Schutztipps für WordPress. 12 Tipps zum Schutz Ihrer Website

WordPress ist eines der beliebtesten CMS der Welt. Mehr als 18,9 % aller Internetseiten verwenden es, und die Zahl der Installationen hat 76,5 Millionen überschritten. Leider hat diese Popularität ihre Nachteile. Laut dem Bericht von Sucuri (Website Security & Protection) ist WordPress das am besten hackbare CMS weltweit. Wenn Sie jedoch die Best Practices in dieser Angelegenheit befolgen und einige Techniken aus diesem Leitfaden implementieren, werden Sie feststellen, dass der Schutz von WordPress durch ein paar einfache Schritte leicht verstärkt werden kann.

Was wirst du brauchen

Bevor wir beginnen, überprüfen Sie Folgendes:

• Zugriff auf die WordPress-Systemsteuerung;
• Ihr Hosting-Account-Zugang (optional).

Inhalt

Schritt 1. Pflege der aktuellen Version von WordPress;
Schritt 2. Verwenden von nicht standardmäßigen Anmeldeinformationen;
Schritt 3. Zweistufige Authentifizierung aktivieren;
Schritt 4. PHP-Fehlerberichte deaktivieren;
Schritt 5. Verwenden Sie keine Null-Vorlagen für WordPress;
Schritt 6. WordPress auf Malware scannen;
Schritt 7. Übertragung Ihrer Website auf ein sichereres Hosting;
Schritt 8. Sichern Sie Ihre Daten so oft wie möglich;
Schritt 9. Option zum Bearbeiten von Dateien deaktivieren;
Schritt 10. Nicht verwendete Vorlagen und Plug-Ins löschen;
Schritt 11. Verwendung von .htaccess zur Verbesserung der WordPress-Sicherheit;
Schritt 12. Ändern der standardmäßigen WordPress-Datenbankpräfixe, um eine SQL-Injektion zu verhindern. Fazit

Schritt 1. Pflege der aktuellen Version von WordPress

Dies wird der erste und wichtigste Schritt zur Verbesserung der WordPress-Sicherheit sein. Wenn Sie eine saubere Website ohne Malware benötigen, müssen Sie sicherstellen, dass die Version Ihres WordPress aktuell ist. Dieser Ratschlag mag einfach aussehen, aber nur 22 % aller WordPress-Installationen sind in der neuesten Version.

WordPress hat die automatische Update-Funktion in Version 3.7 implementiert, aber sie funktioniert nur für kleine Sicherheitsupdates. Während große Schlüsselaktualisierungen manuell installiert werden müssen.

Falls Sie nicht wissen, wie man WordPress aktualisiert, sehen Sie sich dies an.

Schritt 2. Verwenden von nicht standardmäßigen Anmeldeinformationen

Verwenden Sie „admin“ als Administratornamen in WordPress? Wenn die Antwort „Ja“ lautet, dann reduzieren Sie die WordPress-Sicherheit erheblich und machen es einfacher, sich in Ihr Control Panel zu hacken. Es wird dringend empfohlen, dass Sie den Benutzernamen des Administrators ändern (siehe dieses Tutorial, wenn Sie sich nicht sicher sind, wie das geht) oder ein neues Administratorkonto mit anderen Daten erstellen.

Befolgen Sie diese Schritte, wenn Sie die zweite Option bevorzugen:

• Melden Sie sich beim WordPress-Kontrollfeld an;
• Suchen Sie den Abschnitt „Benutzer“ und klicken Sie auf die Schaltfläche „Neu hinzufügen“.
• Erstellen Sie einen neuen Benutzer und weisen Sie Administratorrechte zu;
• Melden Sie sich mit Ihren neuen Daten bei WordPress an;
• Kehren Sie zum Abschnitt Benutzer zurück und löschen Sie das standardmäßige Administratorkonto.

Ein gutes Passwort spielt eine Schlüsselrolle bei der WordPress-Sicherheit. Es ist viel schwieriger, ein Passwort zu knacken, das aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen besteht. Tools wie LastPass und 1Password können Ihnen dabei helfen, komplexe Passwörter zu erstellen und zu verwalten. Wenn Sie sich jemals bei Ihrem WordPress-Kontrollfeld anmelden müssen, wenn Sie sich mit einem unsicheren Netzwerk verbinden (z. B. Cafés, öffentliche Bibliotheken usw.), vergessen Sie nicht, ein sicheres VPN zu verwenden, das Ihre Anmeldeinformationen schützt.

Schritt 3. Aktivieren der zweistufigen Authentifizierung

Die zweistufige Authentifizierung fügt Ihrer Autorisierungsseite eine zusätzliche Sicherheitsebene hinzu. Sobald der Benutzername bestätigt ist, wird ein weiterer Schritt hinzugefügt, den Sie ausführen müssen, um sich erfolgreich zu authentifizieren. Sie verwenden dies höchstwahrscheinlich bereits, um auf Ihre E-Mail-, Online-Bank- und andere Konten zuzugreifen, die vertrauliche Informationen enthalten. Warum nicht auch in WordPress verwenden?

Obwohl dies kompliziert erscheinen mag, ist die Aktivierung der zweistufigen Authentifizierung in WordPress sehr einfach. Sie müssen lediglich eine App für die zweistufige Authentifizierung installieren und für Ihr WordPress konfigurieren. Ausführlichere Informationen zur Aktivierung der zweistufigen Authentifizierung in WordPress finden Sie hier.

Schritt 4. PHP-Fehlerberichte deaktivieren

PHP-Fehlerberichte können sehr nützlich sein, wenn Sie eine Website entwickeln und sicherstellen möchten, dass alles ordnungsgemäß funktioniert. Das Anzeigen von Fehlern für alle ist jedoch ein schwerwiegendes Versäumnis in der Sicherheit von WordPress.

Sie sollten dies so schnell wie möglich beheben. Keine Sorge, Sie müssen kein Programmierer sein, um PHP-Fehlerberichte auf WordPress zu deaktivieren. Die meisten Hosting-Dienstleister bieten diese Option im Control Panel an. Wenn nicht, füge einfach die folgenden Zeilen zu deiner wp-config.php-Datei hinzu. Du kannst den FTP-Client oder den Dateimanager verwenden, um die Datei wp-config.php zu bearbeiten.

error_reporting(0);
@ini_set('display_errors', 0);

Schritt 5. Verwenden Sie keine Null-Vorlagen für WordPress

Denken Sie daran: „Der einzige kostenlose Käse ist in der Mausefalle.“ Gleiches gilt für genullte Templates und Plugins.

Es gibt Tausende von Null-Plugins und -Vorlagen im ganzen Internet. Benutzer können sie kostenlos herunterladen, indem sie verschiedene Filesharing- oder Torrent-Dateien verwenden. Sie wissen nicht, dass die meisten von ihnen mit Malware oder Links zu schwarzen Methoden zur Suchmaschinenoptimierung infiziert sind.

Hören Sie auf, Null-Plugins und -Vorlagen zu verwenden. Dies ist nicht nur unethisch, sondern schadet auch Ihrer WordPress-Sicherheit. Schließlich zahlen Sie einem Entwickler mehr, um Ihre Website zu bereinigen.

Schritt 6. WordPress auf Malware scannen

Hacker verwenden häufig Löcher in Vorlagen oder Plugins, um WordPress zu infizieren. Daher ist es wichtig, Ihren Blog öfter zu überprüfen. Zu diesem Zweck gibt es viele gut geschriebene Plugins. WordFence hebt sich von der Masse ab. Es bietet eine Anleitung zur Verwendung und die Möglichkeit zum automatischen Testen sowie eine Reihe anderer verschiedener Einstellungen. Sie können sogar modifizierte/infizierte Dateien mit wenigen Klicks wiederherstellen. Es ist kostenlos erhältlich. Diese Fakten sollten ausreichen, um es jetzt zu installieren.

Andere beliebte Plugins zur Verbesserung der WordPress-Sicherheit:

• Kugelsichere Sicherheit . Im Gegensatz zu WordFence, über das wir bereits gesprochen haben, scannt BulletProof Ihre Dateien nicht, sondern bietet Ihnen eine Firewall, einen Datenbankschutz usw. Eine Besonderheit ist die Möglichkeit, das Plugin mit wenigen Klicks zu konfigurieren und zu installieren.
• Sucuri-Sicherheit . Dieses Plugin schützt Sie vor DDOS-Angriffen, hat eine Blacklist, scannt Ihre Website auf Malware und kontrolliert Ihre Firewall. Wenn es etwas findet, werden Sie per E-Mail benachrichtigt. Google, Norton, McAfee – dieses Plugin enthält alle Blacklists dieser Programme.

Schritt 7. Übertragen Sie Ihre Website auf ein sichereres Hosting

Dieser Ratschlag mag seltsam erscheinen, aber Statistiken zeigen, dass mehr als 40 % der WordPress-Websites aufgrund von Sicherheitslücken in ihren Hosting-Konten gehackt wurden. Diese Statistiken sollten Sie ermutigen, WordPress auf ein sichereres Hosting umzustellen. Einige wichtige Fakten, die Sie bei der Auswahl eines neuen Hostings beachten sollten:

• Wenn es sich um Shared Hosting handelt, stellen Sie sicher, dass Ihr Konto von anderen Benutzern isoliert ist und keine Infektionsgefahr von anderen Websites auf dem Server besteht.
• Hosting hat eine automatische Backup-Funktion;
• Der Server verfügt über eine Drittanbieter-Firewall und ein Scan-Tool.

Schritt 8. Sichern Sie Ihre Daten so oft wie möglich

Selbst die größten Websites werden jeden Tag gehackt, obwohl ihre Besitzer Tausende ausgeben, um die Sicherheit von WordPress zu verbessern.

Auch wenn Sie die Best Practices in diesem Bereich befolgen und die Tipps in diesem Artikel befolgt haben, müssen Sie trotzdem regelmäßig Backups Ihrer Website erstellen.

Es gibt mehrere Möglichkeiten, ein Backup zu erstellen, z. B. können Sie Site-Dateien manuell herunterladen und die Datenbank exportieren oder die von Ihrem Hosting-Unternehmen angebotenen Tools verwenden. Eine andere Möglichkeit ist die Verwendung von WordPress-Plugins. Die beliebtesten von ihnen sind:

• VaultPress;
• BackUpWordPress;
• BackupGuard.

Sie können sogar das Erstellen und Speichern von WordPress-Backups in Dropbox automatisieren.

Schritt 9. Option zum Bearbeiten von Dateien deaktivieren

Wie Sie wahrscheinlich wissen, verfügt WordPress über einen integrierten Editor, mit dem Sie PHP-Dateien bearbeiten können. Diese Funktion ist ebenso nützlich wie wahrscheinlich schädlich. Wenn Hacker Zugriff auf Ihr Control Panel erhalten, werden sie als Erstes den Datei-Editor bemerken. Einige WordPress-Benutzer ziehen es vor, diese Funktion vollständig zu deaktivieren. Es kann deaktiviert werden, indem die Datei wp-config.php bearbeitet wird, indem der folgende Code hinzugefügt wird:

define( 'DISALLOW_FILE_EDIT', true );

Das ist alles, was Sie brauchen, um diese Funktion in WordPress zu deaktivieren.

WICHTIG. Falls du diese Funktion wieder aktivieren möchtest, verwende den FTP-Client oder Dateimanager für dein Hosting und entferne diesen Code aus der Datei wp-config.php.

Schritt 10. Nicht verwendete Vorlagen und Plugins löschen

Bereinigen Sie Ihre Website auf WordPress und entfernen Sie alle nicht verwendeten Vorlagen und Plug-Ins. Hacker verwenden oft deaktivierte und veraltete Vorlagen und Plug-Ins (sogar offizielle WordPress-Plug-Ins), um auf Ihr Control Panel zuzugreifen oder schädliche Inhalte auf Ihren Server herunterzuladen. Indem Sie Plugins und Templates entfernen, die Sie vor langer Zeit nicht mehr verwenden (und vielleicht vergessen haben, sie zu aktualisieren), reduzieren Sie die Risiken und machen Ihre WordPress-Website sicherer.

Schritt 11. Verwendung von .htaccess zur Verbesserung der WordPress-Sicherheit

.htaccess ist eine Datei, die für die korrekte Arbeit von WordPress-Links erforderlich ist. Ohne die richtigen Einträge in der .htaccess-Datei erhalten Sie viele 404er.

Nicht viele Benutzer wissen, dass .htaccess verwendet werden kann, um den Schutz von WordPress zu verbessern. Sie können beispielsweise den Zugriff blockieren oder die PHP-Ausführung in bestimmten Ordnern deaktivieren.

WICHTIG. Bevor Sie Änderungen an der Datei vornehmen, sichern Sie die alte .htaccess-Datei. Dazu können Sie den FTP-Client oder den Dateimanager verwenden.

Zugriff auf den administrativen Teil von WordPress deaktivieren

Mit dem folgenden Code können Sie nur von bestimmten IPs aus auf den administrativen Teil von WordPress zugreifen.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „WordPress Admin Access Control“
AuthType Basic

Befehl verweigern, zulassen.
abgelehnt von allen
ab xx.xx.xx.xx.xxx zulassen
ab xx.xx.xx.xx.xxx zulassen

Beachten Sie, dass „xx.xx.xx.xx.xxx“ Ihre IP-Adresse ist. Sie können diese Website verwenden, um Ihre aktuelle IP-Adresse zu überprüfen. Wenn Sie mehr als eine Verbindung verwenden, um die Website auf WordPress zu verwalten, stellen Sie sicher, dass Sie andere IP-Adressen geschrieben haben (fügen Sie so viele Adressen hinzu, wie Sie benötigen). Es wird nicht empfohlen, diesen Code zu verwenden, wenn Sie eine dynamische IP-Adresse haben.

Deaktivieren der PHP-Ausführung in bestimmten Ordnern

Hacker laden Backdoor-Skripte gerne in den WordPress-Downloadordner hoch. Standardmäßig wird dieser Ordner nur zum Speichern von Mediendateien verwendet. Daher sollte es keine PHP-Dateien enthalten. Du kannst die PHP-Ausführung einfach deaktivieren, indem du eine neue .htaccess-Datei in /wp-content/uploads/ mit diesen Regeln erstellst:

abgelehnt von allen

Schutz der Datei wp-config.php

Die Datei wp-config.php enthält den WordPress-Konfigurationskernel und Details zur MySQL-Datenbank. Daher ist es die wichtigste Datei in WordPress. Daher wird es oft zum Hauptziel von WordPress-Hackern. Sie können es jedoch einfach mit den folgenden .htaccess-Regeln sichern:

Befehl erlauben, verweigern.
abgelehnt von allen

Schritt 12. Ändern der standardmäßigen WordPress-Datenbankpräfixe, um eine SQL-Einschleusung zu verhindern

Die WordPress-Datenbank enthält und speichert alle wichtigen Informationen, die für den Betrieb Ihrer Website notwendig sind. Infolgedessen wird es zu einem weiteren Ziel für Hacker und Spammer, die automatisierten Code für die Implementierung von SQL-Code ausführen. Während der WordPress-Installation machen sich viele Leute nicht die Mühe, das Standard-Datenbankpräfix wp_ zu ändern. Laut WordFence ist 1 von 5 Hacks von WordPress mit der Implementierung von SQL-Code verbunden. Da wp_ einer der Standardwerte ist, beginnen Hacker zuerst damit. An dieser Stelle werde ich kurz darüber nachdenken, eine Website auf WordPress vor solchen Angriffen zu schützen.

Ändern der Präfixtabelle für eine vorhandene WordPress-Site

WICHTIG. Sicherheit zuerst! Bevor Sie beginnen, stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer MySQL-Datenbank haben.

Teil eins. Ändern des Präfixes in wp-config.php

Finde deine wp-config.php-Datei mit dem FTP-Client oder Dateimanager und finde die Zeile mit $table_prefix.

Sie können zusätzliche Zahlen, Buchstaben oder Unterstriche hinzufügen. Speichern Sie danach Ihre Änderungen und fahren Sie mit dem nächsten Schritt fort. In dieser Anleitung verwende ich wp_1secure1_ als neues Tabellenpräfix.

Während du dich in deiner wp-config.php-Datei befindest, finde deinen Datenbanknamen, um zu wissen, welchen du ändern musst. Schauen Sie im Abschnitt define('DB_NAME' nach.

Zweiter Teil. Aktualisieren aller Datenbanktabellen

Jetzt müssen Sie alle Datensätze in Ihrer Datenbank aktualisieren. Dies kann mit phpMyAdmin erfolgen.

Suchen Sie die im ersten Teil definierte Datenbank und melden Sie sich an.

Standardmäßig hat die WordPress-Installation 12 Tabellen und jede davon sollte aktualisiert werden. Dies kann jedoch schneller durchgeführt werden, indem die SQL-Partition in phpMyAdmin verwendet wird.

Das manuelle Ändern jeder Tabelle nimmt sehr viel Zeit in Anspruch. Verwenden Sie daher SQL-Abfragen, um den Vorgang zu beschleunigen. Mit der folgenden Syntax können Sie alle Tabellen in Ihrer Datenbank aktualisieren:

Tabelle „wp_commentmeta“ in „wp_1secure1_commentmeta“ umbenennen;
Tabelle „wp_comments“ in „wp_1secure1_comments“ umbenennen;
Tabelle „wp_links“ in „wp_1secure1_links“ umbenennen;
Tabelle „wp_options“ in „wp_1secure1_options“ umbenennen;
Tabelle „wp_postmeta“ in „wp_1secure1_postmeta“ umbenennen;
Tabelle „wp_posts“ in „wp_1secure1_posts“ umbenennen;
Tabelle „wp_terms“ in „wp_1secure1_terms“ umbenennen;
Tabelle „wp_termmeta“ in „wp_1secure1_termmeta“ umbenennen;
Tabelle „wp_term_relationships“ in „wp_1secure1_term_relationships“ umbenennen;
Tabelle „wp_term_taxonomy“ in „wp_1secure1_term_taxonomy“ umbenennen;
Tabelle „wp_usermeta“ in „wp_1secure1_usermeta“ umbenennen;
Tabelle „wp_users“ in „wp_1secure1_users“ umbenennen;

Einige WordPress-Vorlagen oder Plugins können der Datenbank zusätzliche Tabellen hinzufügen. Wenn Sie mehr als 12 Tabellen in Ihrer MySQL-Datenbank haben, fügen Sie die restlichen Tabellen manuell zu Ihrer SQL-Abfrage hinzu und führen Sie sie aus.

Teil drei. Überprüfen von Optionen und benutzerdefinierten Metadatentabellen

Abhängig von der Anzahl der installierten Plugins müssen einige Werte in Ihrer Datenbank manuell aktualisiert werden. Sie können dies tun, indem Sie separate SQL-Abfragen für die Options- und Metadatentabellen ausführen.

Verwenden Sie für die Optionstabelle:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` WIE `%wp_%`

Für die Metadatentabelle:

WÄHLEN Sie * AUS „wp_1secure1_usermeta“, WO „meta_key“ WIE „%wp_%“ ist

Wenn Sie die Abfrageergebnisse erhalten, aktualisieren Sie einfach alle Werte von wp_ auf Ihr neu konfiguriertes Präfix. In der Metadatentabelle des Benutzers müssen Sie das Feld meta_key bearbeiten, während Sie in der Optionstabelle den Wert option_name ändern müssen.

Sicherung neuer WordPress-Installationen

Wenn Sie vorhaben, neue WordPress-Websites zu installieren, müssen Sie dies nicht noch einmal tun. Sie können die Präfixe von WordPress-Tabellen während des Installationsvorgangs einfach ändern.

Glückwünsche! Sie haben Ihre Datenbanksicherheit erfolgreich verbessert.

Fazit

Obwohl WordPress das am besten hackbare CMS der Welt ist, ist es nicht so schwer, seinen Schutz zu verbessern. In diesem Leitfaden habe ich Ihnen 12 Tipps gegeben, die Sie befolgen sollten, um WordPress sicher zu halten.

Biografie des Autors : Roy ist ein Technik-Enthusiast, ein liebevoller Vater von Zwillingen, ein Programmierer in einem Unternehmen für kundenspezifische Software, Chefredakteur von TheHomeDweller.com, ein gieriger Leser, und ein Gärtner.