So sichern Sie Ihre WordPress-Website

Veröffentlicht: 2020-05-01

Jeder WordPress-Site-Ersteller muss sich Sorgen um die Sicherheit seiner Website machen, Google führt täglich mehr als 10.000 Websites auf die schwarze Liste (Blacklist), da diese Websites mit Malware infiziert wurden.

Leider passiert es nicht nur anderen. Je früher Sie sich dessen bewusst sind, desto besser wird es für Sie sein.

Auch wenn der WordPress-Kernel dank hundert Entwicklern sehr sicher ist, bleibt die Tatsache, dass er angreifbar bleibt, da er sehr stark von Hackern angegriffen wird, da etwa 25 % der Websites mit WordPress erstellt werden.

Als Webmaster gibt es viele Dinge, die Sie tun können, um die Sicherheit Ihrer WordPress-Site zu erhöhen.

Aus diesem Grund habe ich mich entschlossen, diesen Artikel in der Hoffnung zu schreiben, dass er so einfach und klar wie möglich ist.

Sie werden sehen, dass es viele Schritte gibt, die Sie unternehmen können, um zu verhindern, dass Ihre Website von einem Hacker infiziert oder zerstört wird.

Diese Maßnahmen werden die Risiken zwar nicht vollständig eliminieren, aber erheblich reduzieren.

Falls Ihre Website bereits mit Malware infiziert ist, empfehlen wir Ihnen, diese Schritte zu befolgen, die Sie beim Entfernen von Malware von Ihrer Website anleiten.

Also lasst uns anfangen.

Benötigen Sie Hilfe, um Ihre Website zu 100 % sicher zu halten? Buchen Sie jetzt Ihren Anruf bei WP Buffs und erhalten Sie 10-20% Rabatt!

Besuchen Sie WP Buffs

1: Aktualisieren Sie WordPress und seine Themen und Plugins.

WordPress wird regelmäßig aktualisiert, die Themes und Qualitäts-Plugins ebenfalls. Dies ist entscheidend für die Sicherheit und Stabilität Ihrer Website.

1: Aktualisieren Sie WordPress und seine Themen und Plugins.
Entworfen von Freepik

2: Verstärke deine Passwörter, um WordPress zu sichern

Der häufigste Angriff ist der Passwortdiebstahl aufgrund eines relativ schwachen Passworts.

Sie können die Aufgabe für einen Hacker erheblich erschweren, indem Sie Ihr WordPress-Passwort verstärken, aber auch die, wenn Sie sich mit Ihrem FTP-Konto, Ihrer Datenbank, Ihrem Host, Ihren E-Mails usw. verbinden.

Viele von Ihnen mögen es nicht, ein zu komplexes Passwort zu verwenden, aus Angst, es zu vergessen. In diesem Fall rate ich Ihnen, einen „Passwort-Manager“ zu verwenden.

Ein Passwort-Manager speichert alle Ihre Passwörter in einer sicheren Cloud und ermöglicht es Ihnen, sie mit einem einzigen Passwort zu verwalten.

Es gibt viele, aber ich empfehle LastPass , es ist einfach zu bedienen und kostenlos.

3: Installieren Sie ein Backup-Plugin

3: Installieren Sie ein Backup-Plugin
Entworfen von Freepik

Das Sichern Ihrer Website ist eine gute Möglichkeit, Schäden zu reparieren, die ein Hacker Ihrer Website zugefügt haben könnte.

Im Falle eines Angriffs ermöglicht Ihnen ein Backup-Plug-in, Ihre Website in einen Zustand vor dem Angriff wiederherzustellen.

Es gibt viele Backup-Plugins für WordPress, aber nicht alle sind gleich. Es muss einfach zu bedienen sein, es Ihnen ermöglichen, Ihre gesamte Site zu sichern, regelmäßige automatische Backups zu erstellen und natürlich in der Lage zu sein, Ihre Backups außerhalb der Server Ihres Hosts (Festplatte, Cloud usw.) zu speichern.

Hier sind drei, die alle oben genannten Kriterien erfüllen. Alle drei haben eine kostenlose und eine kostenpflichtige Version.

  • UpdraftPlus
  • Backupbuddy
  • Duplikator

4: Installieren Sie ein Sicherheits-Plugin

Nachdem Sie sich die Backups angesehen haben, besteht der nächste Schritt darin, ein Sicherheits-Plugin zu installieren, das Ihre Website ständig überwacht und alle verdächtigen Aktivitäten verfolgt, die dort stattfinden könnten.

  • Anti-Malware-Scan
  • Erkennung von Dateibeschädigungen
  • Benutzer blockieren
  • Etc

Empfohlenes Plugin:

  • Wordfence (kostenlose und kostenpflichtige Version)
  • iThemes-Sicherheit (kostenlose und kostenpflichtige Version)
  • Sucuri

5: Wählen Sie ein Qualitätsthema

Ein hochwertiges WordPress-Theme ist ein sicheres Theme, das keine bekannten Schwachstellen aufweist, regelmäßig aktualisiert wird, die entsprechenden Codierungsstandards erfüllt und mit Ihrer Version von WordPress, aber auch mit anderen Elementen Ihrer Website, wie z. B. Plugins, kompatibel ist.

Ein Theme zu haben, das all diese Kriterien erfüllt, hilft Ihnen nicht nur dabei, Fehler, Kompatibilitätsfehler und eine ganze Reihe ähnlicher Probleme zu vermeiden, sondern schränkt auch die Angriffsmöglichkeiten ein, da Ihre WordPress-Site weniger Sicherheitslücken zum Ausnutzen aufweist. Vermeiden Sie also um jeden Preis Nulled-Themes.

Unten sind einige Themen, die ich oft mit geschlossenen Augen verwende und empfehle:

  • Das Thema: Oceanwp (kostenlos).
  • Die Themen: ThemeIsle (kostenlos und kostenpflichtig).
  • Das Thema: Divi (bezahlen).
  • Das Thema: extra (kostenpflichtig).
  • Das Thema: Presse generieren (kostenlos und kostenpflichtig).
  • Das Thema: Astra (kostenlos und kostenpflichtig).

6: Ändern Sie den WordPress-Benutzernamen

Wenn es bei der Installation neuerer Versionen von WordPress möglich ist, einen anderen Namen als den berühmten „Admin“ zu wählen, war dies vorher nicht der Fall. Es ist jedoch immer am besten, wenn ein Administrator keinen bekannten Benutzernamen hinterlässt. Natürlich sollten Sie in diesem Fall keinen Artikel mit dem Spitznamen Ihres Administrators posten oder auf Kommentare antworten.

Es gibt verschiedene Methoden, um Ihren Benutzernamen in WordPress zu ändern:

  • Die manuelle Methode.
  • Verwenden Sie ein Plugin

Lesen Sie diesen Artikel, um die 2 Methoden im Detail zu sehen (Tutorials).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: Fügen Sie zwei Identifikationsfaktoren hinzu (Zwei-Faktor-Authentifizierung)

Diese Option zwingt einen Benutzer, sich durch zwei verschiedene Methoden zu identifizieren. Die klassische Methode mit Benutzername und Passwort und eine zweite Methode, die darin besteht, einen Code auf einem anderen Gerät als dem Computer zu erhalten, den Sie normalerweise verwenden.

Wenn Sie Wordfence , iThemes Security oder UpdraftPlus verwenden , bieten alle diese Sicherheitsfunktion.

8: Automatisches Abmelden von inaktiven Benutzern in WordPress?

Es ist üblich, dass ein Benutzer seinen Bildschirm für eine Weile verlässt, um mit WordPress verbunden zu bleiben, was ein Sicherheitsrisiko darstellen kann. Jemand kann seine Sitzung entführen, sein Passwort ändern oder sein Konto ändern.

Die Lösung besteht darin, ein Plugin zu installieren, das dafür sorgt, dass ein inaktiver Benutzer nach einer bestimmten Zeit getrennt wird.

Dazu empfehle ich das Plugin „Inactive Logout“, es ist kostenlos, sehr einfach zu konfigurieren und macht seine Arbeit gut.

Gehen Sie nach der Installation im WordPress-Dashboard zu „ Einstellungen “ und klicken Sie auf „ Inaktive Abmeldung “, um das Plugin zu konfigurieren

Dort müssen Sie nur die Leerlaufzeit festlegen, bevor die Trennung stattfindet, und eine Meldung, die angezeigt werden soll, wenn dies geschieht. Klicken Sie zum Abschluss auf „ Änderungen speichern “.

9: Fügen Sie eine Sicherheitsfrage hinzu, um eine Verbindung zu WordPress herzustellen

Das Hinzufügen einer Sicherheitsfrage zum WordPress-Anmeldebildschirm verringert die Wahrscheinlichkeit erheblich, dass eine nicht autorisierte Person auf Ihr Konto zugreifen kann.

Sie können eine oder mehrere Sicherheitsfragen hinzufügen, indem Sie das Plug-in installieren: WP Security Question

10: Ändern Sie die Verbindungs-URL

Standardmäßig ist die URL für die Verbindung zu WordPress immer dieselbe: https://www.yourname.com/wp-admin (ich habe .com eingegeben, aber es kann .net oder eine andere Erweiterung sein).

Um die Aufgabe eines möglichen Hackers zu erschweren, der einen „Brute Force“-Angriff auf Ihre Website starten möchte, können Sie die Verbindungs-URL ändern.

Siehe dieses Plugin: WPS Hide Login.

11: WordPress-Scanner für Viren oder Malware und mögliche Sicherheitslücken und andere Schwachstellen

Wenn Sie kein Sicherheits-Plugin auf Ihrem WordPress installiert haben und einen plötzlichen Rückgang des Datenverkehrs oder eine Verschlechterung Ihres Rankings in Suchmaschinen bemerken, ist es dringend erforderlich, eine vollständige Analyse Ihrer Website durchzuführen.

In diesem Fall zwei Möglichkeiten:

Entweder Sie entscheiden sich, ein Sicherheits-Plugin zu installieren und sofort einen Scan zu starten, oder Sie starten einen Online-Scan auf einer der folgenden Websites. Sie sind alle kostenlos und sehr einfach zu bedienen.

Geben Sie einfach Ihre Site-Adresse ein und starten Sie den Scan.

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12: Desinfizieren Sie Ihre Website

Wenn Sie ein Sicherheits-Plugin installiert haben, ist es unwahrscheinlich, dass Sie infiziert wurden. Aber viele von euch denken noch nicht darüber nach.

Zunächst einmal sollte klar sein, dass es viel einfacher ist, eine Infektion Ihrer WordPress-Seite zu verhindern, als sie zu desinfizieren.

Das Bereinigen einer WordPress-Site kann zeitaufwändig sein und Sie müssen oft einen Fachmann beauftragen, insbesondere wenn Sie kein vollständiges Backup Ihrer Site erstellt haben.

Hacker installieren Hintertüren auf infizierten Websites und wenn sie nicht richtig behandelt werden, wird Ihre Website wahrscheinlich erneut gehackt.