WordPress Sicherheit – Komplette Anleitung für felsenfeste Sicherheit [Kostenloses Plugin enthalten]

Da WordPress von einem Drittel aller Websites genutzt wird, gerät es immer wieder in das Visier von Hackern. In den letzten Jahren ist das Ausmaß der Angriffe auf WordPress alarmierend und fordert zum Handeln auf. Trotz der Angriffe ist WordPress-Sicherheit immer noch ein massiv missverstandenes und unterschätztes Konzept. Und, Web-Besitzer finden es bequemer, es zu übersehen.

Im Zuge dieser Exploits sehen sich jedoch viele Leute mit der Notwendigkeit konfrontiert, ihre WordPress-Sicherheitsstandards zu verbessern. Aber sie stehen oft vor der Frage, welche Sicherheitspraktiken legitim sind und welche nicht. Aber keine Sorge! Wir haben die Recherche für Sie erledigt. In diesem Artikel finden Sie eine vollständige Liste der wichtigsten & umsetzbaren WordPress-Sicherheitsmaßnahmen für Ihre Website. Außerdem ist diese Liste unabhängig von Ihren technischen Kenntnissen und kann von jedem leicht angewendet werden.

Gehen Sie auch die folgenden URLs durch, wenn Sie auf der Suche sind nach:

• Die ultimative Anleitung zum Entfernen von WordPress-Hacks
• Bestes WordPress Sicherheits-Plugin

WordPress-Sicherheit – Lassen Sie uns über Zahlen sprechen

WordPress wird von einer Gruppe von kompetenten Entwicklern gepflegt. Dennoch bleibt es das am häufigsten angegriffene CMS der Welt. Laut einer Studie sind mehr als 70 % der WordPress-Websites anfällig für Angriffe. Darüber hinaus haben die jüngsten Hacks auf WordPress-Plugins wie GDPR und WP Live Chat Tausende von Websites in Gefahr gebracht. Außerdem zeigen CVE-Details, dass die meisten dieser Angriffe mit Cross-Site-Scripting erfolgen.

Wie Sie in der Grafik sehen können, sind die meisten WordPress-Seiten von XSS betroffen, gefolgt von Code Execution. Außerdem enthüllt eine andere Untersuchung, dass 40 % aller Angriffe auf kleine und mittlere Websites abzielen. Wer also glaubt, dass nur große Websites gehackt werden, wird eines Besseren belehrt.

Außerdem sind die meisten dieser Angriffe eine direkte Folge von vernachlässigter WordPress-Sicherheit. Laut Kinsta hatten 55 % der gehackten Websites veraltete Versionen von Plugins, Themes oder CMS.

Nun, wir wissen bereits, dass die Folgen eines Hacks für ein Unternehmen katastrophal sein können. Es gibt eine ganze Reihe von Dingen, die schief gehen können. Zum Beispiel kann sich der Angreifer in Ihre vertraulichen & Kundendaten einmischen. Er kann Ihre Anmeldedaten stehlen, Ihre Website falsch konfigurieren und vieles mehr. Und wenn sie Ihre Finanz-/Zahlungsdaten in die Hände bekommen, können Sie auch bankrott sein. Andere versteckte Folgen eines Hacks können sein: Misstrauen gegenüber Ihrer Marke, Verlust von Autorität, Domainwert usw. Darüber hinaus kann ein Hack auch zu einer Verschlechterung des Suchrankings Ihrer Website führen.

Zugehöriger Leitfaden – WordPress-Sicherheitsprobleme 2019

Wie Sie die Sicherheit von WordPress erhöhen

Der Aufbau einer würdigen Website erfordert Zeit, Mühe und Energie. Aber all diese Bemühungen werden zu einem Fiasko, wenn man sich nicht um die Sicherheit kümmert. Sicherlich kann die Nichtbeachtung der WordPress-Sicherheit dauerhafte Nachwirkungen haben.

Dabei ist es viel einfacher, Ihre Website zu schützen, als Sie dachten. Wenn Sie also diese Liste von WordPress-Sicherheitsmaßnahmen für Ihre Website gewissenhaft befolgt haben, garantiere ich Ihnen, dass die Risiken auf ein absolutes Minimum reduziert werden.

1. Sichern Sie regelmäßig Ihre WordPress-Website

Seien wir ehrlich – niemand ist im Internet hacksicher. Das erste, was Sie also für Ihre WordPress-Website tun sollten, ist ein ordentliches Risikomanagement. Das heißt, planen Sie im Voraus für ein Szenario wie einen Hack. Und mit guten Backups im Hinterkopf können Sie die gehackte Version getrost löschen und Ihre Website sofort wieder in den Normalzustand zurückversetzen. Es ist klar, dass im Falle eines plötzlichen Hacks Backups Sie vor einem kompletten Debakel bewahren können.

Das Motiv des Backups ist es, Ihre Website im Falle eines Hacks wieder in den bestmöglichen Zustand zu versetzen. Außerdem sollten Backups oft und regelmäßig erstellt werden. Die Häufigkeit kann von täglich über wöchentlich bis monatlich variieren, je nachdem, wie oft Sie den Inhalt der Website aktualisieren.

Stellen Sie außerdem sicher, dass Sie mehrere Sicherungskopien erstellen (mit korrekter Angabe von Datum und Uhrzeit). Da ein Hack tagelang verborgen bleiben kann, benötigen Sie in diesem Fall möglicherweise ein Backup, das weit zurückliegt.

Um die Funktionalität Ihrer Backups zu erhöhen, sollten Sie daher die folgenden Dateien und Ordner in Ihr Backup aufnehmen:

1. Die WordPress-Dateien

• Die Kerninstallation
• WP-Plugins
• WordPress-Themen
• Bilder und Dateien
• JavaScript- und PHP-Skripte und andere Code-Dateien
• Zusätzliche Dateien und statische Webseiten

2. Die WordPress-Datenbank

Die WordPress-Datenbank speichert wichtige Informationen wie Details über Beiträge, Seiten, Kommentare, Tags, Benutzer, Kategorien, benutzerdefinierte Felder usw. Daher ist es äußerst wichtig, diese in das Backup aufzunehmen.

Die Überprüfung der Funktionsfähigkeit des Backups ist Teil des Prozesses. Testen Sie am Ende unbedingt, ob das Backup sein Motiv erfüllt und eine schnelle und vollständige Wiederherstellung Ihrer funktionierenden Website ermöglicht.

Hinweis – Pflegen Sie Ihre Sicherung mit einem Datums- und Zeitstempel.

(a) Sicherung der WordPress-Datenbank

Für die Sicherung der WordPress-Datenbank verwenden Sie die MySQL-Kommandozeile. Ansonsten können auch administrative Oberflächen wie phpMyAdmin verwendet werden.

(b) Manuelle Sicherung von WordPress durchführen

Führen Sie die folgenden Schritte aus, um eine manuelle Sicherung durchzuführen –

• Komprimieren Sie Ihre Website-Dateien
• Laden Sie sie auf Ihr lokales Gerät herunter
• Speichern Sie sie aus der Ferne
• Erstellen Sie einen Backup-Manager mit Dateinamen, Backup-Datum und -Uhrzeit als Parameter

Die manuelle Datensicherung kann sich als mühsame und zeitraubende Aufgabe erweisen. Sie müssen den Download jeder einzelnen Datei sorgfältig überwachen. Außerdem ist die Verwaltung der Backups wieder eine Menge Arbeit.

Die einzige kostenlose Alternative, die vollständige Backup-Funktionen bietet und aus der Liste heraussticht, ist BackWPup. Sie können dies alles überspringen und stattdessen ein WordPress-Plugin verwenden. Plugins wie Updraftplus, Backupbuddy, etc. automatisieren den gesamten Prozess der Datensicherung und sind super einfach zu bedienen.

(c) WordPress-Backup über cPanel

Eine andere Möglichkeit ist die Sicherung über Cpanel. Hier sehen Sie, wie Sie dies tun können:

1. Melden Sie sich in Ihrem cPanel Control Panel an.
2. Klicken Sie auf das Symbol “Backup”.
3. Wählen Sie “Generate / Download a Full Backup”.
4. Wählen Sie unter “Backup Destination” das “Home Directory” und geben Sie Ihre E-Mail-Adresse ein, bevor Sie auf die Schaltfläche “Generate Backup” klicken.
5. Sie erhalten eine E-Mail, wenn das Backup fertig ist.

(d) Cloud-Backup von Ihrem WordPress

Das Sichern in der Cloud ist die bequemste Art, eine WordPress-Website zu sichern. Verschiedene Cloud-Dienste wie Amazon S3, Dropbox, Stash, etc. vereinfachen den Backup-Vorgang.

2. Erhöhen Sie die Sicherheit durch Aktualisieren von CMS, Plugin & Themes auf die neuesten Versionen

Nachdem Sie einen Backup-Plan erstellt haben, ist der einfachste Weg, Ihre Website zu sichern, ein Update. Jedes Update, egal ob für das Kern-CMS, Plugins oder Themes, bringt Patches für Sicherheitslücken und Sicherheitsänderungen mit sich und sorgt so für mehr Sicherheit. Wenn Sie sich mit diesen Updates beeilen, können Sie das Risiko unglaublich reduzieren. Sogar die Top-Sicherheitsexperten glauben, dass die meisten Risiken beseitigt werden, wenn Sie Ihre Website auf dem neuesten Stand halten. Die aktuellste WordPress-Version ist v5.7 Beta 1 (Stand: February 2021).

Aber ein großes Update kann manchmal einige Funktionen einer Website zerstören. Daher ist es eine gute Praxis, vorher ein Backup zu erstellen. Danach sollten Sie Ihre Website in den Wartungsmodus versetzen, bevor Sie ein größeres Update einleiten.

Außerdem verfügt der WordPress-Kern über drei verschiedene Arten von Updates:

• Kernentwicklungsupdates, bekannt als “WordPress 5.7”
• Minor-Core-Updates, wie z.B. Wartungs- und Sicherheitsreleases
• Haupt-Updates für die Kernversion

Die Minor-Releases werden von WordPress automatisch im Backend aktualisiert. Sie müssen sich also nur noch um die großen Kernversionen kümmern. Aktualisieren Sie auch die Themes und Plugins.

Pro Tipp – Sie können unser WP Hardening Plugin verwenden, um mehr als 12 Probleme zu beheben (Stop User Enumeration, Disable XMLRPC, Hide Version No. & viele mehr)

Auch hier gibt es zwei Möglichkeiten, Core, Themes und Plugins zu aktualisieren – manuell und automatisiert. Beide Methoden werden im Folgenden erklärt –

(a) Manuell

Core Update – Das Aktualisieren einer WordPress-Website ist ziemlich einfach. Da WordPress automatisch alle kleineren Patches installiert, müssen Sie nur die Hauptversions-Updates einspielen. Um dies zu tun,

1. Melden Sie sich in Ihrem wp-admin an
2. Gehen Sie in den Bereich Updates.
3. Sehen Sie nach, ob Updates verfügbar sind. Wenn es welche gibt, aktualisieren Sie alle.

Themes und Plugins aktualisieren – Um die Themes und Plugins zu aktualisieren, gehen Sie wie folgt vor,

1. Melden Sie sich in Ihrem wp-admin an
2. Gehen Sie in den Bereich Updates.
3. Sehen Sie nach, ob Updates verfügbar sind. Wenn es welche gibt, aktualisieren Sie alle.

(b) Automatisiert

Core Update – Wie bereits besprochen, automatisiert WordPress standardmäßig die kleineren Sicherheitspatches. Sie können diese Änderungen jedoch außer Kraft setzen, indem Sie die Datei wp-config.php bearbeiten, indem Sie die folgende Anweisung hinzufügen oder ändern –

define( 'WP_AUTO_UPDATE_CORE', true )

Für die wichtigsten Updates überprüfen Sie den Bereich “Updates” in Ihrem WordPress-Backend und initiieren Sie Updates, falls verfügbar.

Themes und Plugins aktualisieren – Die Themes und Plugins können mithilfe von Filtern automatisch aktualisiert werden. Der beste Ort, um einen Filter zu setzen, ist in einem “Must-Use”-Plugin. WordPress empfiehlt außerdem nicht, Filter in der Datei wp-config.php zu platzieren. Dies liegt daran, dass das Einfügen von Filtern in die wp-config.php zu Konflikten mit anderen Teilen des Codes führen kann.

Um automatische Updates für Themes und Plugins zu aktivieren, fügen Sie den folgenden Code ein:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

3. Aktualisieren Sie Ihr PHP, auf die neueste Version

Apropos Updates, es gibt noch ein weiteres Update, um das Sie sich kümmern müssen – die PHP-Version. PHP ist die Kernprogrammiersprache von WordPress. Sicherlich wird die Aktualisierung auf die neueste stabile Version die Sicherheit von WordPress erhöhen.

Hinweis: PHP Version 7.0 und älter haben keine Sicherheitsunterstützung und sind anfällig für bekannte und ungepatchte Sicherheitslücken. Daher müssen Sie auf die neueste PHP-Version, d. h. 8, aktualisieren.

Hier erfahren Sie, wie Sie Ihr PHP aktualisieren können:

1. Melden Sie sich in Ihrem cPanel an
2. Navigieren Sie zum Bereich Software. Klicken Sie auf PHP-Konfiguration
3. Wählen Sie anschließend die neueste stabile Version von PHP aus und klicken Sie auf Update.
4. Überprüfen Sie die Änderungen in phpmyinfo

4. Entfernen Sie nicht mehr benötigte Plugins/Themes

Wenn Sie ein Plugin die längste Zeit nicht verwendet haben, müssen Sie es loswerden, um Ihr WordPress zu sichern. Denn auch wenn das Plugin nicht mehr verwendet wird oder deaktiviert ist, sind die Dateien noch vorhanden. Außerdem könnten diese Dateien Sicherheitslücken enthalten, die Sie nicht kennen. Vor allem aber könnten Angreifer diese Sicherheitslücken leicht ausnutzen. Löschen Sie daher die nicht mehr genutzten Plugins & Themes.

Hier ist, wie Sie das tun können:

1. Melden Sie sich in Ihrem WordPress-Dashboard an
2. Gehen Sie in den Bereich Plugins
3. Identifizieren Sie die inaktiven Plugins, und löschen Sie sie.

5. Installieren Sie ein WordPress-Firewall-Plugin

Muss ich noch sagen, dass es menschlich unmöglich ist, Ihre Website ununterbrochen zu überwachen? Die beste Lösung ist hier also eine Web Application Firewall. Eine Firewall ist ein kontinuierliches Überwachungssystem für Ihre Website. Am wichtigsten ist, dass sie bösartigen Datenverkehr erkennt und blockiert, damit er nicht auf Ihre Website gelangt.

Obwohl es zahlreiche Firewalls zur Auswahl gibt, sollten Sie sich nur für die hackergeprüften entscheiden. Die Firewall von Astra ist eine grundsolide Lösung. Sie schützt Sie in Echtzeit vor Cyberangriffen. Außerdem funktioniert sie auf Ihrem eigenen Server und erfordert keine DNS-Änderung.

Related Blog – Wie Firewall Ihnen helfen kann, Ihre WordPress-Website zu sichern

Hier sind die besonderen Merkmale der Astra-Firewall:

• Filterung von gutem von schlechtem Datenverkehr und Blockierung von unerwünschtem Webverkehr.
• Blockieren kommender Bedrohungen wie SQLi, Brute-Force-Angriffe, CSRF, DDoS-Angriffe, LFI, RFI, Cross-Site-Scripting, schlechte Bots, Spam und andere Zero-Day-Exploits.
• Die Astra-Firewall ist nicht nur intuitiv bedienbar, sie ist auch eine intelligente Firewall, die Angriffsmuster erkennt und sich für den nächsten Angriff konfiguriert.
• Die Astra-Firewall ist auch eine großartige Möglichkeit, IP-Adressen zu blockieren/auf eine Whitelist zu setzen.
• Darüber hinaus verbessert die WAF von Astra auch die Geschwindigkeit und Leistung einer Website.

Geschwindigkeit und Sicherheit sind zwei wünschenswerte Aspekte der Website-Sicherheit und eine Firewall verbessert beides. Außerdem ist eine Firewall in diesem wachsenden Zeitalter der Online-Bedrohungen und -Angriffe ein Muss.

6. Hosten Sie Ihre WordPress-Website auf einem sicheren Server

Der Hosting-Server spielt eine wichtige Rolle für die Sicherheit Ihrer WordPress-Website. Die kluge Wahl eines Hosts kann einen entscheidenden Einfluss auf die Sicherheit von WordPress haben. Bei der Auswahl eines Servers müssen Sie Folgendes beachten:

• Behörde
• Rezensionen und Bewertungen
• Unterstützung
• Anpassungen
• Ladezeit

7. Anpassen der Anmeldeseite zur Erhöhung der Sicherheit gegen Brute-Force-Angriffe

Der Schutz Ihrer Login- und Admin-Seiten ist eine weitere Möglichkeit, Ihr WordPress zu sichern. Angreifer können durch Brute-Force-Angriffe in Ihre Website einbrechen, wenn diese ungesichert ist. Nun, Brute-Force-Angriffe verwenden die Hit-and-Trial-Methode, um die Kombination aus Benutzername und Passwort Ihrer Website mit einer verdammt hohen Geschwindigkeit zu erraten.

Legen Sie starke und eindeutige Benutzernamen und Passwörter für jede dieser Seiten fest. Vermeiden Sie es, einen offensichtlichen Benutzernamen wie “admin”, den Namen Ihrer Website, Ihren eigenen Namen oder ein richtiges Wort, das im Wörterbuch gefunden werden könnte, zu verwenden. Dasselbe gilt für die Passwörter. Verwenden Sie nicht “Passwort”, Ihren eigenen Namen, den Namen Ihrer Website usw. als Passwort.

Verwandte Anleitungen – Wie man die Admin-URL in WordPress ändert

8. Anmeldeversuche begrenzen

Eine weitere Möglichkeit, Ihren WordPress-Administrationsbereich vor Brute-Force zu schützen, ist die Begrenzung der Anzahl der Anmeldeversuche in diesem Bereich. Plugins wie Limit login attempts & Loginizer können dabei hilfreich sein.

9. Richtige Benutzerrollen einstellen

Nicht alle Benutzer müssen alle Berechtigungen in Ihrem WordPress haben. Sie können die erforderlichen Rollen für jeden Benutzer je nach seinen Aufgaben auf der Website verteilen. Mit diesen Rollen können Sie besser steuern und überwachen, wer was auf Ihrer Website tut. Standardmäßig sind in WordPress sechs Rollen definiert, und zwar in absteigender Reihenfolge ihrer Befugnisse – Superadministrator, Administrator, Editor, Autor, Mitwirkender und Abonnent.

Sie können den vordefinierten Satz von Benutzerrollen verwenden oder benutzerdefinierte Rollen nach Ihren Bedürfnissen erstellen. Die vordefinierten können über das Dashboard selbst zugewiesen werden, während für benutzerdefinierte Rollen ein Plugin benötigt wird. Das Plugin “User Roles Editor” ist dafür am besten geeignet.

Hier sehen Sie, wie Sie mit diesem Plugin benutzerdefinierte Benutzerrollen definieren können:

1. Installieren Sie ein Plugin “User Role Editor”.
2. Gehen Sie zu “Users”>Other rolesStep
3. Definieren/Hinzufügen von benutzerdefinierten Rollen für einen bestimmten Benutzer.

10. Schutz der wp-config-Datei

wp-config.php enthält die Konfigurationsdetails Ihrer WordPress-Website. Jede unsinnige Kompromittierung in dieser Datei kann Ihre Website komplett zerstören. Daher sollte die wp-config-Datei mit besonderer Sorgfalt behandelt werden und muss mit äußerster Dringlichkeit gesichert werden. Darüber hinaus speichert sie auch sensible Informationen über WordPress-Datenbank-Anmeldeinformationen.

Einige Möglichkeiten zur Sicherung der wp-config-Datei sind:

• Verschieben außerhalb des “root”-Ordners
• Sperren des internen Zugriffs und der Code-Änderungen an Ihrer wp-config.php
• Ändern der Standarddatei wp-config.php
• Setzen von 400 Berechtigungen in der wp-config.php Datei. Dies bedeutet, dass der Benutzer und die Gruppen nur Leserechte haben und andere überhaupt keinen Zugriff haben.

11. Zugriff auf wp-admin einschränken

Der wp-admin ist der Administratorbereich Ihrer Website. Man kann sagen, dass er der Controller Ihrer Website ist. Hacker versuchen ständig, ihn mit Brute-Force zu knacken, um die gesamte Website zu kapern. Daher ist es wichtig, den wp-admin-Bereich zu sichern, um die Sicherheit Ihres WordPress zu erhöhen. Sie können Ihren wp-admin-Bereich wie folgt absichern:

Eine Möglichkeit zur Absicherung ist es, den Zugriff zu beschränken und nur ausgewählten IP-Adressen den Zugriff auf Ihre Admin-Seite zu erlauben. Auf diese Weise wird jede unbekannte IP automatisch blockiert. Erstellen Sie in Ihrem wp-admin-Ordner eine .htaccess-Datei und fügen Sie dort den folgenden Code ein:

Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx

Ändern Sie die xx.xx.xx.xx so, dass sie Ihre IP-Adresse enthält, und wiederholen Sie bei mehreren IP-Whitelists das “Allow from” in der nächsten Zeile und so weiter.

Normalerweise befindet sich auf Ihrer WordPress-Anmeldeseite ein Link “Registrieren”. Deaktivieren Sie dieses Registrierungsformular, um den Zugriff auf wp-admin zu erschweren.

12. WordPress-Sicherheitsschlüssel aktualisieren

Geheime Sicherheitsschlüssel gewährleisten die Sicherheit von Cookies in Ihrer WordPress-Website. Sie müssen Sicherheitsschlüssel einrichten, um den Diebstahl von Cookies und die Imitation von Benutzern zu verhindern. Nachdem Sie die geheimen Sicherheitsschlüssel eingerichtet haben, werden alle aktuellen Sitzungen annulliert und der Benutzer muss sich erneut authentifizieren. Vor allem muss der Administrator die Sicherheitsschlüssel ändern, wenn sie kompromittiert wurden oder auch nur der Verdacht einer Kompromittierung besteht.

Sie können geheime Schlüssel sowohl manuell als auch mit Hilfe eines Online-Schlüsselgenerators erzeugen. WordPress hat auch seinen offiziellen Generator für geheime Schlüssel. Generieren Sie Schlüssel von hier und fügen Sie diese Schlüssel in die wp-config-Datei ein und Sie sind startklar.

13. Erstellen eines eindeutigen Datenbank-Präfixes

Die WordPress-Datenbank ist der Bereich, in dem wichtige Informationen/Daten über die Website und die Benutzer gespeichert sind. Das macht sie ganz offensichtlich zu einem begehrten Ziel. Standardmäßig enthält die wpdb 11 Tabellen, darunter Tabellen für – Benutzerdaten, Website-URLs, Beiträge, Seiten, Kommentare usw.

Außerdem haben alle diese Tabellen das allgemein bekannte Standardpräfix wp_ vor sich. Die Namen dieser Tabellen sind ebenfalls allgemein bekannt. Bei unsachgemäßer Validierung und Bereinigungsregeln für das Einfügen von Abfragen kann ein Hacker SQL-Befehle ausführen, um Daten aus einer bekannten Datenbanktabelle zu holen.

Um die Datenbank zu sichern, müssen Sie das Datenbankpräfix in etwas anderes ändern. Außerdem ist das Ändern des Datenbankpräfixes zum Zeitpunkt der Installation der ideale Weg. Wenn Sie es dann jedoch nicht geändert haben, können Sie es auch per SQL-Befehl oder mit Hilfe eines Plugins ändern. Diese beiden Methoden sind im Folgenden dargestellt:

(a) Manuell

Wie bereits erwähnt, kann das Datenbankpräfix mit Hilfe eines SQL-Befehls geändert werden. Durch Ausführen einer Reihe von Befehlen. Für eine detaillierte Anleitung und Vorgehensweise folgen Sie diesem Link.

(b) Automatisiert

Es gibt mehrere Plugins für WordPress, die dabei helfen, den gesamten Prozess der Präfixänderung zu automatisieren. Ein solches kostenloses Plugin ist das Plugin “Change Table Prefix”.

14. Zusätzliche Authentifizierungsfaktoren für WordPress-Admin-Sicherheit

Um Ihre Website noch mehr abzusichern, ist die Zwei-Faktor-Authentifizierung ein cleveres Tool. Dieses Tool stellt die wahre Identität eines Benutzers auf Ihrer Website sicher, indem es mehr als ein Passwort zur Anmeldung verlangt. Auf diese Weise verhindert es, dass ein gefälschter, nicht authentifizierter Benutzer darauf zugreifen kann, selbst wenn er zufällig Ihr Passwort erraten hat. Das Zwei-Faktor-Authentifizierungs-Plugin ist eine großartige Möglichkeit, diese Sicherheit auf Ihrer Website anzuwenden.

15. Plugin für automatische Abmeldung einrichten

Nicht alle Benutzer Ihrer WordPress-Website sind vorsichtig und wachsam genug, um sich nach jeder beendeten Sitzung abzumelden. Das Stehlen von Cookies und das Session-Hijacking stellen ebenfalls wichtige Angriffsvektoren auf WordPress dar. Sie müssen ein automatisches Logout einrichten, damit alle untätigen Kunden von der Website abgemeldet werden.

16. Verstärken Sie Ihre Passwörter, um die Sicherheit von WordPress zu erhöhen

Es mag eine zu offensichtliche Sicherheitsmaßnahme sein, aber auch das vernachlässigen viele. Entscheiden Sie sich immer für eindeutige und starke Passwörter für Ihre WordPress-Konten. Verzichten Sie außerdem darauf, das Wort “password”, “admin” und richtige Wörter aus dem Wörterbuch als Passwörter zu verwenden. Achten Sie darauf, dass Ihr Passwort aus einer Kombination von Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen besteht.

17. SSL-Datenverschlüsselung

Ein SSL-Zertifikat (Secure Socket Layer) für die Domain Ihrer Website erhöht deren Autorität und Sicherheit. Es verschlüsselt die Datenübertragung zwischen dem Benutzer und dem Server. Seitdem das Google-Ranking von HTTPS beeinflusst wird, sind viele Autorisierungsfirmen aus dem Boden geschossen. Allerdings werden nicht alle von ihnen von Google als autorisiert angesehen. Daher müssen Sie das SSL-Zertifikat von einer verifizierten und vertrauenswürdigen Quelle beziehen.

Wenn Sie nicht alle Ihre Webseiten auf HTTPS umleiten, kann dies ebenfalls negative Auswirkungen auf Ihre Website haben. Das Vorhandensein von sowohl HTTP- als auch HTTPS-Seiten auf einer Website wird als MIxed Content bezeichnet. Nun kennzeichnet Google regelmäßig Websites für gemischten Inhalt. Stellen Sie also sicher, dass Sie alle Ihre Seiten auf HTTPS umleiten.

18. Kommentare kontrollieren

WordPress ist berüchtigt für allgegenwärtige spammige Kommentare. Daher müssen Sie Kommentare sorgfältig überprüfen, bevor Sie sie auf Ihrer Website zulassen. Außerdem können Sie sie entweder ganz deaktivieren oder verschiedene Bedingungen hinzufügen, um Spam zu blockieren. Dies erfordert manuellen Aufwand. Sie können auch ein Plugin wie Askimet verwenden, um diese Aufgabe zu erledigen.

19. Strenge Datei- und Ordnerberechtigungen in WordPress festlegen

Sie können einen weiteren WordPress-Sicherheitsmeilenstein erreichen, indem Sie striktere Datei- und Ordnerberechtigungen festlegen. Die empfohlenen Datei-/Ordnerberechtigungen für verschiedene Dateien/Ordner sind:

• Für wp-config.php = 400
• Für den Ordner uploads = 755
• Für .htaccess-Dateien = 400
• Für wp=content = 755
• Für wp-includes = 755
• Für index.php = 444

20. Verstecken Sie die WordPress-Versionsnummer, um WordPress vor bekannten Sicherheitslücken zu schützen.

Bekannte Sicherheitslücken in verschiedenen WordPress-Versionen sind im Internet leicht verfügbar. Diese Datenbanken dienen als Fundgrube für Hacker. Sie verwenden Bots/Botnets, um Jagd auf WordPress-Websites mit diesen veralteten Versionen zu machen. Sobald ein Bot Ihre Website erreicht, sucht er als erstes nach der Versionsnummer und der darin aufgeführten Sicherheitslücke. Wenn er eine solche Website findet, nutzt er die Sicherheitslücke aus.

Sie können Ihre Website vor diesen Angriffen schützen, indem Sie Ihre WordPress-Versionsnummer einfach verstecken.

Manuell

Verstecken Sie die WordPress-Versionsnummer aus dem Generator-Meta-Tag,

• Navigieren Sie zu Ihrem Stammverzeichnis
• Gehen Sie in das /wp-content/themes/ directory
• Fügen Sie in der Datei functions.php die folgende Codezeile ein:

remove_action('wp_head', 'wp_generator');

Blenden Sie die WordPress-Versionsnummer aus den Standard-RSS-Feeds wie folgt aus:

• Navigieren Sie zu Ihrem Stammverzeichnis
• Gehen Sie in das /wp-content/themes/ directory
• Fügen Sie in der Datei functions.php die folgenden Codezeilen am Ende ein

Automatisiert

Es gibt Plugins, die die WordPress-Versionsnummer ausblenden, wir empfehlen das Plugin “Meta Generator and Version Info Remover“.

21. Deaktivieren Sie die PHP-Ausführung, wenn sie nicht benötigt wird

Während WordPress automatisch die Ausführung von PHP-Dateien für alle Verzeichnisse der Website durchführt, sollten Sie diese für Verzeichnisse wie /wp-content/uploads/ deaktivieren. Dies können Sie über einen FTP-Zugang tun. So geht’s:

• Zugriff auf Ihre Website mit FTP
• Navigieren Sie zum Verzeichnis /wp-content/uploads/
• Fügen Sie den folgenden Code ein und speichern Sie das Dokument unter dem Format .htaccess:

<Files *.php>
deny from all
</Files>

22. Verbessern Sie den Hardwareschutz

Es ist nur logisch, die Hardware zu schützen, mit der Sie auf Ihre Website zugreifen. Ein ungesicherter PC mit Sicherheitslücken dient als Einfallstor für Hacker auf Ihre Website. Stellen Sie sicher, dass Ihr Gerät durch eine Firewall und installierte Antiviren-Software gut geschützt ist. Dies wird nicht nur WordPress-Angriffe blockieren, sondern auch alle kommenden Online-Sicherheitsbedrohungen.

Wie im Fall einer Website sind nicht mehr funktionierende Plugins ein Problem, ebenso sind veraltete und nicht mehr funktionierende Anwendungen eine Einladung für Bedrohungen. Entfernen Sie daher alle unnötigen/überflüssigen Anwendungen von Ihrem Gerät.

Die meisten Anwendungen fragen nach der Installation nach verschiedenen Berechtigungen. Als Faustregel gilt: Versuchen Sie, ihnen die geringsten Berechtigungen zu geben.

23. Skript-Injektionen deaktivieren

Deaktivieren Sie Skriptinjektionen, um zu verhindern, dass Hacker bösartigen Code in bestehende PHP-Dokumente einschleusen. Sie können die Skriptinjektionen deaktivieren, indem Sie den folgenden Code hinzufügen:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

24. Plugins aus seriösen Quellen herunterladen

Nicht alle Plugins haben engagierte Entwickler hinter sich. Viele Plugins für WordPress werden nicht einmal besonders oft gewartet. Bevor Sie sich also für ein beliebiges Plugin eines Drittanbieters entscheiden, sollten Sie die folgenden Punkte beachten:

• Rezensionen und Bewertungen
• Letztes Update und die Häufigkeit der Updates
• Unterstützung

25. Scannen Sie WordPress regelmäßig auf Malware und Backdoors

Die Überwachung Ihrer Website ist ebenso wichtig wie deren Sicherung. Ein proaktiver Malware-Scanner, der Ihre Website regelmäßig scannt, ist für die Sicherheit von WordPress entscheidend. Indem Sie Ihre Website von Zeit zu Zeit auf Viren und Malware scannen, können Sie sich über das Wohlergehen Ihrer Website auf dem Laufenden halten.

Der auf maschinellem Lernen basierende Malware-Scanner von Astra ist hierfür perfekt geeignet. Andere Scanner umfassen:

Indem Sie die Website scannen, können Sie das Risiko von Sicherheitsverletzungen erkennen, anstatt sich mit tatsächlichen Angriffen auseinandersetzen zu müssen, wenn sie passieren.

26. WordPress-Sicherheitsaudit

Sie haben alle Sicherheitsmaßnahmen auf Ihrer Website angewendet, aber auch dann braucht sie regelmäßige Wartung. Ein Premium-Sicherheitsaudit kann Ihnen hier sehr helfen. Von Zeit zu Zeit muss Ihre Website auf neue Schwachstellen und Sicherheitslücken überprüft werden.

Astra’s Vulnerability Assessment und Penetration Testing Programm lässt Ingenieure Ihre Website auf mögliche Schwachstellen untersuchen. Bei einem solchen Sicherheitsaudit werden Ihr Quellcode, Ihre Plugins und Themes gründlich überprüft. Dabei werden auch Schlupflöcher und Hintertüren in Ihrer Website aufgedeckt.

Verwandte Anleitungen – WordPress-Sicherheitsaudit und Pentesting

Fazit

Die hier in diesem Leitfaden aufgeführten WordPress-Sicherheitsmaßnahmen sind Sicherheits-Gospels. Sie müssen diese beharrlich auf Ihrer WordPress-Website anwenden und pflegen, um die Sicherheit zu erhöhen. Diese WordPress-Sicherheitstipps werden sicherstellen, dass Ihre Website vor Online-Bedrohungen geschützt bleibt.

Fanden Sie diesen Artikel hilfreich? Teilen Sie ihn mit Ihren Freunden!

Share this...

Facebook

Pinterest

Twitter

Linkedin