10 Actionable WordPress Security Tipps für den Laien

Artikel geschrieben von:
  • WordPress
  • Aktualisiert: Juni 06, 2018

Seit der Einführung von WordPress vor mehr als zwei Jahrzehnten ist WordPress inzwischen gewachsen (und gewachsen) und gilt als das beliebteste Content-Management-System der Welt. Heute, mehr als ein Viertel der vorhandenen Websites werden auf WordPress ausgeführt.

Doch seit Menschengedenken ist es umso populärer, je mehr Menschen es für ruchlose Mittel nutzen wollen. Schauen Sie sich nur Microsoft Windows und das an Unzählige Anzahl von Malware, Viren und anderen Exploits entwickelt, um nur dieses eine bestimmte Betriebssystem zu zielen.

Die 10 WordPress-Versionen mit den meisten Sicherheitsanfälligkeiten (Quelle). Nach Recherchen in 2017 wurden 74-Versionen von WordPress auf Alexa Top 1-Millionen-Websites ermittelt. 11 dieser Versionen sind ungültig - zum Beispiel Version 6.6.6 (Quelle).

Warum ist Ihr WordPress-Blog ein wertvolles Ziel?

Falls Sie sich fragen, warum in aller Welt ein Hacker Ihren WordPress-Blog kontrollieren möchte, gibt es mehrere Gründe:

  • Verwenden Sie es, um Spam-E-Mails heimlich zu senden
  • Stehlen Sie Ihre Daten, z. B. eine Mailingliste oder Kreditkartendaten
  • Hinzufügen Ihrer Site zu einem Botnet, das sie später verwenden können

Glücklicherweise ist WordPress eine Plattform, die Ihnen eine Vielzahl von Möglichkeiten bietet, sich zu verteidigen. Nachdem Sie mir bei der Einrichtung und Verwaltung mehrerer Websites und Blogs geholfen haben, möchte ich Ihnen einige grundlegende Dinge mitteilen, die Sie zur Sicherung Ihrer WordPress-Site beitragen können.

Hier sind durchführbare Sicherheitstipps für 10, die Sie verwenden können.

Tipp #1. Wählen Sie einen guten Administrator-Benutzernamen

Erfahrungsgemäß versuchen die meisten Site-Hack-Versuche, sich mit drei Hauptauswahlmöglichkeiten für Benutzernamen anzumelden. Die ersten beiden sind immer "admin" oder "administrator", während die dritte normalerweise auf Ihrem Domänennamen basiert.

Wenn Ihre Website beispielsweise crazymonkey33.com ist, versucht der Hacker möglicherweise, sich mit 'crazymonkey33' anzumelden.

Keine gute Idee.

Tipp #2. Stellen Sie sicher, dass Sie ein sicheres Kennwort verwenden

Inzwischen würden Sie wahrscheinlich denken, dass die Leute wissen würden, starke, komplexe Kennwörter zu verwenden, um ihr Konto zu schützen, aber es gibt immer noch viele, die "Kennwort" für großartig halten.

Ein sicheres Passwort enthält eine Mischung aus:

  • Upper und Lower Großbuchstaben
  • Alphanumerisch sein (AZ und az)
  • Einfügen eines Sonderzeichens (!, @, #, $ Usw.)
  • Mindestens 8-Zeichen lang

Je zufälliger Ihr Passwort ist, desto sicherer wird es sein. Probieren Sie diesen zufälligen Passwortgenerator aus, wenn Sie Probleme haben, einen zu erstellen. https://passwordsgenerator.net/

Tipp #3. Implementieren Sie ein reCaptcha

Wall Bots aus Ihrem WP-Blog.

reCaptcha wurde entwickelt, um zu verhindern, dass automatisierte Werkzeuge an einem Standort arbeiten. In Anbetracht der Komplexität heutiger Hacker-Tools können diese natürlich leicht umgangen werden, aber zumindest gibt es diese zusätzliche Sicherheitsebene.

Es gibt eine Reihe von reCaptcha-Plugins Sie können mit Ihrer Installation verwenden, die praktisch sofort funktioniert.

Tipp #4. Zwei-Faktor-Authentifizierung verwenden (2FA)

2FA ist eine Authentifizierungsmethode, die eine Überprüfung Ihrer Anmeldung erfordert. Wenn Sie sich beispielsweise mit Ihrem Benutzernamen und Ihrem Kennwort angemeldet haben, sendet das System möglicherweise eine SMS an Ihr Mobiltelefon oder sendet Ihnen eine E-Mail mit einem Code, den Sie zur Bestätigung Ihrer Identität eingeben müssen.

Diese Authentifizierungsmethode bietet einen guten Schutz und wird heutzutage von vielen Banken und Finanzinstituten verwendet. Auch dieses Bedürfnis kann leicht mit a erfüllt werden 2FA-Plugin.

Wie miniOrange (ein 2FA-Plugin) mit WordPress-Login funktioniert, sehen Sie im folgenden Video.

T

Tipp #5. Benennen Sie Ihre Login-URL um

Die meisten Hacker versuchen, sich über die Standard-Anmeldeseite von wordpress anzumelden. Dies ist normalerweise etwas wie sample.com/wp-admin.

Um eine weitere Schutzschicht hinzuzufügen, ändern Sie die URL der Anmeldeseite schnell und mühelos mit einem Tool wie WPS-Login ausblenden.

Tipp #6. Schützen Sie Ihr WP-Admin-Verzeichnis

Fügen Sie Ihrem Host-Verzeichnis eine zusätzliche Sicherheitsebene hinzu.

Das wp-admin-Verzeichnis ist das Herzstück Ihrer WordPress-Installation. Als zusätzlichen Schutz schützen Sie dieses Verzeichnis mit einem Kennwort.

Dazu müssen Sie sich bei Ihrem Hosting-Konto-Kontrollfeld anmelden. Ob Sie verwenden cPanel or Plesk, die Option, die Sie suchen, ist 'Verzeichnisse mit Passwort schützen'.

Tipp #7. Verwenden Sie SSL zum Verschlüsseln von Daten

HTTP vs HTTPS Verbindung (Quelle: Sucuri)

Abgesehen von der Site selbst möchten Sie auch die Verbindung zwischen Ihnen und dem Server sichern. Hier verschlüsselt SSL Ihre Kommunikation. Durch eine verschlüsselte Verbindung können Hacker keine Daten abfangen (z. B. Ihr Kennwort), wenn Sie mit Ihrem Server kommunizieren.

Abgesehen davon ist es auch eine gute Praxis, SSL jetzt zu implementieren, da Suchmaschinen Websites, die sie als "nicht sicher" ansehen, zunehmend benachteiligen.

Erfahren Sie mehr über SSL in unserem umfassenden AZ-Leitfaden zu SSL.

Tipp #8. Stellen Sie sicher, dass ALLE Software auf dem neuesten Stand ist

Egal wie gute oder teure Software ist, es werden immer neue Schwachstellen gefunden, die sie offen halten könnten. WordPress ist keine Ausnahme und das Team veröffentlicht ständig neuere Versionen mit Korrekturen und Updates.

Hacker versuchen fast immer, Schwäche auszunutzen, und ein unbekannter Exploit, der nicht fixiert ist, fordert einfach Ärger. Dies ist doppelt so viel für Plugins, die oft von viel kleineren Unternehmen mit weniger Ressourcen erstellt werden.

Wenn Sie Plugins verwenden, stellen Sie sicher, dass Updates regelmäßig veröffentlicht werden, oder überlegen Sie sich, welche mit ähnlicher Funktionalität aktualisiert werden.

Nachdem dies gesagt wurde, empfehle ich Ihnen NICHT, es zu verwenden automatische Updates für WordPress und Plugin, besonders wenn Sie eine Live-Site betreiben. Einige Updates können Probleme verursachen, entweder intern oder durch Konflikte mit anderen Plugins und Einstellungen.

Erstellen Sie im Idealfall eine Testumgebung, die Ihre Live-Site widerspiegelt, und testen Sie die Updates dort. Sobald Sie sicher sind, dass alles einwandfrei funktioniert, können Sie das Update auf die Live-Site anwenden.

Kontrollfelder wie Plesk bieten Ihnen die Möglichkeit, einen Site-Klon für diesen Zweck zu erstellen.

Tipp #9. Nutzen Sie ein Content Distribution Network (CDN)

Dies schützt Ihre Website zwar möglicherweise nicht vor Hacking, hilft jedoch dabei, böswillige Angriffe dagegen abzufedern. Einige Hacker zielen darauf ab, Websites herunterzufahren und für die Öffentlichkeit unzugänglich zu machen. Ein CDN hilft, den Schlag eines Angriffs auf verteilte Denial-of-Service-Attacken auf Ihrer Website abzufedern.

Abgesehen davon hilft es Ihnen auch, Ihre Website etwas zu beschleunigen, indem Sie Inhalte zwischenspeichern. Sehen Sie sich CloudFlare als Beispiel an, um diese Option zu erkunden. CloudFlare bietet CDN-Services zu mehrstufigen Preisstufen an, sodass Sie sogar grundlegende Funktionen kostenlos nutzen können. https://www.cloudflare.com

Tipp #10. Backup, Backup und Backup!

Unabhängig von den Sicherheitsmaßnahmen oder wie vorsichtig Sie sind, passieren Unfälle. Schützen Sie sich vor einem vernichtenden Herzschlag und hundert Stunden Arbeit, indem Sie einfach sicherstellen, dass Sie angemessene Backup-Dienste zur Verfügung haben.

Normalerweise enthält Ihr Webhost mindestens einige grundlegende Sicherungsfunktionen. Wenn Sie jedoch wie ich paranoid sind, sollten Sie immer sicherstellen, dass Sie eigene unabhängige Sicherungen durchführen. Das Sichern ist nicht so einfach wie das Kopieren einiger Dateien, sondern berücksichtigt auch die Informationen in Ihrer Datenbank.

Suchen Sie nach einer bewährten Sicherungslösung. Schon eine kleine Investition lohnt sich, um im Notfall die Tränen zu sparen. So etwas wie Backup hilft Ihnen, alles auf einmal zu speichern, einschließlich Ihrer Datenbank.

Bonus-Tipp: Ihr Webhost zählt!

Obwohl Web-Hosting-Unternehmen traditionell nur Platz für das Hosting unserer Websites zur Verfügung stellten, haben sich die Zeiten geändert. Webhosting-Anbieter, die das dringende Bedürfnis nach erhöhter Sicherheit erkennen, haben sich verstärkt und viele bieten Mehrwertdienste an, die ihr Webhosting ergänzen.

Nehmen Sie zum Beispiel HostGator, einer der etabliertesten Namen im Spiel. Neben den grundlegenden Cloudflare-Funktionen verfügt HostGator (zum Preis von $ 10 + / Monat) auch über Spam Free Protection, automatisierte Malware-Entfernung, automatisierte Backups, Domain-Datenschutz und mehr.

Managed WordPress-Hostinganbieter, KinstaErstellen Sie Hardware-Firewalls und überwachen Sie ihre Server aktiv auf Malware- und DDoS-Angriffe mit einem benutzerdefinierten System.

Wenn Ihnen dies bisher noch nicht in den Sinn gekommen ist, sollten Sie die Sicherheitsmerkmale Ihres Hosts genau prüfen und mit den derzeit verfügbaren vergleichen.

Für eine umfassende Liste können Sie auschecken WHSRs Zusammenstellung von Webhosts hier.

Was nun?

Bevor Sie durchgehen und das Internet in Panik suchen, suchen Sie nach einer Million und einer Sicherheitslösung - atmen Sie tief ein. Wie bei allem anderen wird Ihnen schon jemand in Panik geraten und nach einer Lösung gesucht.

Auch wenn Sie so viele Sicherheitslösungen implementieren, wie Sie finden, sind Sie das auch sicher Du bist sicher?

Hier ist wo etwas Sicherheit Ninja Kommen Sie herein, was Ihnen hilft, Ihren Standort auf Schwachstellen zu untersuchen.

Schnelle Demo: So funktioniert Security Ninja.

Es gibt ein paar zwingende Gründe, etwas wie Security Ninja zu verwenden, aber lassen Sie mich sagen, dass dies ein Werkzeug ist, das ich in mehreren Schritten Ihrer Reise empfehlen würde, um Ihre Website zu sichern.

Führen Sie es auf Ihrer Website so aus, wie sie ist - bevor Sie Änderungen vornehmen. Lassen Sie das Plugin Ihre Website testen, bevor Sie die Ergebnisse erhalten.

Arbeiten Sie dann auf der Grundlage dieser Ergebnisse daran, Ihre Website zu sichern. Security Ninja führt mehr als 50-Tests durch, um Ihre Abwehr zu untersuchen. Wenn Sie Ihre Änderungen vorgenommen haben, führen Sie sie erneut aus (und bei jeder Site-Änderung oder Aktualisierung von Plugins), um Ihre Site zu testen.

Wenn das für Sie nach etwas zu viel Arbeit klingt, bietet Security Ninja auch eine Vielzahl zusätzlicher Module (Pro-Version, Single Site $ 29) das kann Ihnen helfen, die gefundenen Probleme zu beheben.

Einige andere wichtige Funktionen in diesen Modulen sind:

  • Scannen Sie WP-Core-Dateien, um problematische Dateien zu identifizieren
  • Stellen Sie geänderte Dateien mit einem Klick wieder her
  • Reparieren Sie defekte WP-Auto-Updates
  • Verbot von 600 Millionen fehlerhafter IPs, die von Millionen von angegriffenen Websites gesammelt wurden
  • Automatische Aktualisierungen auflisten, keine Wartung oder manuelle Arbeit erforderlich
  • Schützen Sie das Anmeldeformular vor Brute-Force-Angriffen

Final Thoughts

All dies mag dem durchschnittlichen WordPress-Benutzer ein wenig übertrieben erscheinen, aber ich versichere Ihnen, dass alles (und mehr) notwendig ist. Lassen Sie mich die weltweiten Hacking-Statistiken ignorieren, und lassen Sie mich einige Zeit auf einer der obskuren Websites, die ich verwalte, mit Ihnen teilen.

Ursprünglich als einfache Biographieseite gestartet, habe ich erstellt www.timothyshim.com. Offensichtlich war es nur etwas, das ich aufbaute und meistens allein gelassen habe, einfach als Anhaltspunkt. Auf jeden Monat, diese Seite, die Im Grunde tut nichts und sammelt keine Daten, steht vor 30-Angriffen - eine Kombination aus roher Gewalt und komplexen.

Alles, was es braucht, ist, dass einer von ihnen Erfolg hat und ich würde eine haben wirklich schlechter Tag.

Artikel von Timothy Shim

Timothy Shim ist ein Schriftsteller, Redakteur und Tech-Geek. Er begann seine Karriere auf dem Gebiet der Informationstechnologie und fand schnell seinen Weg in die Printmedien. Seitdem arbeitet er mit internationalen, regionalen und einheimischen Medientiteln wie ComputerWorld, PC.com, Business Today und The Asian Banker zusammen. Seine Expertise liegt im Bereich der Technologie sowohl aus Sicht der Verbraucher als auch der Unternehmen.

Verbindung herstellen: