Hinweis: Der folgende Artikel hilft Ihnen dabei: Die umfassende WordPress-Sicherheitscheckliste (wie Sie Ihre Website schützen)
WordPress ist eines der beliebtesten Open-Source-Content-Management-Systeme (CMS) zum Erstellen von E-Commerce-, Blog-, Portfolio- und anderen Arten von Websites. Leider machen sich Hacker die Tatsache zunutze, dass der WordPress-Code Open Source ist.
Daher ist es wichtig, dass Sie Ihre Website schützen. In diesem Artikel zeigen wir Ihnen, wie Sie eine WordPress-Site sichern, um sie vor Hackern, Bots, Spam, Malware und mehr zu schützen.
Die Bedeutung der WordPress-Sicherheit
Der Einsatz der richtigen Sicherheit für eine WordPress-Site schützt Ihre Website vor verschiedenen Cyberangriffen. Sowohl Sie als auch die Ihrer Kunden werden durch eine sichere Website geschützt. Denken Sie auch daran, dass Sie Ihren Ruf schützen, indem Sie Ihre Website schützen.
Bietet WordPress integrierte Sicherheit?
Standardmäßig leitet WordPress alle unsicheren HTTP-Anfragen (301-Weiterleitungen) an die sichere HTTPS-Version Ihrer Website weiter. Sie können Ihre WordPress-Website weiter schützen, indem Sie Sicherheits-Plugins installieren.
Verwenden Sie ein WordPress-Sicherheits-Plugin
WordPress-Add-ons sind eine großartige Möglichkeit, Ihrer Website schnell und effizient zusätzliche nützliche Funktionen hinzuzufügen. Eines der wichtigsten Add-ons, die Sie auf Ihrer Website installieren können, ist ein Sicherheits-Plugin. Mit nur wenigen Klicks fügen Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzu.
Einige der beliebtesten Plugins, die Sicherheit für WordPress-Sites bieten, sind:
- Jetpack: Dieses Plugin ist einfach zu installieren und bietet umfassende WordPress-Website-Sicherheit. Zu seinen Funktionen gehören die Erstellung von Backups in Echtzeit, Spam-Schutz, Brute-Force-Schutz und Malware-Scans.
- Solider Sicherheitsprofi: Durch die Installation dieses Plugins können Sie Ihrer Website in Sekundenschnelle eine zusätzliche Schutzebene hinzufügen. Mit soliden Sicherheits-Site-Vorlagen können Sie im Handumdrehen die richtigen Sicherheitseinstellungen für Ihre E-Commerce-Website festlegen. Sie können verdächtige Aktivitäten überwachen, nach anfälligen Plugins und Themes suchen, um Updates anzuwenden, Bots blockieren, Spam reduzieren und vieles mehr.
- Wordfence-Sicherheit: Dieses Plugin umfasst eine WordPress-Firewall, einen Sicherheitsscanner und Anmeldesicherheit. Es ist auch benutzerfreundlich.
Holen Sie sich sicheres WordPress-Hosting von Hostinger
Alle Pläne beinhalten kostenlose SSL-Zertifikate, tägliche Backups und Solid Security Pro
So schützen Sie Ihre WordPress-Site (Checkliste)
Werfen wir nun einen Blick auf die Schritte, die Sie unternehmen können, um Ihre WordPress-Website zu sichern.
1. Halten Sie Themes und Plugins auf dem neuesten Stand
Die Aktualisierung Ihrer WordPress-Themes und -Plugins sollte immer ganz oben auf Ihrer WordPress-Sicherheitscheckliste stehen. Damit schützen Sie aktiv Ihre Website. Neben Kompatibilitätsproblemen können ältere Versionen von WordPress-Themes und -Plugins gefährliche Sicherheitslücken aufweisen, die Ihre Website gefährden.
2. Stellen Sie sicher, dass Sie die neueste WordPress-Version verwenden
Entsprechend W3TechsEtwa 43 % der Websites verwenden WordPress als CMS. Aus diesem Grund suchen Hacker immer nach Sicherheitslücken in WordPress. Man schätzt, dass es mindestens 13.000 sind WordPress-Websites werden täglich gehackt.
Daher sollte die neueste WordPress-Version auf Ihrer WordPress-Sicherheitscheckliste stehen. Jedes Mal, wenn eine Sicherheitslücke entdeckt wird, beginnt das WordPress-Team mit der Arbeit an einem Update, um das Problem zu beheben. Indem Sie Ihr WordPress auf dem neuesten Stand halten, stellen Sie sicher, dass Ihre Website stabil und vor Hackern geschützt ist.
3. Verwenden Sie sicheres verwaltetes WordPress-Hosting
Bevor Sie überhaupt darüber nachdenken, wie Ihre WordPress-Website aussehen soll, sollten Sie sich für einen guten Hosting-Anbieter entscheiden. Die Wahl eines sicheren WordPress-Hosts ist möglicherweise der wichtigste Schritt auf Ihrer WordPress-Sicherheitscheckliste.
Suchen Sie nach einem Hosting-Anbieter, der einen guten Kundenservice bietet, Sicherheitsmaßnahmen ernst nimmt und die besten Funktionen zu Ihrem Preis bietet. Eine großartige Option ist das verwaltete WordPress-Hosting mit Hostinger.
Was macht Hostinger besser als andere Hosting-Anbieter?
Zum einen lädt Ihre Website extrem schnell. Außerdem erhalten Sie ein integriertes CDN, Malware-Erkennung, Site-Überwachung und eine integrierte Firewall, die Ihre Website vor bekannten Hacking-Angriffen wie Distributed Denial-of-Service (DDoS) und Brute Force schützt.
4. Richten Sie eine Firewall ein
Die Wahrscheinlichkeit, dass Ihre WordPress-Website gehackt wird, sinkt drastisch, wenn Sie eine Firewall haben.
Zu den gängigen Firewalls gehören:
- Apache-Firewall: Enthält ein mod_security-Modul, das häufig als Firewall verwendet wird.
- DNS-Firewall (Domain Name System).: Schützt Ihr Netzwerk vor bösartigen Domänen und verhindert, dass Benutzer auf bösartige Websites zugreifen.
- WAF (Web Application Firewall): Kontrolliert eingehenden HTTP-Verkehr und überwacht und blockiert potenziell böswillige Verbindungsversuche.
- NAT-Firewall (Network Address Translation).: Nur ein Gerät, das sich in einem sicheren privaten Netzwerk befindet, kann auf den Server zugreifen.
- Paketfilternde Firewall: Eingehende Anfragen werden basierend auf den Ports, Protokollen und IP-Adressen überwacht.
5. Holen Sie sich ein SSL-Zertifikat
Ein SSL-Zertifikat (Secure Sockets Layer) schützt die Integrität Ihrer Website und sorgt für sichere Online-Transaktionen mit Ihren Kunden. Sobald Sie Ihre Website veröffentlicht haben, sollte die Installation des SSL-Zertifikats der nächste Schritt Ihrer WordPress-Sicherheitscheckliste sein.
Aktivieren Sie als Nächstes die HTTPS-Weiterleitung, damit Besucher immer über die gesicherte Verbindung auf Ihre Website zugreifen. Das HTTPS-Protokoll verschlüsselt die Daten, die zwischen Ihrem Hosting-Server und Besuchern übertragen werden. Mit anderen Worten: Es sichert alle ausgetauschten Daten.
6. Fügen Sie der Anmeldeseite zusätzliche Sicherheit hinzu
Befolgen Sie die nächsten Schritte, um Ihre WordPress-Website über Ihre Anmeldeseite zu schützen.
1. Verwenden Sie ein sicheres Passwort
Zahlreiche Website-Verstöße waren aufgrund gestohlener Passwörter erfolgreich. Um dies zu verhindern, legen Sie ein sicheres Passwort fest, das mindestens 16 Zeichen enthält. Stellen Sie sicher, dass das Passwort Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und Trennzeichen enthält.
Verwenden Sie nicht dasselbe Passwort für Ihr wp-admin-Dashboard, Ihre Datenbanken, Ihr File Transfer Protocol (FTP)-Konto und Ihr Hosting-Konto. Hacker nutzen Bots, um zu überprüfen, ob ein von einem Online-Konto gestohlenes Passwort auch für andere Konten verwendet wird.
Sie können ganz einfach verschiedene sichere Passwörter erstellen, indem Sie einige der zahlreichen Online-Passwortgeneratoren verwenden oder verwenden WP-Benutzermanager.
Außerdem ist es am besten, wenn Sie der Einzige sind, der auf Ihre WordPress-Website zugreift und diese pflegt. Wenn Sie anderen Benutzern Zugriff gewähren müssen, schränken Sie deren Zugriff ein, indem Sie die Administratorberechtigungen für die Dateibearbeitung deaktivieren. Dadurch bleibt Ihre Website sicher und der Inhalt kann regelmäßig von verschiedenen Benutzern aktualisiert werden.
2. Begrenzen Sie Anmeldeversuche
Eine der besten Möglichkeiten, Ihre WordPress-Website vor Brute-Force-Angriffen zu schützen, besteht darin, Anmeldeversuche zu begrenzen. Die Standardeinstellungen von WordPress erlauben unbegrenzte Anmeldeversuche. Hacker nutzen dies zu ihrem Vorteil, indem sie Bots einsetzen, die Passwörter erraten.
Abhängig von den Servern und den Ressourcen der Angreifer können sie einige Tausend bis zu einer Milliarde Passwörter pro Sekunde überprüfen.
Dies lässt sich einfach vermeiden, indem man die Anmeldeversuche begrenzt. Beispielsweise können Sie den Benutzer, der drei fehlgeschlagene Anmeldeversuche hatte, vorübergehend sperren.
Die Begrenzung der Anmeldeversuche ist einfach. Sie müssen lediglich das installieren Anmeldeversuche beschränken. Neu geladen WordPress-Plugin. Eine kostenlose Version des Plugins reicht aus.
Sobald Sie das Plugin installiert haben, öffnen Sie einfach die Einstellungen und legen Sie fest, nach wie vielen Fehlversuchen Sie Benutzer blockieren möchten.
3. Inaktive Benutzer automatisch abmelden
Hacker können eine Cookie-Hijacking-Methode verwenden, um in Ihre Website einzudringen. Aus diesem Grund ist es wichtig, eine automatische Abmeldung für alle inaktiven Benutzer einzurichten.
Der einfachste Weg, die Einstellung zum automatischen Abmelden inaktiver Benutzer zu implementieren, ist die Installation von Inaktive Abmeldung Plugin. Sobald Sie das Plugin installiert haben, gehen Sie zur Einstellungsseite des Plugins und legen Sie fest, nach wie vielen Sekunden Sie den inaktiven Benutzer abmelden möchten.
7. Sichern Sie Ihre Website regelmäßig
Eine der besten Möglichkeiten, Ihre WordPress-Website zu schützen, besteht darin, Ihre Website und wichtige Datenbanken regelmäßig zu sichern. Sie möchten nicht in eine Situation geraten, in der Ihre Website gehackt wird oder ein Plugin-Theme-Konflikt auftritt und Sie nicht über ein sicher gespeichertes Backup verfügen, um sie wiederherzustellen.
Sie können Ihre WordPress-Website ganz einfach sichern, indem Sie einige der kostenlosen oder Premium-Backup-Plugins für WordPress verwenden. Die meisten kostenlosen WordPress-Backup-Plugins bieten Ihnen die einfache Ein-Klick-Backup-Option.
Zu den meisten Premium-WordPress-Backup-Plugins gehören:
- Automatische, geplante, verschlüsselte Backups.
- Echtzeit-Backups, die Ihre Website nach jeder Änderung sichern.
- Datenbanksicherungen.
- Zusätzlicher Backup-Speicher.
- Klonen und Migrieren von Websites mit nur einem Klick.
- Integration von Drittanbieterdiensten für Ihren Backup-Speicher.
- Zusätzliche Sicherheitsfunktionen, wie z. B. Malware-Erkennung.
Einige der besten WordPress-Backup-Plugins sind UpdraftPlus, BlogVault, DuplikatorUnd Jetpack-Backup.
Hostinger verfügt über eine hervorragende Backup-Richtlinie. Alle Hostinger-Webhosting-Pläne beinhalten kostenlose, täglich automatisch erstellte Backups, die auf einem Remote-Backup-Server gespeichert werden. Ihre Backups sind absolut sicher, da sie nur für die internen Systeme von Hostinger und das Support-Team zugänglich sind.
8. Ändern Sie den Standard-Administrator-Benutzernamen
Während der WordPress-Installation werden Sie aufgefordert, Ihren Benutzernamen einzugeben. Überspringen Sie diesen Teil niemals – stellen Sie sicher, dass Sie einen benutzerdefinierten Benutzernamen wählen. Wenn Ihr Benutzername „admin“ ist, ändern Sie ihn sofort. Durch die Verwendung des Standardbenutzernamens sind Sie anfälliger für Brute-Force-Angriffe.
9. Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)
Unabhängig davon, wie sicher Ihr Passwort ist und wie oft Sie es ändern, gibt es zahlreiche Möglichkeiten, es zu kompromittieren. Die Verwendung Ihres Passworts als einzige Authentifizierungsmethode ist nicht sicher genug.
Auf der WordPress-Website sind zahlreiche Plugins zur zweistufigen Authentifizierung verfügbar. Zwei-Faktor-Authentifizierungs-Plugins sind einfach zu installieren und zu verwenden.
Einige der beliebtesten sind:
10. Deaktivieren Sie die Dateibearbeitung
Über das wp-admin-Dashboard können Sie Dateien, Themes und Plugins bearbeiten. Wenn sich jemand mit böswilliger Absicht Zugriff auf Ihre Dateien verschafft, ist Ihre Website in Gefahr. Daher sollten Sie die Dateibearbeitung deaktivieren.
Dies kann mit ein wenig Code in Sekundenschnelle erledigt werden. Fügen Sie dies in Ihre wp-config.php-Datei ein:
// Dateibearbeitung nicht zulassen define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true );
Wenn Sie sich nicht mit dem Code herumschlagen möchten, können Sie mit einigen WordPress-Sicherheits-Plugins die Dateibearbeitung mit nur einem Klick deaktivieren. Beispiele beinhalten MalCare Und All-In-One-Sicherheit (AIOS).
11. Deaktivieren Sie die Ausführung von PHP-Dateien
Hacker können schädliche Dateien auf Ihre Website hochladen und diese kompromittieren. Es ist jedoch einfach, die Ausführung von PHP-Dateien (Hypertext Preprocessor) zu deaktivieren, um die Ausführung bösartiger PHP-Skripte zu verhindern.
Sie müssen lediglich eine .htaccess-Textdatei auf Ihrem Computer erstellen und den folgenden Code darin einfügen:
Laden Sie als Nächstes die .htaccess-Textdatei mit einem FTP-Client oder über die FileManager-Anwendung in Ihrem cPanel-Dashboard in Ihre Verzeichnisse /wp-content/uploads und /wp-includes hoch. Dadurch wird verhindert, dass PHP-Dateien in diesen Verzeichnissen ausgeführt werden.
12. Sichern Sie Ihre Datenbank
Die WordPress-Datenbank ist das Zentrum einer WordPress-Website. Es speichert nahezu alles, was auf einer WordPress-Website zu finden ist, von Beiträgen und Seiten bis hin zu Benutzern und anderen benutzerdefinierten Website-Optionen. Daher sind WordPress-Datenbanken eines der größten Ziele von Hackern.
Befolgen Sie diese Schritte, um Ihre WordPress-Datenbank zu sichern:
- Ändern Sie den Standard-Administrator-Benutzernamen, wenn Sie ihn während der Installation übersprungen haben.
- Beschränken Sie die Benutzerrechte.
- Ändern Sie die Standard-Administrator-ID.
- Ändern Sie das Standarddatenbankpräfix.
- Erstellen Sie immer Backups, bevor Sie Änderungen an der Datenbank vornehmen.
- Löschen Sie benutzerdefinierte Tabellen, wenn Sie eine Website-Erweiterung entfernen.
13. Deaktivieren Sie das Durchsuchen von Verzeichnissen
Um anderen Benutzern, die möglicherweise nach potenziellen Sicherheitslücken suchen könnten, den Einblick in die Struktur Ihrer Verzeichnisse und Dateistrukturen zu verweigern, sollten Sie das Durchsuchen von Verzeichnissen deaktivieren.
Sie müssen lediglich die nächste Codezeile in die .htaccess-Datei einfügen, die Sie im Stammverzeichnis Ihrer WordPress-Installation finden:
Optionen Alle -Indizes
Indem Sie das Durchsuchen von Verzeichnissen deaktivieren, haben Sie die Wahrscheinlichkeit, dass Ihre WordPress-Website gehackt wird, erheblich verringert.
14. Schützen Sie Ihre .htaccess-Datei
Mit der .htaccess-Datei können Sie Dateiberechtigungen steuern. Das bedeutet, dass Sie für alle Dateien und Dateitypen spezielle Zugriffsberechtigungen festlegen können. Um Ihre .htaccess-Datei zu schützen, gehen Sie in Ihr Stammverzeichnis und fügen Sie den folgenden Code ein.
Beachten Sie, dass Sie die Option „Versteckte Dateien anzeigen“ in Ihrem cPanel-Dateimanager aktivieren müssen, um sie sehen zu können:
Der von Ihnen eingefügte Code verhindert, dass jeder ohne Administratorrechte auf die Dateien zugreifen kann, die mit .hta beginnen, und sichert Ihre .htaccess-Datei.
15. Löschen Sie inaktive Themes und Plugins
Alte und ungenutzte Plugins sind voller Schwachstellen und können leicht ausgenutzt werden. Um zu verhindern, dass Hacker Ihre Website auf diese Weise ausnutzen, entfernen Sie alle Themes und Plugins, die Sie nicht verwenden. Stellen Sie außerdem sicher, dass Sie die von Ihnen verwendeten regelmäßig aktualisieren.
16. Ändern Sie den WordPress-Standard-Anmeldelink
Die standardmäßige WordPress-Anmelde-URL lautet domainname.com/wp-admin. Wenn Sie den Anmeldelink auf den Standardeinstellungen belassen, ist es für Hacker einfacher, einen Brute-Force-Angriff durchzuführen.
Wenn Sie bereits begrenzte Anmeldeversuche haben, sollte der Standard-Anmeldelink kein großes Problem darstellen. Eine zusätzliche Vorsichtsmaßnahme ist jedoch immer eine gute Idee.
17. Deaktivieren Sie das XML-RPC-Protokoll
Das XML-RPC-Protokoll (Extensible Markup Language Remote Procedure Call) wurde ursprünglich entwickelt, um die Kommunikation zwischen WordPress und anderen Systemen zu ermöglichen. Wenn Sie beispielsweise eine WordPress-Anwendung auf Ihrem Mobilgerät verwendeten, verwendeten Sie das XML-RPC-Protokoll.
Heutzutage ist das XML-RPC-Protokoll veraltet und die REST-API ermöglicht WordPress die Kommunikation mit anderen Systemen.
Der größte Nachteil der Verwendung des XML-RPC-Protokolls auf Ihrer WordPress-Website besteht darin, dass es eine Sicherheitslücke darstellt. Indem Sie die Anmeldeversuche in Ihrem WordPress begrenzen, haben Sie die XML-RPC-Anmeldeversuche nicht eingeschränkt.
Obwohl es WordPress-Plugins zum Deaktivieren des XMLRPC-Protokolls gibt, kann das Protokoll mithilfe der .htaccess-Datei problemlos deaktiviert werden. Öffnen Sie Ihre .htaccess-Datei.
Fügen Sie direkt unter dem diesen Code ein:
# XMLRPC-Blockierung starten
Wenn Sie den XML-RPC-Zugriff für eine bestimmte IP-Adresse aktivieren müssen, können Sie die IP-Adresse einfach unten hinzufügen. Zum Beispiel:
# XMLRPC-Blockierung starten
18. Verstecken Sie Ihre WordPress-Versionsnummer
Wenn Hacker Ihre WordPress-Versionsnummer sehen können, wissen sie im Voraus, welche Sicherheitsprobleme Ihre Website hat. Aus diesem Grund bieten die meisten Premium-Sicherheits-Plugins eine Option zum Verstecken Ihrer WordPress-Versionsnummer.
Dennoch können Sie Ihre WordPress-Versionsnummer ganz einfach verbergen, indem Sie die nächste Codezeile in die Datei „functions.php“ einfügen, die Sie in Ihrem Theme-Verzeichnis finden:
remove_action('wp_head', 'wp_generator');
Schützen Sie Ihre WordPress-Site vor Schwachstellen
Nachdem Sie nun unsere WordPress-Sicherheitscheckliste durchgegangen sind, wissen Sie, wie Sie eine WordPress-Site sichern. Stellen Sie sicher, dass Sie alles auf dem neuesten Stand halten, alle Passwörter so oft wie möglich ändern und Ihre lokalen Geräte regelmäßig auf Malware scannen.
Suchen Sie nach einem sicheren Hosting-Anbieter für Ihre WordPress-Website? Dann schauen Sie sich Managed WordPress Hosting von Hostinger an.
Wir machen die Einrichtung Ihrer Website einfach und kostengünstig und unser Kundensupport-Team steht Ihnen jederzeit zur Verfügung. Schauen Sie sich unsere Hosting-Pakete an und kontaktieren Sie uns, um noch heute loszulegen.