WordPress-Sicherheitstipps für den Laien: Sichern Sie Ihre WordPress-Anmeldung und andere Sicherheitspraktiken

Artikel geschrieben von:
  • WordPress
  • Aktualisiert: Feb 06, 2020

Seit der Einführung von WordPress vor mehr als zwei Jahrzehnten ist WordPress inzwischen gewachsen (und gewachsen) und gilt als das beliebteste Content-Management-System der Welt. Heute, mehr als ein Viertel der vorhandenen Websites werden auf WordPress ausgeführt.

Doch seit Menschengedenken ist es umso populärer, je mehr Menschen es für ruchlose Mittel nutzen wollen. Schauen Sie sich nur Microsoft Windows und das an Unzählige Anzahl von Malware, Viren und anderen Exploits entwickelt, um nur dieses eine bestimmte Betriebssystem zu zielen.

Die 10 WordPress-Versionen mit den meisten Sicherheitsanfälligkeiten (Quelle). Nach Recherchen in 2017 wurden 74-Versionen von WordPress auf Alexa Top 1-Millionen-Websites ermittelt. 11 dieser Versionen sind ungültig - zum Beispiel Version 6.6.6 (Quelle).

Warum ist Ihr WordPress-Blog ein wertvolles Ziel?

Falls Sie sich fragen, warum in aller Welt ein Hacker Ihren WordPress-Blog kontrollieren möchte, gibt es mehrere Gründe:

  • Verwenden Sie es, um Spam-E-Mails heimlich zu senden
  • Stehlen Sie Ihre Daten, z. B. eine Mailingliste oder Kreditkartendaten
  • Hinzufügen Ihrer Site zu einem Botnet, das sie später verwenden können

Glücklicherweise ist WordPress eine Plattform, die Ihnen eine Vielzahl von Möglichkeiten bietet, sich zu verteidigen. Nachdem Sie mir bei der Einrichtung und Verwaltung mehrerer Websites und Blogs geholfen haben, möchte ich Ihnen einige grundlegende Dinge mitteilen, die Sie zur Sicherung Ihrer WordPress-Site beitragen können.

Hier sind durchführbare Sicherheitstipps für 10, die Sie verwenden können.

Sichern Sie Ihre WordPress-Anmeldeseite

Das Schützen Ihrer Anmeldeseite kann nicht durch eine bestimmte Technik erreicht werden, aber es gibt sicherlich Schritte und kostenlose Sicherheits-Plugins Sie können alle Angriffe viel weniger wahrscheinlich machen, um erfolgreich zu sein.

Die Anmeldeseite Ihrer Website ist zweifellos eine der anfälligeren Seiten Ihrer Website. Machen Sie sich also daran, die Anmeldeseite Ihrer WordPress-Website ein wenig sicherer zu machen.

1. Wählen Sie einen guten Administrator-Benutzernamen

Verwenden Sie ungewöhnliche Benutzernamen. Früher mussten Sie bei WordPress mit einem Standard-Administrator-Benutzernamen beginnen, aber das ist nicht mehr so. Die meisten neuen Webadministratoren verwenden jedoch den Standardbenutzernamen und müssen ihren Benutzernamen ändern. Sie können verwenden Admin Renamer erweitert um deinen Admin-Benutzernamen zu ändern.

Das brutale Erzwingen von Anmeldeseiten ist eine der häufigsten Formen von Webangriffen auf Ihre Website. Wenn Sie ein leicht zu erratendes Passwort oder einen leicht zu erratenden Benutzernamen haben, ist Ihre Website mit ziemlicher Sicherheit nicht nur ein Ziel, sondern letztendlich ein Opfer. Erfahrungsgemäß versuchen die meisten Site-Hack-Versuche, sich mit drei verschiedenen Benutzernamen anzumelden. Die ersten beiden sind immer "admin" oder "administrator", während die dritte normalerweise auf Ihrem Domain-Namen basiert.

Wenn Ihre Website beispielsweise crazymonkey33.com ist, versucht der Hacker möglicherweise, sich mit 'crazymonkey33' anzumelden.

Keine gute Idee.

2. Stellen Sie sicher, dass Sie ein sicheres Kennwort verwenden

Inzwischen würden Sie wahrscheinlich denken, dass die Leute wissen würden, starke, komplexe Kennwörter zu verwenden, um ihr Konto zu schützen, aber es gibt immer noch viele, die "Kennwort" für großartig halten.

Splash Daten erstellte eine Liste von häufig verwendete Passwörter im Jahr 2018. Passwort nach Rang in Bezug auf die Nutzung.

  1. 123456
  2. Passwort
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. Sonnenschein
  9. QWERTY
  10. iloveyou

Wenn Sie eines dieser Passwörter verwenden und Ihre Website überhaupt Zugriff erhält, wird Ihre Website mit ziemlicher Sicherheit früher oder später gelöscht.

Ein sicheres Passwort enthält eine Mischung aus:

  • Upper und Lower Großbuchstaben
  • Alphanumerisch sein (AZ und az)
  • Einfügen eines Sonderzeichens (!, @, #, $ Usw.)
  • Mindestens 8-Zeichen lang

Je zufälliger Ihr Passwort ist, desto sicherer wird es sein. Probieren Sie diesen zufälligen Passwortgenerator aus, wenn Sie Probleme haben, einen zu erstellen. https://passwordsgenerator.net/

3. Implementieren Sie ein reCaptcha

Wall Bots aus Ihrem WP-Blog.

reCaptcha wurde entwickelt, um zu verhindern, dass automatisierte Werkzeuge an einem Standort arbeiten. In Anbetracht der Komplexität heutiger Hacker-Tools können diese natürlich leicht umgangen werden, aber zumindest gibt es diese zusätzliche Sicherheitsebene.

Es gibt eine Reihe von reCaptcha-Plugins Sie können mit Ihrer Installation verwenden, die praktisch sofort funktioniert.

4. Zwei-Faktor-Authentifizierung (2FA) verwenden

2FA ist eine Authentifizierungsmethode, die eine Überprüfung Ihrer Anmeldung erfordert. Wenn Sie sich beispielsweise mit Ihrem Benutzernamen und Ihrem Kennwort angemeldet haben, sendet das System möglicherweise eine SMS an Ihr Mobiltelefon oder sendet Ihnen eine E-Mail mit einem Code, den Sie zur Bestätigung Ihrer Identität eingeben müssen.

Diese Authentifizierungsmethode bietet einen guten Schutz und wird heutzutage von vielen Banken und Finanzinstituten verwendet. Auch dieses Bedürfnis kann leicht mit a erfüllt werden 2FA-Plugin.

Wie miniOrange (ein 2FA-Plugin) mit WordPress-Login funktioniert, sehen Sie im folgenden Video.

T

5. Benennen Sie Ihre Anmelde-URL um

Die meisten Hacker versuchen, sich über die standardmäßige WordPress-Anmeldeseite anzumelden

sample.com/wp-admin.

Um eine weitere Schutzschicht hinzuzufügen, ändern Sie die URL der Anmeldeseite schnell und mühelos mit einem Tool wie WPS-Login ausblenden.

6. Begrenzen Sie die Anzahl der Anmeldeversuche

Dies ist eine unglaublich einfache Technik, um Brute-Force-Angriffe auf Ihrer Anmeldeseite zu stoppen. Ein Brute-Force-Angriff funktioniert, indem Sie versuchen, Ihren Benutzernamen und Ihr Passwort zu korrigieren, indem Sie mehrere Kombinationen mehrfach ausprobieren.

Wenn die bestimmte IP, die den Angriff verübt, verfolgt wird, können Sie die wiederholten Brute-Forcing-Versuche blockieren und Ihre Site sichern. Dies ist auch der Grund, warum globale DDOS-Angriffe mit mehreren IP-Adressen mit unterschiedlichem Angriffsort auftreten, um Hosting-Dienste und die Sicherheit von Websites zu überhören.

Einloggen LockDown und weiterführende Login Security Solution Beide bieten großartige Lösungen zum Schutz der Anmeldeseiten Ihrer Website. Sie verfolgen IP-Adressen und begrenzen die Anzahl der Anmeldeversuche, um Ihre Website zu schützen.

Harte Site Security Wall

Wir haben verschiedene Vorgehensweisen zum Sichern Ihrer WordPress-Anmeldeseite besprochen. Die oben genannten Schritte sind die Grundlagen, die Sie ausführen können. Sie sollten sich auch darüber im Klaren sein, dass einige Webhosts ihren Benutzern einige dieser Sicherheitspraktiken auferlegen. Es gibt eine Reihe anderer Sicherheitspraktiken, die Sie auf Ihren Websites implementieren können.

7. Schützen Sie Ihr WP-Admin-Verzeichnis

Fügen Sie Ihrem Host-Verzeichnis eine zusätzliche Sicherheitsebene hinzu.

Das wp-admin-Verzeichnis ist das Herzstück Ihrer WordPress-Installation. Als zusätzlichen Schutz schützen Sie dieses Verzeichnis mit einem Kennwort.

Dazu müssen Sie sich bei Ihrem Hosting-Konto-Kontrollfeld anmelden. Ob Sie verwenden cPanel or Plesk, die Option, die Sie suchen, ist 'Verzeichnisse mit Passwort schützen'.

Alternativ können Sie ein Verzeichnis mit einem Kennwort schützen, indem Sie Ihre .htaccess- und .htpasswds-Dateien optimieren. Eine detaillierte Schritt-für-Schritt-Anleitung und einen Code-Generator erhalten Sie kostenlos unter Dynamisches Laufwerk.

Beachten Sie, dass Ihr wp-admin-Ordner durch ein Kennwort geschützt wird brechen öffentliche AJAX für WordPress - Sie müssen die Erlaubnis haben, Ajax über .htaccess zu verwalten, um Site-Fehler zu vermeiden.

8. Verwenden Sie SSL zum Verschlüsseln von Daten

HTTP vs HTTPS Verbindung (Quelle: Sucuri)

Abgesehen von der Site selbst möchten Sie auch die Verbindung zwischen Ihnen und dem Server sichern. Hier verschlüsselt SSL Ihre Kommunikation. Durch eine verschlüsselte Verbindung können Hacker keine Daten abfangen (z. B. Ihr Kennwort), wenn Sie mit Ihrem Server kommunizieren.

Abgesehen davon ist es auch eine gute Praxis, SSL jetzt zu implementieren, da Suchmaschinen Websites, die sie als "nicht sicher" ansehen, zunehmend benachteiligen.

Für einzelne Blogger und kleine Unternehmen ein kostenloses, gemeinsam genutztes SSL, das Sie normalerweise von Ihrem Hosting-Anbieter erhalten. Lass uns verschlüsseln, oder CloudFlare - ist in der Regel mehr als gut genug. Für Unternehmen, die die Zahlung ihrer Kunden abwickeln, ist es das Beste, was Sie tun Kaufen Sie ein dediziertes SSL-Zertifikat von Ihrem Webhost oder einer Zertifizierungsstelle (CA).

Erfahren Sie mehr über SSL in unserem umfassenden AZ-Leitfaden zu SSL.

9. Nutzen Sie ein Content Distribution Network (CDN)

Dies kann Ihre Website zwar nicht vor Hackerangriffen schützen, schützt sie jedoch vor böswilligen Angriffen. Einige Hacker haben das Ziel, Websites herunterzufahren, um sie für die Öffentlichkeit unzugänglich zu machen. Ein CDN hilft, den Schlag von a abzufedern Distributed Denial of Service Angriff auf Ihre Website.

Abgesehen davon hilft es Ihnen auch, Ihre Website etwas zu beschleunigen, indem Sie Inhalte zwischenspeichern. Sehen Sie sich CloudFlare als Beispiel an, um diese Option zu erkunden. CloudFlare bietet CDN-Services zu mehrstufigen Preisstufen an, sodass Sie sogar grundlegende Funktionen kostenlos nutzen können. https://www.cloudflare.com

10. Stellen Sie sicher, dass ALLE Ihre Software auf dem neuesten Stand ist

Egal wie gute oder teure Software ist, es werden immer neue Schwachstellen gefunden, die sie offen halten könnten. WordPress ist keine Ausnahme und das Team veröffentlicht ständig neuere Versionen mit Korrekturen und Updates.

Hacker versuchen fast immer, Schwäche auszunutzen, und ein unbekannter Exploit, der nicht fixiert ist, fordert einfach Ärger. Dies ist doppelt so viel für Plugins, die oft von viel kleineren Unternehmen mit weniger Ressourcen erstellt werden.

Wenn Sie Plugins verwenden, stellen Sie sicher, dass Updates regelmäßig veröffentlicht werden, oder ziehen Sie in Betracht, nach Updates zu suchen beliebte Plugins mit ähnlichen Funktionen, die ständig aktualisiert werden.

Nachdem dies gesagt wurde, empfehle ich Ihnen NICHT, es zu verwenden automatische Updates für WordPress und Plugin, besonders wenn Sie eine Live-Site betreiben. Einige Updates können Probleme verursachen, entweder intern oder durch Konflikte mit anderen Plugins und Einstellungen.

Erstellen Sie im Idealfall eine Testumgebung, die Ihre Live-Site widerspiegelt, und testen Sie die Updates dort. Sobald Sie sicher sind, dass alles einwandfrei funktioniert, können Sie das Update auf die Live-Site anwenden.

Kontrollfelder wie Plesk bieten Ihnen die Möglichkeit, einen Site-Klon für diesen Zweck zu erstellen.

11. Backup, Backup und Backup!

Unabhängig von den Sicherheitsmaßnahmen oder wie vorsichtig Sie sind, passieren Unfälle. Schützen Sie sich vor einem vernichtenden Herzschlag und hundert Stunden Arbeit, indem Sie einfach sicherstellen, dass Sie angemessene Backup-Dienste zur Verfügung haben.

Normalerweise enthält Ihr Webhost mindestens einige grundlegende Sicherungsfunktionen. Wenn Sie jedoch wie ich paranoid sind, sollten Sie immer sicherstellen, dass Sie eigene unabhängige Sicherungen durchführen. Das Sichern ist nicht so einfach wie das Kopieren einiger Dateien, sondern berücksichtigt auch die Informationen in Ihrer Datenbank.

Suchen Sie nach einer bewährten Sicherungslösung. Schon eine kleine Investition lohnt sich, um im Notfall die Tränen zu sparen. So etwas wie Backup hilft Ihnen, alles auf einmal zu speichern, einschließlich Ihrer Datenbank.

12. Ihr Webhost zählt!

Obwohl Web-Hosting-Unternehmen traditionell nur Platz für das Hosting unserer Websites zur Verfügung stellten, haben sich die Zeiten geändert. Webhosting-Anbieter, die das dringende Bedürfnis nach erhöhter Sicherheit erkennen, haben sich verstärkt und viele bieten Mehrwertdienste an, die ihr Webhosting ergänzen.

Nehmen Sie zum Beispiel HostGator, einer der etabliertesten Namen im Spiel. Neben den grundlegenden Cloudflare-Funktionen verfügt HostGator (zum Preis von $ 10 + / Monat) auch über Spam Free Protection, automatisierte Malware-Entfernung, automatisierte Backups, Domain-Datenschutz und mehr.

Managed WordPress-Hostinganbieter, KinstaBauen Sie Hardware-Firewalls und überwachen Sie ihre Server aktiv auf Malware- und DDoS-Angriffe.

Wenn Ihnen dies bisher noch nicht in den Sinn gekommen ist, sollten Sie die Sicherheitsmerkmale Ihres Hosts genau prüfen und mit den derzeit verfügbaren vergleichen.

Für eine umfassende Liste können Sie auschecken WHSR's Zusammenstellung der besten Webhoster hier.

Was nun?

Bevor Sie durchgehen und das Internet in Panik suchen, suchen Sie nach einer Million und einer Sicherheitslösung - atmen Sie tief ein. Wie bei allem anderen wird Ihnen schon jemand in Panik geraten und nach einer Lösung gesucht.

Auch wenn Sie so viele Sicherheitslösungen implementieren, wie Sie finden, sind Sie das auch sicher Du bist sicher?

Hier ist wo etwas Sicherheit Ninja Kommen Sie herein, was Ihnen hilft, Ihren Standort auf Schwachstellen zu untersuchen.

Schnelle Demo: So funktioniert Security Ninja.

Es gibt ein paar zwingende Gründe, etwas wie Security Ninja zu verwenden, aber lassen Sie mich sagen, dass dies ein Werkzeug ist, das ich in mehreren Schritten Ihrer Reise empfehlen würde, um Ihre Website zu sichern.

Führen Sie es auf Ihrer Website so aus, wie sie ist - bevor Sie Änderungen vornehmen. Lassen Sie das Plugin Ihre Website testen, bevor Sie die Ergebnisse erhalten.

Arbeiten Sie dann auf der Grundlage dieser Ergebnisse daran, Ihre Website zu sichern. Security Ninja führt mehr als 50-Tests durch, um Ihre Abwehr zu untersuchen. Wenn Sie Ihre Änderungen vorgenommen haben, führen Sie sie erneut aus (und bei jeder Site-Änderung oder Aktualisierung von Plugins), um Ihre Site zu testen.

Wenn das für Sie nach etwas zu viel Arbeit klingt, bietet Security Ninja auch eine Vielzahl zusätzlicher Module (Pro-Version, Single Site $ 29) das kann Ihnen helfen, die gefundenen Probleme zu beheben.

Einige andere wichtige Funktionen in diesen Modulen sind:

  • Scannen Sie WP-Core-Dateien, um problematische Dateien zu identifizieren
  • Stellen Sie geänderte Dateien mit einem Klick wieder her
  • Reparieren Sie defekte WP-Auto-Updates
  • Verbot von 600 Millionen fehlerhafter IPs, die von Millionen von angegriffenen Websites gesammelt wurden
  • Automatische Aktualisierungen auflisten, keine Wartung oder manuelle Arbeit erforderlich
  • Schützen Sie das Anmeldeformular vor Brute-Force-Angriffen

Abschließend

All dies mag dem durchschnittlichen WordPress-Benutzer ein wenig übertrieben erscheinen, aber ich versichere Ihnen, dass alles (und mehr) notwendig ist. Lassen Sie mich die weltweiten Hacking-Statistiken ignorieren, und lassen Sie mich einige Zeit auf einer der obskuren Websites, die ich verwalte, mit Ihnen teilen.

Ursprünglich als einfache Biographieseite gestartet, habe ich erstellt www.timothyshim.com. Offensichtlich war es nur etwas, das ich aufbaute und meistens allein gelassen habe, einfach als Anhaltspunkt. Auf jeden Monat, diese Seite, die Im Grunde tut nichts und sammelt keine Daten, steht vor 30-Angriffen - eine Kombination aus roher Gewalt und komplexen.

Alles, was es braucht, ist, dass einer von ihnen Erfolg hat und ich würde eine haben wirklich schlechter Tag.

Über Timothy Shim

Timothy Shim ist ein Schriftsteller, Redakteur und Tech-Geek. Er begann seine Karriere auf dem Gebiet der Informationstechnologie und fand schnell seinen Weg in die Printmedien. Seitdem arbeitet er mit internationalen, regionalen und einheimischen Medientiteln wie ComputerWorld, PC.com, Business Today und The Asian Banker zusammen. Seine Expertise liegt im Bereich der Technologie sowohl aus Sicht der Verbraucher als auch der Unternehmen.