WordPress-Sicherheit: So identifizieren und beseitigen Sie Bedrohungen

Veröffentlicht: 2018-05-11

Ausreden wie „Wir sind zu klein für einen Angriff“ oder „Wir verarbeiten keine sensiblen Daten wie Finanzberichte“ sind nicht mehr relevant. Es wurde wiederholt bewiesen, dass alle Websites, unabhängig von ihrer Größe, anfällig sind und in die Falle von Hackern tappen können.

Wer professionell an seine Website herangeht, sollte auf die Best Practices der Sicherheit für WordPress achten. Wir teilen eine umfassende Liste mit Tipps zum Schutz Ihrer WordPress-Site vor Hackern und Malware.

Als Websitebesitzer haben Sie die Möglichkeit, die Sicherheit von WordPress zu verbessern, auch wenn Sie nicht wissen, wie man programmiert, und nicht in das Labyrinth seiner Komplikationen geraten möchten.

Wir haben eine Schritt-für-Schritt-Anleitung vorbereitet und eine Navigation erstellt, damit Sie beim Durchlaufen des Materials keine Schwierigkeiten haben. Sie können schnell zum richtigen Textfragment gelangen, und am Ende des Lesens wird Ihre Website viel sicherer sein als die meisten Ressourcen im Internet.

Warum ist Sicherheit wichtig?

Eine gehackte WordPress-Site kann Ihrem Unternehmen und Ihrem Ruf schweren Schaden zufügen. Hacker können Benutzerinformationen und Kennwörter stehlen, Malware installieren und Trojaner unter Ihren Benutzern verteilen.

Im Jahr 2017 berichtete Google, dass mehr als 55 Millionen Nutzer vor dem Besuch von Websites mit Malware gewarnt wurden. Jede Woche erstellt Google eine Liste mit mehr als 20.000 Schadprogrammen.

Wenn Ihre Website Ihr Geschäft ist, müssen Sie der Sicherheit mehr Aufmerksamkeit schenken. Nur Sie sind dafür verantwortlich, Ihre Ressource vor Eindringlingen zu schützen. Wie es im WordPress Security Codex heißt: „ Grundsätzlich geht es bei Sicherheit nicht um perfekt sichere Systeme. So etwas könnte durchaus unpraktisch oder unmöglich zu finden und/oder zu warten sein. Sicherheit ist jedoch Risikominderung, nicht Risikobeseitigung. Es geht darum, in angemessenem Rahmen alle geeigneten Steuerungsmöglichkeiten einzusetzen, die es Ihnen ermöglichen, Ihre allgemeine Körperhaltung zu verbessern, indem Sie die Wahrscheinlichkeit verringern, sich selbst zum Ziel zu machen und anschließend gehackt zu werden.“

Nehmen Sie sich Zeit und gehen Sie die folgenden Best Practices durch und sehen Sie sich einige der branchenerprobten WordPress-Sicherheitsstrategien an, z. B. die Verwendung aktueller WordPress-Software, strenge Richtlinien für Anmeldeinformationen und eine sicherheitsorientierte Systemverwaltung.

Arten von Schwachstellen

Häufige Schwachstellen in WordPress sind die geringe Sicherheit von Themes, Schwachstellen von Servern, Datenbanken, Dateiberechtigungen, FTP und bestimmten Dateikomponenten wie wp-admin, wp-config und wp-includes. Sie sind am anfälligsten für Angriffe.

Zahlreiche Hacking-Vorfälle haben gezeigt, wie einfach es für Eindringlinge ist, ungeschützte Links in WordPress-Sicherheitsdiensten zu ihrem Vorteil zu nutzen. Eine Schwachstelle kann Ihre Website Tausenden von Angriffen aussetzen. Beispielsweise starteten Cyberkriminelle Anfang Februar eine groß angelegte Kampagne, bei der kompromittierte WordPress-Sites Besucher mit einer Reihe von Exploits auf Domains umleiteten .

Exploit ist ein Stück Code, das Schlupflöcher in Ihrer WordPress-Site verwenden und es Hackern ermöglichen kann, das System zu hacken. Mit anderen Worten, es handelt sich um eine Software, die nach ungeschützten Elementen auf Ihrer Website sucht und diese angreift.

Exploits entstehen durch Fehler von Programmierern, die der Sicherheit der Ressource nicht die gebührende Aufmerksamkeit schenken. Wenn ein Exploit entdeckt wird, müssen Sie einen Patch erstellen, der diese Schwachstelle beseitigt.

Bei einer weiteren Angriffsserie nutzten Hacker eine Schwachstelle in der XML-RPC-Datei aus.

XML-RPC ist ein RPC-Protokoll (Remote Procedure Call), das XML verwendet, um seine Aufrufe zu codieren, und HTTP, um Anfragen oder Befehle aus der Ferne an Websites zu senden. Wenn Sie Hackern keine zusätzliche Chance geben möchten, Ihre Ressource zu hacken, können Sie sie einfach löschen. Bei Bedarf können Sie es wiederherstellen.

SQL-Injection ist die häufigste Methode, um eine Datenbank unter Umgehung von Firewalls anzugreifen, wenn Hacker spezielle SQL-Anfragen an eine Website senden. Diese Code-Injektionen können neue Administratorkonten erstellen, die von Ihrer Ressource auf bösartige oder betrügerische Websites verlinken können.

Wie kann man SQL-Injections verhindern?

Fehlermeldungen werden hauptsächlich verwendet, um vertrauliche Informationen über eine Website abzurufen. Entweder sollten sie also deaktiviert werden, oder es müssen benutzerdefinierte Fehlermeldungen erstellt werden. Cybersicherheitsexperten von WordPress-Entwicklungsdiensten sagen, dass SHA1- oder SHA-Verschlüsselung für alle vertraulichen Informationen und Passwörter verwendet werden sollte. Durch die Begrenzung der Anzahl der erteilten Berechtigungen wird die Wahrscheinlichkeit solcher böswilliger Angriffe verringert.

Brute-Force-Angriffe

Der Brute-Force-Angriff besteht aus Versuchen, die richtige Kombination aus Login und Passwort durch Trial-and-Error-Methode zu erhalten. Dies ist der einfachste Weg, wie Hacker versuchen, auf das Login zuzugreifen. Diese Art von Angriff kann auf verschiedene Arten ausgeführt werden, wobei jede Methode wiederholt versucht, die Kombination aus Login und Passwort zu erraten. Es ist eine gängige Taktik, die von Bots verwendet wird, da es keine Beschränkungen für die Anzahl der Versuche gibt, sich bei WordPress anzumelden. Wenn der Angriff erfolgreich ist, können die sensiblen Informationen Ihrer Website und Ihres Unternehmens gefährdet sein. Selbst wenn es fehlschlägt, kann Ihr System dennoch überlastet werden.

Wie gehe ich mit Brute-Force-Angriffen um?

Am besten aktivieren Sie eine Sperrrichtlinie, die unbegrenzte Anmeldeversuche verhindert. Progressive Verzögerungen können auch verwendet werden, wenn das Konto für einen bestimmten Zeitraum gesperrt ist. Tools wie Captcha helfen, was jedoch die Benutzerfreundlichkeit der Website beeinträchtigt. Das Erstellen komplexer Passwörter zur Bekämpfung dieser Art von Angriffen kann ebenfalls hilfreich sein.

Cross-Site-Scripting

Fast 84 % aller Sicherheitsverletzungen in WordPress sind Cross-Site-Script- oder XSS-Angriffe. Diese Art von Schwachstelle ist am häufigsten in WordPress-Plugins zu finden. Hier verwendet ein Eindringling eine Webanwendung, um schädliche Skripte und Codes an sichere und zuverlässige Websites zu senden, darunter auch Ihre. Infolgedessen werden schädliche JavaScript-Dateien auf eine Webseite heruntergeladen und zum Stehlen vertraulicher Informationen verwendet.

Wie verhindert man Cross-Site-Scripting?

Es gibt mehrere Methoden, um XSS-Angriffe zu verhindern:

  1. Lassen Sie nicht zu, dass unzuverlässige Daten auf Ihre HTML-Dokumente zugreifen.
  2. Verwenden Sie die Sanitization API WordPress und die Escaping API WordPress (Code-Bereinigungsfunktionen, um vertrauliche Informationen zu schützen und sie nicht öffentlich anzuzeigen – beispielsweise in der Adresszeile eines Browser-Links).
  3. Bevor Sie unzuverlässige Daten in die URL-Anforderungszeichenfolge eingeben, stellen Sie sicher, dass sie in der URL codiert sind.
  4. Bevor Sie unzuverlässige Daten in HTML-Seiten platzieren, stellen Sie sicher, dass sie in HTML codiert sind, indem Sie die Codesyntax ersetzen.

Angriffe auf Webserver und Betriebssysteme

Es gibt auch bestimmte Sicherheitslücken auf Webservern und Betriebssystemen. Solche Sicherheitsbedrohungen entstehen, wenn ein Fehler in OpenSSL aufgezeichnet wird, wodurch Hacker Zugriff auf Datenbanken und vertrauliche Informationen erhalten. Diese schwerwiegende Schwachstelle betrifft fast zwei Drittel aller Websites.

Wie verhindert man Angriffe auf einen Webserver?

  1. Führen Sie regelmäßige Sicherheitsüberprüfungen der OpenSSL-Software durch.
  2. Führen Sie eine serverseitige Validierung durch.
  3. Vertrauen Sie nicht den Eingaben von außen.
  4. Aktualisieren Sie die IPS- und Firewall-Signaturen und aktivieren Sie die Heartbleed-Signaturen.
  5. Kündigen Sie die vorhandenen SSL-Zertifikate und erstellen Sie neue.
  6. Erstellen Sie keine neuen Zertifikate mit dem alten Schlüssel.

Schädliche Programme sind darauf ausgelegt, ein System zu zerstören und zu beschädigen oder sich Zugriff auf eine Datenbank zu verschaffen. Solche Software ist eine Form von ausführbaren Codes und Skripten, die ohne die Zustimmung des Benutzers in das System eindringen.

Wann immer Ihre WordPress-Site gehackt wird, werfen Sie einen Blick auf die kürzlich geänderten Dateien. Zu den häufigsten Malware-Infektionen gehören Hintertüren, herunterladbare Datenträger und böswillige Weiterleitungen.

Wie gehe ich mit böswilligen Angriffen um?

  1. Entfernen Sie die schädlichen Dateien manuell.
  2. Stellen Sie die WordPress-Site aus einem Backup wieder her.
  3. Aktualisieren Sie WordPress und Plugins immer.
  4. Löschen Sie das „admin“-Konto und verwenden Sie einen anderen eindeutigen Benutzernamen.

Erkennung von Hacking

Es gibt einen geringen Prozentsatz an Hacking-Versuchen, die extrem schwer zu erkennen sind, aber im Allgemeinen können Sie jeden Versuch erkennen, ob er erfolgreich war oder nicht.

Indikatoren zur Erkennung von Schwachstellen:

  • Plötzliche, unvorhergesehene Traffic-Anstiege, insbesondere aus dem Ausland (häufig nicht aus Ihrer Region, wo die Wahrscheinlichkeit, Ihre Zielgruppe zu finden, äußerst gering ist);
  • Ihre Domain wird automatisch auf eine Website eines Drittanbieters umgeleitet (häufig Spam);
  • Ihre Homepage und internen Seiten ändern sich plötzlich oder der Inhalt verschwindet;
  • Spitzen der ausgehenden Bandbreite können darauf hinweisen, dass Ihr Server erfasst und für DDoS-Angriffe verwendet wird;
  • Direkter und organischer Traffic gehen zurück, weil Suchmaschinen wie Google, Yandex, Bing und Browser (Firefox und Chrome) vor den Gefahren des Besuchs Ihrer Website durch Benutzer warnen.

Wenn Sie eine der aufgeführten Aktivitäten auf Ihrer Website bemerken, führen Sie hier schnell die Sicherheitsdiagnose Ihrer WordPress-Website durch . Ersetzen Sie einfach www.example.com durch die Domain Ihrer Website in der Adressleiste. Eine Alternative zum Service ist die Überprüfung der Reputation der Seite mit Hilfe des kostenlosen URLVoid-Tools .

Beseitigen Sie Sicherheitsverletzungen

Überwachen Sie Ihre Ressource sorgfältig und objektiv auf versuchte Hacks. Falls es Sicherheitsprobleme gibt, sollten Sie damit beginnen, Verstöße zu beseitigen.

Wenn Sie sicher sind, dass Ihre Website zum Ziel von Cyberkriminellen geworden ist, ist es richtig, Ihre Besucher darüber zu informieren. Organisieren Sie die automatische Verteilung von E-Mails an Ihre Benutzer, da diese anfällig für Hacker sein können. Benachrichtigen Sie sie, dass Ihre Website Opfer einer Sicherheitsverletzung werden könnte und dass es besser ist, den Besuch Ihrer Website für eine Weile auszusetzen. Geben Sie das Datum an, bis zu dem das Problem behoben wird.

Wenn sich der Angriff ausgebreitet hat, ist es sinnvoll, die Seite abzuschalten und im Offline-Modus zu arbeiten, bis Sie das Problem gefunden und behoben haben. Für die Dauer der Arbeiten wird empfohlen, die Seite „Site on Reconstruction“ zu erstellen. Es wird den Benutzern klar machen, dass das Problem vorübergehend ist und sie nicht für immer abschrecken wird.

Wenden Sie sich an Ihren Webhoster

Webhosting-Unternehmen arbeiten täglich mit Tausenden von Websites und sind mit allen Arten von Sicherheitsproblemen im Internet konfrontiert. Sobald Sie erfahren, dass die Sicherheit Ihrer Website gefährdet ist, wenden Sie sich an das Hosting-Unternehmen und erklären Sie Ihr Problem.

Die meisten Webhosting-Unternehmen haben IT- und Sicherheitsspezialisten. Sie können dabei helfen, böswillige Angriffe zu identifizieren und zu korrigieren. Auch wenn Ihr Hosting-Unternehmen seine Hilfe nicht anbietet, können seine Experten andere Website-Eigentümer kontaktieren, die mit einem ähnlichen Problem konfrontiert waren. Es wird Ihnen helfen zu verstehen, was Sie tun sollten, um das Problem zu lösen.

Gute Hosting-Anbieter ergreifen zusätzliche Maßnahmen, um ihre Server vor gängigen Bedrohungen zu schützen. Aber beim Shared Hosting teilen Sie Ressourcen mit anderen Websitebesitzern. Es erhöht das Risiko von Cross-Site-Scripting-Angriffen, wenn ein Hacker eine benachbarte Website verwenden kann, um Ihre anzugreifen.

Die Verwendung von WordPress Managed Hosting bietet einen sichereren Betrieb Ihrer Website aufgrund seiner zusätzlichen Funktionen wie automatische Sicherung, Updates und komplexere Sicherheitskonfigurationen zum Schutz Ihrer Ressource.

Holen Sie sich Hilfe von Web-Sicherheitsexperten

Typischerweise sind die anfälligsten Website-Dateien Mediendateien, .php-Dateien und solche, die an unsicheren Orten gespeichert sind. Hacker schleusen schädlichen Code in diese Dateien ein und beschädigen Ihre Website durch Backdoor-Angriffe. Da es sich um typische Risikozonen handelt, müssen Sie diese zuerst inspizieren und danach andere Bereiche des Geländes aufsuchen, um den Reinigungsprozess zu starten.

Um bösartigen Code aus infizierten Dateien zu löschen, müssen Sie sie von Ihrem Server herunterladen, den betroffenen Code entfernen und die sauberen Dateien erneut auf den Server hochladen.

Manchmal reicht es nicht aus, nur infizierte Dateien zu bereinigen. Vielleicht haben Hacker Zugriff auf Ihre Dateien und werden weiterhin Änderungen daran vornehmen und Codeschnipsel löschen. Die richtige Vorgehensweise besteht darin, die gesäuberte Version Ihrer infizierten Dateien mit den Quelldateien Ihrer Webentwickler zu vergleichen, um festzustellen, ob Sie kritische Codeteile verloren haben.

Denken Sie daran, dass Hacker normalerweise Backend-Shells installieren, die es ihnen ermöglichen, Ihre Website zu hacken, selbst nachdem sie alle infizierten Dateien entfernt haben. Diese Shells sind oft als normale Dateien getarnt. Wenn Ihre Website kompromittiert wurde, lagern Sie die Arbeit an Sicherheitsdienste aus, wenn Sie zu Ihrem Backup zurückkehren, um sicherzustellen, dass Ihre Website vollständig sicher ist und weiterhin funktionieren kann.

Passwörter ändern

Das Bereinigen infizierter Dateien ist nur ein Teil der Aufgabe, Schwachstellen zu beseitigen. Sie müssen sicherstellen, dass Hacker keinen erneuten Zugriff auf Ihre Daten erhalten. Der einfachste, aber effektivste Weg, dies zu tun, ist das Ändern von Passwörtern. ALLE Ihre Passwörter von:

  • Email;
  • FTP-Konto;
  • Hosting-Konto;
  • WordPress-Admin-Panel.

Sie müssen sicher sein, dass Ihre neuen Passwörter zuverlässig sind und nicht mit Brute-Force-Methoden geknackt werden können. Denken Sie daran, dass das Stehlen von Passwörtern die häufigste Art des Hackens von WordPress-Websites ist. Daher empfehlen wir Ihnen, komplexere Passwörter zu erstellen, die noch nie zuvor verwendet wurden.

Der Hauptgrund, warum Neulinge starke Passwörter nicht bevorzugen, ist, dass sie schwer zu merken sind. Jetzt gibt es eine Lösung für dieses Problem – verwenden Sie einfach den Passwort-Manager.

Eine effektive Möglichkeit, Risiken zu reduzieren, besteht darin, mehrere Rollen für den Zugriff auf Ihr WordPress-Konto zu haben. Wenn Sie Gastautoren haben, stellen Sie sicher, dass Sie die Rollen und Fähigkeiten aller verstehen, bevor Sie Ihrer Website neue Benutzer hinzufügen.

So sichern Sie Ihre WordPress-Site

Normalerweise wird die Aufrechterhaltung der Website-Sicherheit als komplizierte Aufgabe angesehen, die hochbezahlte Fachleute erfordert. Im Fall von WordPress sind die Dinge nicht so beängstigend. Wir zeigen Ihnen, wie Sie Ihre WordPress-Seite ohne tiefgreifendes technisches Wissen schützen können. Sie müssen nicht wissen, wie man codiert, komplexe Aktionen ausführt, auf dem Kopf steht oder geheime Voodoo-Rituale durchführt.

Lass es uns angehen!

Schritt 1. Legen Sie die Sicherungsoptionen fest

Backups sind Ihr Schutzschild vor jedem WordPress-Angriff. Denken Sie daran, dass keine Website 100 % sicher sein kann. Sogar Regierungswebsites werden von Zeit zu Zeit gehackt. Ihre Ressource kann also auch zum Ziel werden.

Backups dienen dazu, eine anfällige Website schnell wiederherzustellen. Daher empfehlen wir, hierfür fertige WordPress-Plugins zu verwenden. Es gibt viele von ihnen: Es gibt kostenpflichtige und kostenlose Optionen.

Das Wichtigste hier ist, dass Backups regelmäßig durchgeführt werden müssen. Es gibt eine wichtige Regel – sie müssen auf einem Speicherdienst eines Drittanbieters (z. B. in der Dropbox-Cloud, Amazon) und nicht in Ihrem Hosting-Konto erstellt werden.

Je öfter Sie Ihre Website aktualisieren, desto öfter müssen Sie Sicherungskopien davon erstellen. Wenn Sie den Blog täglich aktualisieren, empfehlen wir Ihnen, mindestens einmal täglich ein Backup zu erstellen.

Wie es geht?

Laden Sie Plugins wie VaultPress oder BackupBuddy herunter . Sie sind zuverlässig und vor allem einfach zu bedienen, einfach einzurichten und kommen perfekt mit ihrer Hauptsicherungsfunktion zurecht.

Verwenden Sie WordPress-Sicherheits-Plugins und -Dienste

Eine grundlegende Sicherheitsinfrastruktur ist ein Muss für jede Website, unabhängig von ihrer Größe. Beispielsweise ist ein einfaches Tool, Login Lockdown , für WordPress-Benutzer nützlich, um primitive Angriffe auf Anmeldeversuche mit Brute Force zu verhindern.

Wenn Sie also nicht bereits über eine Firewall oder ein Sicherheitssystem verfügen, das Ihre Website schützt, aktivieren Sie diese unverzüglich. Da unser Ziel darin besteht, den Angriff zu verhindern und nicht nach dem Schaden wiederherzustellen, empfehlen wir die Verwendung einer Web Application Firewall (WAF) als Lösung.

Eine Firewall ist eine gebrauchsfertige Softwarelösung, die eine zusätzliche Schutzebene hinzufügt und den gesamten Datenverkehr auf Ihrer Website kontrolliert und eine Vielzahl bösartiger Bedrohungen blockiert.

Es bekämpft die häufigsten und aggressivsten Bedrohungen, einschließlich des Open Web Application Security Project, SQL-Injektionen, Cross-Site-Scripting und Invalidated Redirects. Eine Firewall oder eine Firewall ist oft in moderne Betriebssysteme eingebaut oder in kostenpflichtigen Antivirensystemen enthalten.

Eine Web Application Firewall (WAF) ist der einfachste Weg, eine Website zu schützen und sich ihrer Sicherheit zu vergewissern. Es blockiert den gesamten schädlichen Datenverkehr, bevor er Ihre Ressource übernimmt.

Gute Hosting-Anbieter bieten integrierten WAF-Schutz mit dem mod_security Apache-Servermodul mit Open Source, aber wir verstehen, dass es nicht ausreicht, die neuesten erkannten Bedrohungen zu blockieren. Das Modul wird selten von Webhostern aktualisiert, die nicht über genügend Ressourcen verfügen, um die sich schnell entwickelnde Bedrohungslandschaft zu verfolgen.

Daher sollten Benutzer die Aufgabe selbst in die Hand nehmen und die von den Cloud-Sicherheitsanbietern bereitgestellte Firewall verwenden. Solche Cloud-basierten WAFs sind Plug-and-Play-Lösungen, die den gesamten eingehenden Datenverkehr kontrollieren und den gesamten Bedrohungserkennungs- und Entfernungsprozess autonom verarbeiten, um schnell auf neue und bestehende Bedrohungen zu reagieren.

Außerdem sind solche Cloud-Dienste in der Regel mit CDN-Inhaltsbereitstellungsnetzwerken, DDoS-Failover-Diensten und sogar Lastausgleichslösungen ausgestattet, um die Leistung, Sicherheit und Verfügbarkeit zu verbessern.

Als beste Firewall für Webanwendungen für WordPress empfehlen wir Sucuri . Der Vorteil der Sucuri-Firewall besteht darin, dass sie garantiert Malware entfernt. Entwickler garantieren, dass sie Ihre Website reparieren (egal wie viele Seiten Sie haben). Sicherheitsspezialisten schätzen ihre Arbeit normalerweise auf 250 US-Dollar pro Stunde, während Sie bei Sucuri für 199 US-Dollar pro Jahr die gesamte Bandbreite an Sicherheit erhalten.

Sucuri ist nicht der einzige Firewall-Anbieter. Sein berühmter Konkurrent, der ihm bereits auf den Fersen tritt, ist Cloudflare .

Was sind die Unterschiede zwischen Sucuri und Cloudflare?

Beide Dienste bieten unterschiedliche Pläne mit unterschiedlichen Funktionen.

Cloudflare-Funktionen

Cloudflare wurde durch den kostenlosen CDN-Dienst berühmt. Es ist darauf spezialisiert, DDoS-Angriffe zu verhindern. Cloudflare hält Ihre Website während eines Angriffs oder bei starkem Datenverkehr für Benutzer zugänglich, wenn Ihr Server nicht mehr reagiert.

Die Firewall deckt auch Formulare ab und schützt Ihre Website vor Spam-Kommentaren und Spam-Registrierungen. Cloudflare bietet auch kostenlose SSL-Zertifikate in allen kostenpflichtigen Tarifen an. Mit kostenlosen Plänen können Sie nur die Cloudflare-Zertifikate verwenden. Um ein benutzerdefiniertes Zertifikat zu erhalten, müssen Sie auf einen Business- oder Corporate-Plan upgraden.

Obwohl Cloudflare eine kostenlose Version hat, die kostenloses CDN bietet, erfordern die meisten anderen Funktionen, einschließlich der Firewall für Webanwendungen, einen Übergang zu einem kostenpflichtigen Plan.

Cloudflare bietet keinen Dienst zum Scannen von Servern zum Erkennen von Malware. Es bietet auch keine Garantie für das Entfernen von Malware.

Sucuri-Funktionen

Sucuri ist einer der zuverlässigsten Sicherheitsdienste für die Überwachung von Websites. Es bietet umfassende Überwachung und Scans auf Malware, Schutz vor DDoS und Entfernung von Schadsoftware.

Sucuri bietet CloudProxy, eine Website-Firewall und Lastausgleichsdienste. Es blockiert verdächtigen Datenverkehr, infizierten Code, Bots und andere Bedrohungen. Sucuri scannt regelmäßig Ihre Website.

Was zu wählen?

Sucuri hat offensichtlich mehr Vorteile, weil es die beste Kombination aus Tools und Diensten bietet (Firewall-Site + Lastausgleich + Malware-Bereinigung/Hack-Wiederherstellung).

Preisgestaltung

Cloudflare bietet einen kostenlosen CDN-Dienst für alle. Sie berechnen keine Bandbreite, dh Sie können ihr kostenloses CDN unabhängig von der Menge des Datenverkehrs verwenden.

Der kostenlose Plan enthält jedoch keine Firewall für Webanwendungen. Ihre Website kann das CDN verwenden, aber es wird nicht richtig vor DDoS-Angriffen, Spam usw. geschützt.

Um eine Firewall zu verwenden, benötigen Sie einen Pro-Plan, der 20 US-Dollar pro Monat kostet, aber dieser Plan beinhaltet keine erweiterte Reduzierung von DDoS-Angriffen und benutzerdefiniertes SSL. Um diese Funktionen nutzen zu können, müssen Sie einen Businessplan erwerben, der 200 US-Dollar pro Monat kostet.

Sucuri bietet keinen kostenlosen Plan an. Ihr Sicherheitsplan beginnt bei 199 US-Dollar pro Jahr, was sich als günstiger herausstellt als der Pro-Plan von CloudFlare. Dieser Basisplan umfasst eine vollständige Site-Überwachung, eine Webanwendungs-Firewall, DDoS-Schutz, Malware-Entfernung und ein kostenloses SSL-Zertifikat.

Anstatt wichtige Funktionen aus Plänen auf niedrigerer Ebene auszuschließen, nutzt Sucuri die Zeitpriorität als Anreiz für seine teureren Pläne. Beispielsweise beträgt die Zeit zum Entfernen von Malware bei einem Basistarif 12 Stunden, 6 Stunden bei einem Professional-Tarif und 4 Stunden bei einem Business-Tarif. Gleichzeitig ist die tatsächliche Reinigungszeit schneller als in den Plänen angegeben.

Sucuri bietet rund um die Uhr Support für alle Pläne. Ihre Businessplan-Abonnenten können auch den Chat-Support nutzen.

Was zu wählen?

Sucuri ist eine offensichtliche Wahl für kleine Unternehmen, wenn es um Preise geht. Cloudflare Pro kostet 240 US-Dollar pro Jahr, während Sucuri 199 US-Dollar pro Jahr mit einer Vielzahl von Funktionen berechnet. Um die gleiche Funktionalität zu erhalten, müssen Sie zum Cloudflare-Plan für 2.400 $ pro Jahr wechseln. Der teuerste Sucuri-Plan kostet 499 US-Dollar pro Jahr.

Malware entfernen

Malware und infizierter Code sind die häufigsten Bedrohungen für Websitebesitzer.

Wie schützen Sucuri und Cloudflare Websites vor diesen häufigen Bedrohungen?

Eine kostenlose Version von Cloudflare eignet sich normalerweise gut als Content Delivery Network, das das Herunterladen Ihrer Website beschleunigt.

Firewall-Sicherheit für Websites (verfügbar in der kostenpflichtigen Version) umfasst den Schutz der Website vor bösartigem Code, Exploits in XSS-JavaScript und Formularen. Es bietet keine Erkennung von Änderungen in Dateien, Malware-Scans, Blacklist-Überwachung und andere Sicherheitsfunktionen. Sie können Anwendungen von Drittanbietern hinzufügen, um Malware zu scannen, aber diese Dienste kosten Sie zusätzliches Geld.

Sucuri ist darauf spezialisiert, Websites zu überwachen und sie vor bösartiger Software und anderen Angriffen zu schützen. Die Sucuri-Firewall schützt Sie vor DDoS, SQL-Injection, XSS-JavaScript-Injections, Kommentaren und Spam-Kontaktformularen.

Wenn jedoch auch ein Angreifer diese Barrieren durchbricht, bietet Sucuri an, Ihre Website (kostenlos) zu bereinigen. Wenn Sie jetzt eine Website haben, die von Schadsoftware betroffen ist, kann Sucuri diese auch bereinigen.

Was zu wählen?

Um eine Webanwendungs-Firewall mit Überwachung, Anti-Malware-Schutz und Reinigungsdiensten zu nutzen, ist Sucuri am besten geeignet. Im Bereich Content Delivery ist es jedoch besser, auf Cloudflare zurückzugreifen.

Schritt 2. Übertragen Sie auf HTTPS, falls Sie dies noch nicht getan haben

Einer der neuesten Ranking-Faktoren, die Google offiziell angekündigt hat, ist die Anforderung, auf HTTPS umzustellen. Diese Betonung der Website-Sicherheit zeigt, dass Google es ernst meint mit der Tatsache, dass unzuverlässige oder gehackte Websites in Suchmaschinen-Rankings herabgestuft werden. Laut Google selbst ist dies ein Versuch, das Internet sicherer zu machen.

HTTPS ist ein Protokoll zur Sicherung der Vertraulichkeit des Datenaustauschs zwischen einem Benutzer und einer Website. Im Gegensatz zum alten HTTP-Protokoll gewährleistet es die Sicherheit bei der Übertragung wichtiger Informationen zwischen Sites und Servern.

HTTPS wurde früher häufig für Finanztransaktionen auf E-Commerce-Websites verwendet, um Postfächer zu schützen. Mit anderen Worten, es wurde auf alle Transaktionen angewendet, die Sicherheit und Zuverlässigkeit erfordern.

Indem Sie Ihre Website auf ein HTTPS-Protokoll übertragen, machen Sie sie nicht nur sicherer; Sie erhöhen auch Ihre Chancen auf hohe Positionen in den Suchergebnissen bei thematischen Suchanfragen von Google und Bing.

Schritt 3: Installieren Sie WordPress-Sicherheits-Plugins

Es ist wichtig, ein Prüf- und Überwachungssystem einzurichten, das jede Aktivität auf Ihrer Website verfolgt.

Sie benötigen ein Sicherheits-Plugin, um:

  • die Integrität von Dateien überwachen;
  • erfolglose Anmeldeversuche nachverfolgen;
  • scannen Sie die Website nach Malware;
  • alle Bedrohungen beseitigen;
  • schützen Sie Ihre Website vor Bedrohungen;
  • haben Sie einen universellen Assistenten im Kampf gegen alle Arten von Schwachstellen;

Das kostenlose Plugin Sucuri Scanner kann diese Aufgaben übernehmen.

Wie konfiguriere ich den Sucuri Scanner?

  1. Erstellen Sie einen kostenlosen API-Schlüssel. Es hilft, Aufzeichnungen zu führen, die Integrität der Website zu überprüfen und per E-Mail zu benachrichtigen, wenn Bedrohungen auftreten.
  2. Gehen Sie im Sucuri-Menü auf dem WordPress-Dashboard zur Registerkarte Hardening. Markieren Sie jede Option und klicken Sie auf die Schaltfläche „Stärken“.

Diese Einstellungen helfen, die Risikozonen zu blockieren, die Hacker häufig für ihre Angriffe nutzen.

  1. Konfigurieren Sie Bedrohungswarnungen per E-Mail. Um sicherzustellen, dass Ihre E-Mail Ihre E-Mails nicht überfüllt, empfehlen wir Ihnen, den Empfang von E-Mails nur über kritische Aktionen wie die Registrierung neuer Benutzer oder Änderungen an Plugins einzurichten.

Wordfence Security ist eines der bekanntesten Sicherheits-Plugins mit mehr als 2 Millionen aktiven Installationen und einer integrierten Firewall. Es bietet umfassenden Schutz einer Website an allen Fronten:

  • Universeller Site-Schutz;
  • Schutz vor neuen Bedrohungen;
  • Schutz vor Brute-Force-Angriffen;
  • Erkennung von böswilligem Datenverkehr;
  • Blockieren von Eindringlingen, bevor sie die Website erreichen;
  • Schutz vor Bots;
  • Blockieren bösartiger Netzwerke;
  • Schutz der Eingabe vor Brute-Force-Passwörtern, DDoS-Attacken;
  • Scannen der Website auf Bedrohungserkennung;
  • Scannen von Backdoors;
  • Scannen nach Trojanern, verdächtigem Code;
  • Scannen von Nachrichten und Kommentaren.

Um eine zuverlässigere Firewall zu erhalten, müssen Sie eine Premium-Version erwerben (ab 99 $ pro Jahr). Grundlegende Plugin-Funktionen sind in der kostenlosen Version verfügbar.

Senden Sie eine Anfrage an Google, Bing usw.

Das negative Ergebnis eines Hacks ist, dass viele Suchmaschinen, Browser und Sicherheitssoftware Ihre Ressource als problematisch identifizieren und Warnungen an Benutzer ausgeben, die die Website besuchen möchten. So versuchen sie, die Sicherheit ihrer Benutzer zu gewährleisten und sie vor Gefahren zu bewahren.

Damit Ihre Website so schnell wie möglich funktioniert, wenden Sie sich an Google, Bing, Yahoo, Mozilla und andere Dienste, um Ihre Website von ihrer schwarzen Liste zu entfernen.

Schlussfolgern

Wie bei den meisten anderen Dingen, die plötzlich schief gelaufen sind, seien Sie einfach vorsichtig und stellen Sie sicher, dass Sie alle möglichen Vorkehrungen getroffen haben, um Ihre WordPress-Site vor Angriffen zu schützen. Wenn es unvermeidlich war und Sie bereits gehackt wurden, lassen Sie sich nicht entmutigen.

Verwenden Sie einfach die negative Erfahrung (die normalerweise vermieden werden kann) als Alarmglocke, befolgen Sie die oben beschriebenen Schritte und ergreifen Sie alle Sicherheitsmaßnahmen, um ein solches Ereignis in Zukunft zu vermeiden.