Wordpress Sicherheit Tips

8 WordPress Tips für bessere WordPress Sicherheit

Die Sicherheit für eure WordPress Seite ist wichtig, also hier sind schon mal 8 WordPress Empfehlungen für bessere WordPress Sicherheit. Mit 30% aller Websites weltweit (und dem Wachstum!) Und einem Marktanteil von fast 60% aller Open-Source-Content-Management-Systeme steht die Beliebtheit von WordPress außer Frage.

Aber wenn es um Popularität im Internet geht, gibt es oft Konsequenzen. Aufgrund seiner weiten Verbreitung ist WordPress ein beliebtes Ziel für Hacker und Angreifer.

Wusstest du:

  • Pro Minute gibt es ungefähr 91.000 Angriffe auf WordPress.
  • Bei der schlimmsten WordPress-Sicherheitsverletzung wurden über 18 Millionen Benutzer gefährdet.
  • 73% der 40.000 beliebtesten Websites, die WordPress verwenden, sind anfällig für Angriffe.

Viele dieser Hacker verwenden Bots, um die Erkennung von Schwachstellen auf Ihrer Website zu automatisieren. Vor diesem Hintergrund ist ein Angriff nicht unbedingt persönlich, weshalb auch die kleinsten Websites unter dem Radar gehackt werden. Sobald ihre Bots einen brauchbaren Einstiegspunkt finden, springen Hacker ein und profitieren davon.

Bevor wir die umfassende WordPress Sicherheitsprüfliste durchgehen, habe ich sie zusammengestellt, um Ihnen dabei zu helfen, ihre Website vor den schlimmsten Möglichkeiten zu schützen.

Lassen Sie uns einen Blick auf einige der häufigsten WordPress Sicherheitsprobleme werfen.

Was können Hacker für Ihre WordPress-Website tun?

Laut dem Cybersecurity Report 2017 von ISACA haben 53% der Unternehmen in diesem Jahr mehr Angriffe erlebt als im Vorjahr. Dies wird durch Untersuchungen von Symantec unterstützt, die feststellten, dass Ransomware-Angriffe 2017 um 37% zunahmen.

Hier sind einige der häufigsten Gründe (und die daraus resultierenden Auswirkungen) für Hacker-Aktivitäten auf einer Website:

Server-Bandbreite Klauen –  Hacker können dies durch Hotlinking tun, eine Methode, mit der Benutzer Dateien (Bilder, Videos usw.) direkt verknüpfen, sodass sie auf ihrer Website angezeigt werden, obwohl sie auf Ihrer Website gehostet werden. Auf diese Weise nutzen Sie Ihre Bandbreite, um die auf Ihrer Website gehosteten Dateien anzuzeigen. Bei einigen Webhostern wird eine Gebühr in Abhängigkeit von der genutzten Bandbreite erhoben. Wenn Sie Ihre monatlich zugeteilte Bandbreite überschreiten, wird Ihre Website zusätzlich in Rechnung gestellt oder offline genommen.

Informationen Klauen – Hacker können alles von den persönlichen Daten des Benutzers bis zu den Geschäftsgeheimnissen eines Unternehmens stehlen und sie entweder für ihre eigenen Zwecke verwenden oder für Lösegeld halten.

Hier sind einige der häufigsten Gründe (und die daraus resultierenden Auswirkungen) für Hacker-Aktivitäten auf einer Website:

Vandalisierung der Website. Hacker machen dies, um sich einen Namen zu machen und gleichzeitig Ihre Marke zu verletzen.

Überladen Sie Webserver. Dies wird auch als DDoS-Angriffe (Distributed Denial of Service) bezeichnet. Dies geschieht, wenn Hacker die Bandbreite oder Ressourcen Ihres Standorts mit vielen Zugriffen über einen (oder mehrere) Server überlasten. Es kann auch als ein Akt des Vandalismus betrachtet werden.

Viren verbreiten Wussten Sie, dass Hacker Ihre WordPress-Site zur Verbreitung von Viren und Malware verwenden können? Sie können dies tun, indem Sie bösartigen Code in das Backend einfügen oder Dateien im Frontend der Website zum Herunterladen hochladen. Beispielsweise nutzten Hacker erst letztes Jahr das BlogVault-Plugin, um Benutzer mit Malware zu infizieren. Die vier häufigsten Infektionen mit WordPress-Malware sind Backdoors, Drive-by-Downloads, Pharma-Hacks und bösartige Weiterleitungen.

Injizieren schädliche Inhalte. Nicht alles Hacken geschieht durch die Hintertür Ihrer Website. Manchmal konzentrieren sich Hacker darauf, Links zu schädlichen Websites zu veröffentlichen, in der Hoffnung, dass die Besucher Ihrer Website darauf klicken. Es gibt verschiedene Möglichkeiten, dies zu tun, z. B. Kommentar-Spam, Spam-Beiträge und Hacken in Ihre E-Mails und Senden von Spam-Nachrichten an Ihre Follower.

Hacker Hosten Seiten von Ihrem Server. Hacker können einen Angriff gegen Sie erstellen, der entweder legitime oder Phishing-Seiten von Ihrem Server umfasst. Letzteres wird zum Sammeln von Informationen von Website-Besuchern verwendet. Dies kann durch Einfügen eines Kontaktformulars erfolgen, das direkt sensible Informationen erfasst. Alternativ können Hacker Besucher auf eine andere Website umleiten, auf der sie die Informationen sammeln können. Google listet täglich 50.000 Websites für Phishing auf.

WordPress Sicherheit Checkliste

Schutz vor WordPress-Sicherheitsfragen – Zu den schwächsten Punkten einer Website gehören Kennwörter, Eingabefelder (wie Formulare), Kommentare & Zahlungsgateways. WordPress Datenbank, Core Programmierung, Themes und Plug-Ins und sogar Ihr WordPress  Hosting Server könnte einer Gefahr sein.

Diese WordPress-Sicherheitsprüfliste hilft Ihnen, Schutz für diese Schwachstellen aufzubauen.

# 1: Verwenden Sie ein WordPress Security Plugin

Wenn Sie nicht besonders technisch sind, möchten Sie möglicherweise Ihre wichtigsten WordPress-Sicherheitsanforderungen an ein Sicherheits-Plugin auslagern.

73,2% der beliebtesten WordPress-Installationen, die anfällig sind, können mit kostenlosen automatisierten Tools erkannt werden. Es gibt verschiedene Plugins – wie Wordfence, Sucuri und Defender -, die Funktionen bieten, die das Überprüfen auf Schwachstellen, das Blockieren von Sicherheitsbedrohungen und schädlichen Netzwerken, das Implementieren einer Firewall und das Überwachen von DNS-Änderungen umfassen.

Während wir über WordPress-Plugins sprechen, ist es erwähnenswert, dass 52% der Sicherheitslücken in WordPress in Bezug auf WordPress-Plugins gemeldet wurden.

# 2: Backups regelmäßig (und automatisch) erstellen

Das Erstellen von Backups ist eine gute Möglichkeit, um sicherzustellen, dass Sie auf die wichtigen Dateien Ihrer Website zugreifen können, falls Ihre Live-Website etwas passiert. Die meisten Web-Hosts tun dies automatisch im Hintergrund, aber überprüfen Sie diese unbedingt, bevor Sie sich auf diesen Schutz verlassen!

Ich empfehle Kinsta für die Leistung von WordPress Hosting, aber die Tatsache, dass Sie mehrere automatische / manuelle Sicherungen erstellen können, ist nur ein weiterer Grund, sie zu überprüfen.

Es gibt mehrere Plugins, die Sie zum automatischen Erstellen von Sicherungen verwenden können. Eine der am meisten empfohlenen Optionen ist VaultPress, das sich im Besitz der gleichen Firma befindet, die WordPress erstellt hat (und Teil des Jetpack-Plugins ist). UpDraftPlus ist eine weitere großartige Option – das einzige WordPress-Plugin mit einer kostenlosen Version, mit dem Sie automatische Sicherungen planen können.

Verlassen Sie sich bei Ihrer Backup-Strategie nicht nur auf die Bemühungen eines Plugins. Erstellen Sie mehrere Kopien Ihrer Sicherungsdateien und speichern Sie diese an verschiedenen Orten (Cloud, Festplatte usw.).

# 3: Aktualisieren Sie regelmäßig WordPress

Das Aktualisieren Ihrer WordPress-Website ist die einfachste und effektivste Methode, um Hackerangriffe zu verhindern, da WordPress-Updates das reparieren sollen, was mit der vorherigen Version nicht mehr zutrifft.

Trotz dieser Tatsache sind nur etwa 40% der WordPress-Sites auf dem neuesten Stand. WordPress wird automatisch für kleinere Korrekturen aktualisiert. Wichtige Updates wie das WordPress 5.0-Update müssen jedoch manuell initiiert werden.

Sie müssen außerdem sicherstellen, dass Ihre Plugins und Designdateien mit den zeitnahen WordPress-Kernaktualisierungen zeitnah aktualisiert werden. Laut Wordfence sparen Sie sich bereits vor 70% der Hackerprobleme, wenn Sie sich vor Plugin-Schwachstellen und Brute-Force-Angriffen schützen können.

# 4: Bewahren Sie Passwörter sicher auf

Die Sicherung Ihres WordPress-Passworts ist eine vorbeugende Sicherheitsmaßnahme. Sie werden jedoch überrascht sein, wie viele Personen sich nicht ausreichend vor entsprechenden Angriffen schützen können. Laut Panda Security treten 81% der Angriffe hauptsächlich auf unsichere oder gestohlene Passwörter auf.

Viele Angreifer erhalten Zugang zu Ihrer WordPress-Site durch Brute Force – die wiederholte Eingabe von Benutzernamen und Kennwortkombinationen, bis sie die richtige finden. Eine einfache Möglichkeit, diese Möglichkeit zu verhindern, besteht darin, Angriffe durch die Begrenzung von Anmeldeversuchen einzuschränken.

Pro Tipp 1: Verwenden Sie das Login LockDown-Plugin, das die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs aufzeichnet und die Anmeldefunktion sperrt, wenn die Anzahl der fehlgeschlagenen Versuche aus demselben IP-Bereich innerhalb eines bestimmten Zeitraums erreicht wird.

Als Nächstes wählen Sie ein Kennwort, das aus mehr als 6 Zeichen besteht und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Symbolen besteht. Für etwas Unzählbares sind 10-50 Zeichen ausreichend. WordPress kann auch ein fast uneinholbares Passwort für Sie generieren.

Pro-Tipp 2: Verwenden Sie ein Programm wie LastPass, um sich an Kennwörter zu erinnern. LastPass kann Ihnen auch dabei helfen, ein sicheres Passwort zu erstellen.

Ändern Sie die Kennwörter häufig und verwenden Sie sie nicht erneut. Es ist auch ratsam, Ihre E-Mail-Adresse anstelle des Benutzernamens zu verwenden, um sich bei WordPress anzumelden, da Benutzernamen leichter vorherzusagen sind als E-Mails. Die folgende Hauptbenutzernamen werden sehr viel angegriffen: Admin, Admin, Administrator, Test, Root.

Pro-Tipp 3: Wenn Sie beim Erstellen Ihrer WordPress-Installation standardmäßig einen Benutzernamen „admin“ festgelegt haben, installieren Sie einfach das Username Changer-Plugin, um einen sichereren Benutzernamen zu erstellen.

# 5: Schützen Sie Ihre Anmeldeseite

Anscheinend habe ich die neuen Best Practices vermisst, die behaupten, dass das Umbenennen der URL Ihrer WordPress Anmeldeseite nicht hilfreich ist. Unabhängig davon gebe ich eine verwandte Ressource, um umfassend zu sein.

Mit dem Plugin „Rename wp-login.php“ > https://wordpress.org/plugins/rename-wp-login/  kann auf das wp-admin-Verzeichnis und die wp-login.php-Seite nicht zugegriffen werden, die Dateien im WordPress-Kern werden jedoch nicht geändert.Plugin ist alt, funktioniert bei mir 100%.

Gibt es andere Optionen? Implementieren der Zwei-Faktor-Authentifizierung (2FA) für die Anmeldung. Diese Methode erfordert die Registrierung / Aktivierung eines anderen Geräts, um die Identität des Websitebesitzers zu bestätigen.

Es gibt einige Zwei-Faktor-Authentifizierungsmethoden:

  • SMS / E-Mail. Das Programm fragt nach einer SMS-Nummer oder E-Mail, an die sie bei jeder Anmeldung einen Code senden können.
  • Authenticator App (iOS und Android). Stützt sich auf zeitabhängige Einmalkennwörter (OTPs), die in jeder Periode generiert werden.
  • Push-basiert. Sendet eine Eingabeaufforderung, wenn jemand versucht, sich bei Ihrer Website anzumelden, einschließlich des Standorts, von dem aus versucht wird, sich anzumelden.

Einige unsere Kunden verwenden eine Art Zwei-Faktor-Authentifizierung, um den Zugriff auf das Backend ihrer WordPress-Blogs zu sperren. Ich würde sagen, es lohnt sich, ihrem Beispiel zu folgen.

Die Zwei-Faktor-Authentifizierung kann eine ziemlich narrensichere Methode sein, um einige der wichtigsten Sicherheitsprobleme von WordPress zu besiegen, kann jedoch durchaus problematisch sein – insbesondere, wenn Sie Ihr Telefon nicht dabei haben (wenn Sie kein Mobiltelefon verwenden können Daten während der Reise) oder wenn Sie die E-Mail-Adresse vergessen haben, mit der Sie sich angemeldet haben.

Darüber hinaus bedeutet die Verwendung der Authenticator-App, dass Sie das spezifische Gerät autorisiert haben, auf dem Sie die App installiert haben. Wenn Sie ein neues mobiles Gerät erhalten, müssen Sie diesen Vorgang wiederholen – idealerweise, bevor Sie die Daten auf Ihrem alten Gerät löschen!

Das Risiko der SMS-Methode in 2FA besteht darin, dass Sie private Informationen preisgeben, die Unternehmen möglicherweise zum Versenden von Spam verwenden. Wenn Hacker Ihre Telefonnummer erhalten, können Sie diese auch verwenden, um Zugriff auf Ihr Konto zu erhalten.

Wenn diese Situation unwahrscheinlich erscheint, vergessen Sie nicht die jüngsten Verstöße gegen die Daten (Experian, Cambridge Analytica/Facebook usw.) auf scheinbar sicheren Plattformen.

# 6: Verwenden Sie einen Secure Hosting Provider

Es ist erwähnenswert, dass ein Hosting Provider eine wichtige Rolle bei der Sicherung Ihrer WordPress Site spielt. Laut WP White Security passieren 41% der Hacks aufgrund einer Sicherheitslücke auf ihrer Hosting-Plattform.

Je nachdem, was Sie ausgeben möchten, gibt es verschiedene Arten von Webservern, auf die Sie über den durchschnittlichen Webhost zugreifen können. Typische Budgetoptionen beziehen sich normalerweise auf die Verwendung eines gemeinsam genutzten Webservers. Dies bedeutet, dass Sie die Serverressource für andere Benutzer freigeben, sodass Ihre Website anfällig für Kontaminationen zwischen Standorten ist, bei denen Hacker über einen Nachbarn auf demselben Server auf Ihre Website zugreifen können.

Verwenden Sie Webhosts, die den bewährten Sicherheitsverfahren von WordPress entsprechen, wie beispielsweise Siteground (für Budgetanforderungen) und Kinsta (für hohe Leistung). Beide beinhalten den Zugriff auf SSL-Zertifikate, die die persönlichen Daten des Benutzers verschlüsseln. Da HTTPS jetzt ein offizieller Rankingfaktor ist, stellen Sie im Idealfall sicher, dass dieser Sicherheitsupdate so schnell wie möglich implementiert wurde (sofern Sie dies nicht bereits getan haben).

Bei der Auswahl eines Hosting-Providers schlägt WPMU DEV vor, nach folgenden Funktionen zu suchen:

  • Serverseitige Firewall und Verschlüsselung
  • NGINX- oder Apache-Webserver
  • Antiviren- und Anti-Malware-Software
  • Sicherheitssysteme vor Ort
  • Verfügbarkeit von SSL-Zertifikaten und eines CDN

Eine bewährte Vorgehensweise für WordPress Sicherheit ist die Verwendung von verwaltetem WordPress- osting, das etwas mehr kostet als Budgetoptionen, sich aber um alles für Sie kümmert, einschließlich Sicherungen, Updates, Betriebszeiten, Sicherheit und Geschwindigkeit.

# 7: Verwenden Sie eine Web Application Firewall (WAF)

Bei es Probleme gibt gegen ein Plugin oder ein Thema, dann gibt es eine Verzögerungszeit zwischen dem Erkennen der Sicherheitsanfälligkeit und dem Auftreten einer Korrektur. Dies wird als „Fenster der Schwachstelle“ bezeichnet. Um dies zu vermeiden, müssen Sie eine Firewall für Webanwendungen verwenden.

Es gibt verschiedene Firewalls, die verschiedene Arten von Verkehr blockieren können. Sie erhalten eine Firewall durch die Verwendung von Sicherheit Plugins, einer Website Sicherheitsfirma oder einer WordPress Wartungsfirma wie Updatia natürlich J

Wir haben SiteLock kürzlich getestet und bietet eine einzigartige und nützliche Funktion: die Möglichkeit, zwischen guten und schlechten Bots zu unterscheiden, sodass die schlechten nicht auf Ihre Website zugreifen können. Dies verhindert proaktiv, dass Cyberangriffe Ihre Website gefährden.

# 8: Eingabefelder schützen

Kommentar Felder, oder Kontaktformulare sind für Hacker ein naheliegendes Ziel. Sie können Daten stehlen, die in diesen Feldern mit Gewalt oder durch Stealth aufträge eingegeben werden (z. B. durch Überwachen von Tastenanschlägen).

Beachten Sie in einem ähnlichen Hinweis das Cross-Site-Scripting (XSS), bei dem Angreifer clientseitige Skripts in Webseiten einfügen, die von anderen Benutzern angezeigt werden. 84% der Sicherheitslücken sind auf XSS-Angriffe zurückzuführen.

Pro-Tipp: Einige Websites erhalten eine Unmenge von Spam-Kommentaren, weshalb sie sich dazu entschließen, die Kommentare zu deaktivieren. Kommentare sind jedoch eine großartige Möglichkeit, zu kommunizieren und Feedback von Lesern und Besuchern zu erhalten. Um Kommentare zu moderieren und Spam proaktiv zu bekämpfen, installieren Sie das kostenlose (/ akzeptierte Spenden) Akismet-Plugin, das auch vom WordPress-Team angeboten wird.

Fazit

Die schlimmsten WordPress Sicherheitsprobleme sind die, auf die Sie nicht proaktiv vorbereitet sind. Sobald der Schaden angerichtet ist, kann es zu spät sein, um sensible Daten zu schützen. Anstatt auf das Unvermeidliche zu warten (zumindest laut Statistik), verwenden Sie diese WordPress Sicherheits liste, um Ihre Website vor den schlimmsten WordPress Sicherheitsproblemen zu schützen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.