-Plugin

Backups sind eine der besten Möglichkeiten, Ihre Website zu schützen, falls andere Sicherheitsaspekte versagen.

Wenn Ihre Site gehackt oder beschädigt wird oder ein Update einige Dinge kaputt macht, können Sie ein Backup verwenden, um sie in den Zustand zu versetzen, in dem sie normal funktionierte.

Wenn Ihr Host keine Backups anbietet und Sie diese Funktion nicht von einem Sicherheits-Plugin erhalten, sollten Sie unbedingt ein dediziertes Backup-Plugin verwenden.

Wir empfehlen WP STAGING.

Es ist, wie der Name schon sagt, auf Site-Staging spezialisiert, bietet aber auch Backup-, Migrations- und Klonfunktionen.

Dieses Plugin bietet automatische Backups und ermöglicht Ihnen, diese extern auf Google Drive oder Amazon S3 zu speichern.

Wenn Sie inkrementelle Backups und viele der gleichen Funktionen wünschen, die WP STAGING bietet, probieren Sie BlogVault aus.

Mit beiden Lösungen können Sie Ihre Site aus einer Sicherung wiederherstellen.

5. Seien Sie vorsichtig bei WordPress-Themes und -Plugins von Drittanbietern

Wenn Sie hören, dass WordPress-Sites gehackt werden, gibt es dafür normalerweise einen von zwei Gründen: veraltete Versionen des WordPress-Kerns sowie Designs und Plug-ins von Drittanbietern.

Deshalb ist es so wichtig, über WordPress-Updates auf dem Laufenden zu bleiben. Trotzdem können alle Updates der Welt Ihre Site nicht vor bösartigen oder schlecht codierten Themes oder Plugins von Drittanbietern schützen.

Informieren Sie sich, bevor Sie sich für die Installation eines Designs oder Plug-Ins auf Ihrer Site entscheiden.

Zunächst einmal: Wann wurde das Theme oder Plugin das letzte Mal aktualisiert? Es ist kein gutes Zeichen, wenn ein Theme oder Plugin seit über einem Jahr nicht mehr aktualisiert wurde.

Lesen Sie sich unbedingt auch die Rezensionen und Support-Threads zu einem Theme oder Plugin durch. Diese geben Ihnen bessere Hinweise darauf, wie gut das Theme oder Plugin unterstützt wird.

Führen Sie unbedingt auch eine Suche in den sozialen Medien durch, um den Namen des Designs oder Plugins auszuführen, insbesondere auf Twitter, Reddit und Facebook.

Auf diesen Websites liegen möglicherweise Beschwerden vor, die auf der offiziellen Seite des Designs oder Plugins auf WordPress.org nicht behandelt werden.

6. Beachten Sie die WordPress-Benutzerrollen und ihre Berechtigungen

Für den Besitzer einer WordPress-Website ist es wichtig, die Unterschiede zwischen den WordPress-Benutzerrollen und den jeweils gewährten Berechtigungen zu kennen.

Hier ist ein kurzer Überblick über die Berechtigungen, auf die jede Rolle Zugriff hat:

  • Administrator (Admin) – Kann auf alle Bereiche des WordPress-Dashboards zugreifen und Änderungen an jedem Teil der Website sowie an jedem Benutzer dieser Site vornehmen.
  • Editor – Hat Zugriff auf WordPress-Beiträge und -Seiten und besitzt die Möglichkeit, diese Inhalte hinzuzufügen, zu veröffentlichen, zu löschen und zu bearbeiten, auch wenn sie nicht selbst erstellt wurden.
  • Autor – Kann eigene Beiträge hinzufügen, bearbeiten und veröffentlichen.
  • Mitwirkender – Kann eigene Beiträge hinzufügen und bearbeiten.
  • Teilnehmer – Können ihr Benutzerprofil bearbeiten und mit dem nativen WordPress-Kommentarsystem Kommentare hinterlassen.

Wenn Sie also einen Redakteur für Ihr Blog einstellen, sollten Sie ihm die Redakteursrolle und nicht die Administratorrolle zuweisen.

Auf diese Weise können sie den Inhalt Ihrer Site verwalten, aber keine Änderungen an Ihrem Design, Ihren Plug-Ins und Ihren WordPress-Einstellungen vornehmen.

7. Schützen Sie die WordPress-Anmeldeseite

Die WordPress-Anmeldeseite ist die Seite, die Sie zum Anmelden beim WordPress-Dashboard verwenden.

Normalerweise können Sie darauf zugreifen, indem Sie zu yourdomain.com/wp-login.php gehen.

Es gibt eine Reihe verschiedener Techniken, mit denen wir die WordPress-Anmeldeseite sichern können.

Wir werden in diesem Abschnitt zwei davon erwähnen, im fortgeschrittenen Abschnitt dieses Artikels finden Sie jedoch noch weitere Techniken.

Die erste Technik, die wir erwähnen, besteht darin, einfach ein CAPTCHA-Formular zur Anmeldeseite Ihrer Site hinzuzufügen.

Wenn Sie sich für die Verwendung des zuvor erwähnten MalCare-Sicherheits-Plugins entscheiden, benötigen Sie kein separates Plugin, um diese Funktionalität zu Ihrer Website hinzuzufügen.

Mit diesem Plugin können Sie die Anzahl der Anmeldeversuche begrenzen, indem den Besuchern automatisch ein CAPTCHA zum Lösen angezeigt wird, wenn die Anmeldung nach drei Versuchen fehlschlägt.

Wenn Sie MalCare nicht verwenden, verwenden Sie ein Plugin wie Erweitertes Google reCAPTCHA stattdessen.

Es ist ein wirklich einfaches Plugin, mit dem Sie dem Anmeldeformular, dem Registrierungsformular usw. ein CAPTCHA-Formular hinzufügen können.

Wenn Sie dieses Plugin aktiviert haben, müssen Sie und jeder, der auf Ihre Anmeldeseite gelangt, das CAPTCHA-Formular ausfüllen, um sich anzumelden.

Eine weitere einfache Möglichkeit zum Schutz der WordPress-Anmeldeseite besteht darin, die Zwei-Faktor-Authentifizierung zu aktivieren.

Verwenden Sie ein Plugin wie Zwei-Faktor-Authentifizierung (von den Machern von UpdraftPlus), um Ihrer Anmeldeseite eine Zwei-Faktor-Authentifizierung hinzuzufügen. Das Plugin lässt sich in Google Authenticator integrieren.

8. Verwenden Sie sichere Anmeldeinformationen

CAPTCHA-Formulare und Zwei-Faktor-Authentifizierungstechniken machen es Angreifern schwerer, auf Ihre Site zu gelangen, aber nicht unmöglich.

Aus diesem Grund ist die Verwendung sicherer Anmeldeinformationen wichtig. Dies verleiht Ihrer Site eine zusätzliche Sicherheitsebene.

Zunächst einmal sollten Sie niemals „admin“ oder Ihren eigenen Namen als Benutzernamen verwenden.

Kombinieren Sie stattdessen Fragmente Ihres Namens. Wenn Sie beispielsweise David Smith heißen und am 10. Oktober 1980 geboren wurden, verwenden Sie als Benutzernamen „dasm1080“ oder etwas Ähnliches.

Wenn ein Angreifer also versucht, auf Ihre Website zuzugreifen, muss er zunächst Ihren Benutzernamen herausfinden.

Dies ist ein etwas fortgeschrittener Tipp, aber Sie können WordPress-Benutzernamen tatsächlich verbergen und es Angreifern so erschweren, sie zu finden. Das ist gut, weil Benutzernamen manchmal im Quellcode einer Seite zu finden sind.

Außerdem enthalten die von WordPress für Autorenarchivseiten generierten URLs normalerweise den Benutzernamen jedes Autors.

Um dies zu verhindern, gehen Sie zum Benutzerprofil des Autors in WordPress und füllen Sie die Felder „Vorname“, „Nachname“, „Spitzname“ und „Anzeigename als“ mit etwas anderem als dem Benutzernamen des Benutzers aus.

Um noch einen Schritt weiter zu gehen, und hier kommt der erweiterte Tipp ins Spiel, greifen Sie über phpMyAdmin auf die Datenbank Ihrer Site zu und suchen Sie die Tabelle wp_users. Der „wp“-Teil kann etwas anders aussehen, wenn Sie oder Ihr Host das Präfix Ihrer Datenbank geändert haben, aber der Teil „_users“ ist immer noch daran angehängt.

Sie möchten den Datenbankeintrag jedes Benutzers bearbeiten und den Wert „user_nicename“ in einen anderen Wert als den für den Benutzernamen des Benutzers festgelegten Wert ändern.

Der Benutzername reicht vollkommen aus. Achten Sie nur darauf, Leerzeichen mit Bindestrichen auszufüllen, z. B. „david-smith“.

Verwenden Sie für Passwörter einen Passwortgenerator, um ein sicheres Passwort zu erstellen, und speichern Sie es ggf. in einem Passwortmanager, um leicht darauf zugreifen zu können.

9. Richten Sie SSL für Ihre Site ein

SSL oder Secure Sockets Layer ist ein Sicherheitsprotokoll, das Daten während der Übertragung zwischen zwei Netzwerken verschlüsselt.

Dies wird normalerweise zum Verschlüsseln von Zahlungsinformationen und vertraulichen Kundendaten verwendet.

Ob eine Site mit einem SSL-Zertifikat verschlüsselt ist, lässt sich auf zwei Arten erkennen: an einem Vorhängeschloss in der Adressleiste und daran, dass die Site „https“ statt „http“ verwendet.

Da SSL ein wichtiger Rankingfaktor bei Google ist, wird allen Websites empfohlen, SSL einzurichten, auch wenn sie nie vorhaben, Zahlungen zu akzeptieren.

Glücklicherweise bieten die meisten Hosts heutzutage kostenlose SSL-Zertifikate über Let’s Encrypt an, sodass die Einrichtung jetzt einfacher und günstiger ist als je zuvor.

Sehen Sie sich die Wissensdatenbank Ihres Hosts an, um herauszufinden, wie das geht, da jeder Host es anders handhabt.

WordPress-Sicherheitstipps für fortgeschrittene Benutzer

10. Deaktivieren Sie die Dateibearbeitung

Das WordPress-Dashboard bzw. der WordPress-Administrator für Administratoren verfügt über zwei Dateieditoren, mit denen Sie Design- und Plugin-Dateien bearbeiten können.

Sie finden sie unter „Darstellung“ → „Designdatei-Editor“ und „Plugins“ → „Plugindatei-Editor“.

Änderungen an diesen Dateien können Ihre Site beschädigen. Schlimmer noch: Wenn ein Hacker jemals Zugriff auf eines Ihrer Administratorkonten erhält, kann er diese Editoren verwenden, um Schadcode in Ihre Site einzuschleusen.

Aus diesem Grund wird Besitzern von WordPress-Websites empfohlen, die Dateibearbeitung vollständig zu deaktivieren.

Sie müssen lediglich den folgenden Code zu Ihrer Datei wp-config.php hinzufügen:

define('DISALLOW_FILE_EDIT', true);

Wenn Ihr Host keinen Dateimanager hat, müssen Sie über FTP auf die Dateien Ihrer Site zugreifen, Ihre Datei wp-config.php herunterladen, sie mit einem einfachen Texteditor bearbeiten, sie speichern und sie dann an denselben Speicherort im Dateisystem Ihrer WordPress-Installation erneut hochladen.

Denken Sie nur daran, das Original zu überschreiben.

Stellen Sie außerdem sicher, dass Sie Ihre Site sichern, bevor Sie Änderungen an Ihrem Dateisystem vornehmen. Es kann auch eine gute Idee sein, eine Kopie Ihrer wp-config.php-Datei herunterzuladen, bevor Sie Änderungen daran vornehmen.

11. PHP-Ausführung deaktivieren

Hacker erstellen häufig Hintertüren im Dateisystem Ihrer Site, indem sie darin PHP-Dateien ausführen.

Sie können diese Art von Angriffen blockieren, indem Sie die Ausführung von PHP-Dateien in Ordnern deaktivieren, die grundsätzlich keine PHP-Dateien enthalten sollten, wie beispielsweise Ihr Upload-Ordner, in dem Ihre Mediendateien gespeichert sind.

Blockieren der PHP-Ausführung in Ordnern, die Tun PHP enthalten, kann Ihre Site tatsächlich beschädigen. Daher wird häufig empfohlen, die PHP-Ausführung nur für Ordner zu deaktivieren, in denen PHP nie gefunden wird, nur um auf Nummer sicher zu gehen.

Wenn Sie das Sicherheits-Plugin MalCare verwenden, können Sie die PHP-Ausführung deaktivieren, indem Sie die FTP-Anmeldeinformationen Ihrer Site eingeben.

Wenn nicht, müssen Sie dies manuell tun, indem Sie das Dateisystem Ihrer Site bearbeiten.

Öffnen Sie zunächst einen einfachen Texteditor auf Ihrem Computer und fügen Sie den folgenden Code hinzu:


deny from all

Speichern Sie diese Datei dann und nennen Sie sie „.htaccess“. Achten Sie darauf, vor „htaccess“ den Punkt „.“ einzufügen.

Jetzt müssen Sie nur noch auf das Dateisystem Ihrer Site zugreifen, Ihre neue .htaccess-Datei in den Ordner „Uploads“ hochladen und Ihre Änderungen speichern.

12. Ändern Sie das WordPress-Datenbankpräfix

Wir haben es schon mehrfach gesagt, aber Ihre Site besteht aus Code, der in Dateien gespeichert ist.

Was wir noch nicht erwähnt haben, ist, dass Ihre Site auch aus Datenbanktabellen besteht. Wie bei Code oder Dateien kann das Löschen oder Ändern dieser Tabellen Ihrer Site erheblichen Schaden zufügen.

Wenn ein Hacker Ihr Datenbankpräfix kennt, kann er es leider verwenden, um Ihre Site anzugreifen, ohne tatsächlich manuell darauf zuzugreifen.

Alle WordPress-Websites verwenden standardmäßig das Präfix „wp“. Deshalb ist es so wichtig, dass Sie es ändern, da Hacker dieses Präfix bereits kennen.

Glücklicherweise ändern viele Hosts das Standardpräfix Ihrer Site bereits automatisch, sobald Sie eine Site bei ihnen erstellen.

Sie erkennen dies daran, dass in Ihren Datenbanktabellen vor jedem Unterstrichwert etwas anderes als „wp“ steht, beispielsweise „fx87_user“ statt des üblichen „wp_user“.

Andernfalls ist dies eigentlich ganz einfach, sofern Sie mit dem Zugriff auf das Dateisystem Ihrer Site vertraut sind.

Für diesen Tipp wird erneut die Datei wp-config.php benötigt. Wie zuvor empfiehlt es sich, Ihre Site sowie eine Kopie Ihrer Datei wp-config.php zu speichern, bevor Sie Änderungen daran vornehmen.

So ändern Sie Ihr WordPress-Datenbankpräfix:

  1. Laden Sie die Datei wp-config.php Ihrer Site herunter.
  2. Öffnen Sie die Datei in einem einfachen Texteditor.
  3. Suchen Sie nach einer Zeile mit dem Inhalt „$table_prefix“. Wenn die ganze Zeile „$table_prefix = wp_“ lautet, müssen Sie sie ändern.
  4. Ändern Sie das Präfix „wp“ in zwei bis fünf Buchstaben und Zahlen, die für einen Angreifer schwer zu erraten sind.
  5. Stellen Sie sicher, dass Ihr neues Präfix noch Anführungszeichen und Semikolon enthält. Beispiel: $table_prefix = “fx87_;
  6. Speichern Sie Ihre Datei wp-config.php und laden Sie sie an denselben Speicherort im Dateisystem Ihrer Site hoch.
  7. Überschreiben Sie die ursprüngliche Datei wp-config.php, wenn Sie dazu aufgefordert werden.

13. Sichern Sie Ihre wp-config.php-Datei, indem Sie sie verschieben

Einige Angriffsstrategien beinhalten das Einschleusen von Code in Ihre wp-config.php-Datei, der vom Angreifer zunächst heruntergeladen werden muss.

Sie können es Hackern erheblich erschweren, Ihre wp-config.php-Datei zu finden, indem Sie sie verschieben.

WordPress ermöglicht es Ihnen, Ihre wp-config.php-Datei ein Verzeichnis höher zu verschieben, ohne dass Sie etwas anderes tun müssen. Ihre Site kann von dort aus weiterhin darauf zugreifen.

Da es sich bei einem Verzeichnis weiter oben jedoch möglicherweise noch um einen öffentlichen Ordner handelt, ist es besser, es etwas weiter zu verschieben.

Dieser Tipp ist nicht schwer zu befolgen, die Änderungen, die er an Ihrer Site vornimmt, sind jedoch recht fortgeschritten, insbesondere wenn etwas schief geht. Fahren Sie daher nur fort, wenn Sie wissen, was Sie tun.

Hier sind die Schritte zum Verschieben Ihrer wp-config.php-Datei:

  1. Erstellen Sie eine Kopie Ihrer Datei wp-config.php und speichern Sie sie auf Ihrem Computer.
  2. Greifen Sie auf das Dateisystem Ihrer Site zu und suchen Sie den Ordner, der Ihren Ordner „public_html“ enthält.
  3. Erstellen Sie in diesem Verzeichnis einen neuen Ordner und geben Sie ihm einen Namen, der ihn nicht als Ordner identifiziert, der Ihre wp-config.php-Datei enthält. Etwas wie „bw-assets“ würde funktionieren. Notiz: Verwenden Sie keine BW-Assets auf Ihrer eigenen Site. Verwenden Sie etwas Originelles, das Sie sich ausgedacht haben, damit es sicherer ist.
  4. Stellen Sie die Berechtigungsstufe Ihres neuen Ordners auf 700 ein.
  5. Kopieren Sie Ihre wp-config.php-Datei, fügen Sie sie in Ihren neu erstellten Ordner ein und benennen Sie sie in etwas um, das sie nicht als Ihre wp-config.php-Datei identifiziert. Auch hier würde etwas wie „bw-asset.php“ gut funktionieren.
  6. Ändern Sie die Berechtigungsstufe dieser neuen Datei auf 600.

Bearbeiten Sie Ihre ursprüngliche Datei wp-config.php, löschen Sie den darin enthaltenen Code und ersetzen Sie ihn durch Folgendes:



Der Dateipfad zwischen den Anführungszeichen sollte mit dem absoluten Dateipfad Ihrer eigenen Site übereinstimmen, einschließlich der Benennung Ihres neu erstellten Ordners und der Datei.


Speichern Sie die Datei anschließend ab.


14. Benennen Sie die WordPress-Anmeldeseite um


Die WordPress-Anmeldeseite befindet sich standardmäßig unter /wp-login.php und ähnlichen URL-Pfaden. Wenn Sie sich also bei Ihrer WordPress-Site anmelden möchten, gehen Sie einfach zu yourdomain.com/wp-login.php oder yourdomain.com/wp-admin.


Hacker sind sich dessen durchaus bewusst. Sobald sie Zugriff auf das Anmeldeformular Ihrer Site haben, können sie Brute-Force-Angriffe starten, um zu versuchen, Ihre Abwehrmaßnahmen zu durchbrechen.


Zu diesen Abwehrmaßnahmen gehört hoffentlich die Begrenzung der Anmeldeversuche mit einem Sicherheits-Plugin oder einem CAPTCHA-Formular. Sie können die Anmeldeseite jedoch auch vollständig ausblenden.


Verwenden Sie ein Plugin wie WPS-Anmeldung verbergen um diese Funktion zu implementieren.


Das Plugin fügt der Seite „Allgemeine WordPress-Einstellungen“ eine einfache Einstellung hinzu, mit der Sie Ihre Anmelde-URL ändern können, indem Sie die gewünschte URL in ein Textfeld eingeben.


Verwenden Sie etwas Sicheres, das ungewöhnlich ist, sodass Hacker es nicht so leicht erraten können. Versuchen Sie es vielleicht mit einer Kombination von Wörtern, damit es unsinnig erscheint, wie zum Beispiel „einsteinbananafrisbee“.




Sobald Sie diese Änderung vorgenommen haben, können Sie nicht mehr über wp-login.php oder ähnliche URLs auf Ihre Anmeldeseite zugreifen. Sie können dann nur noch yourdomain.com/einsteinbananafrisbee verwenden. Stellen Sie also sicher, dass Sie sich die URL gut merken können.


15. Deaktivieren Sie das Durchsuchen von Verzeichnissen


Das Durchsuchen von Verzeichnissen ist eine Webdesign-Funktion, die es einem Benutzer ermöglicht, ein Verzeichnis als URL in die Adressleiste einzugeben und den Inhalt dieses Verzeichnisses anzuzeigen.


Hacker nutzen dies, um ein Verzeichnis anzuzeigen, ohne tatsächlich auf böswillige Weise auf eine Site zugreifen zu müssen. Auf diese Weise können sie möglicherweise Dateien und Schwachstellen ausfindig machen, die sie ausnutzen können.


Die beste Möglichkeit, dieses Problem zu beheben, besteht darin, die Verzeichnissuche vollständig zu deaktivieren.


Überprüfen Sie zunächst, ob die Verzeichnissuche für Ihre Site aktiviert ist. Sie können dies feststellen, indem Sie zu yourdomain.com/wp-includes gehen. Wenn Sie einen 403-Forbidden-Fehler erhalten, ist die Verzeichnissuche bereits deaktiviert und Sie müssen sich keine Sorgen machen.


Wenn stattdessen jedoch eine Liste mit Dateien angezeigt wird, müssen Sie die Verzeichnissuche selbst deaktivieren.


Greifen Sie zunächst auf das Dateisystem Ihrer Site zu und suchen Sie Ihre .htaccess-Datei.


Genau wie bei Ihrer wp-config.php-Datei sollten Sie Ihre Site sichern und eine Kopie Ihrer .htaccess erstellen, bevor Sie Änderungen daran vornehmen.


Laden Sie es dann herunter, öffnen Sie es in einem einfachen Texteditor und fügen Sie am Ende diesen Codeausschnitt hinzu:


Options All -Indexes




Speichern Sie die Datei und laden Sie sie erneut auf Ihre WordPress-Site hoch. Achten Sie dabei darauf, das Original zu überschreiben.


16. Inaktive Benutzer abmelden


Andere Administratoren, Redakteure und Autoren denken vielleicht, dass ihre Arbeitsbereiche sicher sind, aber man kann nie vorsichtig genug sein.


Wenn ein Administrator oder Redakteur seinen Computer verlässt, während er bei Ihrer Site angemeldet ist, kann er Ihre Site möglicherweise unbewusst Schwachstellen zuführen. Dies gilt insbesondere, wenn er sich an einem öffentlichen Ort aufhält und sein Computer gestohlen wird.


Um dem entgegenzuwirken, ist es eine gute Idee, inaktive Benutzer abzumelden. Inaktive Abmeldung Das Plugin bietet eine der einfachsten Möglichkeiten, die Aufgabe zu erledigen.


Mit dem Plugin können Sie automatische Abmeldungen aufgrund von Inaktivität für einen bestimmten Zeitraum einrichten.




Sie können sogar Warnmeldungen für den Fall einrichten, dass Benutzer tatsächlich an ihren Computern sitzen und lediglich nicht mit der Website interagieren.


Es handelt sich um ein recht einfaches und unkompliziertes Plugin, mit dem Sie eine zusätzliche Sicherheitsebene für Ihre WordPress-Site implementieren können.


Abschließende Gedanken und was zu tun ist, wenn Ihre Site gehackt wird


Wenn Ihre Site gehackt wird, werden Ihnen beim Versuch, mit ihr zu interagieren, möglicherweise einige der folgenden Warnsignale angezeigt:


    

  • Ich kann mich nicht anmelden.
    • 

  • Änderungen am Frontend, die Sie nicht vorgenommen haben.
    • 

  • Alle Seiten Ihrer Website werden auf eine völlig andere Site umgeleitet.
    • 



Ausgeschlossen sind hiervon Warnungen, die Sie möglicherweise von Ihrem Host oder Sicherheits-Plugin erhalten haben.


Ganz gleich, was mit Ihrer Site los ist, Sie wissen jetzt, dass ein Problem vorliegt. Hier erfahren Sie, was Sie in einem solchen Fall tun können.


Als Erstes sollten Sie Ihre Site mit einem Wartungsmodus-Plugin in den Wartungsmodus versetzen.


Der In Kürze verfügbar und Wartungsmodus-Plugin ist ein bekanntes Plugin, das sich hervorragend für diesen Zweck eignet.


Eine gehackte Site macht Ihre Benutzer zudem anfällig für Angriffe. Je schneller Sie also den externen Zugriff auf Ihre Site blockieren, solange diese noch kompromittiert ist, desto besser.


Sobald Ihre Site offline ist, führen Sie diese Schritte aus, um sie zu sichern:


    

  • Ändern Sie die Passwörter aller Benutzer Ihrer Site, insbesondere aber der Administratorkonten.
    • 

  • Zeigen Sie alle Benutzer auf Ihrer Site an und entfernen Sie Administratorkonten, die Sie nicht kennen.
    • 

  • Installieren Sie WordPress-Updates, falls Sie ein wichtiges Sicherheitsupdate für ein Drittanbieter-Design oder -Plugin verpasst haben.
    • 

  • Verwenden Sie Ihr Sicherheits-Plugin, um nach Malware zu suchen und diese zu entfernen. Wenn Sie einen Host wie WPX Hosting verwenden, entfernt dieser Malware für Sie. Wenn Sie MalCare installiert haben, sollte das Plugin in der Lage sein, es für Sie zu entfernen. Andernfalls müssen Sie möglicherweise einen externen Dienst wie Sucuri verwenden, der es manuell entfernt.
    • 

  • Generieren Sie Ihre Sitemap neu und senden Sie Ihre Site über die Google Search Console erneut an Google. Dies gilt für den Fall, dass Ihre Sitemap-Datei beschädigt wurde.
    • 

  • Installieren Sie saubere Versionen des WordPress-Kerns sowie der Designs und Plugins, die Sie auf Ihrer Site hatten, neu.
    • 

  • Bereinigen Sie Ihre Datenbank mit einem WordPress-Plugin wie WP-Optimize.
    • 

  • Deaktivieren Sie den Wartungsmodus, sobald Ihre Site stabil ist.
    • 

  • Führen Sie ein Sicherheitsaudit durch, um Sicherheitslücken zu identifizieren, die zum Hack geführt haben könnten.
    • 



Auch wenn die Versuchung groß ist, Ihre Site aus einer Sicherungskopie wiederherzustellen, wissen Sie nicht, wie lange der Schadcode bereits auf Ihrer Website verborgen ist.


Aus diesem Grund sollten Sie beim Bereinigen einer infizierten Site am besten nicht auf Backups zurückgreifen.



    
            

                        

    
    		    


    
    





			
			

                            

            
            
            
            
        


        

	


						


















		
		
	


    

        



	

	   	    

		  

		  

	    

	




	
	
	






	

	


		

							


									

					
	
						Your Header Sidebar area is currently empty. Hurry up and add some widgets.