6 Gründe, warum Ihre WordPress-Website für Hacker anfällig sein kann

Veröffentlicht: 2019-04-26

Angesichts der brillanten Funktionen und Anpassungsoptionen, die WordPress bietet, ist es keine Überraschung, dass fast 33 % der Websites WordPress CMS verwenden. Potenzielle Sicherheitsprobleme sind jedoch etwas, das auf Website-Besitzer zurückfallen kann.

Tatsächlich verwendeten 74 % der 8.000 gehackten Websites, die in einer kürzlich durchgeführten Studie analysiert wurden, WordPress.

Wenn Sie eine WordPress-Website verwenden, ist es wichtig sicherzustellen, dass Ihre Sicherheit richtig eingerichtet ist, um das Risiko zu minimieren.

Was ist also die beste Vorgehensweise?

Die folgenden Sicherheitsprobleme gehören zu den wichtigsten und könnten Ihre WordPress-Site anfällig für Hacker machen. Es ist wichtig, dass Sie diese Probleme identifizieren und beheben; sofort.

1. Ungesicherter Hosting-Service

Eine der wichtigsten Ressourcen für die Erstellung einer Website ist das Webhosting.

Von der Leistung Ihrer Website bis hin zu ihrer Sicherheit kann Ihr Hosting-Service alles beeinflussen. Daher ist es entscheidend, dass Sie einen Hosting-Anbieter wählen, der angemessene Sicherheit bietet.

Bei der Betrachtung und Analyse Ihrer Hosting-Optionen sollten Ihnen die folgenden Tipps helfen.

    • Gehen Sie alle Sicherheitsfunktionen durch, die es bietet.
    • Verstehen Sie, dass teuer nicht immer besser bedeutet, wenn es um Hosting geht.
    • Bei einigen Anbietern kosten ihre Einstiegspläne genauso viel wie die High-End-Pläne anderer Hosting-Anbieter. Dies bedeutet nicht immer, dass sie verglichen werden können.
    • Kennen Sie den Unterschied zwischen den beiden beliebtesten Arten von Hosting-Diensten.

       Shared Hosting:
       Ein gemeinsam genutzter Hosting-Dienst bietet grundlegende Sicherheitsscans, die WordPress-Malware erkennen können.
       Es ermöglicht Ihnen auch, Besucher zu verfolgen, die auf Ihre Website kommen. Dies kann Ihnen helfen, schädliche Besucher zu identifizieren und ihre IP-Adressen zu blockieren.
       Das wichtigste Highlight eines Shared-Hosting-Dienstes ist seine Fähigkeit, mehr als eine Website zu hosten, was ihn auch viel billiger macht als andere Hosting-Typen.

       Verwaltetes Hosting:
       Dies ist der Hosting-Service, der eine Firewall für die Sicherheit zusammen mit einem routinemäßigen Malware-Scan bereitstellt.
       Einige Anbieter bieten „Managed Hosting Services“ an, die den Zugriff auf WordPress-Dateien und -Ordner einschränken, um sie zu schützen.
       Zum Beispiel verhindert WP-Engine Änderungen in allen PHP-Dateien, während Pantheon nicht erlaubt, in Ordner zu schreiben, mit Ausnahme desjenigen, der Themen- und Plugin-Daten enthält.
  • Kundensupport testen:
     Der Kundensupport ist ein weiterer Faktor, den Sie beim Vergleich von Hosting-Anbietern berücksichtigen müssen.

     Ob es sich um ein triviales Problem oder einen kompletten Zusammenbruch handelt; Wenn es um den Hosting-Service geht, sollte der Anbieter einen umfassenden Kundensupport anbieten.

     Um herauszufinden, wie qualifiziert das Supportsystem eines Anbieters ist, rufen Sie einfach seine Kontaktdaten ab und wenden Sie sich an ihn. Stellen Sie ihnen alle Ihre Fragen und sehen Sie, wie geduldig und kooperativ sie sind, wenn sie Ihre Bedenken ansprechen.

     Basierend auf dieser Erfahrung erhalten Sie eine Vorstellung davon, wie sie im Falle einer Sicherheitsverletzung reagieren werden. Dies sollte Ihnen bei der Entscheidung helfen, ob Sie bei ihnen kaufen möchten oder nicht.

Wenn Sie bereits ein Hosting-Paket vom falschen Anbieter erworben haben, machen Sie sich keine Sorgen. Sie müssen nicht warten, bis Ihr Plan abgelaufen ist. Dienste wie BlogVault und Migrate Guru können Ihnen dabei helfen, problemlos zu verschiedenen Hosting-Anbietern zu migrieren.

2. Systemaktualisierungen

Wie jedes andere CMS muss auch WordPress regelmäßig aktualisiert werden. Wenn Sie dies ignorieren, könnte Ihre WordPress-Site zu einem potenziellen Sicherheitsrisiko werden.

Tatsächlich liefen auf 80 % der gehackten WordPress-Websites veraltete Themes und/oder Plugins. Augenöffnend, oder?

Da es sich um ein Open-Source-CMS mit Tausenden von Entwicklern handelt, die an verschiedenen Themen und Plugins arbeiten, erhält Ihr WordPress-Dashboard möglicherweise viele Updates, basierend auf den von Ihnen verwendeten Plugins und Themen.

Sie müssen sicherstellen, dass alle Kerndesigns und Plugins auf die neueste Version aktualisiert werden.

 Schritte zum Aktualisieren eines Plugins:

  • Öffnen Sie Ihr WordPress-Dashboard und gehen Sie zu Plugins > Installierte Plugins
  • Das Dashboard führt Sie zu der Seite, auf der die von Ihnen installierten Plugins angezeigt werden.

     Identifizieren Sie die ausstehenden und zu aktualisierenden Plugins und klicken Sie auf „Jetzt aktualisieren“.

In ähnlicher Weise können Sie Designs auf Ihrer Website auf die gleiche Weise aktualisieren, indem Sie zu Darstellung > Designs gehen.

Dadurch werden auch die neuesten Funktionen freigeschaltet, die dem Thema/Plugin/System hinzugefügt wurden. Dies trägt gleichzeitig zur Aufrechterhaltung der Sicherheit und Stabilität Ihrer Website bei.

3. Raubkopien von Themes oder Plugins

Während das Einrichten einer WordPress-Website kein Loch in Ihre Tasche brennt, könnte es Sie zwischen 10 und 200 US-Dollar kosten, wenn Sie sie ästhetisch ansprechend und reich an Funktionen gestalten, da ein gutes WordPress-Theme / Plugin Sie irgendwo kosten kann.

Um diesen „vermeintlich“ ungebetenen Kosten zu entgehen, gehen Webmaster oft den günstigeren Weg und verwenden genullte/raubkopierte Plugins/Themes, die kostenlos oder zu vernachlässigbaren Preisen erhältlich sind.

Was sind die Ergebnisse davon?

Es gab eine Reihe von Fällen, in denen eine Website, die ein auf Null gesetztes Thema verwendet, den Hackern unabsichtlich über die URL: http://www.example.xyz?backdoor=go Backdoor-Zugriff gewährt hat

 Die Hacker konnten auf die Website zugreifen, da die URL eine Hintertür zur Website auslöste, und erstellten ein neues WordPress-Administratorkonto mit den folgenden Anmeldeinformationen:

 Benutzername: backdooradmin
 Passwort: Pa55W0rd

Dies ist im Allgemeinen das Ergebnis eines zusätzlichen Shortcodes, der vom eigentlichen Theme-Eigentümer zur Datei functions.php hinzugefügt wurde.

Um Ihre Website vor solchen Risiken zu schützen. Erwerben Sie Themes und Plugins immer aus dem offiziellen WordPress-Repository oder anderen vertrauenswürdigen Quellen wie Theme Forest oder Themeisle.

4. Dummy-Anmeldedaten

Standard-Anmeldeseite:
 Die Verwendung der gleichen alten Benutzernamen und leicht zu erratenden Passwörter macht das Leben für Hacker, die versuchen, in das Back-End Ihrer Website einzudringen, so viel einfacher.

Wie repariert man?

  • Problem mit Benutzername und Passwort:
     Versuchen Sie, einen Benutzernamen und ein Passwort zu erstellen, die Sie noch nicht für ein anderes Konto verwendet haben.

     Bitte beachten Sie, dass es wichtig ist, einen eindeutigen Benutzernamen zu haben. Wenn der Benutzername leicht zu erraten ist, muss ein Hacker nur Ihr Passwort herausfinden.

     Stellen Sie sicher, dass Ihr Benutzername niemals auf Ihrer Website angezeigt wird. Dies wäre so, als würde man Hackern eine persönliche Einladung geben, sich an Ihrem WordPress-Dashboard zu erfreuen. Verwenden Sie stattdessen einen Spitznamen oder einen Titel, der sich vom Benutzernamen unterscheidet. Problem mit der Standard-URL der Anmeldeseite: www.yoursite.com/wp-admin

     Dies ist die müheloseste und häufigste Wahl einer WordPress-Anmeldeseiten-URL, die Ihre Website anfällig für Hacker macht.

     Die meisten Hacker greifen nicht manuell an. Sie programmieren Bots, um auf Anmeldeseiten zuzugreifen und die Anmeldeinformationen von Zielseiten zu knacken.

     Die Verwendung der Standard-URL der Anmeldeseite reduziert die Arbeit für Bots und Hacker, die versuchen, auf Ihre Website zuzugreifen.

     Der beste Ausweg ist das Ändern der Standard-Anmelde-URL.

     Ändern Sie beispielsweise – www.yoursite.com/wp-admin in www.yoursite.com/welcometomysite

     Befolgen Sie dazu diese einfachen Schritte.

     Erstellen Sie zunächst mit UpdraftPlus ein vollständiges Backup Ihrer WordPress -Site.

    – Installieren und aktivieren Sie dann das Plugin „Easy Hide Login“ (es ist kostenlos).
    – Gehen Sie zu den Einstellungen des Plugins und senden Sie den Login-Slug Ihrer Wahl (z. B. „welcometomysite“).

     – Dadurch wird Ihre WordPress-Anmeldeadresse von yoursite.com/wp-admi n zu yoursite.com/welcometomysite geändert und es wird für Leute viel schwieriger, Ihre Website zu hacken.


 5. Beschreibbare PHP-Dateien

Wie jedes andere Computerprogramm innerhalb oder außerhalb des Webs besteht auch eine WordPress-Website aus Dateien und Ordnern.

Einer dieser Ordner ist der Ordner „Uploads“. In diesem Ordner werden alle Themen- und Plug-in-Daten für Ihre Website gespeichert.

Potenzielle Hacker können einen Weg finden, einen PHP-Code in diesen Ordner hochzuladen, um Zugriff auf Ihre Website zu erhalten.

Sobald Hacker über diese Methode Zugriff haben, können sie Inhalte stehlen, die Sie in Zukunft veröffentlichen wollten, zusammen mit anderen wichtigen Ressourcen wie E-Mail-Adressen aus Ihrer Mailingliste. Sie können auch Backlinks von Ihrer Website verkaufen oder Ihre Inhalte verwenden, um ohne Ihr Wissen Links zu ihren Websites zu erstellen. Oder am schlimmsten, sie können die gesamte Website zerstören und herunterfahren.

Das Schlimmste an dieser Art von Hack ist, dass Sie nichts davon wissen, bis Ihr Hosting-Provider oder eine Suchmaschine Ihre Website gesperrt hat.

Um sich dies zu ersparen, können Sie die PHP-Ausführung über die folgenden Schritte deaktivieren.

  • Erstellen Sie eine .htaccess-Datei im Ordner „Uploads“ im Stammverzeichnis Ihrer Website in cPanel.

  • Erstellen Sie eine neue Datei mit Notepad (unter Windows) oder TextEdit (auf Mac).
  • Fügen Sie den folgenden Code in diese Datei ein und speichern Sie ihn als .htaccess (nicht als .htaccess.txt).

     # STARTE WordPress

     RewriteEngine ein
     RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     RewriteRule . /index.php [L]
     # WordPress BEENDEN
  • Laden Sie diese Datei in den Ordner „Uploads“ hoch.
  • Jetzt haben Sie eine neue .htaccess-Datei speziell für Ihren Ordner „Uploads“. Klicken Sie mit der rechten Maustaste, um es zu bearbeiten, und fügen Sie den folgenden Code ein.


     Auftrag zulassen, verweigern
     Abgelehnt von allen

Nachdem Sie die oben genannten Schritte durchgeführt haben, verhindert Ihre Website die Ausführung von Fremddateien, die aus „PHP“ bestehen. Diese Änderung fügt der Sicherheitswand Ihrer Website einen weiteren Baustein hinzu.

Beachten Sie auch, dass die Verwendung dieser Methode etwas riskant ist. Selbst ein trivialer Fehler kann Ihrer Website schaden. Wenn Sie sich also bei der Verwendung von cPanel nicht sicher sind, wenden Sie sich an jemanden, der es ist.

6. Fehlendes SSL-Zertifikat

Während http://yoursite.com und https://yoursite.com beide dieselbe Webseite laden, gibt es einen kleinen Unterschied, der den Deal brechen kann.

Das SSL-Zertifikat.

Die erste URL im obigen Beispiel verwendet kein SSL-Zertifikat, während dies beim zweiten Beispiel der Fall ist.

 Dies kann die Sicherheit einer Website stark beeinträchtigen, indem die Kommunikation zwischen dem Gerät des Besuchers und Ihren Webservern gefährdet wird.

Ein SSL-Zertifikat verschlüsselt die Informationen, sodass nur die beabsichtigten Empfänger darauf zugreifen können. Um Ihre Website vor solchen Leaks zu schützen, empfiehlt es sich, so früh wie möglich ein SSL-Zertifikat zu installieren.

 Die Installation eines SSL-Zertifikats ist normalerweise einfach und unkompliziert. Normalerweise können Sie ein SSL-Zertifikat von Ihrem Hosting-Anbieter kaufen, aber wenn dieser keinen SSL-Dienst verkauft, sollten Sie den Kauf bei einem anderen Anbieter in Erwägung ziehen.

Wenn Sie ein SSL-Zertifikat von Ihrem Hosting-Provider erhalten, sparen Sie sich auch die Mühe der Installation. Sie werden alles einrichten und Sie müssen nur Ihre „http“-Seiten auf „https“ umleiten.

Zusammenfassend

Wenn Sie Ihre WordPress-Site nicht vor Sicherheitsbedrohungen schützen, kann dies Ihrem Unternehmen auf verschiedene Weise schaden. Es ist keine Überraschung, dass alle Webmaster auf die Website-Sicherheit achten und über ein angemessenes Backup-Plugin und -System verfügen müssen. Sollte trotz aller Bemühungen das Schlimmste passieren und Ihre Website einen böswilligen Angriff erleiden; UpdraftPlus kann eine sichere Sicherungs- und Wiederherstellungsoption bieten. Dadurch wird sichergestellt, dass Ihre Website auch im Falle eines Hacks immer über alle wichtigen Sicherheitsnetze verfügt.

In diesem Beitrag haben Sie über 6 Schlupflöcher gelesen, die möglicherweise die Sicherheit Ihrer WordPress-Website durch Hacker gefährden könnten. Hoffentlich hat Ihnen dieser Artikel dabei geholfen, Ihre Website zu sichern und ihre Sicherheit auf die nächste Stufe zu heben.

Von Vaibhav Kakkar

Der Beitrag 6 Gründe, warum Ihre WordPress-Website für Hacker anfällig sein kann, erschien zuerst auf UpdraftPlus. UpdraftPlus – Sicherungs-, Wiederherstellungs- und Migrations-Plugin für WordPress.