25 einfache WordPress-Sicherheitstricks, um Ihre Website im Jahr 2020 sicher zu halten

25 einfache WordPress-Sicherheitstricks, um Ihre Website im Jahr 2020 sicher zu halten

25 einfache WordPress-Sicherheitstricks, um Ihre Website im Jahr 2020 sicher zu halten
СОДЕРЖАНИЕ
02 июня 2020

Ich habe gehört, dass sich viele Websitebesitzer über die Sicherheit von WordPress beschwert haben. Der Gedanke ist, dass ein Open Source-Skript für alle Arten von Angriffen anfällig ist. Ist das ein Fakt? Und wenn ja, wie sichern Sie Ihre WordPress-Website??


Glücklicherweise ist der Mangel an integrierter WordPress-Sicherheit ein Mythos. In der Tat ist es manchmal umgekehrt – WordPress-Websites sind viel sicherer als ihre Online-Brüder und -Schwestern.

Heute habe ich vor, einige einfache Tricks zu diskutieren, mit denen Sie Ihre WordPress-Website noch sicherer machen können.

Nachdem Sie diese Taktik implementiert und kontinuierliche WordPress-Sicherheitsüberprüfungen durchgeführt haben, sind Sie auf dem besten Weg, Ihre WordPress-Website endgültig zu sichern.

WordPress-Sicherheit: Einfache Tricks zum Sichern Ihrer WordPress-Website

Inhaltsverzeichnis:

�� Sichern Sie Ihr Webhosting
�� Verhindern Sie Login-Angriffe und Brute Force
�� Sichern Sie Ihr WordPress-Dashboard
�� Sichern Sie Ihre WordPress-Datenbank
�� Sichern Sie Ihre Themes und Plugins

Contents

Teil (a): Sichern Sie Ihre WordPress-Website, indem Sie sicherstellen, dass Ihr Hosting sicher ist

Fast alle Hosting-Unternehmen behaupten, eine optimierte Umgebung für WordPress bereitzustellen, aber sie tun es?

1. Arbeiten Sie nur mit guten Gastgebern

Sie sollten nur mit zuverlässigem, qualitativ hochwertigem und sicherem Hosting arbeiten. Dieser Ratschlag scheint offensichtlich, richtig?

Mehr oder weniger findet jeder, dass sein Hosting großartig ist, bis zum ersten Mal etwas kaputt geht. In der realen Welt sind nicht alle Hosting-Unternehmen und Hosting-Angebote gleich.

Wenn Sie sich eine unserer Hosting-Umfragen ansehen, werden Sie sehen, wie unterschiedlich die Erfahrungen der Menschen in Bezug auf die allgemeine Hosting-Qualität und auch auf einzelne Aspekte ihrer Hosting-Setups wie Sicherheit, Zuverlässigkeit, Geschwindigkeit usw. Sind.

Einige Gastgeber sind einfach unterdurchschnittlich und machen sich unter Stress nicht gut.

Die schlechte Nachricht hier ist, dass Sie die meiste Zeit nicht einmal wissen, dass Ihr Host die Sicherheit Ihrer Website nicht ernst genug nimmt. Dinge wie vermehrte Hackerangriffe, häufige Ausfallzeiten und geringe Leistung können auf unzureichende Sicherheitsmechanismen zurückzuführen sein.

Die Realität ist, dass Sie es nicht wirklich tun werden "Repariere deinen Host." Die einfachste und beste Lösung besteht darin, zu einem anderen Host zu wechseln, der sicherer ist.

Je mehr Sie bezahlen, desto besser wird Ihr neuer Gastgeber. Im Allgemeinen können Sie jedoch auch einige Budgetoptionen in Betracht ziehen.

Wenn Sie dem Thema auf den Grund gehen möchten, bieten wir Vergleiche der besten Hosting-Optionen sowie die oben genannten Umfragen, in denen Sie sehen können, was andere Personen sagen.

Hier eine kurze Empfehlung, wenn Sie es eilig haben:

  • �� Bestes Power-Setup. Kinsta. Für 100 US-Dollar pro Monat können Sie bis zu 5 Websites hosten und ~ 100.000 Besucher begrüßen.
  • �� Verwalteter Host für Einsteiger. Schwungrad. Für 13,00 USD / Monat können Sie eine Website hosten und ~ 5.000 Besucher begrüßen.
  • �� Budget auswählen. SiteGround. Für nur 3,95 USD / Monat können Sie eine Website hosten.

2. Schützen Sie die Datei wp-config.php

Die Datei wp-config.php enthält wichtige Informationen zu Ihrer WordPress-Installation und ist die wichtigste Datei im Stammverzeichnis Ihrer Site. Um es zu schützen, müssen Sie den Kern Ihres WordPress-Blogs sichern.

Diese Taktik erschwert es Hackern, die Sicherheit Ihrer Website zu verletzen, da die Datei wp-config.php für sie nicht mehr zugänglich ist.

Als Bonus ist der Schutzprozess wirklich einfach. Nehmen Sie einfach Ihre Datei wp-config.php und verschieben Sie sie auf eine höhere Ebene als Ihr Stammverzeichnis.

Die Frage ist nun, wenn Sie es an einem anderen Ort speichern, wie greift der Server darauf zu? In der aktuellen WordPress-Architektur werden die Einstellungen der Konfigurationsdatei in der Prioritätsliste auf den höchsten Wert gesetzt. Selbst wenn es einen Ordner über dem Stammverzeichnis gespeichert ist, kann WordPress es dennoch sehen.

3. Dateibearbeitung nicht zulassen

Wenn ein Benutzer Administratorzugriff auf Ihr WordPress-Dashboard hat, kann er alle Dateien bearbeiten, die Teil Ihrer WordPress-Installation sind. Dies beinhaltet alle Plugins und Themes.

Wenn Sie die Dateibearbeitung nicht zulassen, kann niemand eine der Dateien ändern – selbst wenn ein Hacker Administratorzugriff auf Ihr WordPress-Dashboard erhält.

Fügen Sie der Datei wp-config.php (ganz am Ende) Folgendes hinzu, damit dies funktioniert:

define (‘DISALLOW_FILE_EDIT’, true);

4. Legen Sie die Verzeichnisberechtigungen sorgfältig fest

Falsche Verzeichnisberechtigungen können schwerwiegend sein, insbesondere wenn Sie in einer gemeinsam genutzten Hosting-Umgebung arbeiten.

In einem solchen Fall ist das Ändern von Dateien und Verzeichnisberechtigungen ein guter Schritt, um die Website auf Hosting-Ebene zu sichern. Festlegen der Verzeichnisberechtigungen auf "755" und Dateien zu "644" schützt das gesamte Dateisystem – Verzeichnisse, Unterverzeichnisse und einzelne Dateien.

Dies kann entweder manuell über den Dateimanager in Ihrem Hosting-Kontrollfeld oder über das Terminal (verbunden mit SSH) erfolgen "chmod" Befehl.

Für mehr können Sie über die richtige lesen Berechtigungsschema für WordPress oder installieren Sie das iThemes Security-Plugin, um Ihre aktuellen Berechtigungseinstellungen zu überprüfen.

5. Deaktivieren Sie die Verzeichnisliste mit .htaccess

Wenn Sie ein neues Verzeichnis als Teil Ihrer Website erstellen und keine index.html-Datei darin ablegen, werden Sie möglicherweise überrascht sein, dass Ihre Besucher eine vollständige Verzeichnisliste aller Inhalte dieses Verzeichnisses erhalten.

Zum Beispiel, wenn Sie ein Verzeichnis mit dem Namen erstellen "Daten", Sie können alles in diesem Verzeichnis anzeigen, indem Sie einfach http://www.example.com/data/ in Ihren Browser eingeben. Es wird kein Passwort oder etwas benötigt.

Sie können dies verhindern, indem Sie der .htaccess-Datei die folgende Codezeile hinzufügen:

Optionen Alle -Indexe

Angenommen, Sie suchen ein Bild online und möchten es auf Ihrer Website teilen. Zunächst benötigen Sie eine Erlaubnis oder müssen für dieses Bild bezahlen. Andernfalls besteht eine gute Chance, dass dies illegal ist. Wenn Sie jedoch die Erlaubnis erhalten, können Sie die URL des Bildes direkt abrufen und damit das Foto in Ihrem Beitrag platzieren. Das Hauptproblem hierbei ist, dass das Bild auf Ihrer Site angezeigt wird, aber auf dem Server einer anderen Site gehostet wird.

Aus dieser Perspektive haben Sie keine Kontrolle darüber, ob das Foto auf dem Server verbleibt oder nicht. Es ist jedoch auch wichtig zu wissen, dass Personen dies möglicherweise mit Ihrer Website tun.

Wenn Sie versuchen, Ihre WordPress-Website zu sichern, ist Hotlinking im Grunde eine andere Person, die Ihr Foto aufnimmt und Ihre Serverbandbreite stiehlt, um das Bild auf ihrer eigenen Website anzuzeigen. Am Ende sehen Sie langsamere Ladegeschwindigkeiten und das Potenzial für hohe Serverkosten.

Allerdings sind da Einige manuelle Techniken zur Verhinderung von Hotlinking, Am einfachsten ist es, ein WordPress-Sicherheits-Plugin für den Job zu finden. Zum Beispiel die Alles in einem WP Sicherheit und Firewall Das Plugin enthält integrierte Tools zum Blockieren aller Hotlinks.


Alles in einem WP Security & Firewall All-in-One-WP-Sicherheit & Firewall

Autor (en): Tipps und Tricks HQ, Peter Petreski, Ruhul, Ivy

Aktuelle Version: 4.4.3

Letzte Aktualisierung: 11. März 2020

all-in-one-wp-security-and-firewall.zip


96% Bewertungen


800.000 + Installationen


WP 4.7 + Erforderlich

7. Verstehen und schützen Sie sich vor DDoS-Angriffen

Ein DDoS-Angriff ist eine häufige Art von Angriff auf Ihre Serverbandbreite, bei der der Angreifer mehrere Programme und Systeme verwendet, um Ihren Server zu überlasten. Obwohl ein solcher Angriff Ihre Site-Dateien nicht gefährdet, soll er Ihre Site für einen langen Zeitraum zum Absturz bringen, wenn er nicht behoben wird. Normalerweise hört man nur von DDoS-Angriffen, wenn es großen Unternehmen wie GitHub oder Target passiert. Sie werden von so genannten Cyber-Terroristen geleitet, daher könnte das Motiv einfach darin bestehen, Chaos anzurichten.

Sie müssen jedoch kein Fortune 500-Unternehmen sein, um gefährdet zu sein.

Wenn Sie dies beunruhigt, empfehlen wir Ihnen, sich für das anzumelden Sucuri oder Cloudflare Premium-Pläne. Diese Lösungen verfügen über Webanwendungs-Firewalls, mit denen die verwendete Bandbreite analysiert und DDoS-Angriffe vollständig abgewehrt werden können.

Teil (b): Sichern Sie Ihre WordPress-Website, indem Sie die Anmeldeseite schützen und Brute-Force-Angriffe verhindern

Jeder kennt die Standard-URL der WordPress-Anmeldeseite. Von dort aus wird auf das Backend der Website zugegriffen, und das ist der Grund, warum Leute versuchen, sich brutal durchzusetzen. Fügen Sie einfach /wp-login.php oder / wp-admin / am Ende Ihres Domainnamens hinzu und los geht’s.

Ich empfehle, die URL der Anmeldeseite und sogar die Interaktion der Seite anzupassen. Dies ist das erste, was ich mache, wenn ich mit der Sicherung meiner Website beginne.

Warum? Weil es normalerweise die Schuld des Benutzers ist, dass seine Website gehackt wurde. Es gibt einige Aufgaben, die Sie als Websitebesitzer erledigen müssen. Die Schlüsselfrage ist also, was sind Du tun, um Ihre Website vor Hackerangriffen zu schützen? Der Schutz der Anmeldeseite und die Verhinderung von Brute-Force-Angriffen ist eines der besten Dinge, die Sie tun können.

Hier sind einige Vorschläge zum Sichern Ihrer WordPress-Website-Anmeldeseite:

8. Richten Sie eine Website-Sperrfunktion ein und sperren Sie Benutzer

Eine Sperrfunktion für fehlgeschlagene Anmeldeversuche kann das große Problem kontinuierlicher Brute-Force-Versuche lösen. Bei jedem Hacking-Versuch mit sich wiederholenden falschen Passwörtern wird die Site gesperrt und Sie werden über diese nicht autorisierte Aktivität informiert.

Ich fand heraus, dass die iThemes Sicherheit Das Plugin ist eines der besten Plugins dieser Art, und ich benutze es schon seit einiger Zeit. Das Plugin hat in dieser Hinsicht viel zu bieten. Zusammen mit über 30 anderen fantastischen WordPress-Sicherheitsmaßnahmen können Sie eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche angeben, bevor das Plugin die IP-Adresse des Angreifers sperrt.


iThemes Security (früher Better WP Security) iThemes Security (früher Better WP Security)

Autor (en): iThemes

Aktuelle Version: 7.7.1

Letzte Aktualisierung: 20. April 2020

better-wp-security.7.7.1.zip


94% Bewertungen


900.000 + Installationen


WP 5.2 + Erforderlich

9. Verwenden Sie die Zwei-Faktor-Authentifizierung für die WordPress-Sicherheit

Die Einführung eines 2FA-Moduls (Two-Factor Authentication) auf der Anmeldeseite ist eine weitere gute Sicherheitsmaßnahme. In diesem Fall gibt der Benutzer Anmeldedaten für zwei verschiedene Komponenten an. Der Websitebesitzer entscheidet, was diese beiden sind. Es kann sich um ein reguläres Passwort handeln, gefolgt von einer geheimen Frage, einem Geheimcode, einer Reihe von Zeichen oder der Google Authenticator-App, die einen Geheimcode an Ihr Telefon sendet. Auf diese Weise kann sich nur die Person mit Ihrem Telefon (Sie) bei Ihrer Site anmelden.

Ich bevorzuge die Verwendung eines Geheimcodes bei der Bereitstellung von 2FA auf einer meiner Websites. Das Google Authenticator Plugin hilft mir dabei mit nur wenigen Klicks.


Google Authenticator - WordPress-Zwei-Faktor-Authentifizierung (2FA, MFA) Google Authenticator – WordPress-Zwei-Faktor-Authentifizierung (2FA, MFA)

Autor (en): miniOrange

Aktuelle Version: 5.4.5

Letzte Aktualisierung: 15. Mai 2020

miniorange-2-factor-authentication.zip


90% Bewertungen


Über 20.000 Installationen


3.0.1Anforderungen

10. Verwenden Sie Ihre E-Mail-Adresse, um sich anzumelden

Standardmäßig müssen Sie Ihren Benutzernamen eingeben, um sich bei WordPress anzumelden. Die Verwendung einer E-Mail-ID anstelle eines Benutzernamens ist sicherer. Die Gründe liegen auf der Hand. Benutzernamen sind leicht vorherzusagen, E-Mail-IDs jedoch nicht. Außerdem wird jedes WordPress-Benutzerkonto mit einer eindeutigen E-Mail-Adresse erstellt, sodass es eine gültige Kennung für die Anmeldung ist.

Mit mehreren WordPress-Sicherheits-Plugins können Sie Anmeldeseiten einrichten, sodass sich alle Benutzer mit ihren E-Mail-Adressen anmelden müssen.

11. Benennen Sie Ihre Anmelde-URL um, um Ihre WordPress-Website zu sichern

Das Ändern der Anmelde-URL ist einfach. Standardmäßig kann auf die WordPress-Anmeldeseite einfach über wp-login.php oder wp-admin zugegriffen werden, die der Haupt-URL der Site hinzugefügt wurden.

Wenn Hacker die direkte URL Ihrer Anmeldeseite kennen, können sie versuchen, sich brutal zu erzwingen. Sie versuchen, sich mit ihrer GWDb (Guess Work Database) anzumelden, dh einer Datenbank mit erratenen Benutzernamen und Passwörtern, z. B. Benutzername: admin und Passwort: p @ ssword… mit Millionen solcher Kombinationen).

Zu diesem Zeitpunkt haben wir bereits die Anmeldeversuche der Benutzer eingeschränkt und Benutzernamen gegen E-Mail-IDs ausgetauscht. Jetzt können wir die Anmelde-URL ersetzen und 99% der direkten Brute-Force-Angriffe entfernen.

Dieser kleine Trick verhindert, dass eine nicht autorisierte Entität auf die Anmeldeseite zugreift. Nur jemand mit der genauen URL kann dies tun.

Der einfachste Weg, Ihre Anmelde-URL zu ändern, ist die Verwendung des passend benannten Plugins WPS Hide Login. Es ist sehr einfach zu bedienen. Geben Sie einfach Ihre neue Anmeldeseiten-URL ein und speichern Sie die Änderungen. Sie können die URL auf einen beliebigen Wert einstellen.


WPS Login ausblenden WPS Login ausblenden

Autor (en): WPServeur, NicolasKulka, tabrisrp

Aktuelle Version: 1.5.6

Letzte Aktualisierung: 9. März 2020

wps-hide-login.1.5.6.zip


98% Bewertungen


600.000 + Installationen


WP 4.1 + Erforderlich

12. Passen Sie Ihre Passwörter an

Spielen Sie mit Ihren Passwörtern herum und ändern Sie sie regelmäßig, um Ihre WordPress-Website zu sichern. Verbessern Sie ihre Stärke, indem Sie zusätzliche Wörter hinzufügen und Ihre Passwörter verlängern.

Beachten Sie, dass wir Ihnen nicht unbedingt raten, Ihren Passwörtern immer mehr Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen hinzuzufügen. Viele Menschen entscheiden sich stattdessen für lange Passphrasen, da diese für Hacker kaum vorherzusagen sind, aber leichter zu merken sind als eine Reihe von Zufallszahlen und Buchstaben.

Da ist ein populärer Comic von xkcd darüber, wie trügerisch einige scheinbar sichere Passwörter sein können:

Passwortstärke

Es stellt sich heraus, dass die Verwendung einer komplizierten Phrase oft viel sicherer und 10x leichter zu merken ist.

13. Verwenden Sie einen Passwort-Manager

Okay, wir alle wissen, dass wir unsere Passwörter oft ändern sollten und dass es schwierig sein sollte, sie zu knacken. Wir wissen was wir "sollte" tun, aber dafür haben wir nicht immer Zeit.

Hier kommen einige hochwertige Passwortmanager ins Spiel. Sie generieren nicht nur sichere Passwörter für Sie, sondern speichern sie dann in einem sicheren Tresor, wodurch Sie sich nicht mehr an sie erinnern müssen.

�� Hier ist ein detaillierter Vergleich von uns mit den besten Passwort-Managern auf dem Markt.

14. Melden Sie nicht genutzte Benutzer automatisch von Ihrer Site ab

Benutzer, die das wp-admin-Fenster Ihrer Website auf ihren Bildschirmen geöffnet lassen, können eine ernsthafte Sicherheitsbedrohung für WordPress darstellen. Jeder Passant kann Informationen auf Ihrer Website ändern, das Benutzerkonto einer Person ändern oder sogar Ihre Website insgesamt beschädigen. Sie können dies vermeiden, indem Sie sicherstellen, dass Ihre Site Personen abmeldet, nachdem sie für einen bestimmten Zeitraum inaktiv waren.

Sie können dies mithilfe eines Plugins wie einrichten BulletProof-Sicherheit. Mit diesem Plugin können Sie ein benutzerdefiniertes Zeitlimit für inaktive Benutzer festlegen, nach dem diese automatisch abgemeldet werden.


BulletProof-Sicherheit BulletProof-Sicherheit

Autor (en): AITpro Website-Sicherheit

Aktuelle Version: 4.0

Letzte Aktualisierung: 29. April 2020

kugelsichere Sicherheit.4.0.zip


96% Bewertungen


60.000 + Installationen


WP 3.8 + Erforderlich

Teil (c): Sichern Sie Ihre WordPress-Website über das Admin-Dashboard

Für einen Hacker ist der faszinierendste Teil einer Website das Admin-Dashboard, das in der Tat der am besten geschützte Bereich von allen ist. Den stärksten Teil anzugreifen ist also die eigentliche Herausforderung. Wenn dies erreicht ist, gibt es dem Hacker einen moralischen Sieg und den Zugang, viel Schaden anzurichten.

Folgendes können Sie tun, um Ihr Administrator-Dashboard für die WordPress-Website zu sichern:

15. Schützen Sie das Verzeichnis wp-admin

Das wp-admin-Verzeichnis ist das Herz jeder WordPress-Website. Wenn dieser Teil Ihrer Website verletzt wird, kann die gesamte Website beschädigt werden.

Eine Möglichkeit, dies zu verhindern, besteht darin, das Verzeichnis wp-admin mit einem Kennwort zu schützen. Mit einer solchen WordPress-Sicherheitsmaßnahme kann der Websitebesitzer durch Eingabe von zwei Passwörtern auf das Dashboard zugreifen. Eine schützt die Anmeldeseite und die andere schützt den WordPress-Administrationsbereich.

Um dies einzurichten, müssen Sie normalerweise Ihr Hosting-Setup über cPanel anpassen. Dies ist jedoch nicht allzu schwierig, wenn Sie Folgen Sie den richtigen Schritten.

16. Verwenden Sie SSL, um Daten zu verschlüsseln

Das Implementieren eines SSL-Zertifikats (Secure Socket Layer) ist ein kluger Schritt, um das Admin-Panel zu sichern. SSL gewährleistet eine sichere Datenübertragung zwischen Benutzerbrowsern und dem Server, wodurch es für Hacker schwierig wird, die Verbindung zu unterbrechen oder Ihre Informationen zu fälschen.

Das Erhalten eines SSL-Zertifikats für Ihre WordPress-Website ist einfach. Sie können einen von einem Drittanbieter kaufen oder prüfen, ob Ihr Hosting-Unternehmen einen kostenlos zur Verfügung stellt.

lässt uns verschlüsseln

Ich verwende auf den meisten meiner Websites das kostenlose Open Source-SSL-Zertifikat “Let’s Encrypt”. Jedes gute Hosting-Unternehmen wie SiteGround bietet mit seinen Hosting-Paketen ein kostenloses Let’s Encrypt SSL-Zertifikat an.

Das SSL-Zertifikat wirkt sich auch auf das Google-Ranking Ihrer Website aus. Google neigt dazu Websites mit höherem SSL bewerten als die ohne es. Das bedeutet mehr Verkehr. Wer will das nicht??

Das Aktivieren von SSL auf Ihrer WordPress-Site ist sehr einfach. In 99% der Fälle müssen Sie lediglich das Really Simple SSL-Plugin installieren und aktivieren. Es sind keine weiteren Einstellungen erforderlich.


Wirklich einfaches SSL Wirklich einfaches SSL

Autor (en): Rogier Lankhorst, Mark Wolters

Aktuelle Version: 3.3.3

Letzte Aktualisierung: 18. Mai 2020

wirklich-einfach-ssl.3.3.3.zip


100% Bewertungen


4.000.000 + Installationen


WP 4.6 + Erforderlich

17. Fügen Sie Benutzerkonten mit Sorgfalt hinzu

Wenn Sie ein WordPress-Blog oder ein Blog mit mehreren Autoren betreiben, müssen Sie sich mit mehreren Personen befassen, die auf Ihr Admin-Panel zugreifen. Dies könnte Ihre Website anfälliger für WordPress-Sicherheitsbedrohungen machen.

Sie können ein Plugin wie verwenden Starke Passwörter erzwingen Wenn Sie sicherstellen möchten, dass alle von Benutzern angegebenen Kennwörter sicher sind. Dies ist nur eine Vorsichtsmaßnahme, aber es ist besser, als mehrere Benutzer mit schwachen Passwörtern zu haben.


Starke Passwörter erzwingen Starke Passwörter erzwingen

Autor (en): Jason Cosper

Aktuelle Version: 1.8.0

Letzte Aktualisierung: 9. November 2017

force-strong-passwords.1.8.zip


86% Bewertungen


Über 10.000 Installationen


WP 3.7 + Erforderlich

18. Ändern Sie den Administrator-Benutzernamen

Während Ihrer WordPress-Installation sollten Sie niemals wählen "Administrator" als Benutzername für Ihr Hauptadministratorkonto. Solch ein leicht zu erratender Benutzername ist für Hacker zugänglich. Alles, was sie herausfinden müssen, ist das Passwort, dann gerät Ihre gesamte Website in die falschen Hände.

Änderung des Administrator-Benutzernamens

Ich kann Ihnen nicht sagen, wie oft ich durch meine Website-Protokolle gescrollt und Anmeldeversuche mit Benutzername gefunden habe "Administrator".

Das iThemes Security-Plugin kann solche Versuche stoppen, indem jede IP-Adresse, die versucht, sich mit diesem Benutzernamen anzumelden, sofort gesperrt wird.

19. Überwachen Sie Ihre Dateien

Wenn Sie zusätzliche WordPress-Sicherheit wünschen, überwachen Sie die Änderungen an den Dateien Ihrer Website über Plugins wie Wordfence, oder wieder iThemes Security.


Wordfence-Sicherheit - Firewall- und Malware-Scan Wordfence-Sicherheit – Firewall & Malware-Scan

Autor (en): Wordfence

Aktuelle Version: 7.4.7

Letzte Aktualisierung: 23. April 2020

wordfence.7.4.7.zip


96% Bewertungen


3.000.000 + Installationen


WP 3.9 + Erforderlich

Teil (d): Sichern Sie Ihre WordPress-Website über die Datenbank

Alle Daten und Informationen Ihrer Website werden in der Datenbank gespeichert. Sich darum zu kümmern ist entscheidend. Hier sind einige Dinge, die Sie tun können, um die Sicherheit zu erhöhen:

20. Ändern Sie das Präfix der WordPress-Datenbanktabelle

Wenn Sie WordPress jemals installiert haben, sind Sie mit dem Präfix wp-table vertraut, das von der WordPress-Datenbank verwendet wird. Ich empfehle Ihnen, es in etwas Einzigartiges zu ändern.

Wenn Sie das Standardpräfix verwenden, ist Ihre Site-Datenbank anfällig für SQL-Injection-Angriffe. Solche Angriffe können verhindert werden, indem wp- in einen anderen Begriff geändert wird. Zum Beispiel können Sie es mywp- oder wpnew machen-.

Wenn Sie Ihre WordPress-Website bereits mit dem Standardpräfix installiert haben, können Sie verwenden ein paar Plugins um es zu ändern. Plugins mögen WP-DBManager Mit iThemes Security können Sie Ihre Arbeit mit nur einem Klick erledigen. (Stellen Sie sicher, dass Sie Ihre Site sichern, bevor Sie etwas mit der Datenbank tun.).


WP-DBManager WP-DBManager

Autor (en): Lester ‘GaMerZ’ Chan

Aktuelle Version: 2.80.3

Letzte Aktualisierung: 20. Mai 2020

wp-dbmanager.2.80.3.zip


88% Bewertungen


100.000 + Installationen


WP 4.0 + Erforderlich

21. Erstellen Sie regelmäßig Backups, um Ihre WordPress-Website zu sichern

Egal wie sicher Ihre WordPress-Website ist, es gibt immer Raum für Verbesserungen. Aber am Ende des Tages ist es vielleicht das beste Gegenmittel, irgendwo ein externes Backup zu führen, egal was passiert.

Wenn Sie ein Backup haben, können Sie Ihre WordPress-Website jederzeit wieder in einen funktionsfähigen Zustand versetzen. Es gibt einige Plugins, die Ihnen in dieser Hinsicht helfen können. Zum Beispiel gibt es all dies.

Wenn Sie nach einer Premium-Lösung suchen, empfehle ich VaultPress von Automattic, was großartig ist. Ich habe es so eingerichtet, dass es jede Woche Backups erstellt. Und sollte jemals etwas Schlimmes passieren, kann ich die Site einfach mit nur einem Klick wiederherstellen.

Ich weiß, dass einige größere Websites stündlich Backups ausführen, aber für die meisten Unternehmen ist dies ein völliger Overkill. Ganz zu schweigen davon, dass Sie sicherstellen müssen, dass die meisten dieser Sicherungen gelöscht werden, nachdem eine neue erstellt wurde, da jede Sicherungsdatei Speicherplatz auf Ihrem Laufwerk belegt. Trotzdem würde ich den meisten Organisationen wöchentliche oder monatliche Backups empfehlen.

Zusätzlich zu den Backups überprüft VaultPress meine Website auf Malware und benachrichtigt mich, wenn etwas Schattiges passiert.

22. Legen Sie sichere Kennwörter für Ihre Datenbank fest

Ein sicheres Passwort für den Hauptdatenbankbenutzer ist ein Muss, da dieses Passwort dasjenige ist, das WordPress für den Zugriff auf die Datenbank verwendet.

Verwenden Sie wie immer Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen für das Kennwort. Passphrasen sind ebenfalls ausgezeichnet. Ich empfehle LastPass noch einmal für die zufällige Passwortgenerierung und -speicherung. Ein kostenloses und schnelles Tool zum Erstellen sicherer Passwörter ist das Sicherer Passwortgenerator.

Passwörter

23. Überwachen Sie Ihre Überwachungsprotokolle

Wenn Sie WordPress Multisite ausführen oder eine Website mit mehreren Autoren verwalten, ist es wichtig zu verstehen, welche Art von Benutzeraktivität ausgeführt wird. Ihre Autoren und Mitwirkenden ändern möglicherweise Kennwörter, aber es gibt andere Dinge, die Sie möglicherweise nicht möchten. Zum Beispiel sind Themen- und Widgetänderungen offensichtlich nur den Administratoren vorbehalten. Wenn Sie das Überwachungsprotokoll überprüfen, können Sie sicherstellen, dass Ihre Administratoren und Mitwirkenden nicht versuchen, ohne Genehmigung etwas auf Ihrer Website zu ändern.

Audit-Log

Das WP-Sicherheitsüberwachungsprotokoll Das Plugin bietet eine vollständige Liste für diese Aktivität sowie E-Mail-Benachrichtigungen und Berichte. Im einfachsten Fall kann das Überwachungsprotokoll Ihnen helfen, festzustellen, dass ein Writer Probleme beim Anmelden hat. Das Plugin kann jedoch auch böswillige Aktivitäten eines Ihrer Benutzer aufdecken.


WP-Aktivitätsprotokoll (früher WP Security Audit Log) WP-Aktivitätsprotokoll (früher WP Security Audit Log)

Autor (en): WP White Sicherheit

Aktuelle Version: 4.1.0

Letzte Aktualisierung: 26. Mai 2020

wp-security-audit-log.4.1.0.zip


96% Bewertungen


100.000 + Installationen


WP 3.6 + Erforderlich

Teil (e): Sichern Sie Ihre WordPress-Website durch Themen und Plugins

Themen und Plugins sind wesentliche Bestandteile jeder WordPress-Website. Leider können sie auch ernsthafte Sicherheitsbedrohungen darstellen. Lassen Sie uns herausfinden, wie wir Ihre WordPress-Themes und -Plugins richtig sichern können:

24. Aktualisieren Sie regelmäßig für die WordPress-Sicherheit

Jedes gute Softwareprodukt wird von seinen Entwicklern unterstützt und ab und zu aktualisiert. Diese Updates sollen Fehler beheben und enthalten manchmal wichtige Sicherheitspatches. WordPress und seine Plugins sind nicht anders.

Wenn Sie Ihre Themes und Plugins nicht aktualisieren, kann dies zu Problemen führen. Viele Hacker verlassen sich auf die bloße Tatsache, dass die Leute nicht die Mühe haben, ihre Plugins und Themes zu aktualisieren. Meistens nutzen diese Hacker Fehler aus, die bereits behoben wurden.

Wenn Sie also ein WordPress-Produkt verwenden, aktualisieren Sie es regelmäßig. Plugins, Themes, alles. Die gute Nachricht ist, dass WordPress automatisch Updates für seine Benutzer bereitstellt, sodass Sie eine E-Mail erhalten, die Sie über das Update und Informationen zu den Korrekturen in Ihrem Dashboard informiert.

Die Plugins müssen manuell aktualisiert werden, indem Sie auf gehen Plugins in Ihrem Dashboard. Wenn ein Plugin eine neue Version hat, werden Sie benachrichtigt und es wird ein Link zum Aktualisieren bereitgestellt.

Plugins aktualisieren

Alternativ können Sie sich für einen verwalteten WordPress-Hosting-Plan entscheiden. Neben vielen anderen Funktionen und Verbesserungen Ihrer WordPress-Sicherheit bietet qualitätsverwaltetes Hosting automatische Updates für alle Elemente Ihrer WordPress-Site.

Einige verwaltete Hosting-Anbieter sind Kinsta, SiteGround und Flywheel. Weitere Informationen zum am besten verwalteten WordPress-Hosting finden Sie hier.

25. Entfernen Sie Ihre WordPress-Versionsnummer

Ihre aktuelle WordPress-Versionsnummer kann sehr leicht gefunden werden. Es befindet sich im Grunde genau dort in der Quellansicht Ihrer Website. Sie können es auch unten in Ihrem Dashboard sehen (dies spielt jedoch keine Rolle, wenn Sie versuchen, Ihre WordPress-Website zu sichern)..

Versionsnummer

Hier ist die Sache: Wenn Hacker wissen, welche Version von WordPress Sie verwenden, ist es für sie einfacher, den perfekten Angriff maßzuschneidern.

Sie können Ihre Versionsnummer mit fast jedem oben erwähnten WordPress-Sicherheits-Plugin ausblenden.

Für einen manuelleren Ansatz (und um auch die Versionsnummer aus RSS-Feeds zu entfernen) sollten Sie der Datei functions.php die folgende Funktion hinzufügen:

Funktion wpbeginner_remove_version () {
Rückkehr ”;
}}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

Letzte Gedanken zur Sicherung Ihrer WordPress-Website

Wenn Sie ein Anfänger sind, war das eine Menge zu beachten. Alles, was ich in diesem Artikel erwähnt habe, ist jedoch ein Schritt in die richtige Richtung. Je mehr Sie sich um Ihre WordPress-Sicherheit kümmern, desto schwieriger wird es für einen Hacker, einzudringen.

Vor diesem Hintergrund ist die Leistung der Website wahrscheinlich genauso wichtig wie die Sicherheit. Grundsätzlich haben Ihre Besucher ohne eine Website, die schnell geladen wird, nie die Möglichkeit, Ihre Inhalte zu konsumieren. Der durchschnittliche Website-Besucher wartet nur 2 Sekunden, bevor er frustriert wird und die Website verlässt.

Hier sind einige Ressourcen, die Ihnen helfen können, das Performance-Spiel zu gewinnen und sicherzustellen, dass Ihre Website blitzschnell geladen wird:

  • ��️ Verwenden Sie ein Qualitäts-CDN. Einige von ihnen sind sogar kostenlos. Hier ist ein Vergleich der wichtigsten Optionen: MaxCDN gegen CloudFlare gegen Amazon CloudFront gegen Akamai Edge gegen Fastly
  • ��️ Optimieren Sie einige Dinge unter der Haube Ihrer Site. Hier sind 11 Möglichkeiten, um WordPress zu beschleunigen

Wenn Sie Fragen zur Sicherung Ihrer WordPress-Website haben, teilen Sie uns dies in den Kommentaren mit und wir werden sie beantworten! Was sind Ihre Sicherheitsherausforderungen für WordPress??

Vergessen Sie nicht, an unserem Crashkurs teilzunehmen, um Ihre WordPress-Site zu beschleunigen. Mit einigen einfachen Korrekturen können Sie Ihre Ladezeit sogar um 50-80% reduzieren:

Geschrieben von Ahmad Awais, Joe Warnimont, Karol K..

* Dieser Beitrag enthält Affiliate-Links. Wenn Sie also auf einen der Produktlinks klicken und dann das Produkt kaufen, erhalten wir eine geringe Gebühr. Keine Sorge, Sie zahlen trotzdem den Standardbetrag, sodass Sie keine Kosten haben.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector