WordPress-Website-Betreiber stellen häufig fest, dass ihre Websites kompromittiert wurden. Aufgrund seiner Beliebtheit als CMS ist WordPress die am häufigsten von Hackern angegriffene Plattform und gilt daher als unsicher.
Aber das ist nicht wirklich der Fall.
Da WordPress Open Source ist, kann es jeder nutzen. Die große Mehrheit der Nutzer ist jedoch nicht mit den grundlegenden Cybersicherheitspraktiken vertraut. Dies erweckt den Eindruck, WordPress sei weniger sicher als andere Website-Builder.
Wer solide Sicherheitsmaßnahmen anwendet, hat selten Probleme mit gehackten Websites. Was macht eine WordPress-Website also sicher?
Sicherung Ihrer WordPress-Website
Hier sind 10 Dinge, die Sie beim Sichern Ihrer WordPress-Website beachten sollten.
Verwenden Sie einen sicheren Host
Wenn Sie aus diesem Beitrag nichts anderes mitnehmen, schenken Sie diesem zumindest Aufmerksamkeit. Ihre WordPress-Website ist nur so sicher wie der Server, auf dem sie sich befindet.
Die meisten WordPress-Websites basieren auf Shared Hosting, d. h. Ihre Website befindet sich auf demselben Server wie die Websites anderer Kunden. Wählen Sie einen Hosting-Anbieter, der die Kontoberechtigungen auf seinen Servern ordnungsgemäß verwaltet.
Check this out: Die besten WordPress-Hosting-Dienste im Vergleich
Es kommt häufig vor, dass eine infizierte Website andere Websites auf demselben Server infiziert. Wenn Sie einen Host wählen, bei dem die Berechtigungen für jedes Konto ordnungsgemäß getrennt sind, wird das Risiko einer Site-übergreifenden Kontamination minimiert.
Entgegen der landläufigen Meinung VPS-Hosting ist auch anfällig für die Verbreitung von Malware. VMescape-Angriffe, bei denen Malware Schwachstellen in Virtualisierungsplattformen ausnutzt, können es der Malware ermöglichen, von einem VPS zu entkommen und auf einen anderen VPS zu gelangen, der auf derselben physischen Hardware läuft.
Sichere Hosts verfügen zudem über weitere Schutzmaßnahmen. Dazu gehören die Nutzung von Mod-Security in der Webserverkonfiguration, Anti-Malware-Pakete wie Imunify360 und DDoS-Schutz, um zu verhindern, dass Websites von Bots überlastet werden.
Halten Sie Ihren Kern, Ihre Designs und Plugins auf dem neuesten Stand
Die meisten WordPress-Websites werden gehackt, weil ihnen der Code ausgeht. Das ist keine Meinung, sondern eine dokumentierte Tatsache.
Sicherheitsforscher, die forensische Analysen an Tausenden gehackten WordPress-Websites durchführen, haben zweifelsfrei festgestellt, dass für über 80 % davon veraltete Plugins und Designs verantwortlich sind.
Stellen Sie sich vor: Indem Sie Ihre Themes und Plugins einfach auf dem neuesten Stand halten, könnten Sie 80 % des Risikos einer Gefährdung Ihrer Website eliminieren. Das ist ein wichtiger Schlüssel zur Sicherung von WordPress, den Sie beachten sollten.
Aktivieren Sie die 2-Faktor-Authentifizierung
Während veraltete Designs und Plug-Ins für die große Mehrheit der gehackten WordPress-Websites verantwortlich sind, sind Brute-Force-Angriffe auf Benutzernamen und Passwörter die gängigsten Methoden, um unbefugten Zugriff auf Websites zu erlangen.
Obwohl die Erfolgsquote normalerweise gering ist, wurden dennoch etwa 8 % der gehackten Websites einfach durch das Erraten des Passworts eines Benutzers gehackt.
Eine Möglichkeit, Ihre Website zu schützen, ist die Aktivierung der Zwei-Faktor-Authentifizierung (2FA). Zusätzlich zu Ihrem Benutzernamen und Passwort benötigen Sie für 2FA einen Einmalpasswortcode von Ihrem Mobilgerät oder aus einer E-Mail.
Wenn ein Hacker Ihren Benutzernamen und Ihr Passwort für Ihre Website hat, aber weder Ihr Telefon noch Zugriff auf Ihre E-Mails, kann er sich nicht anmelden.
Es gibt mehrere Plugins, die Ihrer Website eine Zwei-Faktor-Authentifizierung hinzufügen, und viele umfassende Sicherheits-Plugins, über die wir im nächsten Abschnitt sprechen werden, fügen diese Funktion ebenfalls als Teil ihrer zahlreichen Funktionen hinzu.
Installieren Sie ein Sicherheits-Plugin
Es gibt Leute, die sagen, dass die gesamte Sicherheit vom Hoster übernommen werden sollte, aber in der Welt der Cybersicherheit glauben wir, dass Sicherheit in mehreren Schichten geschieht. Ein Sicherheits-Plugin für Ihr WordPress Die Website ist nur eine weitere dieser Ebenen.
Es gibt eine große Auswahl an Sicherheits-Plugins. Hier sind einige der beliebtesten. Testen Sie sie und finden Sie heraus, welches Ihren Anforderungen am besten entspricht.
Wordfence
Obwohl dieser Beitrag nicht darauf eingehen wird, welches Sicherheits-Plugin das beste ist, ist das beliebteste Wordfence – und dafür gibt es gute Gründe.
Zum einen ist Wordfence ein sicherheitsorientiertes Unternehmen, das sich ausschließlich auf Sicherheit konzentriert. Es handelt sich nicht um einen WordPress-Plugin-Entwickler, der zufällig ein Sicherheits-Plugin im Portfolio hat. Sie leben und atmen Sicherheit.
Das Wordfence-Plugin enthält eine kostenlose Web Application Firewall, die jede Anfrage mit einer Liste bekannter Exploits abgleicht und bei Übereinstimmung blockiert. Ein Malware-Scanner sucht außerdem nach Anzeichen für schädliche Aktivitäten und Dateien. Ein weiteres großartiges Feature ist die Möglichkeit, alle Theme- und Plugin-Dateien mit denen im WordPress.org-Repository abzugleichen und so eine Übereinstimmung sicherzustellen.
Wordfence protokolliert standardmäßig alle sicherheitsrelevanten Aktivitäten, sodass Sie diese überprüfen und sicherstellen können, dass Ihre Site sicher ist.
Ein weiteres nützliches Feature von Wordfence ist das Zwei-Faktor-Authentifizierungsmodul. Empfehlung Nr. 2 in diesem Beitrag lässt sich also problemlos umsetzen. Zusätzlich bietet Wordfence einen Brute-Force-Schutz, der IP-Adressen sperrt, die mehrfach versuchen, sich anzumelden. So werden Bots effektiv gestoppt.
Sucuri
Sucuri ist ein weiteres hervorragendes Sicherheits-Plugin, das zum Schutz Ihrer WordPress-Website beitragen kann. Es bietet viele der gleichen großartigen Funktionen wie Wordfence, mit einer bemerkenswerten Ausnahme: Es gibt keine kostenlose Firewall – es ist nur im Premium-Tarif verfügbar.
Ein wichtiger Hinweis zu Sucuri: Das Plugin wurde kürzlich von GoDaddy übernommen. Daher muss sich die Fähigkeit des Anbieters, es ordnungsgemäß zu unterstützen, noch beweisen. GoDaddy genießt in Webhosting-Kreisen kein gutes Ansehen. Daher wird sich erst zeigen, ob dieser Ruf auch auf Sucuri übertragbar ist oder ob das Unternehmen der Herausforderung gewachsen ist.
Sucuri verfügt außerdem über ein Prüfprotokoll, sodass Sie sicherheitsrelevante Aktivitäten auf Ihrer Website, beispielsweise fehlgeschlagene Anmeldungen, überprüfen können.
Alles in einem WP Security & Firewall
Alles in einem WP Security & Firewall ist das einzige Plugin, das in Sachen Popularität an Wordfence heranreicht. Es bietet viele der gleichen Vorteile, darunter eine kostenlose Firewall basierend auf .htaccess-Regeln, Brute-Force-Schutz und einen Sicherheitsscanner.
Es enthält jedoch kein Zwei-Faktor-Authentifizierungsmodul. Sie müssen daher für diese Funktion ein eigenständiges Plug-In hinzufügen.
Man könnte argumentieren, dass All in One WP Security & Firewall tatsächlich die robusteste Firewall aller Sicherheits-Plugins bietet. Da die Firewall auf .htaccess basiert, wird sie vor der Ausführung von Skripten verarbeitet, was sie sehr zuverlässig macht.
All in One WP Security & Firewall bietet außerdem eine nützliche Funktion zum Schutz vor automatisiertem Kommentar-Spam. Alternativ können Sie das Standard-Kommentarsystem von WordPress ersetzen durch Deeper Kommentare für zusätzliche Funktionen und Schutz.
Verwenden Sie Cloudflare
Cloudflare erfreut sich bei WordPress-Nutzern großer Beliebtheit, da der hervorragende (und kostenlose) CDN-Dienst zur Beschleunigung Ihrer Website beiträgt. Cloudflare bietet außerdem zahlreiche kostenlose Tools, die Ihre Website gegen Angriffe schützen.
Wenn Sie Ihre Nameserver auf Cloudflare ausrichten, profitieren Sie zum einen von einem der schnellsten und sichersten verfügbaren DNS-Dienste und kostenlosen SSL-Zertifikaten.
Die Server von Cloudflare prüfen den gesamten Datenverkehr auf DDoS-Angriffe, bevor er Ihren Server erreicht. Die Firewall ist selbst in der kostenlosen Version (mit einer begrenzten Anzahl von Regeln) umfassend konfigurierbar, sodass Sie den Datenverkehr nach Land, ASN oder sogar URL bzw. Abfragezeichenfolge filtern können.
Wenn Sie sich beispielsweise immer nur von einer einzigen IP-Adresse oder einer kleinen Anzahl fester IP-Adressen auf Ihrer Website anmelden, könnten Sie in Cloudflare eine Regel erstellen, die alle anderen IPs daran hindert, überhaupt auf wp-admin oder wp-login.php zuzugreifen. Das würde alle Bots blockieren, die versuchen, die Brute-Force-Angriffe durchzuführen, über die wir in Abschnitt 3 gesprochen haben. Sie können auch Beschränken Sie den Zugriff auf wp-admin mithilfe Ihrer .htaccess-Datei anstelle von Cloudflare. Sie können beide implementieren, wenn Sie mehrere Schutzebenen wünschen (dringend empfohlen).
Verwenden Sie keine Nulled Themes oder Plugins
Du möchtest dieses Premium-Theme, aber nicht dafür bezahlen? Wenn du es von einer dieser unseriösen Seiten mit ungültigen Themes und Plugins beziehst, bekommst du es kostenlos. Aber es hat trotzdem seinen Preis…
Wenn Sie ein ungültiges Theme oder Plugin verwenden, verlieren Sie die Garantie, dass das Produkt mit dem Angebot des offiziellen Anbieters übereinstimmt. Das bedeutet, dass die Integrität des Codes verloren geht.
Auf Null gesetzte Designs und Plug-Ins sind eine bedeutende Quelle für Malware, da derjenige, der das Plug-In auf Null gesetzt hat, manchmal seine eigene Malware hineinfügt, um Ihre Site zu übernehmen oder andere böswillige Aktionen auszuführen, wie etwa den Diebstahl Ihrer Ressourcen für das Krypto-Mining.
Ungültige Themes und Plugins sind Malware, die Sie unbewusst auf Ihrer Website installieren. Nur um ein paar Euro zu sparen? Das lohnt sich nicht. Wenn Sie eine Premium-Funktion benötigen, bezahlen Sie dafür einen seriösen Entwickler.
Deaktivieren Sie die Dateibearbeitung
Das WordPress-Admin-Dashboard verfügt über einen sehr praktischen integrierten Editor, mit dem Sie den Inhalt Ihrer Theme- und Plugin-Dateien ändern können. Leider macht dieser Editor es Hackern auch leicht, den Code Ihrer Website zu ändern, wenn sie in Ihr Konto eindringen.
Die Realität ist, Sie sind fast niemals Sie werden diese Funktion nutzen. Wenn Sie jemals eine Kerndatei bearbeiten, tun Sie dies wahrscheinlich direkt über den Dateimanager Ihres Hosts oder mithilfe eines FTP-Clients.
Sie können die Möglichkeit zum Bearbeiten von Dateien über das Admin-Dashboard deaktivieren, indem Sie Ihrer Datei wp-config.php diese Zeile hinzufügen:
definieren('DISALLOW_FILE_EDIT', true);
Sobald Sie diese Zeile hinzufügen, sind die Bearbeitungsmenüs für Plugin- und Designdateien im WordPress-Admin-Dashboard nicht mehr verfügbar.
Verschieben und benennen Sie Ihre wp-config.php-Datei
Während wir über die Datei wp-config.php sprechen, wissen viele bereits, dass man die Datei wp-config.php in ein Verzeichnis nach oben in der WordPress-Installation verschieben kann und die Website dann einwandfrei funktioniert. Aber gehen wir noch einen Schritt weiter.
Wussten Sie, dass Sie die Datei wp-config.php beliebig umbenennen und komplett aus Ihrer WordPress-Installation in einen nicht-öffentlichen Ordner verschieben können? Das ist zwar etwas aufwendiger, lohnt sich aber.
Während die Datei selbst beim Aufruf in einem Webbrowser im Allgemeinen eine leere Seite zurückgibt, kann in seltenen Fällen, wenn der PHP-Handler fehlschlägt, der gesamte Inhalt der Datei als einfacher Text direkt in einem Webbrowser sichtbar sein.
Die Datei wp-config.php enthält vertrauliche Informationen über Ihre Website, einschließlich des Datenbankbenutzernamens und des Passworts. In den falschen Händen könnten diese Informationen verheerende Folgen haben. Durch die Umbenennung der Datei in einen beliebigen Namen können Sie sie vor Bots und Hackern schützen.
By Verschieben von wp-config.php in einen nicht öffentlichen Ordner, verhindern Sie, dass jemand bei einem PHP-Handler-Fehler die Informationen über einen Browser abruft.
Überprüfen Sie die Aktivität auf Ihrer Site
Wenn Sie nicht den Überblick darüber behalten, was auf Ihrer Website passiert, entgehen Ihnen möglicherweise wichtige Informationen, die Sie auf versuchte böswillige Aktivitäten aufmerksam machen könnten. Oder Sie entdecken böswillige Aktivitäten sogar, wenn Ihre Website bereits kompromittiert wurde.
Neben den Sicherheitsvorteilen kann ein gutes Audit-Plugin bei einer Website mit mehreren Benutzern auch dazu beitragen, legitime Aktivitäten nachzuverfolgen. Für Agenturen ist es ein großartiges Tool, um zu erkennen, ob Ihr Kunde möglicherweise etwas falsch gemacht hat, selbst wenn er behauptet, es nicht getan zu haben!
Es gibt mehrere gute Plugins zur Überwachung der Website-Aktivität. Einige der zuvor genannten Sicherheits-Plugins verfügen über eine gewisse Protokollierungsfunktion, die folgenden Plugins gehen jedoch noch einen Schritt weiter und überwachen sämtliche Benutzeraktivitäten und nicht nur sicherheitsrelevante Ereignisse. Hier sind die Top 3.
Simple History – Benutzeraktivitätsprotokoll, Audit-Tool
einfache Geschichte ist das beliebteste Plugin für Audits und eignet sich hervorragend für den Einstieg ins Testen. Es protokolliert alle wichtigen Vorgänge wie Inhaltsaktualisierungen, Plugin-Installationen und -Aktivierungen sowie nahezu jede andere Art von Benutzeraktivität.
Das Plugin hat eine 5-Sterne-Bewertung und das Entwicklerteam ist in den Support-Foren recht aktiv und beantwortet dort regelmäßig Support-Fragen in einem angemessenen Zeitrahmen.
WP-Aktivitätsprotokoll
Das WP-Aktivitätsprotokoll Das Plugin ist eine weitere großartige Option für Ihre Website. Es bietet im Vergleich zum vorherigen Plugin einige mehr konfigurierbare Optionen, z. B. die Möglichkeit, die Überwachung bestimmter Ereignisse zu aktivieren und zu deaktivieren, und eine konfigurierbare Aufbewahrungsdauer für die Protokollierung. Es bietet außerdem zahlreiche Add-ons, um die Überwachung auf spezielle Plugins wie WooCommerce und WPForms auszuweiten.
Das Plugin hat eine 4.5-Sterne-Bewertung und der leitende Entwickler beantwortet praktisch jede einzelne Frage im Support-Forum persönlich.
Wenn Sie eine Agentur leiten, lässt sich WP Activity Log problemlos in das beliebte Verwaltungstool MainWP integrieren, sodass Sie die Audit-Protokolle aller Ihrer Kundenseiten in einer einzigen Oberfläche einsehen können. Unter Agenturen ist WP Activity Log die erste Wahl für die Audit-Protokollierung.
Activity Log
Eine weitere beliebte Option mit einer 4.5-Sterne-Bewertung. Activity Log erfasst alles, was Sie erwarten, und verfügt über eine gute Anzahl aktiver Installationen.
Leider reagiert der Entwickler nicht oft auf Supportanfragen in den Foren und die meisten Supportfragen bleiben auf unbestimmte Zeit unbeantwortet.
Nutzen Sie das Prinzip der geringsten Privilegien
In der Welt der Cybersicherheit ist das Prinzip der geringsten Privilegien ein Konzept, bei dem ein Benutzer nur über die Berechtigungen verfügt, die er zur Ausführung seiner Arbeit benötigt.
In der WordPress-Welt ist es keine Seltenheit, dass in einem Unternehmen zehn Benutzer Administratorrechte haben. Es mag zwar berechtigte Gründe für diese Zugriffsebene geben, aber selten werden mehr als ein oder zwei Konten mit so hohen Berechtigungen benötigt.
Sie können nicht kontrollieren, was Ihre Nutzer tun, wenn sie nicht aktiv auf Ihrer WordPress-Website arbeiten. Das bedeutet: Wenn sie ihre eigenen Daten nicht vor Hackern schützen, ist die Wahrscheinlichkeit hoch, dass sich diese Nachlässigkeit auch auf Ihre Website auswirkt.
Durch die Einschränkung des Zugriffs können Sie Schäden minimieren, die ein Benutzer unbeabsichtigt verursachen könnte, beispielsweise durch das Klicken auf einen schädlichen Link, während er noch auf Ihrer Website angemeldet ist. Auch als Site-Administrator sollten Sie ein separates Editor-Konto mit eingeschränkten Berechtigungen verwenden, wenn Sie keine anspruchsvollen Verwaltungsaufgaben ausführen.
Ist das mühsam? Sicher. Aber es ist weitaus weniger mühsam, als eine infizierte Website bereinigen zu müssen.
Bonus: Machen Sie regelmäßig Backups
Im schlimmsten Fall, wenn Ihre Website kompromittiert wurde, besteht die einzige Möglichkeit manchmal darin, sie aus einem sauberen Backup wiederherzustellen, das vor der Infektion erstellt wurde. Die meisten seriösen Webhosting-Anbieter sichern Ihre Website einmal täglich, bewahren diese Backups aber in der Regel nur ein paar Wochen lang auf.
Dies ist problematisch, wenn eine Infektion eine Zeit lang unbemerkt blieb. Viele Infektionen verbergen sich effektiv vor angemeldeten Administratoren, um so möglichst lange nicht entdeckt zu werden.
Da Sie jetzt wissen, dass Sicherheit in mehreren Schichten am besten gelingt, können Sie dasselbe Konzept auf Ihre Backups anwenden, indem Sie zusätzlich zu denen Ihres Webhosts Ihre eigenen Backups erstellen.
Es gibt einige großartige kostenlose Backup-Plugins, darunter UpdraftPlus, BackWPup und All-in-One-WP-Migration. Jedes dieser Programme hat seine eigenen Stärken und Schwächen, aber alle sind sehr zuverlässig und ermöglichen regelmäßigere Backups Ihrer Website. In einigen Fällen können Sie sogar automatisch Backups auf einem Remote-Cloud-Speicher wie Dropbox oder OneDrive erstellen.
Fazit
Die Sicherheit von WordPress ist ein wichtiger Bestandteil einer Website. Sie kann jedoch zeit- und ressourcenintensiv sein, wenn sie falsch oder vernachlässigt wird. Mit den Tipps in diesem Beitrag können Sie die meisten Ihrer Sicherheitsanforderungen automatisieren und sich auf das Wesentliche konzentrieren: Ihr Geschäft.
