12 wichtige Möglichkeiten zur Erhöhung der WordPress-Sicherheit

WordPress ist einer der beliebtesten Website-Builder der Welt. Es wird von Millionen von Menschen verwendet, darunter einige der größten Marken und Organisationen der Welt.

Große Verantwortung geht jedoch mit großer Macht einher, zu der auch gehört, sicherzustellen, dass Ihre WordPress-Site so sicher wie möglich ist. Mehrere hochkarätige WordPress-Sites wurden in den letzten Jahren gehackt, daher ist es wichtig, Maßnahmen zum Schutz Ihrer Site zu ergreifen.

Eine Studie von Sucuri ergab, dass 43 % der WordPress-Seiten anfällig für Angriffe sind.

Hier sind einige Möglichkeiten, die WordPress-Sicherheit zu erhöhen.

Halten Sie WordPress auf dem neuesten Stand

Eines der wichtigsten Dinge, die Sie tun können, um die WordPress-Sicherheit zu erhöhen, ist, Ihre WordPress-Site auf dem neuesten Stand zu halten.

Das bedeutet, WordPress selbst sowie alle von Ihnen installierten Designs und Plugins zu aktualisieren. Neue Versionen von WordPress werden regelmäßig veröffentlicht, und jede neue Version enthält Sicherheitskorrekturen für entdeckte Schwachstellen.

Um WordPress zu aktualisieren, gehen Sie zur Seite Dashboard > Updates und klicken Sie auf die Schaltfläche „Jetzt aktualisieren“.

Es ist auch wichtig, deine Themes und Plugins zu aktualisieren. Die meisten Theme- und Plugin-Entwickler veröffentlichen regelmäßig Updates, um Sicherheitslücken zu schließen.

Sie können Ihre Designs und Plugins auf der Seite Dashboard > Updates aktualisieren oder das Plugin WP Updates Notifier installieren, das Sie per E-Mail benachrichtigt, wenn Updates verfügbar sind.

Blenden Sie die WordPress-Versionsnummer aus

Da WordPress immer beliebter wurde, haben Hacker es zunehmend ins Visier genommen.

Sie suchen unter anderem nach der WordPress-Versionsnummer, die im Quellcode jeder WordPress-Seite angezeigt wird. Hacker können auf bestimmte Schwachstellen zielen, indem sie wissen, welche Version von WordPress Sie ausführen. Darüber hinaus funktionieren einige WordPress-Sicherheits-Plugins nur mit bestimmten Versionen von WordPress.

Daher ist es wichtig, Ihre WordPress-Versionsnummer zu verbergen. Die meisten WordPress-Themes haben dazu eine Option, oder Sie können ein Plugin wie das WP-Hardening-Plugin installieren.

Sie können es auch manuell ausblenden, indem Sie diesen Code in Ihre Datei functions.php einfügen:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Verwenden Sie ein sicheres Passwort

Eine weitere wichtige Möglichkeit, die Sicherheit von WordPress zu erhöhen, ist die Verwendung eines starken Passworts.

Ein starkes Passwort sollte mindestens acht Zeichen lang sein und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthalten. Die Verwendung eines anderen Passworts für jede von Ihnen besuchte Website ist ebenfalls unerlässlich. Auf diese Weise sind Ihre anderen Konten sicher, wenn eine Website gehackt wird. Sie können einen Passwort-Manager wie LastPass oder KeePass verwenden, der Ihnen hilft, starke Passwörter zu generieren und sich daran zu erinnern.

Eine Forschungsstudie von Imperva ergab, dass die Verwendung eines starken Passworts der effektivste Weg ist, um Brute-Force-Angriffe, einen häufigen WordPress-Hack, zu verhindern.

Verwenden Sie eine Passwort-Generator-Website, um ein sehr sicheres Passwort zu generieren. Hier sind einige der besten Passwortgeneratoren:

• Letzter Pass
• Norton
• 1Passwort

Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (auch bekannt als zweistufige Verifizierung) ist eine zusätzliche Sicherheitsebene, die zum Schutz Ihrer WordPress-Site beitragen kann.

Bei der Zwei-Faktor-Authentifizierung müssen Sie Ihr Passwort und einen zweiten Code eingeben, der normalerweise von einer App auf Ihrem Smartphone generiert wird. Selbst wenn es jemandem gelingt, Ihr Passwort zu erraten, kann er sich auf diese Weise nicht anmelden, es sei denn, er hat auch Ihr Smartphone.

WordPress enthält standardmäßig keine Zwei-Faktor-Authentifizierung, aber Sie können ein Plugin wie Google Authenticator oder Duo Security installieren.

Denken Sie jedoch daran, dass die Zwei-Faktor-Authentifizierung nicht funktioniert, wenn Sie Ihr Smartphone verlieren. Daher ist es wichtig, eine Sicherungsmethode zu haben, z. B. eine alternative E-Mail-Adresse oder Telefonnummer.

Anmeldeversuche begrenzen

Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, Anmeldeversuche zu begrenzen.

Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl von Anmeldeversuchen, was Hackern reichlich Gelegenheit gibt, Ihr Passwort zu erraten. Indem Sie Anmeldeversuche einschränken, können Sie dazu beitragen, Brute-Force-Angriffe zu verhindern. Einige Plugins ermöglichen Ihnen dies, z. B. Limit Login Attempts und Login Lockdown.

Untersuchungen von Wordfence zeigen, dass die Begrenzung von Anmeldeversuchen 99,99 % der Brute-Force-Angriffe blockieren kann.

Wählen Sie außerdem ein Plugin, das legitime Benutzer wie Sie selbst nicht sperrt, wenn Sie Ihr Passwort vergessen.

Verwenden Sie SSL

SSL (Secure Sockets Layer) ist ein Protokoll, das Daten verschlüsselt, die zwischen einer Website und dem Webbrowser eines Benutzers übertragen werden. Das bedeutet, wenn jemand versucht, die Daten abzufangen, kann er sie nicht lesen. In der Vergangenheit verwendeten E-Commerce-Websites hauptsächlich SSL, um Kreditkarteninformationen zu schützen.

Heutzutage verwenden jedoch immer mehr WordPress-Sites SSL, um vertrauliche Daten wie Anmeldeinformationen und Übermittlungen von Kontaktformularen zu schützen. Du kannst SSL auf verschiedene Arten zu deiner WordPress-Seite hinzufügen. Beispielsweise bieten einige Webhosting-Unternehmen kostenlose SSL-Zertifikate an, oder Sie können ein Zertifikat von einem Unternehmen wie Symantec oder Comodo erwerben. Sobald Sie ein SSL-Zertifikat haben, müssen Sie das WordPress-SSL-Plugin installieren und aktivieren.

Beschränken Sie den Zugriff auf Ihr Plugin-Verzeichnis

Das WordPress-Plugins-Verzeichnis ist ein Ordner auf Ihrem Server, der alle Plugins enthält, die Sie auf Ihrer Website installiert haben.

Standardmäßig kann jeder auf diesen Ordner zugreifen und sehen, welche Plugins er verwendet. Und wenn ein Hacker weiß, welche Plugins Sie verwenden, kann er auf alle Schwachstellen in diesen Plugins abzielen. Daher ist es wichtig, den Zugriff auf das Verzeichnis Ihres Plugins einzuschränken. Sie können dies tun, indem Sie Ihrer .htaccess-Datei eine einfache Codezeile hinzufügen.

Wenn Sie Dateien auf Ihrem Server nicht bearbeiten möchten, können Sie ein Plugin wie iThemes Security installieren, das den Code für Sie hinzufügt. Wenn Sie Ihre .htaccess-Datei bearbeiten, stellen Sie sicher, dass Sie eine Sicherungskopie erstellen, bevor Sie Änderungen vornehmen.

Ändern Sie den Admin-Benutzernamen

Wenn Sie WordPress installieren, ist der Standard-Admin-Benutzername „admin“. Das ist nicht sehr sicher, weil es für Hacker leicht zu erraten ist.

Eines der ersten Dinge, die Sie nach der Installation von WordPress tun sollten, ist also, den Admin-Benutzernamen zu ändern. Sie können einen neuen Benutzer mit Administratorrechten erstellen und dann den alten „admin“-Benutzer löschen. Oder Sie können ein Plugin wie WP Security Scan installieren, das Ihre Website auf unsichere Einstellungen scannt, einschließlich des standardmäßigen Admin-Benutzernamens.

Nachdem Sie den Admin-Benutzernamen geändert haben, melden Sie sich von Ihrem WordPress-Konto ab und mit dem neuen Benutzernamen wieder an. Viele Leute vergessen dies und fragen sich, warum sie nicht auf ihre WordPress-Site zugreifen können.

Verwenden Sie CAPTCHA oder reCAPTCHA auf Ihrem Anmeldebildschirm

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein Challenge-Response-Test, der verwendet wird, um sicherzustellen, dass nur Menschen auf eine Website zugreifen oder bestimmte Aktionen ausführen können. reCAPTCHA ist eine Version von CAPTCHA, die Google gehört. Es ist sicherer als herkömmliches CAPTCHA, da es fortschrittliche Risikoanalysetechniken verwendet, um zu verhindern, dass automatisierte Software missbräuchliche Aktivitäten auf Ihrer Website ausführt. Um CAPTCHA oder reCAPTCHA zu Ihrem WordPress-Anmeldebildschirm hinzuzufügen, können Sie ein Plugin wie WP-reCAPTCHA installieren.

Sobald das Plugin installiert und aktiviert ist, müssen Sie sich für ein kostenloses Konto bei reCAPTCHA anmelden. Sie erhalten dann einen Site Key und einen Secret Key, die Sie in den Plugin-Einstellungen eingeben müssen.

Inaktive Benutzer automatisch abmelden

Wenn Sie bei Ihrer WordPress-Site angemeldet sind, können Sie unbegrenzt angemeldet bleiben, auch wenn Sie das Browserfenster schließen oder sich von Ihrem Computer entfernen. Das ist nicht sehr sicher, weil es bedeutet, dass jeder mit Zugriff auf Ihren Computer auch auf Ihre WordPress-Site zugreifen kann.

Sie können ein Plugin wie Idle User Logout installieren, um dieses Problem zu lösen. Dieses Plugin loggt automatisch inaktive Benutzer für einen bestimmten Zeitraum aus.

Sie können es beispielsweise so einstellen, dass Benutzer abgemeldet werden, die 15 Minuten lang nicht aktiv waren. Auf diese Weise kann jemand, selbst wenn er Zugriff auf Ihren Computer hat, nicht bei Ihrer WordPress-Site angemeldet bleiben. Ein Plugin ist unerlässlich, wenn Sie einen gemeinsam genutzten Computer haben oder öffentliches WLAN verwenden.

Verwenden Sie SFTP, um sich mit Ihrem Server zu verbinden

Wenn Sie sich mit Ihrer WordPress-Site verbinden, verbinden Sie sich mit Ihrem Server.

Standardmäßig verbinden sich die meisten Benutzer über FTP (File Transfer Protocol) mit ihrem Server. Aber FTP ist ein unsicheres Protokoll, weil es Ihre Daten nicht verschlüsselt. Das bedeutet, dass jeder, der die Verbindung überwacht, Ihren Benutzernamen und Ihr Passwort sehen kann.

Daher ist die Verwendung von SFTP (Secure File Transfer Protocol) unerlässlich. SFTP ist ein sicheres Protokoll, das Ihre Daten verschlüsselt, sodass es für jemanden viel schwieriger ist, Ihre Verbindung abzufangen und Ihre Anmeldeinformationen zu stehlen. Um SFTP zu verwenden, müssen Sie ein SSH-Schlüsselpaar generieren und den öffentlichen Schlüssel zu Ihrem Server hinzufügen. Die meisten Hosting-Anbieter haben Anweisungen dazu.

Auf Malware überwachen

Malware ist bösartige Software, die deine WordPress-Seite infizieren und viele Probleme verursachen kann.

Beispielsweise kann Malware Ihre Besucher auf andere Websites umleiten oder ohne Ihre Erlaubnis Werbung auf Ihrer Website anzeigen. Malware kann auch vertrauliche Informationen wie Passwörter und Kreditkartennummern stehlen. Daher ist es wichtig, dass Sie Ihre WordPress-Site regelmäßig auf Malware scannen und alle gefundenen entfernen. Es gibt verschiedene Möglichkeiten, dies zu tun. Sie können beispielsweise ein Plugin wie Wordfence Security verwenden, das Ihre Website auf Malware scannt und alle gefundenen automatisch entfernt.

Alternativ können Sie einen Dienst wie Sucuri SiteCheck verwenden, der Ihre Website scannt und Ihnen dann einen Bericht über jede gefundene Malware liefert.

Fazit

Dies sind nur einige der vielen Möglichkeiten, wie Sie die Sicherheit von WordPress erhöhen können. Indem Sie diese Maßnahmen ergreifen, können Sie dazu beitragen, Ihre WordPress-Site vor Hackern und anderen böswilligen Benutzern zu schützen. Viele dieser Tipps sind einfach umzusetzen, es gibt also keine Entschuldigung, nicht aktiv zu werden. Denken Sie daran, dass Ihre WordPress-Site nur so sicher ist, wie Sie sie erstellen. Warten Sie also bitte nicht, bis es zu spät ist, um über Sicherheit nachzudenken. Handeln Sie jetzt und tragen Sie dazu bei, Ihre WordPress-Site sicher zu halten.