Tipps zum Schutz Ihrer WordPress-Website vor Sicherheitslücken

Möglicherweise landen Sie in diesem Artikel, wenn Sie nach Wie sichert man eine WordPress-Website gegen Exploits? oder

Wie kann man die WordPress-Site vor Hacks und Malware schützen?

Oder Tipps Sichern Sie Ihre WordPress-Website gegen alle Exploits.

Natürlich ist dies der richtige Artikel und dieser spricht über alle möglichen Techniken, Tools und Plugins, die Ihnen helfen, Ihre WordPress-Website zu sichern.

Laut W3Techs betreibt WordPress mehr als 58 % aller Websites, die CMS verwenden, was 24,9 % aller Websites weltweit entspricht.

Mit der zunehmenden Nutzung von WordPress und der immer größer werdenden Beliebtheit, wie einfach es einzurichten und wie einfach es zu verwenden ist, hat die Verwendung von immer mehr WordPress-Designs und Plugins zugenommen.

Aber da es einfach ist, gibt es auch einen Reiter, der mitkommt. Es wird für Hacker ziemlich einfach, es zu hacken, wenn es in all seinen Standardeinstellungen verwendet wird.

Daher ist es notwendig, Sicherheit zu verstehen und Ihre WordPress-basierte Website zu sichern, denn niemand möchte, dass seine Website gehackt wird.

Es ist offensichtlich, wenn Sie bei Google nach diesem Schlüsselwort suchen: „WordPress-Hack verhindern“, es werden 8 Millionen oder mehr Ergebnisse angezeigt, die zeigen, wie verzweifelt Menschen wie Entwickler und Anfänger Hack-Präventionstechniken und -Tools für ihre WordPress-Website kennenlernen möchten.

Hier ist eine Liste mit Tipps und Tools sowie Techniken, die uns als WordPress-Theme-Entwickler einfallen könnten.

Natürlich kann dieser Artikel zu einer Diskussion führen und im Laufe der Zeit können weitere Eingaben und Ergänzungen vorgenommen werden.

Wir beginnen mit den einfachsten Techniken und gehen dann zu den komplexeren über:

Einfachere Sicherheitstipps:

1. Hosting : Ihr Hosting spielt eine entscheidende und wichtige Rolle bei der Sicherung Ihrer WordPress-Website. Oft ist es der schlechte Host, der Sie hacken lässt.

Wenn Sie ein großartiges Hosting eingerichtet haben, können viele Dinge schnell geklärt und der größte Teil Ihrer Frustration reduziert werden. Zum Beispiel: Backups sind einfach.

Brute-Force-Angriffe sowie Spam und SQL-Injection werden häufig überprüft und vermieden. Daher werden wir über die am meisten empfohlenen Hosts und ihre Tools sprechen.

A. Shared Hosting : Die meisten Leute wollen nur ihre Website starten und wollen daher nicht viel Geld ausgeben und wählen daher Shared Hosting als Plattform.

Es gibt Tausende von Hosting-Unternehmen, die Shared Hosting anbieten, und wir können unmöglich alle hier hinzufügen, aber wir schließen nur 4 Shared Hosting ein, die wir persönlich ausprobiert haben und empfehlen können.

Es könnte jedoch einen noch besseren oder ähnlichen Service geben. Lassen Sie es uns wissen:

ich. Bluehost : Bluehost wurde ständig von WordPress.org auf seiner Hosting-Seite verwiesen: https://wordpress.org/hosting/ Es ist ein guter Ausgangspunkt für Shared Hosting, falls Sie eine WordPress-Website benötigen, da es sowohl WordPress-Premium-Hosting für bietet zukünftiges und einfaches Shared Hosting mit 1-Klick-Installation.

Da es sich um ein Shared Hosting handelt, das Sie 3 bis 4 USD pro Monat kostet, können Sie sich nicht viel über fehlende Funktionen oder Dienste beschweren.

Es verfügt jedoch über ein automatisiertes Tool für die Sicherung, das als Sicherungsassistent bekannt ist und mit cpanel geliefert wird, das Sie verwenden können. So können Backups sicherstellen, dass Sie sicher sind, und wenn Ihre Website jemals gehackt wird, können Sie das Backup wiederherstellen.

ii. A Small Orange : Wir werden persönlich auf diesem Hosting gehostet und die meisten Funktionen von Bluehost sind hier vorhanden. Aber was uns am meisten gefällt und sagen kann, dass es noch besser ist als der oben genannte Gastgeber, ist der Support.

Support-Tickets werden innerhalb von 5-6 Stunden beantwortet und wir können immer innerhalb weniger Minuten mit jemandem im Live-Chat chatten.

Der Support hebt diesen Host von den anderen ab, da es viele Antworten und Hilfe gibt, die er kostenlos zur Verfügung stellen kann. Alles, was Sie tun müssen, ist sie darum zu bitten. Beispiel: NGINX-Server-Cache-Installation, Backups und deren Verwendung usw.

iii. SiteGround : Ein weiteres beliebtes WordPress-Shared-Hosting, das Ihnen auch gute Tools zum Sichern Ihrer Website bietet. Rest cpanel und Standardfunktionen sind vorhanden. Der Chat ist auch proaktiv und Support-Tickets werden häufig beantwortet.

iv. Godaddy : Godaddy ist der größte Registrar von Domains und daher bevorzugen viele ihn auch für ihr Hosting. Overtime Godaddy hat auch einige Änderungen vorgenommen, um es zu einem zuverlässigen Hosting für WordPress zu machen.

Es hat auch damit begonnen, Standard-Cpanel-WordPress-Hosting anzubieten, das Backups und andere einfach zu bedienende Tools ermöglicht.

B. Verwaltetes WordPress-Hosting : Für diejenigen, die ein kleines Budget haben und Hosting ihre Sicherheit für sie verwalten lassen möchten.

Diese 2 Hosting-Unternehmen von den vielen da draußen fanden wir zuverlässig, billiger als andere und helfen Ihnen oft dabei, Ihre Website zu sichern und Sie wissen zu lassen, welche Plugins gut und welche nicht gut sind.

Sie haben auch nächtliche Backups, was bedeutet, dass Sie mit ihnen beruhigt sein können. Wenn also ein Hack passiert, was selten ist, da sie ihn verwalten, können sie das Backup schnell wiederherstellen:

ich. WP Engine : WP Engine teilt Ihnen die Liste der Plugins mit, die sie für die meisten empfehlen. Daher werden anfällige Plugins in Schach gehalten.

ii. FlyWheel : Flywheel sagt Ihnen, dass Sie kein Sicherheits-Plugin installieren sollen, da sie die Sicherheit selbst übernehmen, was bedeutet, dass Sie nach der Installation nichts mehr tun müssen und sie sich um den Rest kümmern.

2. Backups: Backups können mit dem cpanel -Dateimanager oder über ftp (für Dateien) und Datenbank-Download mit phpMyAdmin mit cpanel oder dem Datenbankzugriff des Hosts erfolgen.

Es gibt Hunderte von Tutorials, wie Sie Ihre WordPress-Website manuell sichern können. Sie sollten jedoch in Betracht ziehen, die Codex-Backup-Verfahren zu lesen, da sie sicher und gut geschrieben sind: http://codex.wordpress.org/WordPress_Backups.

Es gibt auch mehrere Plugins. Wir werden kurz darüber sprechen, da die meisten von ihnen, die wir hier erwähnt haben, gut funktionieren und gute Bewertungen von anderen haben:

A. BackUpWordPress
B. BackUpBuddy (kostenpflichtige Version dieses Plugins ebenfalls vorhanden)
C. VaultPress
D. Dropbox-Sicherung und -Wiederherstellung
e. Amazon S3-Sicherung und -Wiederherstellung

3. Aktualisieren Sie die WordPress-Version : In den meisten Fällen besteht aufgrund der Verwendung einer älteren Version von WordPress die Gefahr, dass Ihre Website gehackt wird. WordPress erkennt viele Sicherheitslücken und Parameter in seinen früheren Versionen und wie von anderen Mitwirkenden gemeldet, die von Zeit zu Zeit aktualisiert werden.

Daher sollte die Verwendung der neuesten Version von WordPress das Risiko verringern, gehackt oder von Malware angehängt zu werden.

4. Aktualisieren von WordPress-Plugins und -Themes : Im Allgemeinen veröffentlichen Theme-Autoren und Plugin-Autoren Updates und Funktionen auf die gleiche Weise. Meist handelt es sich dabei um Feature-Updates.

Aber von Zeit zu Zeit erkennen diese Autoren auch Sicherheitslücken und daher ist es eine gute Praxis, die aktualisierten Plugins und Themes auch weiterhin zu verwenden.

5. Ändern Sie den Standardbenutzernamen und das Standardpasswort: Verwenden Sie den Standardbenutzernamen und das Standardpasswort wie eine einfache Zahlenreihe oder behalten Sie den Administrator, solange Sie sich auf einem lokalen Server oder auf einer Testsite befinden.

Für geschäftliche Websites ist es jedoch wichtig, dass Sie den Standardbenutzernamen und das Standardpasswort ändern.

Jetzt ist es mit den neuesten Versionen von WordPress möglich, einen sicheren Benutzernamen zu wählen und ein sicheres Passwort zu generieren, aber für Benutzer mit älteren Versionen von WordPress können Sie zu Ihrem Profil gehen, um Ihr Passwort zu ändern.

Verwenden Sie zum Ändern des Benutzernamens jedoch entweder phpMyAdmin, falls Sie ihn von dort aus ändern möchten, oder verwenden Sie eines der folgenden Plugins:
A. Admin-Umbenennung erweitert
B. Benutzernamen-Änderer

6. 2-Stufen-Authentifizierung für Brute-Force-Angriffe : Die 2-Stufen-Authentifizierung ist unerlässlich, falls Ihre Website viele Brute-Force-Angriffe erhält und einen hohen Datenverkehr oder sensible Informationen aufweist.

Die 2-Schritt-Authentifizierung sichert den Login-Bereich Ihrer WordPress-Website und macht ihn für Brute-Force-Angriffe sehr komplex. Plugins, die für die 2-Stufen-Authentifizierung verwendet werden können, sind:
A. Notenschlüssel
B. Duo
C. Auth
D. Google-Authentifikator
e. Rublon

Diese einfachen Schritte sollten einem Benutzer das Gefühl geben, zumindest rechtzeitige Backups zu haben und seine Website zumindest mit einem Minimum an Sicherheit zu präsentieren.

Die nächsten Schritte, die wir besprechen werden, sind komplexere Schritte, um Ihre WordPress-Website noch weiter zu sichern.

Komplexe Schritte:

1. Schritte, die in Hardening WordPress by Codex aufgeführt sind : http://codex.wordpress.org/Hardening_WordPress
Die meisten dieser Schritte sind für Entwickler oder für Leute, die WordPress schon ziemlich lange verwenden und verstehen, wie wp-config funktioniert.

Habe Dateimanager oder FTP verwendet und kann Änderungen in htaccess, wp-config etc. implementieren.

Diese Schritte dienen sicherlich als Ausgangspunkt für die Sicherung Ihrer Website. Dennoch werden einige der wenigen Sicherheits-Plugins, die wir als nächstes besprechen werden, eine Netzabdeckung der Sicherheit auf Ihrer WordPress-Website platzieren, und daher sollten Sie auch die folgenden überprüfen:

2. Plugins, die bei der Malware-Erkennung und der Erkennung von Dateiänderungen helfen :

A. Sucuri Site Scan : Der Sucuri Site Scan hat einige Registerkarten. Auf der ersten Registerkarte befinden sich allgemeine Einstellungen darüber, wann Sie bei Warnungen wie Anmeldung, Brute-Force-Angriffen, Registrierung neuer Benutzer, Warnungen bei fehlgeschlagenen Anmeldeversuchen, Plugin-Installation usw. benachrichtigt werden.

Wenn Sie also viele Benutzer auf Ihrer Website und viele Administratoren oder Redakteure haben, die möglicherweise Plugins installieren, sind diese Funktionen nützlich und unerlässlich.

Der zweite ist der Malware-Scan, der Sie über jede Art von Malware oder schädlichen Codes informiert, die in jedem Plugin- oder Themenverzeichnis vorhanden sind.

Es sucht auch nach Fehlerdateien und modifizierten Dateien, falls vorhanden. Der Scan sollte reduziert werden, wenn der Datenverkehr auf Ihrer Website gering ist und Sie auf Shared Hosting gehostet werden, da der Scan auch viel Hosting-RAM beansprucht.

Der dritte Teil ist die Härtung der Sicherheit wie das Entfernen der WordPress-Version (da niedrigere Versionen anfälliger für Hacks sind, überprüfen Hacker die Version und sie wissen, auf welcher Version welche Art von Sicherheitslücken vorhanden sind).

Daher muss die WordPress-Version entfernt werden, das Uploads-Verzeichnis, in dem Medien gespeichert werden, muss gesichert und gehärtet werden, der Zugriff auf wp-Inhalte eingeschränkt werden, readme.html muss gehärtet werden, das Standard-Admin-Konto muss entfernt und geändert werden, das Standard-Datenbankpräfix muss geändert werden Sucuri-Firewall-Schutz .

Wir haben dies nicht getestet, aber es zeigt sich mit der Cloudproxy-Firewall, von der behauptet wird, dass sie Ihnen dabei helfen soll, Ihre Website vor DDOS-, Brute-Force- und SQL-Injektionen zu schützen. Wenn Sie diese Funktion verwendet haben, teilen Sie uns dies bitte mit, da wir keinen Beweis dafür haben, dass diese Firewall wirklich hilft.

B. Antivirus : Ein weiteres Plugin, das wir als nützlich empfunden haben, ist Antivirus. Es erkennt WordPress Theme-Dateien und Datenbankdateien für Sicherheit und Exploit.

Der einzige Nachteil dieses Sicherheits-Plugins ist, dass es wp-cron verwendet und wenn Sie einen täglichen Scan einrichten und falls Ihr Shared Hosting nicht so leistungsfähig ist und Ihre Website größer ist.

In Bezug auf Seiten, Beiträge und Datenbanken kann dieses Plugin eine Menge Ressourcen verbrauchen, wenn es die Dateien und Datenbanktabellen durchsucht.

C. Anti-Malware und Brute Force Security von ELI : Anti-Malware und Brute Force Security, wie der Name schon sagt, leistet in dieser Hinsicht hervorragende Arbeit.

Wenn Sie sich bei gotmls.net für das Plugin anmelden, erhalten Sie alle Updates bekannter Bedrohungen. Es durchsucht auch htaccess nach Skripten, es sucht nach Timethumb-Exploits und warnt Sie, es sucht nach Backdoor-Skripten und fordert Sie auf, Sie nicht zu verwenden, und überprüft Ihr Login auf Schwachstellen.

Auf diese Weise übernimmt dieses Plugin die Aufgabe der Anti-Malware. Überprüft auch alle Original-WordPress-Dateien. Sie können es verwenden und Ihre bestehende Website auf Probleme überprüfen und diese beheben.

D. Theme Authenticity Checker : Nun, in den meisten Fällen versuchen wir, Plugins scannen zu lassen und allgemeine WordPress-Dashboard-Sicherheit wie Login, WordPress-Dateien usw.

Aber WordPress-Themes und ihre Sicherheit sind auch wichtig, da es unnötige Skripte oder verschleierten bösartigen Code geben kann, der leicht gehackt werden kann.

Daher dient dieses Plugin als nettes Tool, um Ihr Design zu scannen und zu überprüfen, und sobald Sie wissen, welche Dateien unerwünscht sind oder welcher Code problematisch ist, können Sie es an den ursprünglichen Autor des Designs verweisen, um es entweder zu entfernen oder den Code zu ändern.

Für sicherere Praktiken oder wenn es zu viele Schwachstellen gibt, verwenden Sie lieber ein sichereres Thema. In den meisten Fällen ist es für Themenüberprüfungen besser als Antivirus.

3. Sicherheits-Plugins, die Ihre WordPress-Website sichern

A. All-in-One-WP-Sicherheit und -Firewall : Diese kümmert sich um Folgendes, was den größten Teil der Sicherheit zusammenfasst, die Sie auf Ihrer Website übernehmen können:
ich. Sicherheit der Benutzeranmeldung
ii. Sicherheit des Benutzerkontos
iii. Sicherheit der Benutzerregistrierung
iv. Systemdateisicherheit
v. Firewall-Setup
vi. Blacklist-Funktion
vii. Datenbanksicherheit
VIII. Sicherungen
ix. Firewall und Brute-Force

B. WordFence-Sicherheit

C. Bessere WP-Sicherheit (jetzt iThemes-Sicherheit)

D. Kugelsichere Sicherheit

4. Andere wurden aus dieser Liste herausgehalten, können aber nützlich sein :

A. Acunetix WP Security : In letzter Zeit sind viele negative Bewertungen für dieses Plugin auf WordPress.org aufgetaucht, daher können wir es Ihnen nicht empfehlen.

B. 6Scan-Sicherheit : Viele Kunden haben sich darüber beschwert, dass die Website nach der Installation dieses Plugins leer ist, und daher können wir es Ihnen nicht empfehlen.

C. Exploit-Scanner

D. Quttera Web-Malware-Scanner