WordPress-Sicherheit – Wichtige Tipps für jeden Websitebesitzer

Wussten Sie, dass es jede Minute über 90.978 Angriffe auf WordPress- Websites gibt? Auch wenn diese Zahl enorm klingt, können Sie glücklicherweise die meisten potenziellen Angriffe verhindern und Ihre Website angriffssicher machen, wenn Sie die grundlegenden Sicherheitsregeln befolgen.

Oder machen Sie es zumindest so schwer, einzudringen, dass Hacker lieber einen der Tausenden schlecht gesicherten ins Visier nehmen würden. Was nicht so schwer ist, besonders wenn man bedenkt, dass viele Angriffe durchgeführt werden, nachdem automatisierte Schwachstellenscanner potenzielle Wege gefunden haben. Wie können Sie also die Sicherheit Ihrer WordPress-Site in die Höhe schnellen lassen? Hier sind die 6 wichtigsten Tipps.

1. Halten Sie Ihre WP-Installation, Themes und Plugins auf dem neuesten Stand

Ein Kinderspiel, aber ein häufig ignoriertes. Laut WordPress.org wurde 1/3 aller WordPress -Websites nicht auf die neueste Version aktualisiert. Darüber hinaus verwenden fast 2/3 aller Webhoster PHP, das älter als 7.0 ist. Veraltete WordPress-Installations- und Server-Frameworks stellen eine große Bedrohung für Ihre Website dar und erhöhen das Risiko eines erfolgreichen Angriffs, da Hacker versuchen, über nicht gepatchte Schwachstellen auf Ihre Website zuzugreifen.

Wenn Sie alle Ihre Themes, Plugins sowie WordPress auf dem neuesten Stand halten, sind Sie tatsächlich sicherer als 75 % aller legitimen Websites – da Schätzungen zufolge drei von vier Websites ungepatchte Schwachstellen enthalten. Glücklicherweise ist es ziemlich einfach, die neuesten Versionen Ihrer WP-Plugins, Themes und WP selbst zu erhalten – alles, was Sie brauchen, sind ein paar Klicks auf eine Schaltfläche.

Gleichzeitig kann es etwas zeitaufwändiger sein, sicherzustellen, dass auf Ihrem Server die neueste PHP-Version ausgeführt wird. Aus diesem Grund ist es am besten, sich einfach an Ihren Hosting-Support zu wenden und ihn zu bitten, Sie auf eine Anleitung zu verweisen, wie Sie es selbst aktualisieren können, oder ihn sogar zu bitten, es für Sie zu aktualisieren.

2. Installieren Sie einen Malware-Scanner und eine Firewall

Wenn Sie dachten, dass nur Ihr PC von Malware, Viren und Brute-Force-Angriffen betroffen sein kann, liegen Sie falsch. WordPress kann nicht nur betroffen sein, sondern es ist tatsächlich das am stärksten infizierte Website-CMS , was höchstwahrscheinlich viel mit seiner Popularität zu tun hat.

Die gute Nachricht ist, dass es viele kostenlose und kostenpflichtige Firewalls und Malware-Scanner für WordPress gibt. Eines der beliebtesten ist Wordfence Security , das sowohl Malware-Scans als auch eine Firewall bietet und sowohl in kostenlosen als auch in kostenpflichtigen Versionen erhältlich ist.

3. Holen Sie sich einen VPS und verwandeln Sie ihn in eine Festung

Im Vergleich zu einem Shared Hosting können Sie mit einem VPS jeden Aspekt seiner Konfiguration steuern. Dadurch können Sie nicht nur Ihre Website schneller machen, sondern auch sicherstellen, dass ihre Hosting-Umgebung – der Server – ordnungsgemäß gesichert ist.

Auf einem nicht verwalteten VPS liegt es an Ihnen, das Betriebssystem (z. B. CentOS gilt im Vergleich zu Ubuntu als sicherer), die Firewall und andere Software, die Sie installieren, wie Malware-Scanner (die Sie sowohl auf WordPress als auch auf dem Server selbst).

Darüber hinaus ist es durch die Installation Ihres WordPress auf einem VPS, auf dem Sie Root-Zugriff haben, einfach, Dinge wie MySQL-Passwörter zu ändern oder WordPress-Ordner umzubenennen und seine Dateien neu zu konfigurieren, um die Wahrscheinlichkeit eines potenziellen Angriffs zu verringern. Obwohl einiges davon auch mit Sicherheits-Plugins erfolgen kann

Um alle Vorteile eines virtuellen privaten Servers zu nutzen (Geschwindigkeit, Flexibilität und Skalierbarkeit, um nur einige zu nennen), sollten Sie natürlich einen Server von einem Unternehmen mieten, das verschiedene Preispakete anbietet, die einfach zu aktualisieren sind, wenn Sie mehr Ressourcen benötigen. Ein tolles Beispiel für ein solches Angebot sehen Sie hier .

4. Verstecke /wp-admin und deine WordPress-Installation

Warum der Welt überhaupt erzählen, dass Sie WordPress verwenden? Obwohl es sich um ein großartiges Content-Management-System handelt, müssen Sie nicht unbedingt damit prahlen, es zu betreiben. Vor allem, dass es dem potenziellen Eindringling wertvolle Informationen liefert. Wenn Sie beispielsweise WordPress nicht ausblenden, werden Websites wie What WordPress Theme is That? Offenlegung von Informationen nicht nur über das von Ihnen verwendete Theme, sondern auch über einige der Plugins. Es ist, als würde man dem Hacker sagen : Hey, so kommst du rein:

Wie verstecken Sie also Ihre WP-Site-Informationen vor den neugierigen Augen potenzieller Eindringlinge? Glücklicherweise benötigen Sie überhaupt keine technischen Fähigkeiten. Wo Bedarf besteht, gibt es WordPress-Plugins, die Sie dafür verwenden können – das beliebteste ist Hide My WP by the wave, das Ihre Anmeldeseite verbergen und die Details zu Ihrer WordPress-Website unsichtbar machen kann (leider gibt es das). keine kostenlose Version).

Alternativ können Sie die kostenlose Version von iThemes Security erhalten , die Ihnen nicht so viele Versteckoptionen bietet (obwohl Sie damit die Anmeldeseite ausblenden können), aber viele andere Sicherheitsvorteile bietet.

5. Ändern Sie Ihren WP-Benutzernamen und halten Sie ihn verborgen

Genauso wie du das Wort Passwort nicht als dein eigentliches Passwort verwenden solltest, kann es schlimme Folgen haben , den Standard-WordPress-Benutzernamen admin beizubehalten. Am Ende ist es wahrscheinlich das erste, was ein potenzieller Eindringling zu erraten versucht, also machen Sie es ihm unglaublich einfach, die Details Ihres Administratorkontos herauszufinden, indem Sie es verwenden.

Wie kann ich es ändern? Es gibt zwei Möglichkeiten, wie Sie das tun können. Sie könnten nach einem Plugin suchen, das dies für Sie erledigen kann, oder den manuellen Weg gehen. Ich persönlich bevorzuge letzteres – weil es genauso schnell und einfach geht, und das kann jeder. Da WordPress Ihnen jedoch keine sofort einsatzbereite Option zum Ändern bietet, müssen Sie eine kleine Problemumgehung verwenden. Melden Sie sich zuerst bei Ihrer Website an und gehen Sie zu Benutzer > Neu hinzufügen.

Geben Sie dort den Benutzernamen Ihres neuen Administratorkontos ein und stellen Sie sicher, dass Sie die Benutzerrolle auf Administrator festlegen. Klicken Sie anschließend auf Passwort anzeigen und ändern oder kopieren Sie das standardmäßige (sichere) Passwort.

Nachdem der Benutzer erstellt wurde, melden Sie sich von der Site ab und mit dem neuen Benutzer wieder an. Gehen Sie zu Benutzer > Alle Benutzer und entfernen Sie das alte WordPress-Administratorkonto. Aber das ist nicht alles. Sie brauchen ein Konto, um Ihre Beiträge zu veröffentlichen, richtig? Anstatt sie über einen Administrator zu veröffentlichen, der seinen Benutzernamen aufgrund von Permalinks leicht zu erraten macht (es sei denn, Sie spielen mit ihnen herum), erstellen Sie ein separates Konto. Legen Sie dieses Mal statt der Rolle eines Administrators eine Rolle fest, die keine Administratorrechte hat (z. B. die eines Autors oder eines Redakteurs).

Wenn Sie fertig sind, legen Sie den Autor aller vorhandenen Beiträge auf den neuen Benutzer fest (das können Sie unter Alle Beiträge > Schnellbearbeitung unter jedem Artikel tun).

6. Sichern Sie bestehende WordPress-Benutzerkonten

Arbeiten Sie mit virtuellen Assistenten oder haben Mitarbeiter, die auf Ihre WordPress-Website zugreifen können? In diesem Fall ist es am besten, ihnen keinen Zugriff auf alle Plugins und Daten zu gewähren. Am Ende müssen sie wahrscheinlich nicht in der Lage sein, alle Plugins auf Ihrer Website zu konfigurieren. Und wenn sie kein vertrauenswürdiger Entwickler sind, sollten sie auf keinen Fall Zugriff auf den Themeneditor haben. Wie kann man ihren Zugriff einschränken? Eine Möglichkeit besteht darin, ihre Konten zu erstellen und ihre Rollen auf eine der Standardrollen des Mitwirkenden, Autors oder Redakteurs festzulegen.

Aber was ist, wenn Sie sie für mehr blockieren möchten, als diese Rollen einschränken, und ihnen gleichzeitig Zugriff auf Teile der Website gewähren möchten, die ihnen die Standardeinstellungen nicht bieten? In diesem Fall können Sie ein kostenloses Plugin wie den User Role Editor verwenden , mit dem Sie neue Rollen erstellen und festlegen können, auf welche Elemente der Website sie zugreifen können.

7. Überwachen Sie die Aktivität über das Audit-Protokoll

Und was ist, wenn Sie Ihren Benutzern nicht einfach den Zugriff auf die meisten anfälligen Elemente auf Ihrer Website verbieten können, sondern zumindest wissen möchten, wer was geändert oder bearbeitet hat, falls etwas schief geht? Um sich einen Überblick in Form eines umfassenden Audit-Logs zu verschaffen, kannst du das WP Security Audit Log installieren . Die kostenlose Version ist mehr als ausreichend, um Ihnen einen bequemen Überblick über die Aktivitäten Ihrer Mitarbeiter und VAs zu geben:

8. Machen Sie die Anmeldung mit Google Authenticator sicherer

Apropos Benutzer, es gibt noch eine weitere Sache, die Sie tun können, um Ihre Website noch sicherer zu machen. Stellen Sie sich vor, Ihre WordPress-Anmeldeinformationen (oder die Ihrer Mitarbeiter) würden gestohlen. In diesem Fall könnte ein Eindringling je nach Benutzerrolle Ihres Mitarbeiters Zugriff auf die gesamte WP-Website erhalten. Um dies zu verhindern, sollten Sie bei der Anmeldung eine Zwei-Faktor-Authentifizierung hinzufügen. Der einfachste Weg, dies zu tun, ist das Google Authenticator-Plugin . Sobald dies erledigt ist, kann sich jemand ohne den von der Google Authenticator-App bereitgestellten Code nicht anmelden, selbst wenn er Ihren Benutzernamen und Ihr Passwort erhält.

Wie Sie sehen können, ist es, obwohl WordPress als das anfälligste Content-Management-System aller beliebten gilt, nicht so schwer, die häufigsten Risiken zu minimieren oder sogar vollständig zu beseitigen und die am stärksten gefährdeten Elemente auf Ihrer Website zu sichern.

Wenn Sie die obigen Tipps befolgen, seien Sie vorsichtig, wenn Sie anderen Zugriff auf Ihre Website gewähren, und halten Sie die Elemente Ihrer Website auf dem neuesten Stand, Ihre Website und damit Ihr Unternehmen sind vor potenziellen Eindringlingen sicher. Ganz zu schweigen davon, wie viel Sie sparen können, nur um die Sicherheitsverletzung zu verhindern.