3 Möglichkeiten, Ihre WordPress-Website vor Angriffen zu schützen

Heutzutage muss jede Website Sicherheit ernst nehmen. Dies gilt insbesondere, wenn ein Content Management System (CMS) wie WordPress verwendet wird. Diese Art von Plattform speichert normalerweise viele sensible Informationen, was sie zu einem Ziel macht. Wenn jemand in Ihre Website eindringt, müssen Sie wertvolle Zeit damit verbringen, herauszufinden, wie sie eingedrungen ist, und den Schaden zu beheben.

Die gute Nachricht ist, dass WordPress sehr flexibel ist, wenn es darum geht, die Sicherheitsmaßnahmen Ihrer Website zu erhöhen. Beispielsweise gibt es mehrere Möglichkeiten, wie Sie Ihre Anmeldeseite vor Angriffen schützen und sie vor Personen verbergen können, die Sie nicht kennen. Mit ein paar Anpassungen hier und da kann Ihre Website schnell zu einer Festung werden.

In diesem Artikel werden wir die Bedeutung der WordPress-Sicherheit besprechen. Anschließend stellen wir Ihnen drei Methoden vor, mit denen Sie Ihre Website sicherer machen können. Lasst uns anfangen!

Warum WordPress-Sicherheit wichtig ist

Nur um es klarzustellen, WordPress ist bereits eine sehr sichere Plattform, die sofort einsatzbereit ist. Es ist jedoch auch eine riesige Software mit Millionen von Benutzern und Tausenden von Plugin- und Themenoptionen. Bei so viel los ist es nur natürlich, dass sich einige Benutzer mit Sicherheitsproblemen auseinandersetzen müssen. In den meisten Fällen können Sie diese Probleme auf leicht zu knackende Anmeldeinformationen, ein Versäumnis bei der konsistenten Aktualisierung und andere Benutzerfehler zurückführen.

Auf der anderen Seite sind Sie viel sicherer, wenn Sie die Art von Person sind, die mit der neuesten Version von WordPress auf dem Laufenden bleibt und alle von Ihnen verwendeten Plugins und Themen überwacht. Mit der Sicherheit Ihrer Website Schritt zu halten, mag sich nach viel Arbeit anhören, aber Vorsicht ist die beste Vorgehensweise. Hier ist der Grund:

• WordPress ist ein Ziel für Angriffe. Die Popularität des Content Management Systems (CMS) macht es zu einem Favoriten von Online-Angreifern. Schließlich kann das Auffinden einer Schwachstelle in einem einzelnen Plugin oder Design ihnen helfen, Zugriff auf Tausende von Websites zu erhalten.
• Sie müssen vertrauliche Benutzerinformationen schützen. Auch wenn Sie über Ihre Website keine Kreditkartennummern verarbeiten, heißt das nicht, dass Sie die Privatsphäre Ihrer Benutzer nicht schützen sollten.
• Hijacker könnten Malware über Ihre Website verbreiten. Heutzutage ist es eine gängige Praxis für Angreifer, gehackte Websites zu verwenden, um ihren Besuchern Malware bereitzustellen. Unnötig zu sagen, dass Sie nicht möchten, dass die Geräte Ihrer Benutzer aufgrund laxer Sicherheitspraktiken auf Ihrer Seite infiziert werden.

Glücklicherweise gibt es eine Menge, was Sie tun können, um Ihre WordPress-Website präventiv zu schützen. Beispielsweise ist die Verwendung eines gut codierten Themas, das ständig aktualisiert wird, immer eine gute Idee. Unser eigenes Uncode-Theme verfügt beispielsweise über hervorragende Bewertungen und Sicherheitsfunktionen, und wir sind immer für Sie da, um Ihre Fragen zum weiteren Schutz Ihrer Website zu beantworten. Nachdem Sie Ihr Thema aussortiert haben, gibt es ein paar andere einfache Maßnahmen, die Sie ergreifen können.

3 Möglichkeiten, Ihre WordPress-Website vor Angriffen zu schützen

In diesem Abschnitt zeigen wir Ihnen drei Möglichkeiten, Ihre WordPress-Website sowohl mit als auch ohne Plugins vor Angriffen zu schützen. Da Sie einige ziemlich bedeutende Änderungen an der Funktionalität Ihrer Website vornehmen werden, sollten Sie ein Backup erstellen, bevor Sie beginnen. Auf diese Weise können Sie Ihre Website in wenigen Minuten wiederherstellen und es erneut versuchen, wenn etwas schief geht (was nicht passieren sollte!).

1. Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA)

In der Regel reichen für die Anmeldung bei einer Website lediglich Ihr Benutzername und Ihr Passwort aus. Einige Websites gehen jedoch noch einen Schritt weiter und bitten Sie, einen einmaligen Code einzugeben, der an Ihre E-Mail oder Ihr Smartphone gesendet wird. Dies wird als Zwei-Faktor-Authentifizierung (2FA) bezeichnet. Selbst wenn jemand Ihre Zugangsdaten erhält, kann er mit dieser Methode nicht auf Ihr Konto zugreifen.

WordPress unterstützt 2FA nicht standardmäßig. Sie können es jedoch mit den richtigen Tools implementieren. Es gibt viele hervorragende 2FA-Plugins, aber wir sind wegen all der Funktionen, die es bietet, an der miniOrange Two Factor Authentication interessiert:

Um mit dieser Technik zu beginnen, müssen Sie zuerst das Plugin installieren und aktivieren. Dann können Sie von Ihrem Dashboard aus auf eine neue miniOrange 2-Factor- Registerkarte zugreifen. Wenn Sie zum ersten Mal darauf klicken, müssen Sie einige Felder ausfüllen, um ein miniOrange-Konto zu registrieren:

Anschließend erhalten Sie per E-Mail oder SMS einen einmaligen Code, mit dem Sie das Plugin aktivieren können.

Wenn dies erledigt ist, können Sie zur Registerkarte Setup Two-Factor oben auf dem Bildschirm springen und auswählen, welche Arten von 2FA Ihre Besucher verwenden können. Um Benutzern die meisten Optionen bereitzustellen, empfehlen wir die Verwendung der E-Mail-Bestätigung als Standardmethode:

Nachdem Sie die gewünschten Methoden ausgewählt haben, können Sie sich abmelden. Wenn Sie das nächste Mal versuchen, auf Ihr Dashboard zuzugreifen, sehen Sie eine Option zum Aktivieren von 2FA für Ihr Konto. Jetzt können sich alle Benutzer Ihrer Website für 2FA entscheiden. Ihre WordPress-Website wird dadurch sicherer!

2. Whitelist die IP-Adressen, die auf Ihr Dashboard zugreifen können

Das WordPress-Dashboard ist der Ort, an dem die meiste Magie passiert. Daher möchten Sie nicht, dass irgendjemand Zugriff hat. Nur vertrauenswürdige Teammitglieder sollten in der Lage sein, auf das Dashboard Ihrer Website zuzugreifen und die wichtigsten Funktionen zu nutzen.

Ihre Anmeldeseite ist Ihre primäre Verteidigungslinie gegen unerwünschte Eindringlinge. Manchmal können sich Angreifer jedoch Zugriff auf die Anmeldeinformationen eines Ihrer Teammitglieder verschaffen. Wenn das passiert, brauchen Sie eine zweite Verteidigungslinie, um sie aufzuhalten. Hier kommt Ihre .htaccess -Datei ins Spiel.

Mit dieser Datei können Sie Ihrem Server spezifische Anweisungen geben. Sie können es beispielsweise anweisen, den Zugriff auf Ihr Dashboard für alle zu blockieren, deren IP nicht auf einer vorab genehmigten Liste steht. Wenn Sie dieser Liste eine IP-Adresse hinzufügen, setzen Sie sie auf die „Whitelist“. Diese Methode erfordert ein wenig Vorarbeit, kann Ihre Website jedoch in eine Festung verwandeln.

Zunächst müssen Sie die IP-Adressen aller Ihrer Kollegen kennen. Für beste Ergebnisse sollten Sie auch sicherstellen, dass diese IPs statisch sind. Teammitglieder können eine Website wie What is My IP verwenden, um ihre Adressen herauszufinden, und sich an ihren Internetanbieter wenden, damit ihnen eine statische Adresse zugewiesen werden kann, falls sie noch keine haben.

Es ist am besten, diese Aufgaben zuerst aus dem Weg zu räumen, damit Sie alle IPs auf der Whitelist auf einmal eingeben können. Wenn Sie die Liste der Adressen fertig haben, müssen Sie die .htaccess -Datei Ihrer Website suchen und darauf zugreifen. Dazu empfehlen wir die Verwendung des File Transfer Protocol (FTP) und eines Tools wie FileZilla.

Melden Sie sich einfach mit Ihren FTP-Anmeldeinformationen bei Ihrer Website an und greifen Sie auf Ihren public_html- Ordner zu. Suchen Sie dann nach der .htaccess -Datei in:

Klicken Sie nun mit der rechten Maustaste auf die Datei und wählen Sie die Option Anzeigen/Bearbeiten . Dies öffnet die Datei auf deinem Computer mit deinem Standard-Texteditor. Es sollten bereits einige Codezeilen enthalten sein, die Sie nicht ändern möchten. Scrolle stattdessen zum Ende der Datei und suche nach der WordPress-Zeile #END .

Sie müssen das folgende Snippet direkt vor dieser Zeile einfügen:

 <IfModul mod_rewrite.c>
RewriteEngine an
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</WennModul>

Diese fünf Codezeilen weisen WordPress an, die IP-Adresse von jedem zu überprüfen, der versucht, auf Ihr Dashboard zuzugreifen. Wenn ihre Adresse nicht mit einer der in Ihrer Whitelist übereinstimmt (im obigen Beispiel gibt es zwei), erhalten sie einen 403-Fehler:

Sie können beliebig viele Adressen im selben Format hinzufügen und auch andere Seiten blockieren. Wenn Sie beispielsweise Ihre Anmeldeseite für alle außer denen auf Ihrer Whitelist sperren möchten, müssen Sie nur eine zusätzliche Codezeile hinzufügen:

 <IfModul mod_rewrite.c>
RewriteEngine an
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [ODER]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</WennModul>

Wenn Sie mit den Änderungen an .htaccess fertig sind, speichern Sie die Datei und schließen Sie Ihren Texteditor. Sie sollten weiterhin wie gewohnt auf Ihr Dashboard und Ihre Anmeldeseite zugreifen können, es sei denn, Sie haben vergessen, Ihre eigene IP-Adresse auf die Whitelist zu setzen!

3. Verwenden Sie ein umfassendes WordPress-Sicherheits-Plugin

Wenn Sie sich entscheiden, nur eine Maßnahme zum Schutz Ihrer WordPress-Website zu ergreifen, kann die Verwendung eines Sicherheits-Plugins Ihnen den größten Nutzen bringen. Es gibt eine Menge beliebter Sicherheits-Plugins, und viele sind in der Lage, Ihre Website vor den meisten Arten von Angriffen zu schützen.

Einer unserer Favoriten heißt All In One WP Security & Firewall. Es bietet eine breite Palette von Funktionen und eine benutzerfreundliche Oberfläche:

Bisher haben wir viel über die Sicherung Ihrer WordPress-Anmelde- und Dashboard-Seiten gesprochen. Mit diesem Plugin können Sie beides tun, indem Sie integrierte Funktionen verwenden, die Sie mit wenigen Klicks aktivieren können. Sie können beispielsweise die Anzahl der Anmeldeversuche begrenzen, die jemand unternehmen kann, bevor er vorübergehend von der Website ausgeschlossen wird. Diese Funktion ist auf der Registerkarte WP-Sicherheit > Benutzeranmeldung verfügbar:

Sie können das Plugin auch so konfigurieren, dass es Sie benachrichtigt, wenn jemand von der Anmeldeseite gesperrt wird, und IP-Adressen insgesamt blockieren. All In One WP Security & Firewall enthält auch eine umfassende Firewall, die Sie über die Registerkarte WP Security > Firewall konfigurieren können:

Sobald Sie das Plugin aktivieren, sollten Sie als Erstes einen Blick in die Dokumentation werfen. Es gibt viele Einstellungen, die Sie lernen müssen, aber ein schneller Crashkurs sollte Ihnen alles vermitteln, was Sie wissen müssen, um Ihre Website zu sichern.

Zu guter Letzt hat Kinsta einige großartige Einblicke zum Sperren deiner Website, schau es dir an, wenn du weitere Tipps zur WordPress-Sicherheit benötigst.

Fazit

WordPress-Sicherheit ist etwas, bei dem Sie proaktiv vorgehen möchten. Ein wenig Mühe, Ihre Website von Anfang an zu schützen, wird Ihnen später eine Menge Kopfschmerzen ersparen. Wenn Sie Glück haben, müssen Sie sich nie mit den Folgen unerwünschter Eingriffe in Ihre Website auseinandersetzen und können sich stattdessen darauf konzentrieren, sie zu verbessern.

Die gute Nachricht ist, dass es viele einfache Möglichkeiten gibt, Ihre Website zu sichern. Hier sind noch einmal unsere drei Favoriten:

1. Verwenden Sie 2FA auf Ihrer Anmeldeseite.
2. Setzen Sie die IP-Adressen Ihrer Teammitglieder auf die Whitelist.
3. Verwenden Sie ein umfassendes WordPress-Sicherheits-Plugin.

Haben Sie Fragen zum Schutz Ihrer WordPress-Website? Fragen Sie im Kommentarbereich unten nach!