Der folgende Artikel hilft Ihnen dabei: WordPress-Sicherheit – 20 Möglichkeiten, Ihr WordPress-Blog zu schützen
Mittlerweile nutzen die meisten Unternehmen auf der Welt Blogs, um ihr Geschäft auszubauen und zu erweitern. Sie nutzen Websites zur Unterstützung ihrer Marketingkampagne. Als verantwortungsbewusster Website-Betreiber möchten Sie Ihre Website nicht an jemanden weitergeben, der Ihre Websites für böswillige Zwecke missbrauchen könnte. Es war gemeldet dass 86 % der Websites mindestens eine schwerwiegende Sicherheitslücke aufweisen. Im Jahr 2015 berichtete Google, dass Hackerangriffe im Vergleich zum Vorjahr um 180 Prozent zugenommen hätten. Entsprechend Forbes – Durchschnittlich werden jeden Tag 30.000 Websites gehackt.
Hacker können Ihre persönlichen Daten einsehen und missbrauchen. Sie können Ihre Ressourcen, z. B. Websites, für ihre persönlichen Zwecke nutzen. Mittlerweile engagieren viele Unternehmen auch Hacker, um Geschäftsgeheimnisse zu stehlen und die Konkurrenz zu unterwandern.
Bei den meisten Website-Verstößen geht es nicht darum, Ihre Daten zu stehlen oder Ihr Blog zu zerstören, sondern Sie nutzen Ihren Server, um einen Spam-E-Mail-Trichter zu betreiben, oder richten Ihren Server als temporären Webserver ein, um illegale Dateien bereitzustellen.
Sie suchen immer nach einer Website mit hoher Anfälligkeit, um ihnen den geringsten Widerstand zu bieten. Im Allgemeinen werden die meisten Hackerangriffe durch automatisierte Skripte durchgeführt, um die anfälligen Teile der Sicherheit Ihrer Website anzugreifen, aber es gibt auch große Hacker, die immer nach anfälligen Bereichen Ihrer Sicherheit suchen.
WordPress ist die beliebteste Plattform zum Erstellen von Blog- und CMS-Systemen und daher ein wichtiges Ziel für Hacker.
Von allen Websites, die im Jahr 2015 gehackt wurden, handelte es sich bei 75 % um WordPress-Plattformen. Warum sind WordPress-Websites so anfällig für Sicherheitsverletzungen? Da die Erstellung eines WordPress-Blogs nur 2 Minuten dauert, müssen Sie nur die Schaltfläche drücken und WordPress wird automatisch installiert.
Dieses kostenlose Ein-Klick-Tool bietet ungeübten Dienstleistern und Webmastern eine einfache Möglichkeit, solche Websites zu entwickeln und zu verwalten. Vielleicht ist dies einer der Gründe, warum die am häufigsten infizierten Websites der Welt WordPress-Plattformen sind. Das Erstellen einer Website auf der WordPress-Plattform dauert nur 2 Minuten, aber diese Websites sind aufgrund ihrer geringen Sicherheit ein leichtes Ziel für Hacker.
Es gibt verschiedene Möglichkeiten, Ihre Website vor Hackern zu schützen, die versuchen, die Sicherheit Ihres WordPress-Blogs zu durchbrechen.
1) Admin-Konto:
Das erste und offensichtlichste, was einem Hacker in den Sinn kommt, ist sein Administratorkonto. Die Wahl eines klaren und offensichtlichen Login-/Benutzernamens wie „Admin“ sollte möglichst vermieden werden.
Der Benutzername in WordPress kann während der Installation nicht einmal geändert werden.
Sie können also unter BENUTZER > Neu hinzufügen ein neues Benutzerkonto erstellen und ihm die Administratorrolle zuweisen.
2) Konto wechseln:
Wählen Sie ein anderes Konto für einen anderen Zweck, z. B. Abonnenten-, Mitwirkenden-, Autor-, Herausgeber- und Administratorkonto. Die Verwendung eines Administratorkontos für jeden Zweck kann für Ihre Website sehr riskant sein. Wenn Sie beispielsweise mit Inhalten wie dem Bearbeiten/Veröffentlichen mit einem Editor-Konto arbeiten, kann dies sehr effektiv sein, um Ihr Blog vor Sicherheitsverletzungen zu schützen.
Sie können ein Editor-Konto erstellen, indem Sie BENUTZER>Neu hinzufügen und ihm die Editor-Rolle zuweisen.
3) Richtiger Webhost:
Die richtige Auswahl eines Webhosts kann Ihnen dabei helfen Website weniger anfällig. Entsprechend Bericht Fast 41 % der WordPress-Blogs werden über ihren Hosting-Server gehackt. Es ist die Hauptquelle für Hacker, um auf Ihre Website zuzugreifen.
Die Hacker versuchen auch, das Hosting zu hacken, weil sie auf diese Weise mehr infizieren können. von Benutzern mit weniger Aufwand.
4) Sicherheits-Plugins:
Wenn Sie selbst gehostete Blogs verwenden, hat Sicherheit für Sie Priorität – denn Sie möchten nicht, dass Hacker über Ihre Blogs zugreifen.
Es stehen Ihnen zahlreiche Sicherheits-Plugins zur Verfügung, Sie sollten diese jedoch mit Bedacht auswählen, um die Sicherheit Ihrer Website zu gewährleisten.
Einige der vertrauenswürdigsten Sicherheits-Plugins sind: Sucuri, Wortzaun Und kugelsichere Sicherheit.
5) Passwort:
Jeder Experte wird Ihnen sagen, wie wichtig es ist, ein komplexes und sicheres Passwort zu wählen. Verwenden Sie niemals eine leicht zu entschlüsselnde Passwortkombination wie Ihren Namen und einige alphanumerische Buchstaben.
Probieren Sie diese Strategie aus, um ein unzerbrechliches Passwort zu generieren:
- Häufige Wörter: Vermeiden Sie Wörter, Namen und Orte aus dem Wörterbuch in Ihrem Passwort.
- Länge: Verwenden Sie immer ein Passwort mit mindestens 8 Zeichen. Es dauert 10 Minuten, ein Passwort mit 6 Zeichen zu knacken, und 4 Monate, um ein Passwort mit 8 Zeichen zu knacken.
- Mischen: Probieren Sie die beeindruckende Verwendung von Groß- und Kleinbuchstaben aus, die schwer zu erraten sind. Setzen Sie Rechtschreibung, Zahlen und Zeichensetzung effektiv ein.
- Note: Notieren Sie Ihr Passwort niemals an einem Ort, der für andere zugänglich ist.
5) Anmeldeversuche:
Beschränken Sie Ihre Versuche und stellen Sie sicher, dass weder Bots noch Menschen Ihr Passwort erraten können. Es kann sein, dass sie Ihr Passwort in 20 bis 30 Versuchen nicht erraten, aber in mehreren Versuchen wird es ihnen gelingen. Wenn Sie ein komplexes Passwort verwenden, dann nein. Anzahl der Versuche wird höher sein. Einschränken der Anmeldeversuche mit a passendes Plugin wie Login LockDown verhindert Versuche, das Passwort zu erraten.
6) WordPress aktualisieren:
Das Aktualisieren von WordPress scheint zwar nichts mit der Website-Sicherheit zu tun zu haben, aber eine ältere Version von WordPress ist anfällig für böswillige Angriffe. Berichten zufolge handelt es sich bei fast 55 % der Websites, die im Jahr 2015 gehackt wurden, um eine veraltete WordPress-Version. WordPress gab außerdem bekannt, dass alle WordPress-Versionen vor 3.9.2 ein leichtes Ziel für Cross-Site-Scripting-Hacks seien. Mit jeder neuen WordPress-Version veröffentlichen sie einen detaillierten Leitfaden zum Änderungsprotokoll. Im Änderungsprotokoll-Leitfaden beschreiben sie jeden Fehler, den sie behoben haben. Es ist wie ein Handbuch für Hacker.
7) Plugin aktualisieren:
Fast 21 % der WordPress-Blogs werden durch Plugins gehackt. Die veralteten Plugins sind anfälliger für Hackerangriffe durch verschiedene Codes, die von den Hackern generiert werden. Schwächere Plugins enthalten fehlerhafte Codes oder SQL-Abfragen, die möglicherweise eingefügt werden, um Daten und Informationen über Ihre Websites abzurufen. Installieren Sie kein Plugin aus unzuverlässigen Quellen. Laden Sie Plugins immer lieber von der offiziellen WordPress-Website herunter, um Probleme zu vermeiden.
Durch die Aktualisierung eines Plugins können Sie verhindern, dass Ihre Websites gehackt werden, da aktualisierte WordPress-Plugins standardmäßig mit jedem Verzeichnis ausführbare index.php-Dateien anhängen.
Standardmäßig wird die htaccess-Datei im Allgemeinen als htaccess.default in einer WordPress-Installation gespeichert. Wenn dies der Fall ist, bearbeiten Sie sie manuell und benennen Sie sie in .htaccess um. In sehr seltenen Fällen, wenn die .htaccess-Datei nicht auf Ihrem Server verfügbar ist, erstellen Sie manuell ein Textdokument und laden Sie es mit dem Namen „.htaccess“ hoch.
8) Captcha:
Captcha ist ein Programm, das Websites vor Bots schützt. Durch das Zulassen von Captcha in Ihrem Blog wird verhindert, dass Bots und automatisierte Programme Spam in Ihrem Blog generieren. Durch die Verwendung von Recaptcha in Ihrem Blog können Sie leicht vorhersagen, ob es sich beim Benutzer um einen Menschen oder einen Bot handelt.
9) Wp-config-Datei:
Wenn Sie einen Server mit .htaccess verwenden, können Sie die Datei „wp-config“ ganz oben platzieren, um allen den Zugriff zum Surfen zu verweigern.
Dieser Schritt bietet zwar nur minimale Vorteile, es schadet jedoch nicht, besonders vorsichtig zu sein. wp-config ist eine Datei, die sich normalerweise im Stammverzeichnis der WordPress-Installation befindet. Durch das Verschieben in den Ordner wp-include erhält sie jedoch eine zusätzliche Schutzebene. Man muss .htaccess konfigurieren, um sicherzustellen, dass WordPress die Datei findet. Behalten Sie die Mindestberechtigung für diese Datei bei – 400 oder 440 sollten ausreichen.
Abhängig von Ihrem Webhosting funktioniert dieser Schritt möglicherweise nicht für Sie. In diesem Fall kehren Sie einfach zum vorherigen Zustand zurück.
10) Datensicherung:
Das Sichern von Daten hilft Ihnen nicht dabei, Angriffe zu verhindern, aber wenn Ihre Website angegriffen wird, können Sie mit dieser Sicherungsdatei alle Dinge schnell wiederherstellen.
Sie sollten Ihre Daten, einschließlich Ihrer MySQL-Daten, regelmäßig sichern. Dieses Backup ermöglicht es Ihnen, Ihre Website neu zu erstellen und Ihnen die Probleme mitzuteilen, aufgrund derer Ihre Website gefährdet ist.
Viele Websites sind mit diesem Problem konfrontiert, weil sie keine regelmäßige Sicherung ihrer Daten durchgeführt haben. Sie gaben schließlich auf, die Websites neu zu erstellen, da es ohne Backup fast unmöglich ist, eine Website neu zu erstellen.
11) Löschen Sie unerwünschte Plugins und Themes:
Einige Websitebesitzer wissen nicht, dass die Beibehaltung ungenutzter Plugins und Themes auch ein Einfallstor für Hacker sein kann.
Obwohl sie noch nicht aktiviert sind, können sie Ihre Daten kontinuierlich an die Hacker weitergeben. Ihre Quelldatei befindet sich immer noch auf Ihrem Server, was Ihre Website angreifbar macht. Für Hacker ist dies ein leichtes Ziel, da die Besitzer der Sicherheit ungenutzter Themes und Plugins nicht viel Aufmerksamkeit schenken. Sie sollten die Plugins und Themes, die Sie nicht mehr für Ihren WordPress-Blog verwenden, immer dauerhaft löschen.
12) Überwachung:
Wie vorsichtig Sie auch sein mögen, es besteht immer noch die Möglichkeit, dass Ihre Website gehackt wird. Zu warten, bis eine Website infiziert ist, und dann Maßnahmen zu ergreifen, ist überhaupt keine gute Vorgehensweise. Es sind immer einige Themes, Plugins, Links und andere Dateien vorhanden, mit denen Sie Zugriff auf Ihre Website erhalten können. Aus diesem Grund ist die Installation von Scan-Sicherheits-Plugins wichtig, um Ihr Blog regelmäßig zu scannen und Sie zu benachrichtigen, wenn sich einige Ihrer Dateien geändert haben.
Websitebesitzer können ihre Websites mithilfe verschiedener Technologien überwachen, z. B. Systemdienstprogramme, Revisionskontrolle und Überwachung der Betriebssystemebene. Auf diese Weise können Sie schneller reagieren und Ihre Website wiederherstellen, indem Sie den Spuren folgen, die hinterlassen werden.
13) Virenschutz und Firewall:
Wenn Sie zulassen, dass Malware Ihren Computer angreift und auf Grundlage Ihrer Internetaktivitäten auf persönliche Daten zugreift, dann stellt dies eine große Bedrohung dar. Obwohl Sie auf Ihrem WordPress- und Webserver hohe Sicherheitsmaßnahmen ergriffen haben, können Hacker auch dann auf Ihre Website zugreifen, wenn Ihr Computer infiziert ist. Installieren Sie immer eine gute Antiviren-, Malware- und Firewall-Software auf Ihrem Computer, um ihn vor Angriffen zu schützen. Der von Ihnen verwendete Webbrowser sollte ebenfalls aktualisiert werden, um Angriffe zu verhindern. Wenn Sie nicht vertrauenswürdige Websites verwenden, deaktivieren Sie immer Javascript/Flash im Browser.
14) Schützen Sie Ihr wp-admin-Verzeichnis:
Das Einrichten des Passworts für das wp-admin-Verzeichnis auf Ihrer Website unterscheidet sich vom WordPress-Benutzerkonto. Bis eine korrekte Kombination aus Benutzername und Passwort angegeben wird, wird die Fehlermeldung „401 Unauthorized“ angezeigt und das Laden Ihrer Seite aus diesem Verzeichnis verhindert. Der Benutzername und das Passwort für dieses Verzeichnis sollten nicht mit Ihrem WordPress-Konto identisch sein, was eine zusätzliche Sicherheitsebene für Ihr Blog darstellt. Auf diese Weise können Webmaster die Dateien schützen, auf die sie nur eingeschränkten Zugriff haben möchten.
15) Datenbanksicherheit:
Sie können nicht nur strenge Sicherheit für Ihre Dateien einrichten, sondern auch für die Datenbank, um die Berechtigung zu überprüfen. Ändern Tabellenpräfix Die Umstellung der WordPress-Datenbank von wp_ auf einen anderen Namen, der für Hacker schwerer zu erraten ist, gilt als bewährte Vorgehensweise zum Schutz Ihrer Daten. Es kann während der Installation geändert werden. Wenn Sie es während der Installation nicht geändert haben, machen Sie sich keine Sorgen, Sie können es später immer noch mit einem geeigneten Sicherheits-Plugin oder über phpMyAdmin ändern. Sie können auch XSS und SQL-Injection verwenden, um die Sicherheit Ihrer Daten zu gewährleisten.
Mit XSS können Sie Daten vor der Übermittlung überprüfen und kodieren, um HTML zu entfernen. Die Hacker versuchen, Javascript/Flash-Skript zu übertragen, um einen Schadcode für die Leser Ihrer Website auszuführen.
Der Hacker nutzt SQL-Injection, um über URL-Parameter/Formularfelder auf Ihre Datenbank zuzugreifen und diese zu manipulieren. Sie können parametrisierte Abfragen problemlos verwenden, um SQL-Injection-Angriffe in den meisten Websprachen zu verhindern.
16) SSL:
SSL ist ein Protokoll, mit dem Sie die Verbindung zwischen Ihrem Webserver und dem Browser des Lesers verschlüsseln können. Es verhindert, dass Dritte Ihre Daten während der Dateiübertragung zwischen Webserver, Datenbank und Website lesen können.
Sie können die Anmeldung über SSL erzwingen, indem Sie die wp-config-Datei wie folgt bearbeiten: define(‘FORCE_SSL_ADMIN’, true); Es hängt ausschließlich vom Webhost ab, den Sie verwenden. Die meisten bieten diese Funktion jedoch an. Nachdem Sie das SSL-Zertifikat erhalten haben, müssen Sie es in Ihre WordPress-Website integrieren.
Der Erwerb eines SSL-Zertifikats ist recht einfach und heutzutage auch obligatorisch. Aus diesem Grund haben wir einen Artikel mit einigen der besten GoDaddy-SSL-Gutscheincodes veröffentlicht, die Sie beim Kauf eines SSL-Zertifikats für Ihre Website verwenden und sparen können. Klicken Sie hier, um es sich anzusehen.
17) Deaktivieren Sie XML-RPC:-
Bei allen WordPress-Versionen nach 3.5 ist XML-RPC standardmäßig aktiviert. Es kann eine große Bedrohung für die Sicherheit Ihrer Website darstellen. Im Allgemeinen verwenden die meisten Websitebesitzer xmlrpc zu keinem Zweck. Sie können die Datei xmlrmc.php entweder löschen oder blockieren, um allen Benutzern Zugriff zu gewähren.
18) Pingback und Trackbacks deaktivieren:
Pingbacks und Trackbacks können verwendet werden, um DDoS-Angriffe auf Ihre Websites durchzuführen. Daher ist es am besten, Pingbacks von anderen Websites zu deaktivieren:
Gehen Sie zu Einstellungen->Diskussion und deaktivieren Sie einfach das Kontrollkästchen mit der Aufschrift: Benachrichtigungen von anderen Blogs (Pingbacks und Trackbacks) über neue Artikel zulassen.
19) Malware-Erkennung:
Malware ist eine aufdringliche Software, die bösartige Webskripte enthält, um Ihre Website zu infizieren. Jeder Webbesitzer möchte keinen Malware-Angriff auf seine Website, da dies das Ranking und die Glaubwürdigkeit Ihres Blogs beeinträchtigt. Informieren Sie sich regelmäßig auf GSC (Google Search Console) und Sicherheitswebsites über aktuell ausgeführte Malware und Lösungen, um sie auf Ihrer Website zu verhindern.
20) WordPress-Administrator-/Anmeldenamen ausblenden:
Sie machen einen großen Fehler in Bezug auf die Sicherheit Ihrer Website, wenn Sie Ihren Administratornamen nicht verbergen. Wenn Hacker Ihren Admin-Benutzernamen herausfinden, ist es viel einfacher, Ihre Website dadurch zu kompromittieren Brute-Force-Angriff.
Sie können Ihren WordPress-Benutzernamen verbergen, indem Sie die folgenden Codes in der Datei „functions.php“ ausführen: –
add_action(‘template_redirect’, ‘bwp_template_redirect’);
Funktion bwp_template_redirect()
{ if(is_author( ))
{
Wp_redirect( home_url() );
Ausfahrt;
}
}
Sie können für diese Aufgabe auch WordPress-Sicherheits-Plugins verwenden.
Sie sollten bedenken, dass WordPress-Blogs die beliebtesten Websites für Hacker sind. Während sich die Technologie weiterentwickelt, um diese Angriffe zu stoppen, entstehen auch neue Möglichkeiten, über Ihre Website einzudringen. Sie können Ihre Informationen und Daten stehlen und auf vielfältige Weise missbrauchen. Sie können entweder Ihren Server für illegale Zwecke nutzen, sie können Ihre Websites nutzen, um ihre Spam-Kampagne durchzuführen, sie können Ihre Website für Dinge wie die Verbreitung von Malware und SEP-Angriffen nutzen und Ihre persönlichen Kontoinformationen können verwendet werden, um Geld von Ihrem Bankkonto zu stehlen . Was auch immer der Grund für die Sicherheitsverletzung ist: Sie möchten nicht, dass jemand anderes auf Ihre Website zugreift. Wenn Sie keine strenge Sicherheit für Ihren WordPress-Blog eingerichtet haben, ist das ein großer Grund zur Sorge. Wenn Ihre Website gehackt wird, verschlechtern sich auch Ihr Website-Ranking und die SEO erheblich, da die Leute nicht eine gehackte Website besuchen und damit auch ihre eigene Website gefährden wollen, die fast unmöglich wiederherzustellen ist.
Mit diesen Sicherheitsmethoden können Sie Ihre Daten schützen, sodass Sie beruhigt schlafen können, ohne sich um die Sicherheit Ihrer Website sorgen zu müssen.
Wie fanden Sie diesen Beitrag nützlich? Wenn Sie Zweifel und Vorschläge haben, können Sie mir gerne Ihre Meinung mitteilen.
