Die WordPress-Sicherheit verbessern – Eine vollständige Anleitung zum Schutz von WordPress-Sites

Wenn Sie mit diesem Beitrag fertig sind, garantiere ich Ihnen, dass Ihre WordPress-Site vor Hacks und Exploits immun ist.

Warte, das kann ich nicht garantieren. Lassen Sie es mich so ausdrücken, Sie werden mit dem notwendigen Wissen ausgestattet, um Ihre Website relativ sicher zu halten.

Es gibt keine narrensichere Sicherheit. Es gibt spezifische Maßnahmen, die Sie ergreifen können, um die Wahrscheinlichkeit, dass Ihre Website Opfer eines Hacks oder Angriffs wird, erheblich zu verringern.

Ich habe zuvor einen kleinen Beitrag darüber geschrieben, wie WordPress-Websites kompromittiert werden und warum Sie in gute Sicherheitspraktiken investieren sollten. Sie können es entweder hier lesen oder ich gebe Ihnen eine kleine Zusammenfassung der WordPress-Schwachstellen, bevor wir über konkrete Maßnahmen zur Aufwertung Ihrer WordPress-Website sprechen.

WordPress an sich hat nur wenige Schwachstellen und wenn sie entdeckt werden, werden sie schnell mit einem Update gepatcht. Wenn Sie jedoch die Sicherheitspraktiken Ihres Webhosts oder deren Fehlen und die Software von Drittanbietern berücksichtigen, die normalerweise auf WordPress-Websites ausgeführt wird, ist es wahrscheinlicher, dass Ihre Website aufgrund der Fehler anderer Personen Opfer eines Hacks wird.

51% aller gehackten Websites im Jahr 2021 wurden durch Themes oder Plugins kompromittiert, die sie ausgeführt haben. 41% wurden ausgenutzt, weil sie den falschen Webhoster ausgewählt hatten und infolgedessen ihre Websites gehackt wurden.

Eine einfache WordPress-Site zu betreiben und sie sicher zu halten, ist nicht allzu schwierig. Aber wenn Sie eine Mischung aus Drittanbieter-Software hinzufügen und Ihre Domain mit dem richtigen Host pflegen müssen, wird es etwas schwieriger.

Ich habe viele Blog-Posts von erfolgreichen Web-Unternehmern gelesen, die im Wesentlichen Geschäftsleute waren und ihr Geschäft online machten. Und als ihre Online-Unternehmungen erfolgreich wurden, wurden sie zu Zielen. Es ist jedoch nicht notwendig, dass Ihre Website erfolgreich ist oder sogar Traffic hat, damit sie zum Ziel wird.

Menschen, die Websites hacken, verwenden automatisierte Tools, mit denen sie Hunderte und Tausende von Websites nach Schwachstellen durchsuchen können. Ihre Website kann eine von diesen Hunderten sein. Selbst wenn Ihre Website nicht beliebt ist, könnten Sie dennoch ein Ziel sein.

Inzwischen sind sich viele Web-Unternehmer der notwendigen Sicherheitsstandards und -maßnahmen bewusst, die erforderlich sind, um ihre Websites und Online-Geschäfte sicher zu halten. Aber das Tolle an WordPress und dem Web heute ist, dass Sie kein Technikexperte oder Webentwickler mehr sein müssen, um eine Website zu starten. Und das Erstellen einer Website ist überhaupt nicht schwierig, es ist sehr einfach und ich habe sogar einen Artikel darüber auf Colorlib geschrieben (für diejenigen unter Ihnen, die ein bisschen Hilfe beim Erstellen Ihrer ersten WordPress-Website suchen).

Eine Website zu erstellen ist nicht allzu schwierig, sie populär zu machen ist ein etwas komplizierteres Unterfangen. Aber es sicher zu machen, insbesondere für nicht technisch versierte Web-Unternehmer, deren Hauptbeschäftigung sich um ein nicht webbasiertes Produkt/Dienstleistung dreht, ist eine ziemliche Herausforderung.

Und natürlich könnten sie einen Webentwickler einstellen, der ihnen hilft. Aber der Grund, warum viele kleine Web-Unternehmen florieren, hängt sicherlich direkt mit ihrer Fähigkeit zusammen, die Kosten niedrig zu halten. Und einen Webentwickler einzustellen, der 100 Dollar pro Stunde verlangt, fällt nicht mit seinen finanziellen Möglichkeiten zusammen.

Ein Web-Sicherheitsprofi ist immer die bevorzugte Option, aber leider hat nicht jeder das notwendige Geschäftseinkommen, um diese Kosten zu tragen. Und vielleicht ist das in Ordnung, vielleicht auch nicht. Aber die entscheidende Tatsache ist, dass wir anerkennen müssen, dass selbst kleine Unternehmen sensible personenbezogene Daten sammeln, darunter Informationen wie Ihre Wohnadresse, Ihre Kreditkartendaten, Telefonnummern und E-Mail-IDs.

Nicht nur die Informationen Ihrer Kunden sind durch möglicherweise fahrlässige Sicherheitspraktiken gefährdet, sondern auch das Geschäft, das Sie aufgebaut haben oder für den Sie viel Zeit aufwenden werden. Der Aufbau eines Online-Geschäfts ist ein ziemlich entmutigendes Unterfangen. Ihr Erfolg hängt von einer Reihe von Faktoren ab, darunter der Markenruf und die Meinung von Google zu Ihrer Website. Und glauben Sie mir, niemand wird eine positive Sicht auf Ihr Unternehmen oder Ihre Dienstleistungen haben, wenn Ihre Website heruntergefahren wird oder Opfer eines Angriffs/Hack wird.

In Anbetracht all dessen und der damit verbundenen Herausforderungen, welche Schritte können „Sie“ als Web-Unternehmer unternehmen, um Ihre Website sicher zu machen?

Dieser Beitrag richtet sich in erster Linie an Personen, deren Hauptberuf kein Online-Geschäft ist. Es richtet sich an Personen aus unterschiedlichen Lebensbereichen, die ein Geschäft gründen und teilweise oder stark auf eine Online-Präsenz angewiesen sind. Und da mehr als 65% des Webs von WP betrieben wird und WordPress das CMS der Wahl für technisch nicht versierte Web-Unternehmer ist, werde ich mich darauf konzentrieren, Ihnen das Wissen zu vermitteln, um Ihre WordPress-Website sicher und geschützt zu halten .

#1. Wählen Sie den richtigen Host-Service-Provider

Ein Großteil der Schwachstellen besteht aufgrund von Problemen auf der Serverseite Ihrer Website. Ich fand diese Tatsache ziemlich erstaunlich, Ihr Hosting-Service ist möglicherweise die größte Quelle für die Schwachstellen Ihrer Website.

Und mit einem Drittanbieter-Host können Sie nicht viel basteln, um Ihre Website zu schützen.

Also das Nächstbeste, was Sie tun können – Wählen Sie den richtigen Webhosting-Dienstleister.

Es gibt viel zu viele Webhoster, die ihre Systeme mit veralteter Software betreiben oder Software, die derzeit nicht gewartet wird. Das Problem bei Software, die nicht mehr gewartet wird, ist, dass es in der Vergangenheit zwar keine Schwachstellen gab, aber keine Garantie für die zukünftige Sicherheit. Und wenn eine Schwachstelle entdeckt wird, die fast sicher ist, wird sie möglicherweise nicht mehr gepatcht, weil das Kernteam ältere Softwareversionen nicht aktiv pflegt.

Wenn ich von Software spreche, meine ich alles, was auf Ihrem Server läuft, um Ihre Site live und funktionsfähig zu halten.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• SSL-Zertifikate

Auch wenn sie ihre Software mit einer kleinen Verzögerung aktualisieren, wenn Software-Patches veröffentlicht werden. Das Zeitfenster für Hacker, Schwachstellen auszunutzen, die erst in den letzten Updates gepatcht wurden, erweitert sich und gefährdet Ihre Website.

Shared Hosting, das für die meisten neu gegründeten Online-Unternehmen die Wahl des Hostings ist, hat einige Probleme.

• DOS-Angriffe auf eine beliebige IP auf einem Server können sich auf alle Websites auswirken, die auf diesem bestimmten Server gehostet werden.
• Gemeinsam genutzte IP-Adressen sind ein großes Problem. IP-Adressen, die Ihrer eigenen benachbart sind, wirken sich auf Ihre Website aus. Wenn eine gemeinsam genutzte IP auf die schwarze Liste gesetzt wird, hat Ihre Website die Konsequenzen.
• Es besteht immer die Möglichkeit, dass auf einem gemeinsam genutzten Server geladene Software den gesamten Server kompromittieren kann, obwohl Shared-Hosting-Dienstleister Maßnahmen ergreifen, um dies zu verhindern.

Meine Wahl für Shared Hosting,

• Shared Hosting – SiteGround – Sie bieten eine Kontoisolierung, die Sie vor möglicherweise anfälligen Websites auf demselben Server schützt. Automatisierte Updates für WP-Core und Plugins, kostenloses SSL-Zertifikat & tägliche Backups ab dem Grow Big Plan, Schutz vor Spam mit Filtersystem, Firewall, Intrusion-Prevention-Systemen und Live-Monitoring. Die Verwendung eines CDN-Systems wie CloudFlare schützt Ihre Website vor DDoS-Angriffen.

SiteGround hat eine gute Geschichte in Bezug auf schnelle und prägnante Reaktionen auf in der Vergangenheit aufgedeckte Schwachstellen. Im Jahr 2013, als Bruteforce-Angriffe von über 90.000 IP-Adressen aus durchgeführt wurden, verhinderte SiteGround, dass die Anfragen überhaupt ihre Server erreichten.

Brute-Force-Angriffe können den Server mit Last überfordern, aber wenn Sie nicht genügend Anfragen an den Server senden können, können Sie ihn nicht beeinflussen. Während des Angriffs wurden in weniger als 12 Stunden über 15 Millionen Versuche gegen Websites auf ihren Servern unternommen, und dennoch hatte keiner ihrer Server Leistungsprobleme.

In der Tat, nachdem einige auf den Websites ihrer eigenen Kunden Brute-Force-Angriffe gemacht hatten, um schwache Passwörter zu finden, fanden sie viele Websites auf ihren Servern mit schwachen und unsicheren Passwörtern. Sie verfolgten dies mit der Durchsetzung starker Passwörter und ihre Kunden wurden per E-Mail informiert. Sie scheinen sich wirklich um ihre Sicherheit zu kümmern und die Leistung ihrer gemeinsam genutzten Serverumgebungen zu gewährleisten, selbst wenn sie angegriffen werden. Dasselbe kann für einige der größten Shared Webhosting-Unternehmen nicht gesagt werden.

Wenn Sie alternative Optionen zu SiteGround für Shared Hosting wünschen, habe ich in einem früheren Beitrag einige aufgeführt.

Wenn Sie sich jedoch nicht um die WordPress-Sicherheit und so ziemlich alles andere technische bei der Erstellung, Wartung und Erweiterung einer Website kümmern möchten, sind Sie mit einem verwalteten WordPress-Host besser dran. Ich bevorzuge Managed Hosting, aber die Kosten sind erheblich höher.

Mit dem Preis für Managed Hosting für einen Monat erwerben Sie auch Shared Hosting für einen Zeitraum von 8 Monaten. Wenn Sie ein Unternehmen mit knappen Mitteln führen, hat dies einen enormen Einfluss auf die Nachhaltigkeit Ihres Unternehmens. Aber jeder wäre dumm, die Vorteile eines verwalteten WordPress-Hosts abzutun, wenn er es sich leisten kann.

WPEngine-Sicherheitsmaßnahmen-

• Festplatten-Schreibschutz, bösartiger Code, der Schwachstellen erzeugt, die ausgenutzt werden können, wird durch die Schreibbeschränkungen der Festplatte stark eingeschränkt. Die Verwendung von Plugins und Themes mit Sicherheitslücken ist plötzlich sicherer, da sie keinen Code mehr in Ihren Server schreiben können, der Ihr WP so leicht anfällig macht.
• Die Berechtigungen zum Schreiben von Festplatten für Benutzer, die bei ihrem WP-Dash angemeldet sind, erstrecken sich auf Standardfunktionen wie das Schreiben und Bearbeiten von Beiträgen, das Hinzufügen neuer Stylesheets zu Themen und das Aktivieren/Deaktivieren von Plugins.
• Zum Löschen und Schreiben neuer Dateien müssen Sie über einen SFTP-Client angemeldet sein.
• Das Hinzufügen von generischem PHP-Code ist nicht zulässig.
• Skripte mit bekannten Schwachstellen, die WP gefährden, können nicht zu WordPress hinzugefügt werden.
• Bestimmte Plugins können verboten und sogar deaktiviert werden, wenn ihre Scanner etwas im Code des Plugins erkennen, das Ihre Website weniger sicher macht.
• Die grundlegenden Pläne in WPEngine beinhalten immer noch eine gewisse Serverfreigabe. In jedem dedizierten Hosting-Plan stellt der Host einen kompletten Server bereit, der ausschließlich der Bereitstellung von Ressourcen für Ihre Website gewidmet ist.
• Backups über Amazon S3 und Sie haben keinen Zugriff darauf. Sie könnten Ihre Backups nicht kompromittieren, selbst wenn Sie es versuchten. Eine Versicherungspolice für Ihre Site ist immer vorhanden.
• Der physische Zugang zu Servern ist nur auf das erforderliche Personal beschränkt. Ihre Rechenzentren klingen wie Fort Knox, wenn man nur darüber liest.
• Sie sind auf WP spezialisiert und kennen sich mit der Erstellung einer sicheren WordPress-Site aus.
• Die Wiederherstellung im Falle eines gehackten Kontos ist einfach und kostenlos.
• Regelmäßige Code-Audits vom Anbieter von WP-Sicherheitslösungen – Sucuri.

Stellen Sie sich WPEngine so vor, es kostet Sie eine Bombe, aber viel weniger, als eine gehackte Website Sie kosten kann. Es macht es viel einfacher, Kosten zu rationalisieren.

Bitte übersehen Sie nicht, dass Ihre Website mit WPEgnine nicht nur sicherer, sondern aller Voraussicht nach auch viel schneller wird. Selbst Websites wie Colorlib, die einen virtuellen privaten Server verwenden, haben Schwierigkeiten, die Geschwindigkeit einer von WPEngine betriebenen Website zu erreichen.

Wenn Sie immer noch Zweifel haben und sich nicht zwischen einem Shared Webhost und einem Managed WP Host entscheiden können, ist das ein riesiges Thema für sich. Bitte lesen Sie einen Artikel, den ich vor einiger Zeit geschrieben habe. Hoffentlich beantwortet das alle Ihre Fragen zur Eignung eines Hosting-Pakets für Ihre Website.

#2. Verwenden Sie vertrauenswürdige Software von Drittanbietern – Premium-Themes und Plugins

Plugins und Themes sind immer suspekt, seien Sie skeptisch, besonders wenn sie schlecht gepflegt und selten aktualisiert werden. Jetzt können Sie zahlreiche Schritte unternehmen, indem Sie Plugins aufgrund von Sicherheitslücken diskriminieren, aber es lohnt sich immer, die Aktionen Ihrer Plugins im WP Security Audit Log zu notieren.

Ein Sicherheitsprotokoll ist für die Webentwicklung sehr hilfreich, und Sicherheitsexperten verfolgen Änderungen an mehreren Standorten, wenn sie die Anforderungen ihrer Kunden erfüllen. Jede Aktion jedes Benutzers kann mit dem Plugin berücksichtigt werden. Das Protokoll hilft auch dabei, das Verhalten von Plugins, Themes und anderer Software von Drittanbietern im Auge zu behalten. Dieses Plugin kann ein Sicherheitsproblem möglicherweise nicht verhindern, aber wenn etwas schief geht, können Sie die Ursache des Problems leicht ermitteln.

Eine weitere bewährte Methode besteht darin, das Plugin von einem Sicherheitsexperten prüfen zu lassen. Wenn Sie sich das nicht leisten können, achten Sie auf Sucuris (Sucuri ist ein führender Anbieter von Sicherheitslösungen für WordPress-Benutzer) auf Plugins. Viele Plugins/Themes reichen ihre Produkte freiwillig für Code-Audits ein.

Elegant Themes hat sein Flaggschiff-Theme Divi auditiert. Elegant Themes ist eines der größten, wenn nicht sogar das größte Theme-Haus in der WP-Nische, und dennoch haben sie ihr Flaggschiff-Theme auf Sicherheitsprobleme überprüft.

Halte dich von kostenlosen Plugins und Themes fern, die nicht viele Downloads haben. Manchmal ziehen Plugins mit übermäßig hohen Downloadzahlen und hohen Bewertungen viele weitere Unruhestifter an. Schutz in Zahlen ist nicht wirklich anwendbar. Mehr Leute, die ein Plugin verwenden, machen es zu einem größeren Ziel, aber gleichzeitig werden Tausende von Benutzern wahrscheinlich dazu beitragen, Zero-Day-Exploits durch schnelle Updates zu identifizieren und vor ihnen zu schützen.

Die Verwendung von Premium-Plugins und -Designs bedeutet nicht, dass die Sicherheit Ihrer Website garantiert werden kann. Aber Sie können sicher sein, dass die Reaktion im Allgemeinen schnell erfolgt, wenn Zero-Day-Exploits entdeckt werden. Theme-Häuser und Plugin-Entwickler haben viel mit ihren Produkten zu tun, das Letzte, was sie wollen, ist das Auftreten von Schwachstellen.

Halten Sie sich an Plugins, die im WordPress.org-Verzeichnis für kostenlose Plugins aufgeführt sind. Höhere Bewertungen und Anzahl der Downloads machen das Plugin zu einem gewissen Grad sicherer. Schauen Sie sich die Geschichte der Plugins an, die in der Vergangenheit von demselben Autor erstellt wurden, ein guter Indikator für die Ahnentafel des Programmierers. Sie werden auch feststellen, dass bestimmte Autoren besonders darauf achten, die Sicherheit ihres Plugins/Themes zu gewährleisten.

Das letzte Aktualisierungsdatum ist ein weiterer zu berücksichtigender Faktor. Sicherzustellen, dass die neueste Version des Plugins mit der neuesten Version von WordPress kompatibel ist, ist ein weiterer wichtiger Punkt, den Sie auf der Checkliste abhaken müssen, bevor Sie ein Plugin installieren und aktivieren.

Wie Sie vielleicht erraten haben, gilt das, was für Plugins gilt, auch für Themen. Ein paar Dinge zu beachten, wenn es um die Verwendung von Plugins und Themes geht.

• Premium-Plugins sind in dem Sinne besser, dass ihre Teams wahrscheinlich viel schneller auf Sicherheitslücken reagieren als kostenlose Plugins.
• Verwenden Sie das WP Security Audit Log und verfolgen Sie alles, was unter der Haube Ihrer Website läuft.
• Es gibt sicherlich Sicherheit in Zahlen, weil eine Sicherheitsbedrohung viel eher gemeldet und behandelt wird. Aber ich kann nicht umhin zu glauben, dass dies ein zweischneidiges Schwert ist, Plugins / Themes mit großen Downloadzahlen werden auch viel wahrscheinlicher zu Zielen von Hackern.
• Das Plugin-Verzeichnis von WP.org kann manipuliert werden, um hervorragende Bewertungen für Plugins mit geringerer Anzahl von Downloads und Bewertungen bereitzustellen.
• Sehen Sie sich den Autor des Plugins, seine Geschichte und frühere Produkte an. Wenn sie in der Vergangenheit Sicherheitsprobleme hatten, weisen sie nicht unbedingt darauf hin, dass ihre Plugins/Themes schlecht sind, aber es ist kein gutes Zeichen.
• Diskriminieren Sie rücksichtslos Plugins/Themes, lesen Sie Rezensionen, insbesondere solche, die schlechte Bewertungen für das Produkt abgeben (achten Sie darauf, warum diese Produkte schlecht bewertet wurden) auf Marktplätzen wie Envato, sogar für Premium-Plugins. Lesen Sie Kommentarabschnitte aus Produktbewertungen für Plugins und Themes. Wenn ich Rezensionen zu bestimmten WordPress-Produkten schreibe oder einen Listenpost mit Themen erstelle, schaue ich immer im Kommentarbereich nach Beschwerden von Benutzern, die das Produkt heruntergeladen/gekauft haben. Diese Übung ist immer fruchtbar, Sie werden fast immer etwas über das Produkt erfahren, das Sie kaufen oder herunterladen möchten.
• Wenn der Code des Plugins/Themes von Sucuri oder einem anderen seriösen Anbieter von WP-Sicherheitslösungen geprüft wurde, erhöht dies die Wahrscheinlichkeit, dass das Produkt in Bezug auf die Sicherheit ziemlich solide ist.
• Sie können sich mit Sicherheits-Plugins wie Wordfence oder iThemes Security gegen betrügerische Plugins schützen. Darüber hinaus können Sie die kostenlose Site-Scan-Funktion von Sucuri verwenden, die Ihren WP-Code nach schädlichen Skripten durchsucht.

Keiner der oben genannten Schritte garantiert, dass Sie niemals ein schlechtes Plugin oder Theme herunterladen, aber es verringert die Wahrscheinlichkeit, dass Sie von Sicherheitsproblemen betroffen sind.

Angenommen, Sie verwenden den richtigen Host, das richtige Thema und die richtigen Plugins. Ich beschreibe und erkläre Ihnen die notwendigen Sicherheitsmaßnahmen, die Sie ergreifen müssen, um Ihre Website sicher zu machen.

Beachten Sie bei der Beschreibung einzelner Sicherheitsmaßnahmen, dass ich eigenständige Plugins empfehle, die für bestimmte Sicherheitsanwendungen entwickelt wurden.

Später in diesem Beitrag werde ich Wordfence, ein vollwertiges Freemium-Sicherheits-Plugin, und auch die Sicherheitslösungen von Sucuri besprechen. Sie sollten wissen, dass beide fast alle Sicherheitsfunktionen erfüllen, die möglicherweise zuvor in der Post diskutiert wurden, und in einigen Fällen mehr.

Wenn Sie sich also nicht im Detail über einzelne Sicherheitsmaßnahmen informieren möchten, können Sie zum letzten Teil springen, in dem ich die Funktionen eines Sicherheits-Plugins und Anbieter von Sicherheitslösungen wie Sucuri bespreche.

Aber wenn Sie WordPress zum ersten Mal verwenden, empfehle ich Ihnen dringend, den gesamten Beitrag durchzulesen, um die Bedeutung der einzelnen Sicherheitsmaßnahmen vollständig zu verstehen.

#3. Schützen Sie Ihre Login-Seite

Die WordPress-Anmeldeseite ist ein Hauptziel für Brute-Force-Angriffe. Ihre Login-Seite ist definitiv ein verwundbarer Teil Ihrer Website, wenn Sie nicht die entsprechenden Sicherheitsmaßnahmen treffen, um Angreifer zu verhindern.

Ich werde die Bedeutung der Aufrechterhaltung einer starken und sicheren Anmeldeseite mit mehreren Sicherheitsmaßnahmen erläutern, die Ihre Website sicher machen und vor Brute-Force-Angriffen schützen.

Starke Passwörter und ungewöhnlicher Benutzername

Admin ist kein guter Benutzername. WordPress hatte zuvor admin als Standardbenutzername des primären Admin-Kontos. Heute können Sie jedoch bei der Installation von WordPress einen anderen Benutzernamen wählen. Aber wenn die Leute im Allgemeinen anfangen, WordPress zu verwenden, bleiben viele, insbesondere zum ersten Mal, bei admin als Benutzernamen. „admin“ ist ein extrem vorhersehbarer Benutzername und macht es viel einfacher, in Ihre Website einzudringen.

Sie können auch das Plugin Admin Renamer Extended ausprobieren, das Ihren Benutzernamen ändern kann.

Passwörter und die Auswahl ungewöhnlicher zufälliger Zeichenfolgen helfen dabei, die erste Verteidigungslinie gegen Personen zu schaffen, die Ihrer Website Schaden zufügen oder an sensible Informationen gelangen möchten, die auf den Servern Ihrer Website gespeichert sind.

Eine Liste der 5 gängigsten Passwörter, die von SpashData zusammengestellt wurde.

1. 123456
2. Passwort
3. 12345
4. 12345678
5. qwertz

Ein hochmotivierter Dreizehnjähriger kann admin und 123456 erraten. Mit Passwörtern wie den oben genannten ist Ihre Website vor allem dann tot, wenn Sie anständigen Verkehr erhalten.

Die besten Passwörter sind eine Mischung aus Groß- und Kleinschreibung mit Satz- und Sonderzeichen. Verwenden Sie vorzugsweise etwas, das keinerlei Bedeutung hat, und stellen Sie sicher, dass es mindestens 10 Zeichen lang ist. Kein besonderer Grund für 10 Zeichen, aber denken Sie daran, dass es exponentiell schwieriger wird, sie zu knacken, wenn die Passwörter länger sind.

Wenn Ihr Passwort keinen Sinn ergibt und es keinen logischen oder sentimentalen Grund hinter Ihrem Passwort gibt, ist es natürlich viel schwieriger zu erraten. Denken Sie daran, wie Sherlock das Handy-Passwort von Irene Addler errät – „ICH BIN _ _ _ _ GESPERRT“. Nun, selbst Sherlock hätte Schwierigkeiten, ein Passwort zu erraten, das nicht begründet werden kann!

Wenn Sie Schwierigkeiten haben, herauszufinden, welches Passwort Sie verwenden sollen, probieren Sie Tools wie Strong Password Generator oder Secure Password Generator aus, beides kostenlos verfügbare Online-Tools, um ein gutes Passwort für die Admin-Anmeldung Ihrer Website zu ermitteln.

Sicherheits-Plugins erzwingen auch starke Passwörter für den Administrator und alle Benutzer. Dies ist wichtig, selbst wenn Ihre Benutzer keinen Administratorstatus und keine entsprechenden Berechtigungen haben, kann jemand mit Zugriff auf ein kompromittiertes Konto auf Editorebene bei WordPress ziemlich viel Unfug anrichten.

Ein weiterer guter Tipp, den Sie sich immer merken sollten: Ändern Sie Ihre Passwörter häufig. Wenn Sie Schwierigkeiten haben, sich alle Ihre Passwörter zu merken, verwenden Sie einen Passwort-Manager. Sie können One Password, Last Pass, KeePass oder DashLane ausprobieren, um alle Ihre Passwörter sicher zu speichern.

Was Benutzernamen und Passwörter anbelangt: Je weniger Sinn sie machen und je zufälliger sie sind, desto besser ist die Sicherheit, die sie Ihrer Website bieten können.

Begrenzen Sie die Anzahl der Anmeldeversuche

Brute-Force-Angriffe zielen auf Anmeldeseiten von WordPress-Websites ab. Wenn Sie es nicht wissen, werden bei den meisten Brute-Force-Angriffen verschiedene alphanumerische Kombinationen ausprobiert, um das Passwort der Site für einen bestimmten Benutzernamen zu knacken.

Selbst wenn Sie davon ausgehen, dass ein Brute-Force-Angriff nicht erfolgreich ist, müssen Sie die Tatsache erkennen, dass er enorm viel Serverspeicher und Rechenleistung verbraucht. Dies wird Ihre Website mit ziemlicher Sicherheit verlangsamen und zum Crawlen bringen. Viele Hosts bieten auch Schutz vor Brute-Force-Angriffen. Dies liegt daran, dass Ihre Site auf einem gemeinsam genutzten Server potenziell alle beeinträchtigen könnte, wenn sie eine übermäßige Menge an Ressourcen verbraucht.

Die einfachste Methode zur Abwehr von Brute-Force-Angriffen besteht jedoch darin, die Anzahl der Anmeldeversuche zu begrenzen. Wenn jemand Ihren Server nicht wiederholt mit mehreren Benutzernamen- und Passwortkombinationen erreichen kann, funktioniert ein Brute-Force-Angriff nicht.

Login Lockdown, Login Security Solution und Brute Force Login Protection zielen alle darauf ab, den Zugriff auf Ihre Website durch Brute-Force-Hackversuche zu verhindern. Brute Protect wurde vom Team Automattic erworben und ist nun Teil von Jetpack und bietet Schutz vor Brute-Force-Angriffen.

Fast alle Login-Schutz-Plugins haben eine ähnliche Oberfläche.

Alle diese Plugins funktionieren im Wesentlichen, indem sie IP-Adressen verfolgen, die wiederholt versuchen, sich anzumelden und dies nicht gelingt. Nach mehreren fehlgeschlagenen Anmeldeversuchen wird den jeweiligen IPs der Zugriff auf die Anmeldeseite Ihrer Site verwehrt.

Login Security Solution erzwingt eine WordPress-E-Mail-Authentifizierung und Passwortänderung per E-Mail, wenn sie feststellt, dass der aktuell angemeldete Benutzer eher verdächtig ist.

Das Plugin kann starke Passwörter erzwingen und das häufige Ändern von Passwörtern für Benutzer vorschreiben. Auch Hacker-Versuche werden von IP-Bereichen verfolgt, die immer wieder versuchen, sich unrechtmäßig Zugriff zu verschaffen, werden für längere Zeit gesperrt, um sie davon abzuhalten, in Ihre Website einzudringen.

Zwei-Schritt-Login-Authentifizierung

Die Authentifizierung eines Logins fügt zusätzlich zu einem starken Passwort, einem ungewöhnlichen Benutzernamen und einer begrenzten Anzahl erfolgloser Login-Versuche eine zusätzliche Sicherheitsebene hinzu.

Der zweistufige Login-Authentifizierungsprozess macht Ihre Site mehr als nur doppelt sicher. Die Anmeldung bei Ihrer WordPress-Site erfordert einen Authentifizierungscode, der nur über eine mobile Nachricht empfangen werden kann. In Anbetracht dessen ist es eher unwahrscheinlich, dass Ihr Handy in Vorbereitung von einem Hacker gestohlen wird, Ihre Website bleibt sicher gegen Brute Force und andere Hacker-Techniken, die darauf angewiesen sind, an der Anmeldeseite Ihrer Website vorbeizukommen.

Google Authenticator ist ein nützliches Plugin, das auf einer auf Ihrem Android/iPhone/Blackberry installierten App basiert, die Ihnen den erforderlichen Authentifizierungscode zur Verfügung stellt, um sich erfolgreich auf Ihrer Website anzumelden. Sie können diese App nur für die Berechtigungsebene Administrator aktivieren oder sie auf Benutzerbasis verwenden.

Ich mag das nächste Plugin sehr, sie beabsichtigen, Leute, die versuchen, sich ohne den Authentifizierungscode anzumelden, an eine Weiterleitung mit einer anpassbaren URL zu senden. Die Stealth-Anmeldeseite blockiert auch Bots vollständig.

Wenn ein Benutzer die vollständige Anmeldesequenz nicht einhält, wird der Anmeldeversuch abgelehnt. Eine andere Technik, die verwendet werden kann, um Bots zu blockieren, ist die Verwendung von Captcha auf den Anmeldeseiten. Sie können Login No Captcha reCaptcha verwenden, um zu verhindern, dass sich Bots anmelden.

Ändern Sie die URL Ihrer WordPress-Anmeldeseite

Wir haben die Begrenzung von Anmeldeversuchen, die Authentifizierung von Anmeldungen und die Bedeutung der Verwendung eines starken Passworts und eines ungewöhnlichen Benutzernamens besprochen.

Jetzt werden wir die Anmeldeseite ausblenden oder ändern, diese Art von Sicherheitsmodifikationen werden auch als Sicherheit durch Obscurity bezeichnet. Ich weiß, das scheint ein bisschen übertrieben zu sein. Aber bleiben Sie hier bei mir, denn dieser Schritt ist nicht schwieriger als die zuvor vorgeschlagenen Sicherheitsmaßnahmen zur Absicherung Ihrer Login-Seite.

Brute-Force-Angriffe sind nur dann effektiv, wenn sie die Anmeldeseite finden können. Wenn Sie Ihre Login-Seite unverändert lassen, könnten Hacker Ihre Login-Seiten finden.

Versuchen wir, die Anmeldeseite vor ihnen zu verbergen. Sie können dies tun, indem Sie die URL der Anmeldeseite mit WPS Hide Login ändern. Das Plugin ändert nicht wirklich etwas, es fängt lediglich Seitenanfragen ab und macht das wp-admin-Verzeichnis und die wp-login.php-Seiten unzugänglich. Sie müssen sich die neue Anmeldeseite merken, die während der Aktivierung des Plugins festgelegt wurde.

Alternative Optionen zum Ändern der URL Ihrer Anmeldeseite umfassen zwei weitere Plugins, Protect Your Admin und Rename wp-login.php.

SSL

Obwohl ich SSL unter dem Schutz Ihrer Anmeldeseite erwähne, ist SSL eine äußerst wichtige und notwendige Funktion jeder Seite, auf der Sie mit sensiblen Informationen umgehen. Und dies umfasst so ziemlich jede Seite auf vielen Websites, da es auf allen Webseiten Formulare für Blog-Abonnements gibt.

Wenn Sie oder Ihre Besucher/Kunden jemals sensible private Informationen wie Adressen, Kreditkartendaten oder sogar ihre E-Mail-IDs mit Ihnen teilen. Dann schulden Sie ihnen, ihre Informationen zu schützen.

SSL ist eine zusätzliche Schutzschicht (Secure Socket Layer), die das http in https umwandelt und dabei alle geteilten Informationen viel sicherer macht.

So sieht die Seite zum Bearbeiten von Beiträgen, an der ich arbeite, für Colorlib mit SSL aus. Beachten Sie das grün gefärbte „https:“ in der URL-Leiste ?

SSL ist im Grunde etwas, das Ihre Informationen in etwas verschlüsselt, das nicht gelesen werden kann, wie wir es im Klartext tun. Wenn also Informationen zwischen Ihren Servern und einem beliebigen Browser übertragen werden, kann jeder, der darauf Zugriff erhält, keinen Sinn daraus machen. Es gibt einen privaten Schlüssel und einen öffentlichen Schlüssel. Sobald SSL den Informationsfluss komisch und unleserlich macht, müssen wir sie auf der Browserseite wieder verstehen. Hier kommt der private Schlüssel ins Spiel, um die Dinge wieder lesbar zu machen. Der Mechanismus im Spiel ist einem mathematischen Schloss und Schlüssel sehr ähnlich.

SiteGround, unser empfohlener Shared Host, bietet kostenlosen SSL-Schutz. Sie können auch ein SSL-Zertifikat von einer Zertifizierungsstelle kaufen. Wenn Sie Sicherheits-Plugins wie Wordfence ausführen, kann SSL aktiviert werden.

Ich würde Site-weites SSL empfehlen, viele WordPress-Sites, die ColorLib enthalten, verwenden Site-weites SSL. Wenn es sich nicht um Site-weites SSL handelt, sollten Sie auf jeden Fall SSL für Anmeldeseiten als absolutes Minimum erzwingen.

Browser wie Chrome blockieren sogar den Zugriff auf Websites mit fehlerhaften/abgelaufenen SSL-Zertifikaten.

Möglicherweise müssen Sie herausfinden, ob Ihr CDN Inhalte problemlos über SSL bereitstellt, und manchmal können Werbenetzwerke bei der Bereitstellung über SSL Probleme bereiten. Das Hinzufügen von SSL für die gesamte Site kann erhebliche Schwierigkeiten mit sich bringen. Sie sollten diesen sehr aufschlussreichen Artikel über die Schwierigkeiten bei der Aktivierung von Site-weitem SSL lesen.

Google gibt Ihnen einen kleinen Schub (1%) in Ihren Suchrankings, wenn Sie SSL auf Ihren Websites verwenden. Diese Tatsache allein sollte die Verwendung von SSL rechtfertigen. Wieso den ? Nun, Google versteht wie die meisten Webentwickler, wie wichtig es ist, die Sicherheit der Daten Ihrer Leser/Besucher zu gewährleisten.

SSL kann auch auf Ihrem Anmeldebildschirm durch das Wordfence-Sicherheits-Plugin erzwungen werden. Es wird auch erwartet, dass Sicherheitszertifikate irgendwann im Jahr 2015 frei verfügbar sein werden.

Lesen Sie mehr über die Verwaltung über SSL auf WordPress.org.

#4. Schützen Sie Ihren WP-Kern, Ihre Datenbank und verwenden Sie die richtigen Dateiberechtigungen

Bei vielen dieser Sicherheitsmaßnahmen werden wir Ihren WP-Kern modifizieren und Sie müssen mit der Verwendung und dem FTP-Client vertraut sein, um Änderungen vorzunehmen und ihn hochzuladen. Und da die meisten dieser Sicherheitstipps das Ändern oder Modifizieren Ihres WP-Kerns beinhalten, kann dies Ihre Website beschädigen. Sichern Sie Ihren WordPress-Kern und alle seine Inhalte, bevor Sie fortfahren, ein Fehler kann mit einem Backup leicht rückgängig gemacht werden.

WordPress-Sicherheitsschlüssel

WordPress verwendet Cookies, um Benutzer zu identifizieren und zu überprüfen, die zum Kommentieren und Vornehmen von Änderungen im WP-Dash angemeldet sind.

Diese Cookies enthalten Anmeldeinformationen und Ihre Authentifizierungsdaten. Das Passwort wird gehasht, was bedeutet, dass eine mathematische Formel angewendet wird, um es unleserlich zu machen, und kann nicht gelesen werden, ohne die Mathematik erneut anzuwenden, um es lesbar zu machen.

Wir können mit WP Security Keys eine zusätzliche Schutzschicht um dieses Cookie herum hinzufügen. Hierbei handelt es sich um eine Reihe von Zufallsvariablen, die die Sicherheit der in einem Benutzer-Cookie gespeicherten Informationen verbessern. Es gibt 4 Schlüssel, nämlich AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY und NONCE_KEY.

Ein unverschlüsseltes Passwort wie WordPress oder 12345 kann leicht gebrochen werden, wenn jemand das Authentifizierungs-Cookie rekonstruieren kann. Aber das Verschlüsseln mit WP-Sicherheitsschlüsseln macht dies viel schwieriger.

Wie fügen Sie WP-Sicherheitsschlüssel hinzu?

1. Öffnen Sie die Datei wp-config.php.
2. Suchen Sie nach "eindeutigen Schlüsseln und Salzen für die Authentifizierung".
3. Verwenden Sie ein Online-Tool zum automatischen Schlüsselgenerator.
4. Kopieren Sie die Schlüssel aus dem Online-Tool und ersetzen Sie den vorhandenen Schlüsselsatz, indem Sie ihn in der wp-config.php überschreiben.
5. Speichern Sie es.
6. Sie können den gleichen Vorgang jeden Monat oder so wiederholen.

Denken Sie daran, dass Benutzer jedes Mal, wenn Sie die Sicherheitsschlüssel ändern, abgemeldet werden und sich erneut bei ihren Konten anmelden müssen.

iThemes Security stellt die dafür notwendigen Tools aus dem WP-Dash bereit. Außerdem werden Sie jeden Monat daran erinnert, Ihre Sicherheitsschlüssel zu ändern.

Schützen Sie Ihre WP-Verzeichnisse mit einem Passwort

Dies kann über Ihr cPanel oder das Dashboard eines beliebigen Webhosts erfolgen. Öffnen Sie im cPanel Sicherheit > Verzeichnisse mit Kennwortschutz. Sie finden eine Liste aller Ordner auf Ihrer Site. Beginnen Sie mit einem wichtigen Ordner wie wp-admin.

Sie finden ein Dialogfeld, in dem Sie aufgefordert werden, einen Benutzer zu erstellen, indem Sie einen Benutzernamen und ein Kennwort eingeben. Legen Sie nun den neuen Benutzer an. Wenn Sie danach auf den Ordner wp-admin auf Ihrer Website zugreifen müssen, müssen Sie den Benutzernamen und das Passwort eingeben, um auf die Website zuzugreifen.

Dies fügt Ihren wichtigsten Teilen Ihrer Website eine zusätzliche Ebene des passwortbasierten Schutzes hinzu.

Verwenden Sie sicheres FTP (SFTP)

Ein Dateiübertragungssystem ist erforderlich, um die Daten Ihrer Website an Ihren Webhost zu übertragen, wenn Sie neue Änderungen hinzufügen, die Sie integrieren möchten. Mit einem normalen Dateiübertragungsprotokoll oder FTP steigt die Wahrscheinlichkeit, dass jemand Ihre Website abfängt und Schwachstellen findet, um Ihre Website auszunutzen.

Sie benötigen den richtigen Client, um eine SFTP-Verbindung zum Hochladen neuer Dateien und geändertem Code zu verwenden. Sie können FileZilla verwenden, um Ihnen den Einstieg zu erleichtern.

Darüber hinaus benötigen Sie einige spezifische Angaben zu Ihrem Webhosting-Konto. Im Allgemeinen stellt jeder Host spezifische Informationen bereit, die Ihnen beim Einrichten eines sicheren Dateiübertragungsprotokolls helfen. Normalerweise haben Sie einen SSH-Schlüssel, der vom Host generiert wird, dieser Schlüssel muss Ihrem SFTP-Client wie FileZilla hinzugefügt werden und es ist einfach, von dort aus eine sichere Verbindung für den Dateitransfer einzurichten.

Verwenden der richtigen Dateiberechtigungen

Der Zugriff auf Ihre Dateien muss über die entsprechenden Berechtigungen verfügen. Es ist möglich, vom Webserver aus auf Ihrem WordPress zu schreiben. Das Problem tritt auf, wenn Sie diese Umgebung mit mehreren Websites teilen, deren Websites möglicherweise auch auf einem gemeinsam genutzten Server liegen.

Im Allgemeinen haben WordPress-Ordner und WordPress-Dateien bestimmte Berechtigungen auf verschiedenen Hosts. Mit Shell-Zugriff können Sie die folgenden beiden Befehle ausführen, um Ihre WordPress-Ordner und -Dateien sicher und nur für den richtigen Benutzer zugänglich zu halten.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Wieso den ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• All In One WP-Sicherheit & Firewall

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter( 'auto_update_theme', '__return_true');

Wenn Sie nicht gerne mit Code herumfummeln, können Sie ein Plugin verwenden, um sich selbst zu helfen. Sie haben eine weitere Option in Form eines Plugins, wenn es darum geht, die reibungslose Aktualisierung Ihres WP und aller Themes/Plugins auf Ihrer Website sicherzustellen. Mit Advanced Automatic Updates können Sie Major Updates und Minor/Security Updates einzeln aktivieren. Und das Plugin bietet auch Auto-Update-Lösungen für Themes und Plugins.

Wenn Sie bei Multisite-Update-Lösungen Hilfe bei der Handhabung von Updates mit WordPress-Plugins und -Designs benötigen, können Sie Easy Updates Manager ausprobieren. Es gibt auch einen Premium-Service von WP Updates, der automatische Aktualisierungslösungen für Premium-Plugins und -Designs bereitstellt.

Die Verwendung von Plugins wie ManageWP oder einem verwalteten WP-Host wie WPEngine hilft auch bei der Behebung von Problemen mit der Aktualisierung Ihres WordPress und der Drittanbieter-Software, die Sie auf Ihrer Website verwenden.

Das Aktualisieren des WordPress-Kerns wird automatisch problematisch, wenn die Dinge zusammenbrechen. Dies kann entweder aufgrund von benutzerdefiniertem Code passieren, der während eines Updates gelöscht wird, oder Kompatibilitätsproblemen, die mit Software von Drittanbietern (Plugins & Themes) auftreten. Dies ist ein Grund, der Sie innehalten kann. Vielleicht ist es besser, kleinere Updates zu aktivieren.

Wenn Sie Probleme mit Ihren automatischen WordPress-Updates haben, empfehle ich Ihnen, den Background Update Tester auszuprobieren. Das Plugin prüft auf Kompatibilitätsprobleme und erklärt diese.

Führen Sie immer eine Sicherung durch, bevor Sie aktualisieren. Immer! Dies, um Ihre Website vor schrecklichen Fehlern zu schützen. In diesem Fall machen Sie Ihre Website durcheinander. Eine bewährte Vorgehensweise, die Sie befolgen sollten, um sich vor automatischen Updates zu schützen, die durch Kompatibilitätsprobleme mit Plugins, Designs und manchmal benutzerdefiniertem Code auf Ihrem WP-Kern Chaos verursachen.

#7. Noch ein paar Dinge über WP-Sicherheit – Firewalls, Audit-Logs und Malware-Scanner

Ich habe nicht über Firewalls für WordPress gesprochen. Eine gute Firewall kann viel bewirken und die häufigsten Angriffsformen auf Ihre Websites abschwächen.

• Mildern Sie die Auswirkungen eines DDoS-Angriffs.
• Brute-Force-Angriffe werden sofort gestoppt.
• Schützen Sie sich vor Software-Schwachstellen.
• Stoppt Code-Injection-Angriffe wie SQL- oder XSS-Angriffe.
• Fehler beheben und Zero-Day-Schwachstellen abwehren.

Zur Veranschaulichung hier eine Momentaufnahme dessen, was die Sucuri-Firewall für eine WordPress-Website tut.

Firewall ist nicht der Begriff, den Sucuri verwendet, um sein Schutzsystem zu beschreiben, sondern CloudProxy, eine Kombination aus einer Webanwendungs-Firewall und einem Intrusion Detection-System. Jeglicher bösartiger Datenverkehr wird herausgefiltert und anomale Aktivitäten werden überwacht.

Firewalls wurden traditionell entwickelt, um Verbindungen zu überwachen, aber der CloudProxy von Sucuri hält nicht nur die Bösen fern, sondern erstellt auch virtuelle Patches gegen Schwachstellen. Sobald eine Anfrage eines Besuchers die Firewall passiert, erreicht sie das Intrusion Prevention- und Detection-System, wo das System die Anfragen nach möglichen Angriffsmustern durchsucht.

Ich denke, die virtuelle Patching-Funktion zum Schutz vor Schwachstellen ist ein hochwirksamer und unschätzbarer Vorteil für jede Website mit zu vielen Anpassungen (bedeutet, dass bei Kompatibilitätsproblemen viel schief gehen kann). Es ist immer besser, das Update auf WordPress in einer Staging-Area anzuwenden und zu prüfen, ob Ihre Website reibungslos funktioniert. Und wenn doch, können Sie die aktualisierte Version Ihrer Website live schalten. Aber in der Zwischenzeit ist Ihre Website wirklich in Gefahr. Ein Schutz vor Zero-Day-Exploits ist nur durch Updates zur Behebung von Schwachstellen möglich, dies muss jedoch bei der Verwendung von Sucuri CloudProxy nicht der Fall sein.

Darüber hinaus führen sie Protokolle über alle Aktivitäten auf Ihrer Website und suchen nach möglichen Anzeichen von Unfug.

Betrachten Sie die Firewall als letzte Maßnahme. Sie ist die Mauer, die ein Hacker durchbrechen muss, um auf die sensiblen Inhalte Ihrer Website zuzugreifen. Gute Praktiken sind größtenteils so konzipiert, dass Sie die Firewall nicht so oft verwenden müssen.

Malware-Scansoftware oder Websites wie Sucuri SiteCheck können Ihre Websites auf Schwachstellen und mögliche Sicherheitslücken scannen. Sicherheits-Plugins verfügen auch über eine Malware-Scan-Software, um alle Änderungen zu verfolgen, die anormal aussehen und Quellen für potenzielle Sicherheitsprobleme sind.

Ich hatte zuvor auch das WP Security Audit Log erwähnt, wobei ich festgestellt habe, dass es ein notwendiges Plugin ist, um alle Änderungen auf Ihrer Website zu verfolgen. Ich möchte diesen Punkt wiederholen, es ist ein äußerst nützliches Plugin, um nicht nur Änderungen zu verfolgen, die von Themes und Plugins vorgenommen wurden, sondern auch Aktionen anderer Benutzer. Es ist sehr wichtig, dass Sie entweder das WP Security Audit Log verwenden oder ein anderes Datenprotokollierungs-Plugin ausführen, um alle Änderungen zu verfolgen.

Die Protokollierung ist auch ein wichtiges Merkmal des Schutzsystems von Sucuri. Trotz ihrer übereifrigen Bemühungen, die Sicherheit zu gewährleisten, passieren manchmal schlimme Dinge und Websites werden gehackt. Wenn das passiert, ist ihr Protokollierungssystem sehr nützlich, um Websites aus dem Graben zu heben.

Firewalls, Malware-Scanner und Audit-Logs sind sehr praktisch gegen nicht vorhersehbare Bedrohungen und Zero-Day-Exploits. Sie sind kein Ersatz für gute WordPress-Sicherheitspraktiken.

#8. Verstecken Sie Ihre WordPress-Version – Ist das notwendig?

Ich habe auf einigen Websites gelesen, dass das Verstecken Ihrer WordPress-Version Ihre Sicherheit vor böswilligen Hackern erhöht. Das Problem ist, dass die Annahme besteht, dass das Wissen um Schwachstellen, die mit einem bestimmten WordPress verbunden sind, es wahrscheinlicher macht, dass jemand sie ausnutzt. Dies ist nicht unbedingt wahr. Im Allgemeinen verwenden Personen, die Informationen von Websites stehlen, automatisierte Tools, um Websites auf bekannte Schwachstellen zu durchsuchen. Und wenn Ihre WordPress-Version anfällig ist, wissen sie es. Es ist nicht so, dass Hacker eine Website nach der anderen überprüfen und sie nach WordPress-Version sortieren.

Wie bereits erwähnt, aktualisiere dein WordPress, Themes und Plugins so schnell wie möglich. Hacker unterscheiden nicht zwischen Websites, die eine WordPress-Version anzeigen, und Websites, die dies nicht tun.

Für den unwahrscheinlichen Fall, dass ein Hacker jede Website manuell besucht und die WordPress-Version überprüft und dann versucht, Schwachstellen zu finden, kann es hilfreich sein, Ihre WordPress-Version zu verbergen.

Verwenden Sie das Remove Version Plugin, um Ihre WordPress-Version zu entfernen. Wenn das für Sie nicht funktioniert, müssen Sie ein paar kleine Änderungen vornehmen, und dieser Blogbeitrag sollte Ihnen helfen.

#9. Backup – Letzte Linie der Website-Sicherheit

Sie sollten immer auf den Fall vorbereitet sein, dass Ihre WordPress-Site trotz aller Sicherheitsmaßnahmen kompromittiert wird. Wenn das passiert, müssen Sie eingreifen und die Dinge reparieren. Jetzt gibt es mehrere Möglichkeiten, wie die Wiederherstellung der Site durchgeführt werden kann. Backups mit Ein-Klick-Wiederherstellungen sind eine einfache Lösung für eine kompromittierte Website, vorausgesetzt, die Sicherheitslücke oder Schwachstelle wurde bereits behoben.

Automatische Backups sind ein notwendiger und wesentlicher Bestandteil des Sicherheitsarsenals jeder WordPress-Website. Betrachten Sie die Sicherheits-Plugins als Ihr Schwert und das Backup als Ihren Schutzschild. Sollte Ihr Angriff Sie versagen, wird Ihr Schild, in diesem Fall die Backups, Ihre letzte Verteidigungslinie.

Denken Sie daran, ich gehe davon aus, dass nur Ihr WordPress kompromittiert ist und nicht Ihr Server, der eine ganz andere Tüte mit Würmern ist. Die meisten Hosting-Dienstleister verfügen jedoch über ein starkes Sicherheitsteam, das ihre Server ständig und insbesondere bei globalen Angriffen vor bösartigen Elementen schützt. Ich habe vor einigen Wochen einen Beitrag über die verschiedenen Anbieter von Shared-Hosting-Diensten geschrieben, falls Sie Interesse haben.

Backups – Wenn Sie sich für ein kostenloses Plugin entscheiden, ohne einen Cent für Backup-Dienste zu bezahlen, dann würde ich sagen, dass Sie mit Updraft Plus beginnen können, einem Freemium-Plugin.

Mit diesem Plugin können Sie eine Kopie Ihrer Website sichern und auf einem von verschiedenen Diensten bereitgestellten Speicher speichern. Es umfasst Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP & SFTP und E-Mail. Beachten Sie auch, dass das kostenlose Plugin nur Backups an einem Ort zulässt. Sie benötigen ein Premium-Add-On, wenn Sie das Plugin verwenden möchten, um Ihre Website an mehreren Stellen zu speichern.

Dieses Plugin speichert wie die meisten Backup-Anbieter von WordPress-Backups alles, einschließlich Ihrer Inhalte, Themen und Plugin-Einstellungen, und kann auch ein WordPress-Datenbank-Backup unabhängig von Ihren normalen Backups ausführen.

Wenn Sie einen Premium-WordPress-Backup-Service nutzen möchten, empfehle ich Ihnen, sich BackUp Buddy, VaultPress oder BlogVault anzusehen (ich habe in der Vergangenheit mit ihnen zusammengearbeitet und sie haben einen großartigen Service).

Halten Sie mehr als eine Kopie Ihrer Website verfügbar und haben Sie immer eine Kopie auf einem physischen Laufwerk, das nicht auf eine Internetverbindung angewiesen ist. Backups sind auch aus nicht sicherheitstechnischer Sicht eine gute Idee. Wenn Sie mit Themes und Plugins experimentieren, wenn Sie Themes, Plugins oder Ihr WordPress aktualisieren, besteht immer die Möglichkeit, dass ein Kompatibilitätsproblem auftritt und Ihre Website kaputt geht.

Und nach meiner Erfahrung mit automatischen Backups müssen Sie Kopien von Backups in einer Weise löschen, die der Häufigkeit entspricht, mit der Sie immer wieder neue Inhalte hinzufügen und Sicherungskopien erstellen.

Wenn es um meinen PC geht, bevorzuge ich immer Backup-Lösungen, die inkrementelle/differentielle Backups im Gegensatz zu vollständigen Backups anbieten, aber Sie beachten auch, dass die Wiederherstellung mit der früheren Wiederherstellung länger dauert. Das gleiche gilt definitiv für ein WordPress-Backup-System. Sie sollten sich jedoch keine Sorgen machen, es sei denn, Ihr Backup-Anbieter berechnet aufgrund strenger Beschränkungen der Datenspeichergrenzen zusätzliche Gebühren.

Abschluss

Ich kann nicht anders, dieses Zitat aus der Harry-Potter-Reihe scheint so passend.

"Ständige Wachsamkeit!" – Mad-Eye-Moody

Moody ist ein dunkler Zaubererfänger in der Serie, wenn Sie sich fragen.

Wie ich bereits erwähnt habe, gibt es im Web keine vollständige Sicherheit. Sie können zahlreiche Sicherheitsmaßnahmen ergreifen und trotzdem Ihre Website hacken lassen. Aber sicherzustellen, dass Ihre Website mit SSL läuft, dass Ihre Anmeldeseiten gehärtet sind, Ihre Passwörter und Benutzernamen bemerkenswert unbekannt sind, Ihre Website vollständig aktualisiert und vor bekannten Bedrohungen geschützt und täglich vollständig gesichert wird, verbessert die Chancen zu Ihren Gunsten erheblich .

Wenn Sie ein komplett hack-/exploitfreies WordPress wünschen, stellen Sie durch die Einhaltung aller oben genannten Sicherheitsmaßnahmen sicher, dass Ihre Website luftdicht gesichert ist. Aber selbst dann können Sie sich nicht vor Zero-Day-Exploits oder einem intelligenten Hacker schützen, der darauf aus ist, Ihre Website zu knacken, obwohl dies ein sehr unwahrscheinliches Ereignis ist.

Denk darüber so. Wie viel Umsatz und Umsatz verliere ich, wenn meine Website gehackt wird? Gefährde ich die Daten meiner Kunden? Macht mich das für Klagen haftbar? Wenn Sie feststellen, dass die Kosten für das Hacken Ihrer Website relativ hoch sind, empfehle ich Ihnen, entweder einen verwalteten WordPress-Hosting-Dienst oder einen wirklich großen Web-Bouncer in Form der Sicherheitsdienste von Sucuri zu verwenden.

Ihre Website muss nicht unbedingt beliebt sein, um ein Ziel zu werden. Und sie wird nie zu einer stark frequentierten Website, wenn sie ständig Hacks und Angriffen zum Opfer fällt.

Wie ich bereits über das Hosting sagte. Wenn Sie sich einigermaßen sicher sind, dass Sie eine gewinnbringende Website erstellen können, die die Kosten für die besten Hosting-/Sicherheitsdienste trägt, dann entscheiden Sie sich für die besten. Wenn Sie sich die besten Webhosting-/Sicherheitsdienste leisten können, lohnt es sich auf lange Sicht, vorausgesetzt, Sie sind kein Webentwickler von Beruf.

Wenn Sie sich das beste verwaltete Webhosting oder erstklassige Sicherheit nicht leisten können, ergreifen Sie die oben genannten Sicherheitsmaßnahmen. Die Chancen stehen gut, dass Ihre Website sicher ist.

Wenn Sie zusätzliche Einblicke in die WordPress-Sicherheit haben oder andere Ideen zum Schutz Ihrer WordPress-Website haben, würde ich mich freuen, Ihre Ideen in den Kommentaren unten zu hören. Danke schön