TechBlogSD - Alles für WordPress und WEB-Entwicklung
WEB- und WordPress-Anleitungen, Neuigkeiten, Rezensionen zu Themes und Plugins

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

3

WordPress unterstützt mehr als 35% der Websites im Internet. Aufgrund der hohen Popularität und des Open-Source-Charakters sind WordPress-Sites eines der Hauptziele für Hacker und bösartige Software. Ihre WordPress- Site könnte aufgrund eines einfachen Admin-Benutzernamens, einfacher Passwörter und veralteter Themes oder Plugins ein leichtes Ziel für Angreifer sein. Aber keine Sorge, es ist ganz einfach, Ihre Website mit einigen einfachen Schritten zu schützen. Hier ist ein Schritt-für-Schritt-WordPress-Sicherheitsleitfaden für Anfänger, um verschiedene Aspekte des Schutzes Ihrer Website vor Angreifern und Schwachstellen zu verstehen.

Verwandte: WordPress-Sicherheitsleitfaden im PDF-Format herunterladen.

WordPress-Sicherheitsleitfaden

  1. Halten Sie Ihren Computer und Ihr Handy frei von Viren
  2. Verwenden Sie sicheres Hosting
  3. Halten Sie Ihre Installation auf dem neuesten Stand
  4. Verwenden Sie starke Passwörter
  5. Kein Admin-Benutzername
  6. Sicheres Rollenmanagement
  7. Verwenden Sie zuverlässige Themes und Plugins
  8. Deaktivieren Sie den Theme- und Plugin-Editor in der Admin-Oberfläche
  9. Blockieren Sie die PHP-Ausführung über das Dashboard
  10. Stoppen Sie Brute-Force-Angriffe
  11. Verdächtige Benutzer, IP und Bots blockieren
  12. Verzeichnissuche deaktivieren
  13. WordPress-Version deaktivieren
  14. Datenbanktabellenpräfix ändern
  15. WordPress-Admin-URL ändern
  16. Verwenden Sie die richtigen Dateiberechtigungen
  17. Dateiänderungen verfolgen
  18. Grundlegende Firewall-Einstellungen verwenden
  19. Zugriff auf Protokolldatei verweigern
  20. Deaktivieren Sie XMLPRC und Pingbacks
  21. Sicherer Umgang mit sensiblen Daten
  22. Spam vorbeugen
  23. Periodisches Site-Backup
  24. Website auf Malware scannen
  25. 404-Fehler überwachen
  26. Schützen Sie die Dateien „wp-config.php” und „.htaccess”
  27. Bieten Sie einen sicheren Zugriff durch Dritte
  28. Sicherheits-Plugin verwenden

1 Halten Sie Ihren Computer und Ihr Mobiltelefon sicher

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Das Erstellen einer Website erfordert viele Ressourcen wie Dokumente, Bilder, Skripte, Dateien und Videos. Möglicherweise benötigen Sie einen dedizierten Laptop und ein Mobiltelefon, um Ihre Inhalte weiter zu erstellen. Insbesondere auf selbst gehosteten WordPress-Plattformen ist der Fernzugriff auf den Server über FTP in den meisten Fällen zur Fehlerbehebung und zum Hochladen erforderlich. Installieren Sie daher Antivirus auf Ihrem Computer und scannen Sie die Dateien regelmäßig. Vergiss nicht, die Plugin- und Theme-Dateien zu scannen, bevor du sie auf deine WordPress-Seite hochlädst.

Das Hochladen eines einzelnen Skripts oder einer Datei mit bösartigem Code auf Ihrem Server wird Ihre ganze harte Arbeit verderben. Ihr Hosting-Unternehmen wird Ihr Konto wahrscheinlich auch sperren, weil es Probleme mit dem Server verursacht. Stellen Sie außerdem sicher, dass Sie nur über eine gesicherte WLAN-Verbindung auf Ihr WordPress-Dashboard zugreifen, und vermeiden Sie öffentliche Netzwerke, um Ihre Daten zu schützen.

2 Gesichertes Hosting

Die Installation von WordPress erfordert ein kostenpflichtiges Hosting, das von einem der Hosting-Unternehmen erworben werden sollte. Als neuer WordPress-Benutzer neigen Sie möglicherweise dazu, weniger Geld auszugeben und am Ende ein günstiges Shared Hosting für Ihre Website zu kaufen. Zweifellos werden Sie Ihre Entscheidung, sich für ein schlechtes Hosting-Unternehmen entschieden zu haben, früher oder später bereuen. Wenn Sie sich auf einem gemeinsam genutzten Server befinden, ist es wichtig, dass alle Sites auf diesem Server sicher und geschützt ausgeführt werden.

Es ist üblich, dass Hunderte oder sogar Tausende von Sites eine einzige Server-IP-Adresse teilen. Wenn eine Site auf Ihrem Server gehackt wird, gibt es mehr Möglichkeiten, dass der gesamte Server gehackt werden kann und Sie auch betroffen sind. In der Vergangenheit gab es viele Fälle, in denen Tausende von Websites auf einem Server gehackt wurden, da der Hacker den Server durch eine Schwachstelle in einer einzigen Website ausschalten konnte.

WordPress empfiehlt einige sichere Hosting-Unternehmen wie Bluehost, SiteGround und DreamHost. Sie müssen sich jedoch vor dem Kauf eines Hosting-Plans bei der Firma erkundigen.

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Von WordPress empfohlenes Hosting

Stellen Sie sicher, dass Ihre Site regelmäßig vollständig gesichert werden kann und die Sicherung außerhalb des Servers gespeichert wird. Aus Sicherheitsgründen nützt es wirklich nichts, das Backup auf demselben Server zu speichern, wenn der Server selbst angegriffen wird.

3 Bleiben Sie auf dem Laufenden

WordPress hat drei Hauptkomponenten, die häufig aktualisiert werden müssen.

  • Thema
  • Plugins
  • Kern-WordPress-Dateien

Da sich Bedrohungen im Laufe der Zeit weiterentwickeln können, sollten alle diese drei Komponenten auf die neuesten und gesicherten Versionen aktualisiert werden. Es wird dringend empfohlen, die automatische Aktualisierung für Ihre WordPress-Versionen zu aktivieren, damit alle Sicherheitspatches automatisch ohne Ihr Eingreifen installiert werden. Stellen Sie außerdem sicher, dass Sie Themes und Plugins auf Ihrem Hosting-Server aktualisieren, damit sie sicher und auf dem neuesten Stand sind.

Erfahren Sie mehr über die Funktionsweise von WordPress.

4 Legen Sie ein sicheres Passwort fest

Im Allgemeinen installieren Benutzer WordPress über Ein-Klick-Installationsdienste, die von den Hosting-Unternehmen angeboten werden. Dies dauert weniger als 5 Minuten und es besteht die Möglichkeit, dass Sie während dieses schnellen Installationsvorgangs kein sehr sicheres Passwort eingeben, insbesondere wenn Sie es zum ersten Mal tun. Außerdem vergessen die meisten Benutzer, das Passwort nach der Ersteinrichtung zu aktualisieren, und einige kluge Benutzer verwenden das Passwort sogar als „Passwort”.

Eine selbst gehostete WordPress- Site benötigt aus verschiedenen Gründen viele Passwörter. Stellen Sie sicher, dass Sie für alle Ihre Konten sichere Passwörter verwenden und schützen Sie die Anmeldeinformationen vor unbekannten Personen.

  • Login-Passwort für das WordPress-Admin-Panel
  • Login-Passwort für das FTP-Konto
  • Passwort für Ihre Datenbank
  • Passwörter für verschiedene Benutzer auf Ihrer Website wie Administratoren, Redakteure, Mitwirkende usw.
  • Ihr Hosting-Konto-Login-Passwort
  • Passwort für cPanel- und phpMyadmin- Zugriff

Sie können auch die Zwei-Faktor-Authentifizierung verwenden, um sich bei Ihrem WordPress-Dashboard anzumelden. Dies hilft, zwei Passwörter zu haben, zum Beispiel eines für die erstmalige Dashboard-Anmeldung und ein zusätzliches Passwort wird für die endgültige Anmeldung an Ihr Handy gesendet. Ändern Sie das Passwort sofort, wenn Sie feststellen, dass auf Ihrer Website etwas schief läuft. Verwenden Sie unser kostenloses Passwort-Generator-Tool, um komplexe Passwörter zu erstellen und die Stärke Ihres Passworts mit unserem kostenlosen Passwort-Stärke-Checker-Tool zu überprüfen.

Verwandte: WordPress-Sicherheitsleitfaden im PDF-Format herunterladen.

5 Admin-Benutzernamen ändern

Ähnlich wie bei den Passwörtern ist es für die meisten von uns eine Gewohnheit, einen einfachen Benutzernamen wie „admin” anzugeben. Der erste Versuch eines Bots oder Hackers, sich bei Ihrer Site anzumelden, ist mit dem Benutzernamen „admin” und dem Passwort als „Passwort”. Sobald die Installation abgeschlossen ist, erlaubt WordPress Ihnen nicht, den Benutzernamen zu ändern. Geben Sie daher während der Installation einen komplexen Benutzernamen und ein komplexes Passwort an, damit Hacker und Bots es nicht leicht erraten können.

Erfahren Sie mehr darüber, wie Sie Ihren Benutzernamen als Administrator ändern können.

Sie können den Spitznamen und den Anzeigenamen vom Benutzernamen unterscheiden, um Hackern das Auffinden des Admin-Benutzernamens zu erschweren. Versuchen Sie in ähnlicher Weise, die Benutzernamen Ihres Administrators, Redakteurs und Mitwirkenden unterschiedlich zu halten. Andernfalls ist es für die Hacker leicht, den Admin-Benutzernamen auf Ihrer Site mit der Autorenarchivseite zu finden.

6 Verwenden Sie eine sichere Rollenverwaltung

WordPress bietet viele Rollen, um die Personen zu klassifizieren, die Ihre Website verwalten. Administrator, Redakteur, Mitwirkender, Abonnent sind einige der Rollen, die Sie zuweisen können. Wenn Sie die Registrierungsfunktion auf Ihrer Site aktiviert haben, stellen Sie sicher, dass Sie den neuen Benutzern, die sich anmelden, Abonnenten oder keine Rolle anbieten.

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Abonnentenrolle für neue Benutzer aktivieren

Es ist notwendig, Ihre Admin-Anmeldeinformationen anzugeben, um einen bestimmten Assistenten für Ihre kommerziellen Plugins oder Ihr Design zu erhalten. Erstellen Sie immer einen separaten Admin-Benutzer und stellen Sie diesen nur in einem privaten Bereich des Support-Forums bereit, der für andere Benutzer nicht sichtbar ist. Vergessen Sie nicht, den Benutzer zu löschen, sobald Ihre Anfrage gelöst ist.

7 Verwenden Sie zuverlässige Themes und Plugins

WordPress hat 57 Tausend kostenlose Plugins im Repository verfügbar, wenn dieser Artikel geschrieben wird. Neben diesen kostenlosen Plugins gibt es eine gleichwertige Anzahl von Premium- und kostenlosen Plugins, die über verschiedene Websites von Drittanbietern angeboten werden. Eine ähnlich große Anzahl von kostenlosen und Premium-Themes steht Ihnen zur Auswahl.

Verschiedene Arten von kostenlosen und kostenpflichtigen Plugins verleiten Anfänger immer dazu, ihre WordPress-Site zu installieren und auszuprobieren. Die Fülle an Themes und Plugins kann eine enorme Sicherheitsbedrohung für Ihre Site darstellen. Es gibt keine Garantie dafür, dass diese Plugins und Themes gewartet und aktualisiert werden, um sie vor den neuesten Sicherheitslücken zu schützen. Kaufen oder installieren Sie keine Plugins und Themes von unzuverlässigen Ressourcen und behalten Sie es sich vor, Plugins und Themes auf Ihrer Entwicklungsseite zu testen, bevor Sie sie auf der Live-Site bereitstellen. Entscheiden Sie sich immer für eine Premium-Version, um angemessenen Support zu erhalten, anstatt sich für kostenlose Versionen zu entscheiden.

Neben der Sicherheit verringert die Installation weiterer Plugins auch die Ladegeschwindigkeit der Seite. Löschen Sie daher unnötige Plugins und halten Sie die Liste so gering wie möglich.

Verwandte: Wie richte ich deinen WordPress-Blog mit Bluehost ein?

8 Deaktivieren Sie die Dateibearbeitung im Admin-Panel

WordPress ermöglicht es Ihnen, Theme- und Plugin-PHP-Dateien direkt über das Admin-Panel zu bearbeiten. Wenn jemand unbefugten Zugriff auf Ihr Admin-Panel hat, kann er leicht bösartigen Code aus dem Dashboard einschleusen, ohne auf das Stammverzeichnis des Servers zuzugreifen. Stellen Sie daher sicher, dass Sie den Editorzugriff entfernen, um Ihre Daten vor den Personen zu schützen, die auf Ihr Admin-Panel zugreifen.

Fügen Sie den folgenden Code in Ihre Datei „wp-config.php” ein, um die Plugin- und Theme-Editor-Optionen im Admin-Frontend zu deaktivieren.

define('DISALLOW_FILE_EDIT',true);

Erfahren Sie mehr darüber, wie Sie die Datei wp-config.php in Ihrer WordPress-Installation bearbeiten.

9 Verhindern der Ausführung von PHP-Dateien

Hacker führen PHP-Dateien auf Ihrer Website aus, um unerwünschte Aktionen auszulösen. Sie können Benutzer blockieren, die PHP-Dateien von Ihrer Admin-Oberfläche aus von einer anderen IP-Adresse als Ihrer ausführen. Um die Blockierung der PHP-Ausführung zu aktivieren, erstellen Sie die Datei „.htaccess” und platzieren Sie sie in den Ordnern „/wp-content/plugins/” und „/wp-content/themes/” mit folgendem Inhalt:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Schutz vor Brute-Force-Angriffen

Brute-Force-Angriffe sind der Versuch, sich bei Ihrer Website anzumelden, indem Sie den Benutzernamen und das Passwort erraten. Jede WordPress-Site kann mit der URL – „yoursite.com/wp-admin/” oder „yoursite.com/wp-login.php/” angemeldet werden. Es gibt Tausende von schlechten Bots, die versuchen, sich bei Ihrer WordPress-Site anzumelden, da die Anmelde-URL allen bekannt ist.

Es ist wichtig, einen starken Admin-Benutzernamen und ein starkes Passwort zu behalten, damit Bots nicht erraten können. Auf der anderen Seite erhöhen Tausende von Bots, die Ihre Anmeldeseite aufrufen, die CPU- und RAM-Auslastung Ihres Servers. Dies führt dazu, dass Ihr Hosting-Unternehmen Ihr Konto sperrt, insbesondere in einer gemeinsam genutzten Hosting-Umgebung.

Es gibt viele Sicherheits-Plugins für WordPress, um Brute-Force-Angriffe durch eine oder eine Kombination der folgenden Methoden zu schützen.

  • Aktivieren Sie maximale Anmeldeversuche, damit der Benutzer nach wenigen Versuchen gesperrt wird. Sie als Administrator erhalten eine Benachrichtigung über die Sperrung mit Benutzernamen und IP-Details.
  • Verwenden Sie Captcha auf Anmelde- und Registrierungsformularen, um automatische Anmeldeversuche von Bots zu schützen.
  • Wenn bekannte schlechte Bots versuchen, sich anzumelden, werden sie auf den localhost-Server umgeleitet, um das Laden Ihres Servers zu vermeiden.
  • Ändern Sie die URL Ihres Admin-Panel-Logins.
  • Führen einer Whitelist, um nur diesen IP-Adressen den Zugriff auf die Anmeldeseite zu ermöglichen. Allen anderen IP-Adressen wird der Zugriff auf Ihre Anmeldeseite verweigert.
  • Cookie-basierter Login-Verhinderung, der es nur Personen ermöglicht, die in ihrem Browser spezielle Cookies gesetzt haben, sich bei Ihrer Site anzumelden.
  • Verwenden der Honeypot-Technik, um ein verstecktes Feld auf der Anmeldeseite einzufügen. Da Bots dazu neigen, alle Felder auf der Anmeldeseite auszufüllen, können sie leicht daran gehindert werden, auf Ihre Website zuzugreifen.

Erfahren Sie im Detail, wie Sie Brute-Force-Angriffe auf der WordPress-Site verhindern können.

11 Verdächtige Benutzer, Bots und IP-Blacklist blockieren

Ein weiterer wichtiger Aspekt der Sicherheit ist die Überwachung der Benutzer und Bots, die auf Ihre Website zugreifen. Da die meisten kostenpflichtigen Hosting-Dienste auf dem Traffic-Limit basieren, ist es notwendig, die automatisierten Bots zu überwachen, die Ihre Site crawlen. Sie können die Verkehrsdetails mit einem der Statistiktools finden, die in Ihrem Hosting-Konto verfügbar sind, wie z. B. „Awstats”. Einzelne Benutzer, User-Agent-Namen der Bots und IP-Adressen können gesperrt werden, um Ihre Site zu schützen.

Sie können auch alle anderen IP-Adressen als Ihre ganz einfach blockieren, indem Sie eine „.htaccess”-Datei erstellen und diese mit dem folgenden Code in den Ordner „/wp-admin/” legen:

order deny,allow allow from "Your IP address" deny from all

Wenn Sie von mehr als einer IP-Adresse auf das Admin-Panel zugreifen, lassen Sie mehrere IP-Adressen zu, indem Sie wie folgt mehrere Zulassen-Befehle hinzufügen:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Sie können auch das gesamte Land sperren, indem Sie Länderblockierungs-Plugins verwenden.

12 Deaktivieren der Verzeichnissuche

Das Durchsuchen von Verzeichnissen ermöglicht es jedem Benutzer, die Verzeichnisstruktur Ihrer Site zu durchsuchen. Zum Beispiel kann jeder den Ordner „/wp-content/plugins/” im Browser öffnen und alle installierten Plugins auf Ihrer Site überprüfen. Wenn ein Hacker weiß, dass sich ein problematisches Plugin auf Ihrer Website befindet, ist dies eine einfache Einstiegstür, um Ihre Website zu kapern.

Das Durchsuchen von Verzeichnissen kann deaktiviert werden, indem Sie die folgende Anweisung in die Datei „.htaccess” im Stammverzeichnis Ihres Servers einfügen.

Options All -Indexes

Erfahren Sie, wie Sie die .htaccess-Datei auf der WordPress-Site bearbeiten.

13 WordPress-Version deaktivieren

WordPress-Sites zeigen die Version des verwendeten WordPress im Quellcode der Seiten an. Sie können mit der rechten Maustaste klicken und den Quellcode Ihrer WordPress-Site im Browser anzeigen, um die Versionsinformationen wie folgt zu finden:

<meta name="generator" content="WordPress 5.5" />

Idealerweise ist es nicht notwendig, dieses Metagenerator-Tag auszublenden, wenn Sie zeitnah auf die neueste Version aktualisieren. Es wird empfohlen, diese Versionsinformationen auszublenden, wenn Sie nicht die neueste Version verwenden oder nicht regelmäßig aktualisieren.

Alte WordPress-Versionen weisen viele bekannte Schwachstellen auf, die im Laufe der Zeit behoben werden. Hacker können diese Versionsinformationen verwenden, um die Websites mit alten Versionen zu finden und diese Schwachstellen leicht einschleusen. Neben dem Metagenerator-Tag zeigt WordPress in den meisten Stylesheet- und Skriptdateien auch die Versionsnummer an, indem es die Zeichenfolge „/?ver=5.5″ anhängt. Verwenden Sie Sicherheits-Plugins, um Versionsinformationen vollständig aus allen Quellcodes zu entfernen.

SEO-Angebot: Optimieren Sie Ihre Website mit der 14-tägigen kostenlosen Testversion von Semrush Pro.

14 Datenbanktabellenpräfix ändern

Wenn Sie WordPress installieren, werden Sie aufgefordert, ein Präfix für die Tabellen Ihrer MySQL-Datenbank einzugeben. WordPress fügt standardmäßig allen Datenbanktabellen „wp_” als Präfix hinzu. Zum Beispiel werden alle Textinhalte Ihrer WordPress-Site in der Tabelle „wp_posts” gespeichert. Dies macht es dem Hacker leicht, schädlichen Code direkt durch unangemessenen Zugriff in Ihre Datenbanktabellen einzuschleusen.

Im Allgemeinen fügen Sie mit einer Ein-Klick-Installation von Webhosting-Unternehmen Ihrer WordPress-Datenbank immer ein komplexes Präfix hinzu. Aber wenn WordPress Installation manuell,  wenn Sie einfach Präfix zur Verfügung gestellt haben, dann empfehlen wir es jetzt zu ändern. Sie können das Datenbanktabellenpräfix mit jedem der Sicherheits-Plugins ändern, da das manuelle Ändern für Anfänger eine ziemlich schwierige Aufgabe ist.

Indem Sie das Präfix ändern, verbessern Sie den Schutz Ihrer Datenbank, da Hacker die richtigen Tabellennamen nicht erraten können.

15 WordPress-Anmelde-URL ändern

Das Ändern der Anmelde-URL reduziert Brute-Force-Angriffe, da keine Bots und Hacker den Weg finden, sich bei Ihrer Website anzumelden. Plugins wie iThemes Security und All in one WP Security und Firewall bieten eine einfache Möglichkeit, die Anmelde-URL zu ändern. Sie können die URL in etwa " http://yoursitename.com/dontattack1me4/ " mit alphanumerischen Zeichen belassen, um sie sicherer zu machen.

16 Verwenden der richtigen Dateiberechtigungen

Jede Datei und jeder Ordner in Ihrer WordPress-Installation verfügt über definierte Dateiberechtigungen. Dies hilft zu entscheiden, wer bestimmte Dateien auf der Site lesen, schreiben oder ausführen darf. Im Allgemeinen sollten Dateien wie „wp-config.php” und „.htaccess” mit den entsprechenden Berechtigungen geschützt werden, damit die öffentliche Gruppe nicht auf diese Dateien zugreifen kann.

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Dateiberechtigung mit FileZilla ändern

Die von WordPress definierten Standard-Dateiberechtigungen reichen meist aus, um Ihre Daten zu schützen. Das Problem tritt jedoch auf, wenn Sie Plugins und Designs installieren, die viele Ordner in Ihrer Installation ändern oder erstellen. Es empfiehlt sich, Ihre Site zu scannen und sicherzustellen, dass Sie über die richtigen Berechtigungen für alle wichtigen Ordner verfügen.

17 Dateiänderungen verfolgen

Hacker injizieren bösartigen Code in Ihr Dateisystem und zeigen deren Inhalt anstelle Ihres Inhalts an, wenn die Site geöffnet wird. Es ist also eine kluge Idee, die Änderungen an wichtigen Dateien auf Ihrer Site zu verfolgen. Im Allgemeinen sollten alle Kerndateien mit der Erweiterung .php (wie „wp-config.php”) von niemandem ohne Ihr Wissen geändert werden.

Sie können diese Dateiverfolgung mit einem der Sicherheits-Plugins erreichen. Mit diesen Plugins können Sie bestimmte Verzeichnisse und Dateien auf Ihrer Site auswählen, die Sie verfolgen möchten.

18 Grundlegende Firewall-Einstellungen verwenden

Es gibt grundlegende und erweiterte Firewall-Einstellungen, um die Sicherheit Ihrer WordPress-Site zu verbessern. Im Allgemeinen werden diese Kontrollen in der Datei „.htaccess” hinzugefügt und verhindern, dass Hacker und Bots auf Ihre Website zugreifen. Einige der Firewall-Einstellungen zur Verbesserung der WordPress-Sicherheit umfassen:

  • Verweigern Sie den Zugriff auf die Dateien „wp-config.php” und „.htaccess”.
  • Datei-Upload-Größe begrenzen
  • Serversignatur entfernen

19 Zugriff auf Protokolldatei verweigern

Die Fehlerbehebung bei WordPress-Problemen erfordert eine qualifizierte Analyse der Situation. WordPress ermöglicht es Ihnen, die Debug-Protokollierung zu aktivieren, damit Sie leicht herausfinden können, was passiert, wenn die Aktion auf Ihrer Website ausgelöst wird. Sobald das Debugging aktiviert ist, wird die Datei „debug.log” unter „/wp-content/debug.log” gespeichert. Dies ist eine wichtige Datei, die vor Hackern geschützt werden muss, um zu verhindern, dass sensible Informationen durchsickern. Stellen Sie sicher, dass Sie das Debugging deaktivieren, sobald die Fehlerbehebung abgeschlossen ist, und die Protokolldateien löschen.

Sie können auch den Browserzugriff auf die Datei „debug.log” deaktivieren und weiterhin über FTP darauf zugreifen.

20 Deaktivieren Sie XMLPRC und Pingbacks

Wenn Sie den Verkehr auf Ihrer Website überwachen, werden Sie überrascht sein, wie viele Bots versuchen, auf die Seite „/xmlprc.php” zuzugreifen. Es gibt viele Möglichkeiten, wie Hacker die XMLPRC-API verwenden können, um Ihre Website zu deaktivieren, einschließlich Schwachstellen wie DoS oder Denial of Service.

Neben Hacking-Problemen ist es notwendig, den Zugriff auf die Seite „xmlprc.php” zu schützen, um die Belastung Ihres Hosting-Servers zu reduzieren. Stellen Sie sicher, dass Sie die XMLPRC-Funktion auf Ihrer WordPress-Site nicht verwenden, und deaktivieren Sie sie, um Ihre Site vor Hackern zu schützen.

Warnung: Beachten Sie, dass einige Plugins und Apps wie die WordPress iOS-App diese XMLPRC-API verwenden. Wenn Sie den Dienst deaktivieren, funktioniert die App oder das Plugin nicht.

Ähnlich wie bei XMLPRC können auch Pingbacks Sicherheitsprobleme für Ihre Site verursachen. Sie können Pingbacks über das Admin-Panel deaktivieren und den Datenschutz für Ihre Site verbessern.

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Pingbacks in WordPress deaktivieren

21 Sicherer Umgang mit sensiblen Daten

In der WordPress-Sicherheitswelt bedeutet Hacking nicht unbedingt, immer die Site oder den Server zu kapern. In den meisten Fällen wird gehackt, um sensible Daten wie E-Mail- und Kreditkartendaten zu stehlen, die auf der Website verfügbar sind. Verwenden Sie HTTPS auf den Seiten zum Sammeln von Daten über Formulare, insbesondere wenn die Daten sensibler Natur sind, wie z. Insbesondere wenn Sie einen Online-Shop haben, ist es obligatorisch, SSL zu verwenden und das HTTPS-Protokoll für Finanztransaktionen zu erzwingen.

Verwenden Sie robots.txt nicht, um wichtige Seiten und Verzeichnisse vor Suchmaschinen zu verbergen. Jeder kann Ihre robots.txt-Datei im Browser anzeigen und auf versteckte Seiten zugreifen. Die Verwendung von „.htaccess”-Direktiven kann helfen, die Kontrolle zu verbessern, aber besprechen Sie mit dem Plugin-Entwickler oder einem Experten, wenn Sie nicht verstehen, wie die Daten gespeichert und übertragen werden.

Im Allgemeinen werden die aus Formularen gesammelten Daten in benutzerdefinierten Tabellen in der Datenbank gespeichert und für verschiedene Zwecke verwendet. Stellen Sie daher sicher, dass keine andere Person Zugriff auf Ihr Hosting-Konto hat und Datenbanktabellen liest.

22 Spam verhindern

Obwohl Spamming kein Hacking ist, kann ein Hacker ein Spammer sein, um die Schwachstellen Ihrer Website durch Kommentare oder Formulareinsendungen zu überprüfen.

  • Stellen Sie sicher, dass Sie Spam-Präventions-Plugins wie Akismet verwenden, um Ihre Website vor Spammern zu schützen.
  • Bei Bedarf können Sie Captcha für Kommentar-, Login-, Registrierungs- und Kontaktformulare verwenden.
  • Blockieren Sie Kommentare, die nicht von Ihrer Domain stammen, um zu verhindern, dass Bots automatisch Kommentare von außerhalb Ihrer Website generieren.

23 Haben Sie regelmäßige Site-Backups

Aus Outlook werden Sicherheit und Backup zwei verschiedene Themen werden. Aber die Wahrheit ist, dass sie als zwei Schritte einer einzigen Aktivität miteinander verbunden sind. Wenn eine Website gehackt wird, müssen Sie zunächst ein gesichertes Backup erstellen, um den Inhalt wiederherzustellen.

  • Stellen Sie sicher, dass Sie regelmäßig ein Backup der Site-Dateien und der Datenbank erstellen.
  • Speichern Sie Ihr Backup außerhalb des Hosting-Servers.
  • Schützen Sie Ihr Backup vor unbefugtem Zugriff, ähnlich wie beim Schutz Ihrer Live-Site.
  • Testen und bestätigen Sie, dass die Sicherung funktioniert und im Notfall wiederhergestellt werden kann.
  • Erkundigen Sie sich bei Ihrem Host, ob der gesamte Site-Inhalt gesichert ist und er bei der Wiederherstellung im Notfall helfen kann.

Sichern Sie Ihre Site regelmäßig, damit sie in Notsituationen wiederhergestellt werden kann. Laden Sie das Backup auch auf Ihren lokalen Computer herunter und halten Sie es von Ihrem Hosting-Server fern. Das lokale Backup hilft Ihnen, Ihre Site wiederherzustellen, wenn Ihr Server infiziert ist.

Hinweis: Sie können eine lokale WordPress-Entwicklungsumgebung mit MAMP jeder anderen Software erstellen und Ihre Live-Site regelmäßig auf einem lokalen Computer sichern.

24 Auf Malware scannen

Malware oder bösartige Software ist ein Stück Code, das Hacker in Ihren regulären Code einfügen. Es kann für Sie schwierig sein, Malware auf einer Website zu finden, da es schwierig ist, den Schadcode zu unterscheiden. Scannen Sie Ihre Site regelmäßig mit kostenpflichtigen Sicherheitsdiensten auf Malware, um sicherzustellen, dass Ihre Site-Inhalte sicher sind. Die meisten Hosting-Unternehmen und Sicherheits-Plugins bieten eine Malware-Scan-Funktion und senden den Scan-Status an Ihre E-Mail.

Wenn Ihre Website mit bösartiger Software infiziert ist oder ein anderes WordPress-Sicherheitsproblem auftritt, bemerken Sie möglicherweise als erstes einen Rückgang des Datenverkehrs. Da Suchmaschinen-Bots wie der Googlebot sehr intelligent sind, können sie den bösartigen Code erkennen und Ihr Suchranking herabstufen, um die Benutzer zu schützen. Sie können die in der Google Search Console verfügbaren Sicherheitstools verwenden und sich vergewissern, dass das Surfen auf Ihrer Website sicher ist.

WordPress-Sicherheitsleitfaden – 28 Tipps zum Schutz Ihrer Website

Überprüfen Sie Sicherheitsprobleme in der Google Search Console

25 Überwachung von 404-Fehlern

Die automatisierten Bots versuchen, auf nicht vorhandene Seiten Ihrer Website zuzugreifen, was zu einem 404-Fehler führt. Die Überwachung des 404-Fehlers gibt Ihnen eine Vorstellung davon, wer versucht, auf die alten oder nicht vorhandenen URLs auf Ihrer Website zuzugreifen.

Wenn beispielsweise ein Bot oder Benutzer versucht, auf eine nicht vorhandene Seite zuzugreifen, sollte „…/payment/” blockiert werden. Dies weist darauf hin, dass der Bot oder Benutzer versucht, die potenziell versteckten Seiten auf Ihrer Website zu erraten, um sensible Daten zu erhalten.

Verwandte: WordPress SEO-Leitfaden zur Verbesserung des Suchrankings.

26 WP-config und .htaccess-Dateien schützen

„Wp-config.php” ist die Konfigurationsdatei mit wichtigen Informationen wie Datenbankname und Passwort Ihrer WordPress-Site. Auf die Datei kann über FTP oder über ein Hosting-Konto mit Optionen wie „Dateimanager” zugegriffen werden. Die meisten Sicherheits-Plugins fügen dieser Konfigurationsdatei Parameter hinzu, um das Verhalten zu steuern. Es wird dringend empfohlen, eine Sicherungskopie Ihrer Datei „wp-config.php” zu erstellen, bevor Sie Einstellungen an sicherheitsrelevanten Plugins vornehmen.

Ebenso ist die Datei „.htaccess”, die sich im Stammverzeichnis Ihrer Site befindet, die Schlüsseldatei, die für Sicherheitsmaßnahmen verwendet wird. Stellen Sie sicher, dass Sie eine Sicherungskopie erstellen, bevor Sie die Datei über Sicherheits-Plugins ändern.

27 Bereitstellung eines sicheren Zugriffs durch Dritte

Wenn Sie ein Theme oder Plugin von einer Drittanbieter-Website kaufen, kann es erforderlich sein, Administratorzugriff auf diese zur Fehlerbehebung bereitzustellen. Befolgen Sie beim Umgang mit Drittentwicklern die folgenden Richtlinien:

  • Überprüfen Sie alle Aspekte der Fehlerbehebung und bestätigen Sie, dass die Anmeldeinformationen für den Administratorzugriff freigegeben werden müssen.
  • Teilen Sie niemals Ihren eigenen Administratorzugriff auf Websites von Drittanbietern.
  • Erstellen Sie einen neuen Benutzernamen mit Administratorzugriff und geben Sie ihn an.
  • Wenn Sie FTP-Zugriff anbieten, stellen Sie sicher, dass Sie den Zugriff nur für den erforderlichen Ordner oder die erforderliche Domäne einschränken.
  • Achten Sie beim Löschen des FTP-Kontos darauf, nur das Konto und nicht die mit dem FTP-Konto verknüpften Daten zu löschen. Wenn Sie das FTP-Konto zusammen mit den zugehörigen Daten fälschlicherweise löschen, werden Ihre Inhalte innerhalb von Sekunden gelöscht.

28 WordPress-Sicherheits-Plugins verwenden

Die Implementierung aller oben besprochenen Sicherheitsmaßnahmen wird für Websitebesitzer eine entmutigende Aufgabe sein. Glücklicherweise gibt es viele kostenlose und Premium-WordPress-Sicherheits-Plugins, die diese Funktionen als Paket anbieten. Sie können entweder kostenlose Plugins wie All in One WP Security und Firewall oder teilweise kostenlose Plugins wie iThemes Security / Wordfence verwenden. Die meisten der oben genannten Punkte werden in diesem Sicherheits-Plugin als Paket angeboten und erleichtern Ihnen die Arbeit.

Im Folgenden sind einige der beliebtesten Sicherheits-Plugins aufgeführt, und wir empfehlen Ihnen dringend, das für Ihre Bedürfnisse geeignete zu testen, bevor Sie es auf der Live-Site installieren.

Sicherheitspaket-Plugins

Diese Plugins bieten die meisten Sicherheitsfunktionen als Bundle.

  • iThemes Security (ehemals Better WP Security)
  • Wordfence-Sicherheit
  • Kugelsichere Sicherheit
  • All in One WordPress Sicherheit und Firewall

Passwortschutz-Plugins

  • Starke Passwörter erzwingen
  • Ablauf des WordPress-Passworts

Brute-Force-Schutz

  • Login-Sicherheitslösung
  • Login-Sperre
  • wp-login.php umbenennen
  • Jetpack Protect-Modul.
  • WP-Administrator sperren
  • Notenschlüssel – Zwei-Faktor-Authentifizierung
  • Google-Authentifikator

HTTPS-Plug-in

  • WordPress-HTTPS (SSL)

E-Mail-Sicherheit

  • WP Mail-SMTP

Letzte Worte

Obwohl die Liste lang ist, ist es notwendig, alle diese WordPress-Sicherheitstipps zu befolgen, um Ihre Website zu schützen. Wie bereits erwähnt, können Sie die meisten dieser Funktionen mit jedem kostenlosen oder Premium-Plugin implementieren. Darüber hinaus empfehlen wir, die Sicherheit als Ihre Gewohnheit beizubehalten, regelmäßige Backups zu erstellen und Ihre Site mit zeitnahen Updates zu warten.

Aufnahmequelle: webnots.com
Hinterlasse eine Antwort

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Wir gehen davon aus, dass Sie damit einverstanden sind, Sie können sich jedoch abmelden, wenn Sie möchten. AnnehmenWeiterlesen