Technologische Neuigkeiten, Bewertungen und Tipps!

So schützen Sie Ihre WordPress-Site vor Hackern (17 Tipps)

Hinweis: Der folgende Artikel hilft Ihnen weiter: So schützen Sie Ihre WordPress-Site vor Hackern (17 Tipps)

Möchten Sie Ihre WordPress-Site vor Hackern schützen?

WordPress-Sicherheit ist nicht nur eine Option. Es ist notwendig, Ihre Website vor Sicherheitsrisiken wie bösartigem Code, Malware, Bots und vielem mehr zu schützen.

Jede Woche setzt Google täglich über 10.000 Websites auf die schwarze Liste wegen Malware und über 50.000 wegen Phishing. Wenn Sie also Wert auf die Sicherheit Ihrer Website legen, sind Sie hier richtig.

In diesem WordPress-Sicherheitsleitfaden zeigen wir Ihnen, wie Sie Ihre WordPress-Website vor den meisten Sicherheitsproblemen schützen.

Kann WordPress sicher sein?

WordPress kann ein sicheres Content-Management-System (CMS) sein, wenn Sie die erforderlichen Sicherheitsmaßnahmen für die Website ergreifen. Im Folgenden erläutern wir die wichtigsten Vorsichtsmaßnahmen für die Website-Sicherheit und erklären, warum dies für die Website Ihres Unternehmens von entscheidender Bedeutung ist.

WordPress-Sicherheitsgrundlagen

Beginnen wir damit, zu verstehen, warum die Sicherheit Ihrer WordPress-Site für Ihren Erfolg unerlässlich ist und wie Sie einige grundlegende Sicherheitsmaßnahmen implementieren.

Zunächst fragen Sie sich vielleicht, warum die Sicherheit von WordPress wichtig ist.

1. Verstehen Sie, warum WordPress-Sicherheit wichtig ist

Stellen Sie sich vor, Sie wachen eines Tages auf und stellen fest, dass Ihre WordPress-Website kompromittiert ist. Die ganze Arbeit beim Aufbau einer professionellen Business-Website, eines Blogs oder einer E-Commerce-Website wird von lästigen Hackern zunichte gemacht.

Hacker können Sicherheitslücken schaffen, die nicht nur den Umsatz und den Ruf Ihres Unternehmens schädigen. Sie können auch persönliche Informationen wie Passwörter und Kreditkartendaten stehlen und Schadsoftware installieren, die Schadsoftware an Ihre Benutzer sendet.

Was noch schlimmer ist: Sie könnten Opfer einer kostenpflichtigen Ransomware werden, um wieder Zugriff auf Ihre Website zu erhalten.

Wenn es sich bei Ihrer Website um ein Unternehmen handelt und Sie diesen Albtraum vermeiden möchten, müssen Sie Ihrer WordPress-Sicherheit mehr Aufmerksamkeit schenken. Das beginnt mit der einfachen Übung, Ihre Kernversion von WordPress auf dem neuesten Stand zu halten.

2. Halten Sie die WordPress-Kerndateien auf dem neuesten Stand

Da WordPress Open Source ist, wird es regelmäßig gepflegt und aktualisiert. Ihre Standard-WordPress-Installation installiert kleinere Updates automatisch, für größere Versionen müssen Sie WordPress jedoch manuell auf die neueste Version aktualisieren.

Ebenso verfügt WordPress über Tausende von Plugins und Themes. Auch die Entwickler dieser Drittanbieter-Tools veröffentlichen regelmäßig Updates.

Darüber hinaus enthalten Updates häufig Sicherheitspatches, die Schwachstellen beheben. Daher ist es wichtig, Ihre WordPress-Plugins und Themes häufig zu aktualisieren, um die Stabilität und Sicherheit Ihrer Website zu gewährleisten.

3. Löschen Sie nicht verwendete Themes und Plugins

Neben der Aktualisierung Ihrer Plugins und Themes sollten Sie auch alle löschen, die Sie nicht mehr verwenden.

Unnötige Themes und Plugins zu haben ist so, als ob Sie Ihre ungenutzten Haustüren unverschlossen lassen. Es bietet Hackern eine Hintertür, um Zugriff zu erhalten. Entfernen Sie also alles, was Sie nicht benötigen.

4. Verwenden Sie sichere Passwörter und Berechtigungen

Bei einigen der häufigsten WordPress-Hacking-Versuche werden gestohlene Benutzernamen und Passwörter verwendet, um Zugriff auf eine Website zu erhalten. Um Hacking-Versuche zu erschweren, verwenden Sie sichere Passwörter, die nur für Ihre WordPress-Site gelten.

Dies gilt für Ihre WordPress-Site, Hosting, FTP-Konten, geschäftliche E-Mail-Adresse und mehr.

Obwohl es verlockend ist, den Namen Ihres Haustiers zu verwenden, weil man ihn sich leicht merken kann, lässt er sich auch leicht erraten.

Die beste Vorgehensweise besteht darin, ein Passwort mit mindestens 12 Zeichen zu verwenden. Diese Zeichen sollten aus Groß- und Kleinbuchstaben, Zahlen, Symbolen und Buchstaben bestehen.

Viele WordPress-Benutzer vermeiden die Erstellung komplexer Passwörter, weil sie schwer zu merken sind. Die gute Nachricht ist, dass Sie Passwort-Manager verwenden können, um sichere Passwörter zu generieren und sicher zu speichern.

Ein weiterer wichtiger Tipp ist, Ihr WordPress-Administratorkonto privat zu halten. Wenn an Ihrer Website ein großes Team oder mehrere WordPress-Autoren arbeiten, können Sie diese gezielt zuweisen Benutzerrollen und Berechtigungen bevor Sie ihre neuen Benutzerkonten hinzufügen.

5. Wählen Sie ein sicheres WordPress-Hosting-Unternehmen

Ein weiterer grundlegender Sicherheitsschritt besteht darin, sicherzustellen, dass Sie seriöses Webhosting verwenden. Die besten WordPress-Hosting-Anbieter wie Bluehost, SiteGround und Hostinger legen besonderen Wert darauf, ihre Server vor Sicherheitsverletzungen zu schützen.

Ein gutes WordPress-Hosting-Unternehmen arbeitet oft im Hintergrund, um Ihre Website mit den folgenden Maßnahmen zu schützen:

  • Überwachen Sie auf verdächtige Aktivitäten
  • Pflegen Sie Tools, um groß angelegte DDOS-Angriffe zu verhindern
  • Halten Sie Serversoftware, Hardware und PHP-Versionen auf dem neuesten Stand
  • Implementieren Sie Notfallwiederherstellungs- und Unfallpläne für größere Vorfälle

Viele Hoster bieten Shared-Hosting-Pläne an, bei denen Sie Webserver-Ressourcen mit anderen Kunden teilen.

Da dadurch das Risiko besteht, dass Hacker benachbarte Websites nutzen, um Ihre Website anzugreifen, ist es möglicherweise am besten, stattdessen verwaltetes WordPress-Hosting zu verwenden.

Managed WordPress-Hosting-Anbieter wie WPEngine verfügen über eine sicherere Plattform. Sie bieten außerdem automatische Backups, WordPress-Updates und erweiterte Sicherheit.

Keine Code-WordPress-Sicherheitsschritte

Wir verstehen, dass die Verbesserung Ihrer WordPress-Sicherheit beängstigend sein kann, insbesondere für neue Website-Besitzer und Anfänger. Mach dir keine Sorge; Für die folgenden Schritte sind keine technischen Kenntnisse erforderlich.

In wenigen Minuten sind Sie auf dem Weg, Ihre WordPress-Sicherheit zu erhöhen, ohne Code schreiben zu müssen.

6. Installieren Sie eine WordPress-Backup-Lösung

Das Sichern von WordPress ist einer Ihrer ersten Schutzmaßnahmen gegen Hacker. Wenn etwas Schlimmes passiert, können Sie Ihre Website in den vorherigen Zustand zurückversetzen.

Für die besten WordPress-Backup-Plugins gibt es kostenlose und kostenpflichtige Versionen mit zusätzlichen Funktionen wie WordPress-Datenbank- und Dateiübertragungen, Wiederherstellungspunkten und E-Mail-Benachrichtigungen. Die wichtigste Funktion, auf die Sie achten sollten, ist jedoch die Möglichkeit, regelmäßig Backups durchzuführen und an einem entfernten Standort zu speichern.

Suchen Sie nach Backup-Lösungen mit externer Speicherung an Orten wie Amazon, Dropbox oder privater Cloud-Speicher. Entscheiden Sie sich außerdem für Plugins, die Backups ermöglichen, die zu Ihrem Zeitplan passen, z. B. einmal pro Tag oder Echtzeit-Backups.

Zu den beliebten Backup-Plugins mit diesen Funktionen gehören: Duplikator, UpdraftPlus-, BlogVault- und Jetpack VaultPress-Backups. Sie sind einfach zu verwenden, zuverlässig und erfordern keine Programmierung.

7. Wählen Sie das beste WordPress-Sicherheits-Plugin

Nachdem Sie eine Backup-Lösung gefunden haben, besteht die nächste Aufgabe darin, ein Überwachungssystem einzurichten, um die Aktivität auf Ihrer Website zu verfolgen. Diese Aktivität kann fehlgeschlagene Anmeldeversuche, Überwachung der Dateiintegrität, Malware-Scans und mehr umfassen.

Die meisten dieser Überwachungsaufgaben werden vom Sucuri Scanner, dem besten kostenlosen WordPress-Sicherheits-Plugin, problemlos erledigt. Navigieren Sie nach der Installation und Aktivierung von Sucuri zu Sucuri-Sicherheit » Einstellungen Klicken Sie in Ihrem WordPress-Dashboard auf die Registerkarte „Härtung“.

Gehen Sie nun jede Option durch und klicken Sie auf Härten anwenden Taste.

Diese Einstellungen helfen dabei, Bereiche Ihrer Website zu sperren, die Hacker häufig für ihre Angriffe nutzen. Die einzige kostenpflichtige Option für das Upgrade ist die Web Application Firewall, die wir im nächsten Schritt erläutern.

Zu den weiteren alternativen WordPress-Sicherheits-Plugins gehören: WordFence und iThemes-Sicherheit.

8. Verwenden Sie eine Web Application Firewall (WAF)

Die Verwendung einer Firewall ist eine effektive Möglichkeit, bösartigen Datenverkehr zu blockieren, bevor er Ihre WordPress-Site erreicht, und es stehen mehrere Arten zur Auswahl.

  • Website-Firewall auf DNS-Ebene: Leitet den Site-Verkehr über Cloud-Proxy-Server weiter und sendet nur echten Verkehr an Ihren Webserver.
  • Firewall auf Anwendungsebene: Untersucht den Datenverkehr, sobald er Ihren Server erreicht, aber bevor WordPress-Skripte geladen werden.

Wie oben erwähnt ist die Firewall von Sucuri hierfür eine robuste Lösung. Sucuri hat WPBeginner dabei geholfen, in drei Monaten 450.000 Angriffe zu blockierenwas seine Wirksamkeit beweist.

Das Plugin verfügt außerdem über eine Malware-Bereinigung und eine Garantie zum Entfernen von Blacklists. Wenn Sie also während der Nutzung gehackt werden, wird Ihre Website repariert, ohne dass Fragen gestellt werden. Wenn man bedenkt, dass die meisten Sicherheitsexperten etwa 250 US-Dollar pro Stunde verlangen, ist dieser Service für nur 199 US-Dollar pro Jahr ein Schnäppchen.

Verbessern Sie noch heute Ihre WordPress-Sicherheit mit der Sucuri Firewall.

9. Switch von HTTP zu SSL/HTTPS

Falls Sie es noch nicht getan haben, ist das Hinzufügen einer SSL-Verschlüsselung zu Ihrer WordPress-Site ein entscheidender nächster Schritt. SSL, kurz für Secure Sockets Layer, verschlüsselt Datenübertragungen zwischen Ihrer Website und den Browsern der Besucher. Es macht es Hackern grundsätzlich schwerer, Informationen zu stehlen.

Sobald SSL aktiviert ist, verwendet Ihre Website HTTPS anstelle von HTTP. In Webbrowsern wird neben Ihrer Adresse außerdem ein Vorhängeschlosssymbol angezeigt.

Die Preise für SSL-Zertifikate liegen zwischen 80 und Hunderten von Dollar pro Jahr, weshalb viele Websitebesitzer dies meiden. Seitdem Let’s Encrypt jedoch kostenlose SSL-Zertifikate anbietet, bieten viele Hosting-Unternehmen diese als Teil ihrer Pläne an.

Wenn Ihr Webhost kein SSL anbietet, können Sie eines bei domain.com kaufen. Sie haben das zuverlässigste SSL-Angebot mit einer Sicherheitsgarantie von 10.000 US-Dollar und dem TrustLogo-Sicherheitssiegel.

Erweiterte WordPress-Sicherheitstipps

Sobald Sie die oben genannten Sicherheitsschritte gemeistert haben, ist es Zeit, ein höheres Level zu erreichen. Sie können immer noch mehr tun, um Ihre WordPress-Site zu sichern. Lassen Sie uns einige erweiterte Sicherheitsmaßnahmen erkunden.

Note: Für einige der folgenden Schritte sind möglicherweise Programmierkenntnisse erforderlich.

10. Begrenzen Sie Anmeldeversuche

Um Ihre Website weiter vor der Bedrohung durch Brute-Force-Angriffe zu schützen, können Sie die Versuche, sich bei WordPress anzumelden, begrenzen. Wenn jemand wiederholt das falsche Passwort eingibt, wird er auf diese Weise eine Zeit lang von Ihrer Website ausgeschlossen.

Eine Möglichkeit, diese Funktion zu implementieren, ist die Verwendung von Anmeldeversuche beschränken. Neu geladen Plugin.

Sie können die maximale Anzahl falscher Passwörter festlegen, bevor der Benutzer gesperrt wird, und Sie werden per E-Mail benachrichtigt, wenn eine Anmeldung fehlschlägt.

Vollständige Anweisungen zum Einrichten dieses Plugins finden Sie in dieser Anleitung auf So begrenzen Sie Anmeldeversuche in WordPress.

11. Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung macht den Anmeldevorgang für legitime Benutzer komplizierter und lästiger und trägt dazu bei, unerwünschte Personen von Ihrer Website fernzuhalten.

Wie der Name schon sagt, müssen Benutzer bei der Zwei-Faktor-Authentifizierung zwei Sicherheitsschritte durchführen, bevor sie die Website nutzen können. Der erste Schritt ist normalerweise die traditionelle Namens-/Passwort-Herausforderung. Der zweite Schritt besteht darin, einen Sicherheitscode einzugeben, der ihnen per SMS oder einem anderen sicheren Gerät zugesandt wird.

Zahlreiche Plugins ermöglichen Ihnen die Einrichtung einer Zwei-Faktor-Authentifizierung, beispielsweise das kostenlose WordPress-Plugin für Zwei-Faktor-Authentifizierung.

Klicken Sie nach der Installation und Aktivierung des Plugins auf Zwei-Faktor-Auth Link in Ihrem WordPress-Administrator, der einen einmaligen Setup-Code anzeigt.

Installieren und öffnen Sie als Nächstes eine Authentifizierungs-App auf Ihrem Telefon, z. B. Google Authenticator, und klicken Sie auf das Plus-Symbol, um einen neuen Code hinzuzufügen.

Von dort aus können Sie den QR-Code auf der Einstellungsseite des Plugins scannen, um die Einrichtung abzuschließen.

Wenn Sie sich das nächste Mal bei Ihrer WordPress-Site anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Zwei-Faktor-Authentifizierungscode gefragt.

12. Verstecken Sie Ihre WordPress-Anmeldeseite

Fast alle Hacker wissen, dass der Zugriff auf eine WordPress-Administratorseite normalerweise durch das Hinzufügen von /wp-admin nach dem Domainnamen erfolgt. Wenn Ihr Domainname beispielsweise xyz.com lautet, wird Ihre Admin-Seite wahrscheinlich über die folgende URL aufgerufen: http://xyz.com/wp-admin.

Sie wissen auch, dass der Name der Anmeldeseite wp-login.php ist.

Glücklicherweise können Sie das ändern. Plugins, wie z WPS-Anmeldung ausblendenermöglichen Ihnen die Anpassung Ihrer Anmelde-URL.

Für Hacker wird es viel schwieriger, in Ihr System einzudringen, wenn sie Ihre Anmeldeseite nicht finden können. Sie können auch dieser Anleitung zum Ändern Ihrer WordPress-Anmelde-URL folgen.

13. Ändern Sie Ihren Standard-Administrator-Benutzernamen

Ebenso kann Ihre WordPress-Installation Administratorkonten den Benutzernamen „admin“ geben. Es ist am besten, diesen Namen so schnell wie möglich zu ändern, da Hacker damit vertraut sind und möglicherweise einen „Brute-Force“-Hack (durch wiederholtes Ausprobieren verschiedener Passwörter) mit diesem Benutzernamen versuchen.

Viele Hostanbieter sind sich dieser Angriffsgefahr bewusst und vermeiden daher die Erstellung des Administratorkontos mit dem Namen „admin“. Dennoch lohnt es sich, dies zu überprüfen, um Ihre Sicherheit zu erhöhen.

14. Gewähren Sie Administratorzugriff per IP

Wenn nur Sie berechtigt sind, Verwaltungsaufgaben auf Ihrer WordPress-Site auszuführen, können Sie den Verwaltungszugriff auch anhand der IP-Adresse einschränken.

Ihre IP-Adresse ist ein Zahlenquartett, das Sie online identifiziert. Betrachten Sie es als Ihre digitale Adresse.

Vor diesem Hintergrund können Sie WordPress anweisen, nur Personen den Zugriff auf den Admin zu erlauben, die über eine bestimmte IP-Adresse verfügen. Das bedeutet, dass Hacker, die versuchen, von einer anderen IP-Adresse auf Ihre Website zuzugreifen, erfolglos bleiben.

Um diese Sicherheitsfunktion zu implementieren, gehen Sie zu whatismyip.com um Ihre IP-Adresse herauszufinden. Anschließend müssen Sie Ihre .htaccess-Datei im Admin-Verzeichnis Ihres Hostanbieters ändern, um die Sicherheitsänderung vorzunehmen.

Wenn Sie nicht wissen, wie das geht, rufen Sie den technischen Support Ihres Hosting-Unternehmens an und bitten Sie einen Techniker, dies für Sie zu tun.

Insbesondere möchten Sie, dass der Datei etwas hinzugefügt wird, das so aussieht:

order deny,allow Deny from all Allow from xxx.xxx.xxx.xxx

Ersetzen Sie „xxx.xxx.xxx.xxx“ durch die IP-Adresse, die Sie auf whatismyip.com gesehen haben. Sobald dies erledigt und die Datei gespeichert ist, können nur Personen mit dieser bestimmten IP auf Ihren WordPress-Administrator zugreifen.

Note: Ihr Internetdienstanbieter (ISP) ändert manchmal Ihre IP-Adresse. In diesem Fall werden Sie von Ihrer Website ausgeschlossen. Die Lösung besteht darin, den technischen Support anzurufen und einen Techniker zu bitten, die IP-Adresse entsprechend zu aktualisieren. Tun Sie dies auf eigenes Risiko.

15. Deaktivieren Sie XML-RPC in WordPress

ML-RPC ist eine in WordPress 3.5 eingeführte Funktion, die dabei hilft, Ihre WordPress-Site mit Web- und mobilen Apps zu verbinden. Aufgrund seiner Leistungsfähigkeit kann es jedoch auch Brute-Force-Angriffe verstärken.

Wenn ein Hacker beispielsweise früher 500 verschiedene Passwörter ausprobieren wollte, musste er 500 Anmeldeversuche unternehmen, die die Plugins zur Begrenzung der Anmeldeversuche normalerweise abfangen würden. Mit XML-RPC können Hacker jedoch die Funktion system.multicall nutzen, um Tausende von Passwörtern mit weniger Anfragen auszuprobieren.

Wenn Sie XML-RPC nicht verwenden, ist es daher am besten, es zu deaktivieren. Vollständige Anweisungen finden Sie in dieser Anleitung unter So deaktivieren Sie XML-RPC in WordPress.

16. Deaktivieren Sie die Dateibearbeitung

WordPress verfügt über einen integrierten Code-Editor, mit dem Sie WordPress-Theme- und Plugin-Dateien in Ihrem WordPress-Administrationsbereich bearbeiten können. In den falschen Händen kann diese Funktion die Sicherheit Ihrer Website gefährden, weshalb es am besten ist, sie zu deaktivieren.

Sie können dies ganz einfach tun, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen.

verweigert von allen

Alternativ können Sie die Dateibearbeitung mithilfe der Hardening-Funktion im zuvor erwähnten kostenlosen Sucuri-Plugin deaktivieren.

17. Scannen Sie Ihre WordPress-Site auf Malware

Wahrscheinlich verfügen Sie bereits über eine Antivirensoftware auf Ihrem PC, die Ihre Festplatte auf potenzielle Bedrohungen überprüft. Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, überprüft es Ihre Website regelmäßig auf Sicherheitslücken und Malware.

Ein plötzlicher Rückgang Ihres Website-Verkehrs oder Ihrer Suchmaschinen-Rankings könnte jedoch darauf hindeuten, dass etwas nicht stimmt. Sie sollten daher einen manuellen Scan durchführen. Sie können Ihr WordPress-Sicherheits-Plugin verwenden oder Malware- und Sicherheitsscanner dafür.

Das Ausführen eines Online-Scanners ist unkompliziert. Geben Sie einfach die URLs Ihrer Website ein und der Scanner durchsucht Ihre Website nach Malware und bösartigem Code.

Diese Scanner können zwar Ihre Website scannen, sie können jedoch weder die Malware entfernen noch eine gehackte Website bereinigen.

Nächste Schritte

Wir hoffen, dass Sie diese Anleitung zum Schutz Ihrer WordPress-Site vor Hackern hilfreich fanden. Ihre WordPress-Site ist genauso anfällig für Eindringlinge wie jede andere Site im Web, aber Sie können das Risiko eines Angriffs mindern, indem Sie die besten WordPress-Sicherheitspraktiken befolgen.

Weitere Informationen finden Sie in den folgenden Tutorials und Anleitungen:

Danke fürs Lesen. Bitte folgen Sie uns weiter YouTube, TwitterUnd Facebook für weitere hilfreiche Inhalte zum Wachstum Ihres Unternehmens.