10 leistungsstarke Schlüssel zur Sicherung Ihrer WordPress-Website im Jahr 2023

Allzu oft stellen Besitzer von WordPress-Websites fest, dass ihre Websites kompromittiert wurden. Angesichts seiner Popularität als CMS ist WordPress die Plattform, auf die Hacker am meisten abzielen, und erhält daher einen schlechten Ruf als unsicher.

Aber das ist nicht wirklich der Fall.

Die Open-Source-Natur von WordPress bedeutet, dass jeder es verwenden kann, und die große Mehrheit der Benutzer ist nicht mit grundlegenden Cybersicherheitspraktiken vertraut. Dies erzeugt die Illusion, dass WordPress irgendwie weniger sicher ist als andere Optionen zum Erstellen von Websites.

Diejenigen Personen, die solide Sicherheitspraktiken anwenden, haben selten Probleme mit gehackten Websites. Was macht eine WordPress-Website also sicher?

 

Sicherung Ihrer WordPress-Website

Hier sind 10 Dinge, die Sie bei der Sicherung Ihrer WordPress-Website beachten sollten.

 

Verwenden Sie einen sicheren Host

Wenn Sie aus diesem Beitrag nichts anderes herausholen, achten Sie zumindest auf diesen. Ihre WordPress-Website ist nur so sicher wie der Server, auf dem sie lebt.

Die meisten WordPress-Websites basieren auf Shared Hosting, was bedeutet, dass sich Ihre Website auf demselben Server wie die Websites anderer Kunden befindet. Wählen Sie ein Hosting-Unternehmen, das Kontoberechtigungen auf seinen Servern ordnungsgemäß einsperrt.

Check this out: Die besten WordPress-Hosting-Dienste im Vergleich

Es ist nicht ungewöhnlich, dass eine kompromittierte Website andere auf demselben Server infiziert. Wenn Sie einen Host auswählen, bei dem die Berechtigungen für jedes Konto ordnungsgemäß getrennt sind, wird das Risiko einer standortübergreifenden Kontamination minimiert.

Entgegen der landläufigen Meinung VPS-Hosting ist auch anfällig für die Verbreitung von Malware. VMescape-Angriffe, bei denen Malware Schwachstellen in Virtualisierungsplattformen ausnutzt, können es der Malware ermöglichen, einem VPS zu entkommen und zu einem anderen VPS zu wechseln, das auf derselben physischen Hardware läuft.

Sichere Hosts verfügen auch über andere Gegenmaßnahmen. Dazu gehören die Verwendung von Mod-Sicherheit in ihrer Webserverkonfiguration, Anti-Malware-Pakete wie Imunify360 und DDoS-Schutz, um zu verhindern, dass Websites von Bots überwältigt werden.

 

Halten Sie Ihren Kern, Ihre Themen und Plugins auf dem neuesten Stand

Die meisten WordPress-Seiten werden gehackt, weil ihr Code veraltet ist. Das ist keine Meinung, sondern eine dokumentierte Tatsache.

Sicherheitsforscher, die forensische Analysen auf Tausenden von gehackten WordPress-Websites durchgeführt haben, haben ohne Zweifel festgestellt, dass veraltete Plugins und Themes für über 80 % von ihnen verantwortlich sind.

Stellen Sie sich vor, indem Sie einfach Ihre Themes und Plugins auf dem neuesten Stand halten, könnten Sie 80 % der Wahrscheinlichkeit eliminieren, dass Ihre Website kompromittiert wird. Nun, das ist ein Schlüssel zur Sicherung von WordPress, den es wert ist, beachtet zu werden.

 

Aktivieren Sie die 2-Faktor-Authentifizierung

Während veraltete Themes und Plugins für die große Mehrheit der gehackten WordPress-Websites verantwortlich sind, sind Brute-Force-Angriffe auf Benutzernamen und Passwörter die am häufigsten versuchten Methoden, um unbefugten Zugriff auf Websites zu erlangen.

Obwohl die Erfolgsquote normalerweise niedrig ist, wurden immer noch etwa 8 % der gehackten Websites einfach durch das Erraten des Passworts eines Benutzers eingebrochen.

Eine Möglichkeit, Ihre Website zu schützen, besteht darin, die 2-Faktor-Authentifizierung (2FA) zu aktivieren. Zusätzlich zu Ihrem Benutzernamen und Passwort verlangt 2FA von Ihnen auch die Übermittlung eines einmaligen Passcodes von Ihrem Mobilgerät oder einer E-Mail-Nachricht.

Wenn ein Hacker Ihren Benutzernamen und Ihr Passwort für Ihre Website kennt, aber weder Ihr Telefon noch Zugriff auf Ihre E-Mail hat, kann er sich nicht anmelden.

Es gibt mehrere Plugins, die Ihrer Website eine 2-Faktor-Authentifizierung hinzufügen, und viele umfassende Sicherheits-Plugins, über die wir im nächsten Abschnitt sprechen werden, fügen sie ebenfalls als Teil der vielen Funktionen hinzu, die sie enthalten.

 

Installieren Sie ein Sicherheits-Plugin

Es gibt Leute, die sagen, dass die gesamte Sicherheit von Ihrem Host durchgeführt werden sollte, aber in der Welt der Cybersicherheit glauben wir, dass Sicherheit in Schichten geschieht. Ein Sicherheits-Plugin in Ihrem WordPress haben Website ist nur eine weitere dieser Ebenen.

Wenn es um Sicherheits-Plugins geht, gibt es eine Vielzahl zur Auswahl. Hier sind einige der beliebtesten Sicherheits-Plugins. Sie sollten sie ausprobieren und sehen, welche Ihren Anforderungen am besten entspricht.

 

Wordfence

Dieser Beitrag geht zwar nicht darauf ein, welches Sicherheits-Plugin das beste ist, aber das beliebteste ist es Wordfence – und dafür gibt es gute Gründe.

Zum einen ist Wordfence ein sicherheitsorientiertes Unternehmen, da Sicherheit alles ist, was sie tun. Sie sind nicht irgendein WordPress-Plugin-Entwickler, der zufällig ein Sicherheits-Plugin in seinem Portfolio hat, Sie leben und atmen Sicherheit.

Das Wordfence-Plug-in wird mit einer kostenlosen Webanwendungs-Firewall geliefert, die jede Anfrage anhand einer Liste bekannter Exploits prüft und sie blockiert, wenn sie eine Übereinstimmung findet. Sie haben auch einen Malware-Scanner, der nach verräterischen Anzeichen von schädlichen Aktivitäten und Dateien sucht. Eine weitere großartige Funktion ist die Fähigkeit des Scanners, alle Ihre Design- und Plugin-Dateien mit denen im WordPress.org-Repository zu vergleichen, um sicherzustellen, dass sie übereinstimmen.

Wordfence protokolliert standardmäßig alle sicherheitsrelevanten Aktivitäten, damit Sie sie überprüfen und sicherstellen können, dass Ihre Website sicher ist.

Ein weiteres nettes Feature in Wordfence ist, dass sie ein 2-Faktor-Authentifizierungsmodul haben, sodass Sie Empfehlung Nr. 3 in diesem Beitrag ausschalten können. In derselben Schutzlinie verfügen sie auch über einen Brute-Force-Schutz, um IP-Adressen zu sperren, die versuchen, sich mehrmals anzumelden, wodurch Bots effektiv gestoppt werden.

 

Sucuri

Sucuri ist ein weiteres großartiges Sicherheits-Plugin, das beim Schutz Ihrer WordPress-Website helfen kann. Es hat viele der großartigen Funktionen, die Wordfence bietet, mit einer bemerkenswerten Ausnahme: Es gibt keine kostenlose Firewall – es ist nur in einem kostenpflichtigen Premium-Plan verfügbar.

Ein wichtiger Hinweis zu Sucuri ist, dass das Plugin kürzlich von GoDaddy gekauft wurde, sodass ihre Fähigkeit, es ordnungsgemäß zu unterstützen, noch bewiesen werden muss. In Webhosting-Kreisen wird GoDaddy nicht gerne gesehen, also wird nur die Zeit zeigen, ob sich dieser Ruf auf Sucuri erstreckt oder ob sie in der Lage sein werden, sich der Herausforderung zu stellen.

Sucuri verfügt auch über ein Audit-Protokoll, damit Sie sicherheitsrelevante Aktivitäten auf Ihrer Website überprüfen können, z. B. fehlgeschlagene Anmeldungen.

 

Alles in einem WP Security & Firewall

Alles in einem WP Security & Firewall ist das einzige Plugin, das in seiner Popularität sogar an Wordfence heranreicht. Es bietet viele der gleichen Vorteile, einschließlich einer kostenlosen Firewall basierend auf .htaccess-Regeln, Brute-Force-Schutz und einem Sicherheitsscanner.

Eine Sache, die es nicht enthält, ist ein 2-Faktor-Authentifizierungsmodul, daher müssen Sie ein eigenständiges Plugin für diese Funktionalität hinzufügen.

Man könnte argumentieren, dass All in One WP Security & Firewall tatsächlich die robusteste Firewall aller Sicherheits-Plugins bietet. Da die Firewall auf .htaccess basiert, wird sie verarbeitet, bevor Skripte ausgeführt werden, was sie sehr zuverlässig macht.

All in One WP Security & Firewall enthält auch eine nette Funktion zum Schutz vor automatisiertem Kommentar-Spam. Alternativ könntest du das Standard-Kommentarsystem von WordPress durch ersetzen Deeper Kommentare für zusätzliche Funktionen und Schutz.

 

Verwenden Sie Cloudflare

Cloudflare wurde bei WordPress-Benutzern wegen seines hervorragenden (und kostenlosen) CDN-Dienstes beliebt, der dabei hilft, Ihre Website zu beschleunigen. Aber Cloudflare bietet auch eine Vielzahl kostenloser Tools an, mit denen Sie Ihre Website gegen Angriffe schützen können.

Wenn Sie Ihre Nameserver auf Cloudflare verweisen, profitieren Sie zum einen von einem der schnellsten und sichersten verfügbaren DNS-Dienste und kostenlosen SSL-Zertifikaten.

Die Server von Cloudflare prüfen den gesamten Datenverkehr auf DDoS-Angriffe, bevor er Ihren Server erreicht, und ihre Firewall ist selbst in der kostenlosen Version (mit einer begrenzten Anzahl von Regeln) hochgradig konfigurierbar, sodass Sie den Datenverkehr nach Land, ASN oder sogar nach Land filtern können URL oder Abfragezeichenfolge.

Wenn Sie sich beispielsweise immer nur von einer einzigen IP-Adresse oder einer kleinen Anzahl fester IP-Adressen auf Ihrer Website anmelden, könnten Sie in Cloudflare eine Regel erstellen, die alle anderen IPs sogar daran hindert, auf wp-admin oder wp-login.php zuzugreifen . Das würde alle Bots blockieren, die versuchen, diese Brute-Force-Angriffe durchzuführen, über die wir in Abschnitt 3 gesprochen haben. Sie können das auch Beschränken Sie den Zugriff auf wp-admin mithilfe Ihrer .htaccess-Datei statt Cloudflare. Sie können beide implementieren, wenn Sie mehrere Schutzebenen wünschen (dringend empfohlen).

 

Verwenden Sie keine Nulled-Designs oder Plugins

Möchten Sie dieses Premium-Thema, aber Sie möchten nicht dafür bezahlen? Nun, wenn Sie es von einer dieser skizzenhaften Websites erhalten, die Null-Designs und Plugins anbieten, können Sie es kostenlos erhalten. Aber es gibt immer noch einen Preis…

Wenn Sie ein auf Null gesetztes Design oder Plugin verwenden, verlieren Sie die Garantie, dass das Produkt mit dem identisch ist, was vom offiziellen Anbieter angeboten wird. Das bedeutet, dass Sie die Integrität des Codes verlieren.

Auf Null gesetzte Themen und Plugins sind eine bedeutende Quelle für Malware, denn manchmal hat derjenige, der das Plugin auf Null gesetzt hat, seine eigene Malware hinzugefügt, um Ihre Website zu übernehmen oder andere böswillige Aktionen durchzuführen, z. B. das Stehlen Ihrer Ressourcen für das Krypto-Mining.

Nulled Themes und Plugins sind die Malware, die Sie bereitwillig auf Ihrer eigenen Website installieren, ohne es überhaupt zu merken. Nur um ein paar Euro zu sparen? Es lohnt sich nicht. Wenn Sie ein Premium-Feature benötigen, dann bezahlen Sie einen seriösen Entwickler dafür.

 

Deaktivieren Sie die Dateibearbeitung

Das WordPress-Admin-Dashboard verfügt über einen sehr praktischen integrierten Editor, mit dem Sie den Inhalt Ihrer Design- und Plugin-Dateien ändern können. Leider macht es dieser Editor Hackern auch bequem, den Code Ihrer Website zu ändern, wenn sie zufällig in Ihr Konto einbrechen.

Die Realität ist, du bist fast hört niemals werde diese Funktion nutzen. Wenn Sie jemals eine Kerndatei bearbeiten, werden Sie dies wahrscheinlich direkt über den Dateimanager Ihres Hosts oder mit einem FTP-Client tun.

Du kannst die Möglichkeit, Dateien vom Admin-Dashboard aus zu bearbeiten, deaktivieren, indem du diese eine Zeile zu deiner wp-config.php-Datei hinzufügst:

define('DISALLOW_FILE_EDIT', true);

Sobald Sie diese Zeile hinzugefügt haben, sind die Bearbeitungsmenüs für Plugin- und Designdateien im WordPress-Admin-Dashboard nicht mehr verfügbar.

 

Verschiebe und benenne deine wp-config.php-Datei um

Während wir über die Datei wp-config.php sprechen, wissen viele Leute bereits, dass Sie die Datei wp-config.php von Ihrer WordPress-Installation ein Verzeichnis nach oben verschieben können und Ihre Website einwandfrei funktioniert. Aber gehen wir noch einen Schritt weiter.

Wussten Sie, dass Sie die Datei wp-config.php tatsächlich umbenennen können, wie Sie wollen, und sie vollständig aus Ihrer WordPress-Installation in einen nicht öffentlichen Ordner verschieben können? Es erfordert etwas mehr Arbeit, aber es lohnt sich.

Während die Datei selbst in der Regel eine leere Seite zurückgibt, wenn sie in einem Webbrowser aufgerufen wird, könnte in seltenen Fällen, wenn der PHP-Handler fehlschlägt, der gesamte Inhalt der Datei als einfacher Text direkt in einem Webbrowser sichtbar sein.

Die Datei wp-config.php enthält vertrauliche Informationen über Ihre Website, einschließlich des Datenbankbenutzernamens und des Passworts. Diese Informationen könnten in den falschen Händen katastrophal sein. Das Umbenennen der Datei in etwas Zufälliges hilft, sie vor Bots und Hackern zu verbergen.

By wp-config.php in einen nicht-öffentlichen Ordner verschieben, eliminieren Sie die Möglichkeit für jemanden, die Informationen während eines PHP-Handler-Fehlers über einen Browser abzurufen.

 

Audit-Aktivität auf Ihrer Website

Wenn Sie nicht verfolgen, was auf Ihrer Website passiert, verpassen Sie möglicherweise wichtige Informationen, die Sie auf versuchte böswillige Aktivitäten aufmerksam machen oder sogar böswillige Aktivitäten entdecken könnten, wenn Ihre Website bereits kompromittiert wurde.

Abgesehen von den Sicherheitsvorteilen kann ein gutes Audit-Plug-in bei einer Website mit mehreren Benutzern auch dazu beitragen, dass Sie legitime Aktivitäten verfolgen können. Als Agentur ist es ein großartiges Werkzeug, um zu wissen, ob Ihr Kunde möglicherweise etwas vermasselt hat, selbst wenn er sagt, dass er es nicht getan hat!

Es gibt mehrere gute Plugins zur Überwachung der Website-Aktivität. Einige der zuvor erwähnten Sicherheits-Plug-ins verfügen über eine gewisse Audit-Protokollierungsfunktion, aber die folgenden bringen sie auf die nächste Stufe, indem sie alle Benutzeraktivitäten und nicht nur sicherheitsrelevante Ereignisse überwachen. Hier sind die Top 3.

 

Einfacher Verlauf – Benutzeraktivitätsprotokoll, Audit-Tool

einfache Geschichte ist das beliebteste Plugin für Auditing und eignet sich hervorragend, um mit dem Testen zu beginnen. Es protokolliert alle Dinge, die Sie erwarten würden, wie z. B. Inhaltsaktualisierungen, Plugin-Installationen und -Aktivierungen und so ziemlich jede andere Art von Benutzeraktivität.

Das Plugin hat eine 5-Sterne-Bewertung und das Entwicklerteam ist ziemlich aktiv in den Support-Foren und beantwortet dort regelmäßig Support-Fragen in einem angemessenen Zeitrahmen.

 

WP-Aktivitätsprotokoll

Das WP-Aktivitätsprotokoll Plugin ist eine weitere großartige Option, die Sie für Ihre Website verwenden können. Es hat einige mehr konfigurierbare Optionen als das vorherige Plugin, wie z. B. die Möglichkeit, die Überwachung bestimmter Ereignisse und eine konfigurierbare Aufbewahrungsfrist für die Protokollierung zu aktivieren und zu deaktivieren. Es hat auch eine Menge Add-Ons, um die Überwachung auf spezielle Plugins wie WooCommerce und WPForms auszudehnen.

Das Plugin hat eine 4.5-Sterne-Bewertung und der leitende Entwickler beantwortet fast jede einzelne Frage des Support-Forums persönlich.

Wenn Sie eine Agentur leiten, lässt sich WP Activity Log gut in das beliebte Verwaltungstool MainWP integrieren, sodass Sie die Audit-Protokolle aller Ihrer Kundenseiten in einer einzigen Oberfläche anzeigen können. Unter Agenturen ist WP Activity Log die erste Wahl für die Audit-Protokollierung.

 

Activity Log

Eine weitere beliebte Option mit einer 4.5-Sterne-Bewertung. Activity Log erfasst alles, was Sie erwarten, und verfügt über eine gute Anzahl aktiver Installationen.

Leider antwortet der Entwickler nicht oft auf Supportanfragen in den Foren, da die meisten Supportfragen auf unbestimmte Zeit unbeantwortet bleiben.

 

Nutzen Sie das Prinzip der geringsten Berechtigung

In der Welt der Cybersicherheit ist das Prinzip der geringsten Rechte ein Konzept, bei dem ein Benutzer nur die Berechtigungen hat, die er für seine Arbeit benötigt.

In der Welt von WordPress ist es nicht ungewöhnlich, ein Unternehmen mit 10 Benutzern zu sehen, die alle auf Administrator eingestellt sind. Es mag legitime Gründe für diese Zugriffsebene geben, aber es kommt selten vor, dass mehr als 1 oder 2 Konten mit einer so hohen Berechtigungsebene erforderlich sind.

Eine Sache, die Sie nicht kontrollieren können, ist, was Ihre Benutzer tun, wenn sie nicht aktiv an Ihrer WordPress-Website arbeiten. Das heißt, wenn sie es nicht tun eigene Daten vor Hackern schützen, besteht eine gute Chance, dass Schlampereien auf Ihre Website übergreifen.

Indem Sie ihren Zugriff einschränken, können Sie Schäden mindern, die ein Benutzer unbeabsichtigt anrichten könnte, wie z. B. das Klicken auf einen schädlichen Link, während er noch auf Ihrer Website angemeldet ist. Auch wenn Sie der Site-Administrator sind, sollten Sie ein separates Editor-Konto mit eingeschränkten Berechtigungen verwenden, wenn Sie keine allgemeinen Verwaltungsaufgaben ausführen.

Ist es mühsam, dies zu tun? Sicher. Aber es ist weitaus weniger mühsam, als eine infizierte Website bereinigen zu müssen.

 

Bonus: Machen Sie häufig Backups

Im schlimmsten Fall, wenn Ihre Website kompromittiert wurde, besteht manchmal die einzige Möglichkeit darin, sie aus einem sauberen Backup wiederherzustellen. eine, die vor der Infektion genommen wurde. Die meisten anständigen Webhosting-Unternehmen sichern Ihre Website einmal täglich, bewahren diese Sicherungen jedoch normalerweise nur für ein paar Wochen auf.

Dies ist problematisch, wenn Sie eine Infektion haben, die eine Weile unbemerkt geblieben ist. Viele Infektionen verstecken sich effektiv vor eingeloggten Administratoren, um möglichst lange einer Entdeckung zu entgehen.

Da Sie jetzt wissen, dass die Sicherheit in Schichten am besten ist, können Sie dasselbe Konzept auf Ihre Backups anwenden, indem Sie zusätzlich zu Ihrem Webhost Ihre eigenen Backups erstellen.

Es gibt einige großartige kostenlose Backup-Plugins, einschließlich UpdraftPlus, BackWPup und All-in-One-WP-Migration. Jeder hat seine eigenen Stärken und Schwächen, aber sie sind alle sehr zuverlässig und ermöglichen es Ihnen, Ihre Website regelmäßiger zu sichern. In einigen Fällen können Sie sogar automatisch auf Remote-Cloud-Speicher wie Dropbox oder OneDrive sichern.

 

Abschließende Überlegungen

WordPress-Sicherheit ist ein wichtiger Bestandteil des Besitzes einer Website. Es kann auch ein zeitaufwändiger und ressourcenintensiver Prozess sein, wenn es falsch oder vernachlässigt wird. Indem Sie die Schlüssel in diesem Beitrag implementieren, können Sie die meisten Ihrer Sicherheitsanforderungen auf automatisch stellen, sodass Sie sich auf das Wesentliche konzentrieren können: Ihr Unternehmen.