7 Tipps zur Sicherung von WordPress-Benutzern im Jahr 2021

Der beste Weg, Ihre WordPress-Benutzer im Jahr 2021 zu schützen, ist die Verwendung eines starken Passworts und einer Zwei-Faktor-Authentifizierung. Das scheint ziemlich einfach, nicht wahr? Die Realität ist, dass die Benutzersicherheit von WordPress etwas nuancierter ist.

Wenn wir über Benutzersicherheit sprechen, hören wir oft Fragen wie: Sollte jeder WordPress-Benutzer die gleichen Sicherheitsanforderungen haben und wie viel Sicherheit ist zu viel Sicherheit?

Mach dir keine Sorge. All diese Fragen beantworten wir. Aber lassen Sie uns zunächst über die verschiedenen Arten von WordPress-Benutzern sprechen.

Welche verschiedenen Arten von WordPress-Benutzern gibt es?

Es gibt 5 verschiedene Standard-WordPress-Benutzer.

1. Administrator
2. Editor
3. Autor
4. Mitwirkender
5. Teilnehmer

Jeder Benutzer hat unterschiedliche Fähigkeiten. Die Funktionen bestimmen, was sie tun können, sobald sie auf das Dashboard zugreifen. Lesen Sie mehr über WordPress-Benutzerrollen und -Berechtigungen.

Der potenzielle Schaden verschiedener gehackter WP-Benutzer

Bevor wir verstehen können, wie wir unsere WordPress-Benutzer schützen können, müssen wir zuerst die Bedrohungsstufe jeder Art von kompromittierten Benutzern verstehen. Die Art und das Ausmaß des Schadens, den ein Angreifer anrichten kann, hängt stark von den Rollen und Fähigkeiten des Benutzers ab, den er hackt.

Administrator – Bedrohungsstufe hoch

Administratorbenutzer haben die Möglichkeiten, was immer sie wollen.

• Erstellen, Entfernen und Ändern von Benutzern.
• Installieren, entfernen und bearbeiten Sie Plugins und Themes.
• Erstellen, entfernen und bearbeiten Sie alle Beiträge und Seiten.
• Veröffentlichen und heben Sie die Veröffentlichung von Beiträgen und Seiten auf.
• Medien hinzufügen und entfernen.

Wenn ein Hacker einen der Administratoren Ihrer Website in die Finger bekommt, könnte er Ihre Website gegen Lösegeld halten. Ransomware bezieht sich darauf, wenn ein Hacker Ihre Website übernimmt und sie nicht an Sie zurückgibt, es sei denn, Sie zahlen ihnen eine hohe Gebühr.

Die durchschnittliche Ausfallzeit eines Ransomware-Angriffs beträgt 9,5 Tage. Wie viel Umsatz würden Sie 10 Tage ohne Verkauf kosten?

Redakteur – Bedrohungsstufe hoch

Der Editor verwaltet den gesamten Inhalt der Website. Diese Benutzer haben immer noch ziemlich viel Macht.

• Erstellen, löschen und bearbeiten Sie alle Beiträge und Seiten.
• Veröffentlichen Sie alle Beiträge und Seiten und heben Sie die Veröffentlichung auf.
• Mediendateien hochladen.
• Verwalten Sie alle Links.
• Kommentare verwalten.
• Kategorien verwalten.

Wenn ein Angreifer die Kontrolle über das Konto eines Redakteurs übernimmt, könnte er eine Ihrer Seiten für einen Phishing-Angriff ändern. Phishing ist eine Art von Angriff, mit dem Benutzerdaten, einschließlich Anmeldeinformationen und Kreditkartennummern, gestohlen werden.

Phishing ist eine der sichersten Möglichkeiten, Ihre Website von Google auf die schwarze Liste zu setzen. Jeden Tag werden 10.000 Websites aus verschiedenen Gründen auf die Sperrliste von Google gesetzt.

Autor – Bedrohungsstufe Mittel

Der Autor wurde entwickelt, um eigene Inhalte zu erstellen und zu verwalten.

• Erstellen, löschen und bearbeiten Sie eigene Beiträge und Seiten.
• Veröffentlichen und veröffentlichen Sie ihre eigenen Beiträge.
• Mediendateien hochladen

Wenn ein Angreifer die Kontrolle über das Konto eines Autors erlangt, könnte er Seiten und Beiträge erstellen, die Ihre Site-Besucher auf bösartige Websites weiterleiten.

Mitwirkender und Abonnent – Bedrohungsstufe niedrig

Der Mitwirkende ist die Lite-Version der Benutzerrolle Autor. Sie haben keine Veröffentlichungsrechte.

• Erstellen und bearbeiten Sie ihre eigenen Beiträge.
• Löschen Sie ihre eigenen unveröffentlichten Beiträge.

Der Abonnent kann Dinge lesen, die die anderen Benutzer veröffentlichen.

Hacker mit der Rolle "Mitwirkender" oder "Abonnent" können zwar keine böswilligen Änderungen vornehmen, jedoch alle vertraulichen Informationen stehlen, die im Konto oder auf der Profilseite des Benutzers gespeichert sind.

7 Tipps zum Schutz Ihrer WordPress-Benutzer

Okay, das sind einige ziemlich üble Dinge, die Hacker mit unseren Websites anstellen können. Die gute Nachricht ist, dass die meisten Angriffe auf Ihre WordPress-Benutzerkonten mit nur geringem Aufwand Ihrerseits verhindert werden können.

Werfen wir einen Blick auf die Dinge, die Sie tun können, um Ihre WordPress-Benutzer zu schützen. Die Wahrheit ist, dass diese Sicherheitsmethoden dazu beitragen, jede Art von WordPress-Benutzer zu schützen. Aber während wir jede der Methoden durchgehen, werden wir Sie wissen lassen, welche Benutzer Sie benötigen, um die Methode zu verwenden.

1. Geben Sie den Menschen nur die Fähigkeiten, die sie brauchen

Der einfachste Weg, Ihre Website zu schützen, besteht darin, Ihren Benutzern nur die Funktionen zu geben, die sie benötigen, und nicht mehr. Wenn jemand auf Ihrer Website nur seine eigenen Blog-Posts erstellen und bearbeiten möchte, muss er nicht die Möglichkeit haben, die Posts anderer Personen zu bearbeiten.

2. Anmeldeversuche begrenzen

Brute-Force-Angriffe beziehen sich auf eine Trial-and-Error-Methode, mit der Benutzername- und Passwortkombinationen entdeckt werden, um sich in eine Website zu hacken. Standardmäßig ist in WordPress nichts eingebaut, um die Anzahl fehlgeschlagener Anmeldeversuche zu begrenzen.

Ohne Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche kann ein Angreifer eine endlose Anzahl von Benutzernamen und Passwörtern ausprobieren, bis er erfolgreich ist.

Die lokale Brute-Force-Schutzfunktion von iThemes Security Pro verfolgt ungültige Anmeldeversuche von IP-Adressen und Benutzernamen. Sobald eine IP oder ein Benutzername zu viele aufeinanderfolgende ungültige Anmeldeversuche unternommen hat, werden sie gesperrt und an weiteren Anmeldeversuchen gehindert.

3. Sichern Sie WordPress-Benutzer mit starken Passwörtern

Je stärker das Passwort Ihres WordPress-Benutzerkontos ist, desto schwieriger ist es zu erraten. Es dauert 0,29 Millisekunden, um ein siebenstelliges Passwort zu knacken. Aber ein Hacker braucht zwei Jahrhunderte, um ein zwölfstelliges Passwort zu knacken!

Im Idealfall ist ein sicheres Passwort eine zwölf Zeichen lange alphanumerische Zeichenfolge. Das Passwort sollte Groß- und Kleinbuchstaben sowie andere ASCII-Zeichen enthalten.

Während jeder von der Verwendung eines starken Passworts profitieren kann, möchten Sie vielleicht nur Personen mit Fähigkeiten auf Autorebene und höher zwingen, sichere Passwörter zu verwenden.

Mit der Kennwortanforderungsfunktion von iThemes Security Pro können Sie bestimmte Benutzer zwingen, ein sicheres Kennwort zu verwenden.

4. Verweigern Sie kompromittierte Passwörter

Obwohl 91% der Menschen wissen, dass die Wiederverwendung von Passwörtern eine schlechte Praxis ist, verwenden 59% der Menschen ihre Passwörter immer noch überall! Viele dieser Leute verwenden immer noch Passwörter, von denen sie wissen, dass sie in einem Datenbank-Dump erschienen sind.

Hacker verwenden eine Form von Brute-Force-Angriffen, die als Wörterbuchangriff bezeichnet wird. Ein Wörterbuchangriff ist eine Methode zum Einbruch in eine WordPress-Website mit häufig verwendeten Passwörtern, die in Datenbank-Dumps aufgetaucht sind. Die „Kollektion #1? Data Breach, die auf MEGA gehostet wurde, umfasste 1.160.253.228 eindeutige Kombinationen von E-Mail-Adressen und Passwörtern. Das ist eine Milliarde mit einem b. Diese Art von Punktzahl wird einem Wörterbuchangriff wirklich helfen, die am häufigsten verwendeten WordPress-Passwörter einzugrenzen.

Es ist ein Muss zu verhindern, dass Benutzer mit Fähigkeiten auf Autorebene und höher kompromittierte Passwörter verwenden. Sie können auch darüber nachdenken, dass Ihre untergeordneten Benutzer keine kompromittierten Passwörter verwenden.

Es ist völlig verständlich und ermutigt, das Anlegen eines neuen Kundenkontos so einfach wie möglich zu gestalten. Ihr Kunde weiß jedoch möglicherweise nicht, dass das von ihm verwendete Passwort in einem Datendump gefunden wurde. Sie würden Ihrem Kunden einen großen Dienst erweisen, indem Sie ihn darauf aufmerksam machen, dass das von ihm verwendete Passwort kompromittiert wurde. Wenn sie dieses Passwort überall verwenden, könnten Sie ihnen später einige große Kopfschmerzen ersparen.

Die iThemes Security Pro-Funktion kompromittierte Passwörter ablehnen zwingt Benutzer dazu, Passwörter zu verwenden, die in keinem von Have I Been Pwned verfolgten Passwortverstößen aufgetreten sind.

5. Sichern Sie WordPress-Benutzer mit Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein Prozess zur Überprüfung der Identität einer Person, indem zwei separate Überprüfungsmethoden erforderlich sind. Google teilte in seinem Blog mit, dass die Verwendung der Zwei-Faktor-Authentifizierung 100% der automatisierten Bot-Angriffe stoppen kann. Ich mag diese Chancen sehr.

Zumindest sollten Sie von Ihren Administratoren und Redakteuren verlangen, dass sie die Zwei-Faktor-Authentifizierung verwenden.

Die Zwei-Faktor-Authentifizierungsfunktion von iThemes Security Pro bietet eine Menge Flexibilität bei der Implementierung von 2fa auf Ihrer Website. Sie können die Zwei-Faktor-Funktion für alle oder einige Ihrer Benutzer aktivieren, und Sie können Ihre Benutzer auf hoher Ebene zwingen, bei jeder Anmeldung 2fa zu verwenden.

6. Beschränken Sie den Gerätezugriff auf das WP-Dashboard

Die Beschränkung des Zugriffs auf das WordPress-Dashboard auf eine Reihe von Geräten kann Ihrer Website eine starke Sicherheitsebene verleihen. Wenn ein Hacker nicht das richtige Gerät für einen Benutzer verwendet, kann er den kompromittierten Benutzer nicht verwenden, um Ihrer Website Schaden zuzufügen.

Sie sollten den Gerätezugriff nur auf Ihre Administratoren und Redakteure beschränken.

Die vertrauenswürdige Gerätefunktion von iThemes Security Pro identifiziert die Geräte, die Sie und andere Benutzer verwenden, um sich bei Ihrer WordPress-Site anzumelden . Wenn sich ein Benutzer auf einem unbekannten Gerät angemeldet hat, können Vertrauenswürdige Geräte seine Administratorrechte einschränken. Dies bedeutet, dass ein Angreifer, wenn er in das Backend Ihrer WordPress-Site eindringen könnte, keine böswilligen Änderungen an Ihrer Website vornehmen kann.

7. WordPress-Benutzer vor Session-Hijacking schützen

WordPress generiert jedes Mal ein Sitzungscookie, wenn Sie sich auf Ihrer Website anmelden. Angenommen, Sie haben eine Browsererweiterung, die vom Entwickler aufgegeben wurde und keine Sicherheitsupdates mehr veröffentlicht. Leider hat die vernachlässigte Browsererweiterung eine Schwachstelle. Die Schwachstelle ermöglicht es böswilligen Akteuren, Ihre Browser-Cookies zu entführen, einschließlich des zuvor erwähnten WordPress-Sitzungscookies. Diese Art von Hack wird als Session Hijacking bezeichnet . Ein Angreifer kann also die Sicherheitslücke in der Erweiterung ausnutzen, um Ihre Anmeldung zu übertragen und böswillige Änderungen mit Ihrem WordPress-Benutzer vorzunehmen.

Sie sollten für Ihre Administratoren und Redakteure einen Schutz vor Session-Hijacking haben.

Mit der Trusted Devices- Funktion von iThemes Security Pro gehört Session Hijacking der Vergangenheit an. Wenn sich das Gerät eines Benutzers während einer Sitzung ändert, meldet iThemes Security den Benutzer automatisch ab, um unbefugte Aktivitäten auf dem Konto des Benutzers zu verhindern, wie z. B. das Ändern der E-Mail-Adresse des Benutzers oder das Hochladen schädlicher Plugins.

Einpacken

Die Popularität von WordPress macht es zu einem Ziel für Hacker auf der ganzen Welt. Wie bereits erwähnt, kann ein Angreifer Schaden anrichten, indem er selbst die unterste Ebene von WordPress-Benutzern hackt. Die gute Nachricht ist, dass es zwar keine Möglichkeit gibt, Angriffe auf Ihre WordPress-Benutzer zu verhindern, aber mit ein wenig Aufwand unsererseits können wir den Erfolg der Angriffe verhindern.

Michael Moore

Jede Woche erstellt Michael den WordPress-Schwachstellenbericht, um die Sicherheit Ihrer Websites zu gewährleisten. Als Produktmanager bei iThemes hilft er uns, die Produktpalette von iThemes weiter zu verbessern. Er ist ein riesiger Nerd und liebt es, alles über Technik zu lernen, alt und neu. Sie können Michael mit seiner Frau und seiner Tochter treffen, lesen oder Musik hören, wenn er nicht arbeitet.