• Startseite
  • Artikel
  • Führen
  • So sichern Sie eine WordPress-Site, Schritt-für-Schritt-Anleitung zum Sichern Ihrer WordPress-Site

So sichern Sie eine WordPress-Site, Schritt-für-Schritt-Anleitung zum Sichern Ihrer WordPress-Site

Veröffentlicht: 2020-09-08

Die Leute neigen dazu, das falsche Missverständnis zu haben, dass alles, was kostenlos und Open Source ist, weniger sicher ist. Aber die Wahrheit ist, dass Open-Source-Communities wie die hinter WordPress sehr groß sind und sicherstellen, dass WordPress über die neuesten Sicherheitspraktiken und Qualitätsprüfungen auf dem Laufenden gehalten wird. Sie müssen nur die Best Practices befolgen und die notwendigen Vorsichtsmaßnahmen treffen. Sie müssen ein klares Wissen darüber haben, wie man eine WordPress-Site sichert, um Ihre Website zu schützen.

Lassen Sie uns mit einer Schritt-für-Schritt-Anleitung zum Sichern einer WordPress-Site beginnen, und lesen Sie dann weiter, um weitere zusätzliche Tipps zu erhalten, um eine sichere Website zu gewährleisten.

Anleitung zum Sichern einer WordPress-Site

Bevor Sie anfangen, das Know-how zum Sichern von WordPress-Sites zu erlernen, sollten Sie verstehen, warum es überhaupt benötigt wird. Wie jede Website-bezogene Aktivität erfordert Sicherheit Ihre Zeit, Mühe und Ressourcen. Es ernst zu nehmen und die erforderlichen Ressourcen bereitzustellen, ist absolut lohnend, denn wenn Sie dies nicht tun, wird Ihr Markenruf und Ihr Geschäftswachstum mehrfach geschädigt.

Laut einem Bericht sind mehr als 70 % der WordPress-Installationen von mehr als 40.000 WordPress-Websites, die in den Top 1 Million der Alexa-Rangliste aufgeführt sind, anfällig für Angriffe.

Eine angegriffene Website kann zu verpassten Geschäftsabschlüssen, Verlust der Privatsphäre und Rechenzeit führen und schwere finanzielle Verluste verursachen. Denken Sie an die jüngsten Ransomware-Angriffe, die dazu führten, dass viele Unternehmen ihre Streikposten bezahlen mussten, um ihre Daten von Hackern zurückzubekommen.

Deshalb muss das Hauptziel von Sicherheitsmaßnahmen eher Prävention als Reaktion sein. Sie müssen die richtigen Tools und Praktiken einsetzen, damit Sie keinen Raum für Malware und Cyberangriffe lassen, die Sie ausnutzen.

Schritt 1: Halten Sie Ihr WordPress auf dem neuesten Stand.

WordPress wird von einer wachsenden Entwickler-Community unterstützt, die dafür sorgt, dass weiterhin Sicherheitspatches und Lösungen bereitgestellt werden, um eine entdeckte Schwachstelle abzudecken. Sie können diese Updates erhalten, wenn Sie Ihr WordPress regelmäßig aktualisieren.

Für die meisten kleineren Updates können Sie die WordPress-Einstellungen so festlegen, dass automatische Updates aktiviert werden. Stellen Sie sicher, dass Sie Ihre WordPress-Version auf die neueste Version aktualisieren, sobald eine neue Version veröffentlicht wird.

Die neuesten Versionen bieten Ihnen nicht nur aktualisierte Sicherheit; Sie bieten Ihnen auch die neuesten Funktionen und Verbesserungen gegenüber Ihren vorhandenen Funktionen. WordPress-Updates sind für den reibungslosen Betrieb der Seite unerlässlich und entscheidend für die Sicherheit und Stabilität Ihrer Seite.

Profi-Tipp: WordPress 5.5 ist draußen, aktualisieren Sie Ihre Website jetzt auf die neueste Version.

Schritt 2: Plugins und Themes aktualisieren

Neben dem WordPress-Kern müssen Sie auch alle Plugins und Themes, die Sie regelmäßig verwenden, aktualisieren.

Möglicherweise verwenden Sie eine Reihe von Plugins und Designs von Drittanbietern, von denen einige möglicherweise schlecht gewartet werden. Versuchen Sie, diese Plugins durch bessere Alternativen zu ersetzen, die regelmäßige Updates und Sicherheitsfunktionen gewährleisten. Veraltete Plugins können Schwachstellen aufweisen, die Ihnen möglicherweise nicht bekannt sind. Wenn auf Ihrer Website ein Plugin ausgeführt wird, das Sie derzeit nicht verwenden, deaktivieren Sie es.

Führen Sie eine monatliche Prüfung aller Ihrer verfügbaren Plugins durch und entscheiden Sie sich dafür, nur die notwendigen zu behalten.

Schritt 3: Verwenden Sie sichere Passwörter

Es gibt mehrere Benutzerkonten wie das angehaltene Konto, das WordPress-Administratorkonto, FTP-Konten, Datenbankkonten und mehr, mit denen Sie beim Ausführen einer WordPress-Site umgehen würden. Jedes dieser Konten erfordert eine E-Mail-ID und ein starkes Passwort, um die autorisierte Nutzung zu sichern.

Wählen Sie daher speziell für diesen Zweck angepasste E-Mail-Adressen und verwenden Sie sichere Passwörter. Es kann schwierig sein, sich alle Passwörter zu merken, aber es ist eine notwendige Maßnahme, um die Sicherheit zu gewährleisten. Sie können versuchen, einen Passwort-Manager zu verwenden, um alle Ihre Passwörter zu verwalten.

Schritt 4: Richten Sie die richtigen Zugriffsebenen ein

Wenn Sie eine WordPress-Site als Team betreiben oder verschiedene Gastautoren auf Ihrer Site schreiben lassen, stellen Sie sicher, dass Sie jedem Benutzer die richtigen Benutzerrollen und -funktionen zuweisen.

Verstehen Sie die in WordPress verfügbaren Rollen und erstellen Sie Benutzerkonten nur in Bezug auf die zugewiesene Rolle.

Schritt 5: Wählen Sie eine sichere Hosting-Plattform

Dies ist wahrscheinlich der wichtigste Teil der WordPress-Sicherheit. Ein guter Hosting-Partner sollte in der Lage sein, geeignete Sicherheitsmaßnahmen bereitzustellen, um Datenlecks und Cyberangriffe zu vermeiden. Hier sind einige Eigenschaften einer guten Hosting-Plattform, auf die Sie bei der Auswahl achten sollten.

  • Kontinuierliche Netzwerküberwachungsfunktionen, um verdächtige Aktivitäten zu erkennen.
  • Tools zum Blockieren von DDOS-Angriffen
  • Stellen Sie Backup-Server für den Fall eines Stromausfalls oder eines laufenden Cyberangriffs bereit.
  • Aktuelle Hardware und Software, um bekannte Sicherheitslücken zu schließen
  • Korrekte Notfallwiederherstellung und Notfallplan zum Schutz der Daten bei Unfällen oder Pannen.

Shared-Hosting-Pläne sind riskanter als dedizierte Hosting-Server, da Sie die Serverressourcen mit anderen Kunden teilen. Dies kann Sie in einen anfälligen Zustand für standortübergreifende Kontamination versetzen, bei der eine benachbarte Website zum Hacken Ihrer Website verwendet werden kann.

Beachten Sie, dass es einige Webhosting-Anbieter gibt, die zusätzlich zu ihrem grundlegenden Serverschutz kostenpflichtige Sicherheitszusätze wie Sitelock anbieten.

Versuchen Sie insgesamt für eine bessere Sicherheit, sich für einen verwalteten WordPress-Hosting-Plan zu entscheiden.

Schritt 6. Richten Sie eine Backup-Lösung ein

Bewahren Sie immer ein aktualisiertes Backup auf, um Ihnen im Falle eines Angriffs oder größeren Unfalls zu helfen. Backups ermöglichen eine schnellere Wiederherstellung Ihrer WordPress-Site und ein Rollback in einen ordnungsgemäßen Zustand. Es gibt viele kostenlose und kostenpflichtige Versionen von WordPress-Plugins, mit denen Sie Backups erstellen und diese sicher an einem entfernten Ort speichern können.

Das Speichern an einem entfernten Ort ist viel sicherer im Vergleich zu Backups, die auf Ihrem Hosting-Konto erstellt werden. Sie können alle Cloud-Speicherdienste wie Amazon und Dropbox nutzen.

Sichern Sie Ihre Website einmal täglich und stellen Sie sie auf automatische Sicherung ein. Sie können die Sicherungshäufigkeit abhängig von der Häufigkeit Ihrer Aktualisierungen erhöhen oder verringern.

Schritt 7. Verwenden Sie WordPress-Sicherheits-Plugins

Installieren Sie ein gutes Sicherheits-Plugin, das Ihnen hilft, Ihre Website-Aktivitäten zu prüfen und zu überwachen. Sicherheits-Plug-ins können Ihnen auch dabei helfen, jede Interaktion Ihrer Website mit Kanälen von Drittanbietern zu verfolgen und verdächtige Aktivitäten oder Versuche, sich in Ihre Website einzuhacken, zu erkennen.

So können beispielsweise Aktivitäten wie fehlgeschlagene Login-Versuche und Bot-Angriffe mit Sicherheits-Plug-ins zum richtigen Zeitpunkt überwacht und blockiert werden. Sie können auch Malware-Scans, Dateiintegritätsprüfungen und weitere sicherheitsbezogene Aufgaben mit Sicherheits-Plugins durchführen. Recherchieren Sie nach den besten verfügbaren Sicherheits-Plugins, die Ihren Anforderungen entsprechen, und beginnen Sie, sie zu verwenden.

Profi-Tipp: Einige der Sicherheits-Plugins, die Sie verwenden können, sind Sucuri, Wordfence Security, Defender und VaultPress.

Schritt 8. Aktivieren Sie die Web Application Firewall

Firewalls helfen Ihnen dabei, ein Verteidigungssystem bereitzustellen, um böswilligen Datenverkehr daran zu hindern, auf Ihre Website zuzugreifen. Es gibt zwei Ebenen von Firewalls, die Sie verwenden müssen.

  • Website-Firewall auf DNS-Ebene

Diese Firewall leitet Ihre Webanfragen über Cloud-Proxyserver weiter und lässt nur legitimen Datenverkehr auf Ihre Website zu.

  • Firewall auf Anwendungsebene

Diese Firewall prüft die Anfrage serverseitig und lässt Ihre Skripte nur dann laufen, wenn es sich um eine echte Anfrage handelt. Aber diese Art von Firewall kann die Serverlast erhöhen.

Schritt 9. Wechseln Sie zu https

HTTPS-Sites sind viel sicherer als normale HTTP-Sites, da sie nur verschlüsselte sichere Verbindungen akzeptieren. Der SSL-Socket-Layer verschlüsselt jede Datenübertragung zwischen Ihrer Website und dem Browser und erschwert so Hackern den Zugriff auf Ihre Website.

Die Preise für SSL-Zertifikate, die von privaten Behörden ausgestellt werden, beginnen bei 80 $ pro Jahr. Sie können sich auch für kostenlose Zertifikate entscheiden, die im Rahmen des Programms Let's Encrypt vergeben werden.

Tipps zum Sichern der WordPress-Site

Was auch immer oben besprochen wurde, war das Grundlegende, um das Sie sich aus Sicherheitsgründen kümmern müssen. Hier sind einige zusätzliche Vorschläge und Tipps, um eine streng gesicherte Website zu erstellen.

Verwenden Sie eine benutzerdefinierte Benutzer-ID.

Lassen Sie den üblichen Benutzernamen admin hinter sich und wechseln Sie zu etwas Persönlicherem, das für Hacker schwer zu erraten ist. Zum Glück verlangt WordPress jetzt, dass Sie einen benutzerdefinierten Benutzernamen für Ihr Konto auswählen. Wenn Sie jedoch Ein-Klick-Installationen durchführen, ist der Standardbenutzername auf admin eingestellt, und daher müssen Sie WordPress installieren, um manuell einen geeigneten benutzerdefinierten Benutzernamen festzulegen. Falls Sie bereits admin als Ihren Benutzernamen eingerichtet haben, erstellen Sie einen neuen Admin-Benutzernamen und löschen Sie den alten. Sie können für diese Aufgabe ein Plugin oder die phpMyAdmin-Seite verwenden.

Dateibearbeitung deaktivieren

Um den eingebauten Code-Editor in WordPress zu deaktivieren, müssen Sie die Datei wp-config.php ändern. Setzen Sie „DISALLOW_FILE_EDIT“ auf „true“. Diese Funktion kann auch aktiviert werden, indem Sie Ihr WordPress-Konto über ein Sicherheits-Plugin härten.

Wenn ein Skript nicht aus bestimmten Verzeichnissen ausgeführt werden muss, können Sie es dort sicher deaktivieren. Beispielsweise können Sie die Ausführung von PHP-Dateien deaktivieren, indem Sie entsprechende Einträge zur htaccess-Datei hinzufügen

Anmeldeversuche einschränken

Dies kann mithilfe eines Sicherheits-Plugins eingerichtet werden, das erfolglose Anmeldeversuche von einem Konto überwachen und für einen festgelegten Zeitraum blockieren kann. Dies hilft, Brute-Force-Angriffe zu verhindern.

Machen Sie Ihre Anmeldungen stärker, indem Sie die Zwei-Faktor-Authentifizierung verwenden. Die Zwei-Faktor-Authentifizierung erfordert einen zweistufigen Anmeldeprozess, bei dem zusätzlich zu einem Passwort eine einmalige Bestätigungsnachricht oder ein Passwort an die Mobil- oder E-Mail-Adresse des Benutzers gesendet wird. Denken Sie auch an die Sicherheit Ihrer Login-Seite. Ihre WordPress-Anmelde-URL ist einer der anfälligsten Orte.

Sie können auch Authentifizierungsanwendungen verwenden, um eine starke Schutzschicht für jeden Anmeldeversuch bereitzustellen.

Passen Sie die Namenskonventionen für Datenbanken an.

Standardmäßig beginnen Datenbanktabellen in WordPress mit einem wp_-Präfix, wodurch Hacker Vermutungen über die Tabellennamen anstellen können. Versuchen Sie, diese Präfixe in eine individuellere Benennung zu ändern, die zusätzlichen Schutz bietet

Fügen Sie einen zusätzlichen Passwortschutz auf serverseitiger Ebene hinzu, um alle Versuche von DOS-Angriffen einzudämmen.

Deaktivieren Sie die Verzeichnisindizierung und das Durchsuchen.

Wenn Hacker Ihre Verzeichnisse und Dateien durchsuchen können, können sie jede Schwachstelle identifizieren und versuchen, diese auszunutzen. Diese Einstellung kann durch Ändern der htaccess-Datei vorgenommen werden.

Deaktivieren Sie XML-RPC. XML RPC wurde von WordPress 3.5 hinzugefügt, um die Bearbeitung von Anfragen zu optimieren. Dies kann jedoch als Hintertür dienen, um Brute-Force-Angriffe durch Hacker zu erleichtern. Wenn Sie also keine Verwendung für XML-RPC auf Ihrer Website haben, stellen Sie sicher, dass Sie es deaktivieren, indem Sie die htaccess-Datei ändern oder eine Firewall verwenden.

Inaktive Benutzer nach einer gewissen Inaktivitätszeit abmelden.

Sie können das Plugin für die inaktive Abmeldung verwenden, um inaktive Benutzer automatisch abzumelden.

Fügen Sie Ihrem Anmeldebildschirm Sicherheitsfragen hinzu, um eine zusätzliche Authentifizierungsebene zu erhalten.

Führen Sie Scans durch

Führen Sie regelmäßig Malware-Scans durch, und wenn Malware oder Junk-Dateien gefunden werden, stellen Sie sicher, dass Sie diese bereinigen. Das Reparieren einer gehackten Website kann eine knifflige Angelegenheit sein. Es ist besser, einen Sicherheitsexperten oder einen erfahrenen Webmaster damit zu beauftragen. Wenn Sie versuchen, es selbst zu tun, stellen Sie sicher, dass Sie gut recherchieren, sichern Sie die wichtigen Dateien und beginnen Sie mit der Reparatur Ihrer Website.

Wählen Sie ein gutes Hosting-Unternehmen, das über mehrere Sicherheitsebenen verfügt.

Wenn Sie eine Website betreiben, die sensible Kundendaten enthält, müssen Sie investieren, um die Daten zu schützen. Lassen Sie sich also nicht dazu verleiten, billigere Hosting-Pläne zu wählen, denen es an Sicherheitsmaßnahmen mangelt. Machen Sie Sicherheit zum Hauptanliegen bei der Auswahl Ihrer Hosting-Plattform.

Holen Sie sich Ihre Themes und Plugins aus verifizierten Quellen. Kostenlose Themen und Plugins mögen verlockend klingen, aber ohne angemessene Wartung und Unterstützung können diese veralteten Plugins oder Themen anfällige Codeblöcke enthalten, die die Sicherheit Ihrer Website gefährden können.

Verstecken Sie außerdem WordPress-Kerndateien wie htaccess und wp-config.

Einpacken

Denken Sie an die Schlüsselprinzipien zum Sichern von Software – beschränken Sie den Zugriff und richten Sie die richtigen Autorisierungsebenen ein. Halten und schützen Sie zusätzlich die kritischen Komponenten in einer Datenbank. Stellen Sie sicher, dass Sie Ihr System regelmäßig aktualisieren und Backups an einem sicheren entfernten Ort aufbewahren. Und verwenden Sie Plugins und Themes immer nur aus vertrauenswürdigen Quellen.

Verwenden Sie starke Passwörter, geben Sie Ihre Passwörter nicht weiter, schränken Sie die Benutzerrechte ein und überwachen Sie die Website-Aktivitäten regelmäßig. Setzen Sie Sicherheitstools ein, die Ihnen helfen, Ihre Website zu überwachen und proaktive Maßnahmen zur Sicherung Ihrer Website zu ergreifen.

Und schließlich denken Sie daran, jedes Sicherheitsproblem zu melden und den technischen Support für weitere Untersuchungen um Hilfe zu bitten. Zögern Sie nicht, Experten mit der Lösung von Sicherheitsproblemen zu beauftragen.

Also ja, das ist alles von meiner Seite. Ich hoffe, Sie verstehen, wie man eine WordPress-Site sichert.