10 einfache Wege, um im Jahr 2020 deine WordPress Website sicher zu halten

WordPress wird von Privatpersonen und Unternehmen häufig als Content-Management-System (CMS) zur Gestaltung ihrer Website oder ihres Blogs verwendet. Einer Schätzung zufolge werden mehr als 37% der Websites im Internet mit WordPress betrieben. Dies macht es jedoch auch zu einem Hauptziel für Online-Angriffe. Laut WP WhiteSecurity sind mehr als 70% der WordPress-Installationen anfällig für Hackerangriffe.

Da WordPress regelmäßig Software-Updates und Sicherheits-Patches veröffentlicht, liegt es an dir deine Website sicher zu halten. In diesem Beitrag gehen wir auf einige der häufig verwendeten Sicherheitspraktiken ein, die dir helfen können, deine WordPress Website sicher zu halten. Schauen wir nun im Detail, wie du deine WordPress Website sicher halten kannst:

#1: Anpassen der URL der Anmeldeseite

Böswillige Benutzer können leicht auf die Standard-Anmeldeseite von WordPress zugreifen, indem sie wp-admin oder wp-login.php zur Haupt-URL der Website hinzufügen. Du kannst jedoch verhindern, dass Angreifer deine WordPress-Seite ins Visier nehmen, indem du die URL der Anmeldeseite änderst.

WordPress Login-Seite

Hacker verwenden Brute-Force-Angriffe (oder Trial-and-Error-Raten), um auf die direkte URL der Anmeldeseite einer Website zuzugreifen. Sie tun dies, indem sie viele Passwörter mit Hilfe ihrer GWDb (Guess Work Database) eingeben, einer Datenbank, die Millionen von Benutzernamen und Passwortkombinationen enthält, zum Beispiel Benutzername: adm!n und Passwort: [email protected].

WPS Hide Login

Die naheliegendste Möglichkeit, deine WordPress Website sicher vor Brute-Force-Passwort-Hacking zu schützen, besteht darin, Benutzernamen gegen E-Mail-Adressen auszutauschen und die Login-URL zu ändern. Der einfachste Weg, deine Login-URL anzupassen, ist die Verwendung von WPS Hide Login. Mit diesem Plugin musst du nur die URL deiner neuen Anmeldeseite eingeben und die Änderungen speichern.

So kannst du sicher sein, dass nur autorisiertes Personal mit der genauen URL auf die Anmeldeseite zugreifen kann.

#2: Ändern des Admin-Benutzernamens

WordPress ist bekannt für seine einfache Installation. Eine einfache Möglichkeit, deine Website vor Möchtegern-Hackern zu schützen, besteht darin, einen benutzerdefinierten Namen als Benutzernamen für Ihr Hauptverwalterkonto festzulegen.

Hacker werden es schwierig finden, sich in deine Website einzuschleusen, wenn sie deinen Benutzernamen nicht kennen. Wenn der Benutzername jedoch während der WordPress-Installation auf den Standardwert „admin“ gesetzt wird, ist er für Hacker leicht zu erraten. Das bedeutet, dass sie nur das Passwort herausfinden müssen, um auf deine Website zuzugreifen und deine Daten zu stehlen.

iThemes Security, WordPress Website sicher

Wir empfehlen, das iThemes Security-Plugin zu verwenden, um Login-Versuche von IP-Adressen zu verbieten, die einen bestimmten Benutzernamen wie „admin“ verwenden.

#3: 2FA verwenden

Nachdem du deinen WordPress-Admin-Benutzernamen aktualisiert und geändert hast, ist die nächstbeste Möglichkeit deine WordPress Website sicher zu halten, die Aktivierung der Zwei-Faktor-Authentifizierung (2FA).

Mit dieser Sicherheitsmaßnahme kannst du einen zusätzlichen Schritt zu deinem grundlegenden Anmeldevorgang implementieren, bei dem die Benutzer aufgefordert werden, eine geheime Frage zu beantworten, einen Geheimcode oder eine Reihe von Zeichen einzugeben oder einen eindeutigen Code aus einer an das Telefon des Benutzers gesendeten Authentifizierungsanwendung einzugeben. Das bedeutet, dass nur die autorisierten Benutzer mit dem richtigen Benutzernamen, Passwort und Code Zugang zu deiner Website erhalten.

Google Authenticator

Zu den beliebten Tools, die eine Zwei-Faktor-Authentifizierung bieten, gehören Google Authenticator, Two-Factor und Two Factor Authentication.

#4: Passwort-Manager verwenden

Es ist eine gute Idee, einen leistungsfähigen Passwortmanager zu verwenden, um deine WordPress Website sicher zu halten. Passwortmanager können dir helfen, sichere und eindeutige Passwörter zu generieren und deine Anmeldedaten in an einem sicheren Ort zu speichern. Auf diese Weise kannst du automatisch auf deine Websites zugreifen, ohne sich alle deine Passwörter merken zu müssen.

1Password, WordPress Website sicher

1Password und LastPass sind zwei der beliebtesten Passwortmanager im Internet.

#5: SSL aktivieren

Eine weitere Möglichkeit, deine WordPress Website sicher zu halten, besteht darin, ein SSL-Zertifikat für deine Website zu erhalten. SSL ist ein Sicherheitsprotokoll, das für Webbrowser und Server entwickelt wurde, um die Kommunikation über ein Computernetzwerk zu schützen. Es umfasst die Verschlüsselung, Entschlüsselung und Authentifizierung von Datenübertragungen über das Internet.

Darüber hinaus hilft dir ein SSL-Zertifikat das Vertrauen der Benutzer zu stärken, da es sie darüber informiert, dass ihre Daten auf deiner WordPress Website sicher sind. Dies ist für alle Arten von Online-Shops unerlässlich.

Am einfachsten erhältst du ein SSL-Zertifikat für deine WordPress-Seite, indem du es von einer unabhängigen Drittfirma erwirbst oder deinen Hosting-Anbieter bittest ein solches Zertifikat kostenlos zu liefern.

Really Simple SSL

Du kannst SSL auf deiner Website aktivieren, indem du einfach ein SSL-Plugin wie das Really Simple SSL-Plugin installierst und aktivierst. Das Plugin übernimmt den Rest.

#6: Regelmäßige Backups erstellen

Es ist eine gute Idee immer auf Probleme wie erfolgreiche Hacking-Versuche vorbereitet zu sein. Ein vollständiges Backup deiner Website kann dir helfen, größere Datenverluste zu vermeiden.

Um deine WordPress Website sicher zu halten, ist die Erstellung einer Kopie deiner Daten und deren Speicherung an einem sicheren Ort unerlässlich. Dies ist der einfachste Weg sie jederzeit wieder in einen funktionierenden Zustand zu versetzen und zu vermeiden, dass du deine Website von Grund auf neu aufbauen musst. Für die meisten Unternehmen ist es ausreichend jede Woche oder jeden Monat Backups zu erstellen.

BlogVault

Du kannst aus verschiedenen auf dem Markt erhältlichen Wiederherstellungs-Plugins für WordPress-Backups wählen, darunter VaultPress, BlogVault und BackupBuddy. Wir empfehlen die Verwendung eines Plugins, das eine automatische Backup-Option bietet. Auf diese Weise sparst du Zeit und verhinderst, dass veraltete Backups deinen Festplattenspeicher auffressen.

#7: Ändern des WordPress-Datenbank-Präfixes

Deine WordPress-Datenbank enthält alle Informationen, die auf deiner WordPress-Website gespeichert sind, was sie zu einem Hauptziel für Hacker und Spammer macht. Sie verwenden SQL-Injection-Angriffe, bei denen bösartiger Code zur Ausführung in ein Eingabefeld eingefügt wird, so dass Angreifer leicht Daten aus der Datenbank löschen, ändern oder stehlen können.

SQL-Injection-Angriffe werden am häufigsten von Hackern verwendet, um an sensible Daten wie Kreditkarteninformationen und Passwörter von Einzelpersonen und Organisationen zu gelangen. Aus diesem Grund solltest du sofort Maßnahmen ergreifen, um diese Sicherheitslücke zu beseitigen und deine WordPress Website sicher zu halten.

Eine häufige Schwachstelle, die für SQL-Injection-Angriffe auf WordPress-Datenbanken verantwortlich ist, ist die Verwendung des Standard-Datenbank-Präfix wp-. Wenn du WordPress installierst, werden allen Datenbanktabellennamen das Präfix wp- vorangestellt. Die Verwendung eines leicht zu erratenden Datenpräfixes ermöglicht es Hackern, die Tabellennamen herauszufinden und deine Datenbank auszunutzen. Aus diesem Grund empfehlen wir diese so schnell wie möglich zu ändern und zu aktualisieren.

Du kannst WordPress-Plugins wie iThemes Security oder WP-DBManager verwenden, um deinen Datenbank-Präfix mit einem einzigen Klick einfach durch ein anderes Schlüsselwort zu ersetzen. Denk aber daran ein Backup deiner Website zu erstellen, bevor du Änderungen an deiner Datenbank vornimmst!

#8: Ausblenden der WordPress Versionsnummer

Eine „out of the box“-Installation von WordPress zeigt deine WordPress Versionsnummer öffentlich in der Quellenansicht deiner Website an. Sie wird auch unten in deinem WordPress-Administrationsbereich sowie in den CSS, RSS und Skripten deiner Website angezeigt.

Dies stellt ein potentielles Sicherheitsrisiko dar, da es Hackern ermöglicht, einen maßgeschneiderten Angriff auf deine WordPress-Website zu erstellen und auszuführen. Sie tun dies, indem sie die bekannten Schwachstellen einer bestimmten Version ausnutzen.

WP Hide & Security Enhancer, WordPress Website sicher

Du kannst die Offenlegung dieser sensiblen Informationen vermeiden, indem du ein WordPress-Plugin wie WP Hide & Security Enhancer verwendest. Alternativ kannst du dies auch manuell tun (wodurch auch die Versionsnummer in RSS-Feeds ausgeblendet wird), indem du folgenden Code in deine functions.php-Datei einfügst:

funktion wp_remove_version() {
rückkehr '';
}
add_filter('the_generator', 'wp_remove_version');

#9: CAPTCHA und reCAPTCHA zur Spam-Vermeidung verwenden

Sowohl CAPTCHA als auch reCAPTCHA sind Sicherheitsmaßnahmen, die dir helfen deine WordPress Website sicher vor Bots und Spam zu schützen.

CAPTCHA ist eine Art Sicherheitsüberprüfung, mit der festgestellt wird, ob der Benutzer ein Mensch oder ein Roboter ist. reCAPTCHA ist auch ein Authentifizierungstest, der verhindert, dass Spam und andere Online-Angriffe auf deine Website gelangen.

Schau dir unsere Anleitung an, wie du Downloads mit CAPTCHA und reCAPTCHA in WordPress sichern kannst.

CAPTCHA und reCAPTCHA bieten eine einfache Möglichkeit, deine WordPress Website sicher und spamfrei zu halten, was dazu beiträgt, die Benutzerfreundlichkeit deiner Website zu verbessern. Die Verwendung eines Formulars zur Sicherheitsüberprüfung ist eine der wirksamsten Möglichkeiten, die Daten deiner WordPress Website sicher zu halten und Cyberkriminelle daran zu hindern, die Aktivitäten deiner Website zu beeinflussen, wie z.B. Online-Umfragen, das Veröffentlichen fragwürdiger Kommentare und Links und das Aufgeben von Spam-Online-Einkaufsbestellungen.

Listenerstellung mit Passster, WordPress Website sicher

Dies ist besonders wichtig, da Hacker automatisierte Bots verwenden, um Zufallsbestellungen auf WooCommerce-Websites zu platzieren. Dazu verwenden sie unterschiedliche IP-Adressen und E-Mail-IDs, so dass es für herkömmliche Methoden unmöglich ist solche Benutzer am Zugriff auf deinen Online-Shop zu hindern. Du kannst jedoch Spam-Bestellungen in deinem WooCommerce-Shop blockieren, indem du einfach eine CAPTCHA-Prüfung auf der Seite des neuen Kontos implementierst.

Der einfachste Weg, den CAPTCHA- und reCAPTCHA-Schutz auf deiner Website zu implementieren, ist die Verwendung des Passster-Plugins für WordPress.

#10: Deaktivieren der Dateibearbeitung

Du kannst den in WordPress integrierten Datei-Editor verwenden, um Änderungen an Plugins und Themenskripten einfach vorzunehmen. Diese Funktion steht jedoch jedem zur Verfügung, der administrativen Zugriff auf dein WordPress-Admin-Portal hat, wodurch eine mögliche Sicherheitslücke entsteht.

Die Deaktivierung der Dateibearbeitung verhindert, dass andere Benutzer sowie potenzielle Hacker diese Dateien verändern können, selbst wenn sie Admin-Zugriff auf dein Dashboard erhalten. Dies kann durch Hinzufügen des folgenden Codes in die Datei wp-config.php erreicht werden:

define('DISALLOW_FILE_EDIT', wahr);

Halte deine WordPress Website sicher

Deine WordPress Website sicher vor Hackern und Spammern zu schützen, muss nicht schwierig sein. Du musst nur einige bewährte Sicherheitsverfahren befolgen und schon bist du auf dem besten Weg böswillige Benutzer erfolgreich daran zu hindern deine Website zu beschädigen.

Schau dir unbedingt auch unser Tutorial Vollständiger Leitfaden für WooCommerce Anti-Spam an, um Informationen darüber zu erhalten, wie du den Online-Shop deiner WordPress Website sicher halten kannst.

Hast du eigene WordPress-Sicherheitstipps, die du gerne weitergeben möchtest? Lass es uns wissen, indem du unten einen Kommentar abgibst!