So schützen Sie Ihre WordPress-Website [Der einzige Leitfaden, den Sie jemals brauchen werden]
Veröffentlicht: 2021-08-05
WordPress-Benutzer verbringen in der Regel viel Zeit mit dem Design, dem Inhalt und der Optimierung ihrer Website, vergessen jedoch oft einen wesentlichen Faktor: die Sicherheit der Website. Während es für Leute, die keine Entwickler sind, wie eine langweilige Angelegenheit erscheinen mag, ist die Sicherheit Ihres WordPress ein entscheidender Teil der Führung Ihres Unternehmens.
Warum darfst du fragen?
Gehen wir dieser Frage gemeinsam nach.
Viele Menschen ignorieren diese Informationen, weil sie noch nie mit einer gehackten Website zu tun hatten und sich daher einfach nicht vorstellen können, wie viel Aufwand, Zeit und Aufwand die Lösung des Problems verursachen kann.
Erstens, wenn Sie ein Online-Geschäft betreiben oder zumindest einen Teil Ihres Geschäfts über die Website verwalten, wird ein Hackerangriff Ihren Arbeitsprozess unweigerlich stoppen. Wenn Sie einen Online-Shop besitzen, können Sie nicht verkaufen; Wenn Sie Termine über Ihre Website buchen, können Sie dies nicht tun.
Für Online-Shops mit hohem Volumen ist dies besonders schlimm – Sie werden nicht nur eine Zeit lang nicht verkaufen können, sondern Sie können auch Bestellungen verlieren. Website-Backups werden normalerweise einmal am Tag erstellt, und wenn Sie Stunden danach gehackt werden, gehen alle in der Zwischenzeit getätigten Bestellungen verloren.
Wenn Ihre Website in Betrieb ist, kann es dennoch zu einem Hack gekommen sein – beispielsweise können Links in den Code eingefügt werden und auf andere Websites verweisen.
Wenn Sie Ihre Website über Anzeigen monetarisieren, werden Ihre Anzeigen möglicherweise durch die Anzeigen einer anderen Person ersetzt (und daher Anzeigen angezeigt, mit denen Sie keine Einnahmen erzielen).
Es gibt viele Fälle, in denen Ihre Website kompromittiert werden kann, und es wird Tage, wenn nicht Wochen dauern, bis Sie dies bemerken. Im Szenario mit der Spam-Link-Injektion kann dies Ihre SEO beeinträchtigen (da Google Spam-Links stark ablehnt). Infolgedessen könnten Ihre Google-Rankings darunter leiden, und es kann sehr lange dauern, bis Sie diese Art von Schaden reparieren.
Es geht auch um das Vertrauen der Kunden; Menschen machen sich große Sorgen, wenn sie hören, dass eine von ihnen genutzte Website gehackt wurde.
Die Verwendung von SSL-Zertifikaten hat die schwerwiegendsten Folgen wie das Durchsickern von Kreditkartennummern verhindert, aber einige Daten können immer noch abgerufen werden. Benutzer können einen Hackerangriff auf Ihre Website mit mangelnder Sicherheit in Verbindung bringen und beschließen, Ihre Dienste nicht mehr zu nutzen.
Wenn Ihre Website gehackt wird, können Sie sie insgesamt reparieren, aber der Schutz Ihres WordPress an erster Stelle ist ein viel schmerzloser Weg.
Wenn bereits ein Angriff stattgefunden hat, können Sie ein Plugin verwenden, um Ihre Website zu scannen, aber die meisten der verfügbaren Plugins weisen nur darauf hin, welche Datei(en) kürzlich geändert wurden, und Sie müssen immer noch alles manuell bereinigen.
Eine andere Möglichkeit, dies zu beheben, besteht darin, ein Backup Ihrer Website wiederherzustellen. Dies ist jedoch keine 100% garantierte Lösung, insbesondere wenn Sie nicht sicher sind, wann Ihr WordPress gehackt wurde (und daher sicher ist, welche Sicherungskopie sauber ist).
Sie können sich auch an eine spezialisierte Agentur wenden, die Malware-Entfernung und technische Unterstützung anbietet; Sie werden relativ schnell handeln und dein WordPress für dich bereinigen, aber das hat natürlich seinen Preis.
Sie müssen bedenken, dass selbst wenn Sie den Schaden erfolgreich beheben können, diese Situation erneut auftreten kann (und wahrscheinlich auch passieren wird), wenn Sie keinen angemessenen Schutz einrichten.
Am besten handeln Sie hier präventiv und sichern Ihre Website durch einen detaillierten und umfassenden Schutzansatz.
Aber was bedeutet das?
Wie schützen Sie also Ihre WordPress-Website ? Welche umsetzbaren Schritte können Sie unternehmen? Wir freuen uns, dass Sie gefragt haben! Weiter lesen.
Die Art und Weise, wie Webhosting ausgewählt wird, erfolgt normalerweise durch eine Empfehlung eines Freundes, über die Agentur, die die Website erstellt, oder durch Online-Recherche.
Was unerfahrene Benutzer oft suchen, ist der günstigste Preis. Wie bei den meisten Dingen im Leben kostet zuverlässiges, qualitativ hochwertiges Hosting jedoch mehr und bietet Ihnen auch mehr. Gute Hosting-Anbieter bieten viele Sicherheitsfunktionen, die den Unterschied ausmachen können, ob Sie es mit einer gehackten Website zu tun haben oder nicht.
Auf der anderen Seite werden kostengünstige Hosting-Anbieter Abstriche machen, wann immer sie können, um die Differenz auszugleichen, und leider ist die Sicherheit ein Bereich, der stark leidet.
Lassen Sie uns Ihnen ein Beispiel für einige der Funktionen geben, die wir unseren Kunden zur Verfügung stellen. Neben den klassischen Optionen wie DDoS-Schutz, SSL-Zertifikaten und Web Application Firewalls haben wir einige, die Ihr Website-Sicherheitsspiel verbessern werden.
Einer von ihnen ist Patchman, eine Anwendung, die für Benutzer, die ihr WordPress nicht automatisch aktualisieren, äußerst nützlich sein kann. Patchman scannt Ihre Installation und behebt alle bekannten Schwachstellen in WordPress-Kerndateien und zahlreichen beliebten Plugins. Anstatt die Software automatisch zu aktualisieren, um die Schwachstelle zu beheben, was zu Site-Breaking-Abhängigkeitsproblemen führen könnte, wendet Patchman die Sicherheitskorrektur auf die aktuell installierte Version an.
Sie können sich darauf verlassen, dass die angewendeten Patches sicher und ohne Beschädigung Ihrer Website ausgeführt werden.
Wenn Sie sich für Shared Hosting entscheiden, ist die Wahl eines leistungsstarken, sicheren Hostings unerlässlich. Viele Unternehmen bieten auch WordPress-Hosting an, das speziell für WordPress konfiguriert ist und auf dem Ihre Website in der Regel viel besser abschneidet.
Wenn Sie eine Website mit hohem Volumen haben und sich für ein Upgrade Ihres Hosting-Kontos entscheiden, garantiert der vollständig verwaltete dedizierte Server im Gegensatz zu seinem billigeren (nicht verwalteten) Gegenstück ein höheres Maß an Sicherheit.
Alles in allem, recherchieren Sie gründlich über Webhosting und lassen Sie sich bei Ihrer Wahl nicht vom Preis leiten.
Der Grund dafür sind Schwachstellen, die von Hackern entdeckt wurden. Wenn Sie daran interessiert sind, mehr zu diesem Thema zu lesen, empfehlen wir diesen Artikel, aber um es zusammenzufassen, Schwachstellen sind „Löcher“ im Code der Anwendung, die Sie verwenden. Es gibt einen ständigen Kampf zwischen Hackern und Softwareentwicklern, wo Hacker finden und nutzen Sicherheitslücken aus, und die Entwickler versuchen, sie schnell zu patchen.
Wie andere CMS-Anwendungen durchläuft WordPress Aktualisierungszyklen, in denen neue Funktionen hinzugefügt werden und die Entwickler daran arbeiten, alle bekannten Schwachstellen zu beheben. Jedes Jahr gibt es in der Regel 1-3 Major Updates und viele Minors, die allesamt sicherheitskritisch sind, da sie fast immer Sicherheitspatches enthalten.
Aber warten Sie - wenn Sie so etwas wie Patchman haben, warum müssen Sie dann noch aktualisieren?
Patchman deckt WordPress-Kerndateien und einige der beliebtesten Plugins ab, aber viele Plugins werden nicht über die App gepatcht. Das bedeutet, dass alle diese Plugins, wenn sie veraltet sind, leicht zu einem Einstiegspunkt für die Hacker werden, um auf Ihrer Website zu tun, was sie wollen.
Es ist ganz einfach, Ihr WordPress auf dem neuesten Stand zu halten.
Zunächst einmal haben alle Versionen nach 5.6 (veröffentlicht im Dezember 2020) automatische Updates aktiviert, was bedeutet, dass Sie nichts tun müssen. Wenn dies aus irgendeinem Grund nicht der Fall ist (sagen wir, Ihr Entwickler hat sie deaktiviert), gibt es mehrere Möglichkeiten, wie Sie Ihre automatischen Updates aktivieren können.
Einer ist über Softaculous, die Anwendung, die häufig von cPanel-Benutzern verwendet wird, um WordPress auf ihren Servern zu installieren. Mit dem WordPress Manager von Softaculous können Sie automatische Upgrades konfigurieren; Sie können wählen, ob Sie nur kleinere Updates oder auch größere Updates automatisch aktualisieren möchten.
Sie können sich auch dafür entscheiden, Ihre Plugins und Themes automatisch zu aktualisieren. Das Beste ist, dass vor jedem automatischen Upgrade ein Backup erstellt wird, nur für den Fall, dass eine Wiederherstellung erforderlich ist.
Eine weitere Option, wenn Sie etwas geschickt darin sind, Ihren Code zu modifizieren, besteht darin, die native Konfiguration für automatische Updates von WordPress zu verwenden – erfahren Sie mehr darüber direkt in der KB von WordPress.
Viele Leute verwenden den Benutzernamen „admin“, da dieser standardmäßig angezeigt wird, wenn Sie eine Softwareanwendung wie Softaculous verwenden, um Ihr WordPress zu installieren.
Verwenden Sie nicht den Standardbenutzernamen , um Hackern die Arbeit zu erleichtern – wählen Sie einen anderen Benutzernamen, z. B. Ihre E-Mail-Adresse. Wenn Sie einen bereits erstellten Benutzer mit diesem Benutzernamen erhalten haben, erstellen Sie einen neuen Administrator und löschen Sie den vorhandenen.
Gleiches gilt für Ihr Passwort; je stärker es ist, desto besser. Wählen Sie ein langes Passwort, das Ziffern und Sonderzeichen enthält, oder, noch besser, generieren Sie ein zufälliges.
Wenn Sie befürchten, Ihr Passwort zu vergessen, versuchen Sie, ein System zu finden, das Ihnen dabei helfen kann, sich daran zu erinnern. Manche Leute verwenden gerne eine statische Kombination aus Zeichen + dem Namen der Website als Unterscheidungsmerkmal (Jack1990Apple!), andere bevorzugen assoziative Passwörter.
Natürlich können Sie Ihre Zugangsdaten einfach speichern und müssen sich keine Gedanken darüber machen, ob Sie sich daran erinnern oder nicht. Verwenden Sie jedoch nicht Ihren Browser, um Ihre Zugangsdaten zu speichern! Dies ist eine ziemlich unsichere (und häufig verwendete) Option.
Wenn Sie Ihre Anmeldedaten speichern möchten, damit Sie sie nicht jedes Mal eingeben müssen, verwenden Sie einen Passwort-Manager wie Lastpass – sie haben einen kostenlosen Tarif und Ihre Anmeldedaten sind so sicher wie möglich. Mit dem Passwort-Manager müssen Sie sich nur 1 Passwort (das Master-Passwort) merken und auch Kreditkartendaten speichern.
Kunden des Shared-Hosting-Service von Kualo sind außerdem automatisch vor Brute-Force-Login-Angriffen geschützt – wobei Brute-Force-Angriffe gedrosselt und blockiert werden.
Das bedeutet, dass Hacker, selbst wenn sie Ihre genauen Anmeldedaten haben, sich ohne diese zusätzliche Authentifizierung nicht anmelden können.
Sie können ein Plugin wie WP 2FA installieren und andere Benutzer auf Ihrer Website dazu zwingen, es ebenfalls zu verwenden (insbesondere wenn sie Administrator- oder Editorrechte haben). Denken Sie daran, Ihre Sicherungscodes immer herunterzuladen und an einem sicheren Ort aufzubewahren, falls Sie den Zugriff auf Ihr Telefon verlieren.
Wie auch immer, wenn Sie es so belassen, machen Sie es Hackern viel einfacher, den Eingang zu Ihrem Backend zu identifizieren und einen Brute-Force-Angriff zu starten.
Ändern Sie die URL (Slug) zu Ihrer Anmeldeseite, indem Sie ein Plugin wie ThemeMyLogin verwenden, oder suchen Sie nach einem Sicherheits-Plugin, das mehrere von uns aufgelistete Funktionen enthält (2FA, Anmeldeversuche begrenzen usw.).
Es gibt auch einen ausgezeichneten Artikel von WPBeginner darüber, wie Sie Ihre Anmelde-URL manuell ändern können, aber wenn Sie sich mit der Verwaltung von Code nicht auskennen, ist es am besten, nicht dorthin zu gehen.
Andererseits ist jedes Plugin, das Sie installieren, ein weiteres Stück Code, das gepflegt (dh aktualisiert) werden muss. Eine Vielzahl von Plugins erhöht auch das Risiko einer Inkompatibilität – in diesem Fall können zwei oder mehr Plugins nicht zusammenarbeiten – Sie müssen also vermeiden, Plugins zu installieren, auf die Sie verzichten können.
Einige der besten Sicherheits-Plugins kombinieren, wie oben erwähnt, mehrere Funktionen und reduzieren so die Anzahl der Plugins, die Sie installieren müssen, um all die Dinge zu tun, über die wir sprechen. Einige großartige Beispiele sind:
Wenn mehrere Benutzer mit Administratorrechten an Ihrer Website arbeiten, ist dies eine hervorragende Möglichkeit, um zu dokumentieren, was getan wird.
Aus Sicherheitssicht kann es Ihnen verschiedene Informationen anzeigen, die sehr nützlich sein können – von fehlgeschlagenen Anmeldeversuchen bis hin zu Änderungen in den Dateien und Einstellungen der WordPress-Site. Wenn Sie jemand sind, der seine eigene Website-Wartung durchführen möchte, ist diese Funktion ein Muss.
Eine großartige (und kostenlose) Option ist das WP-Aktivitätsprotokoll, ein Plugin, das es seit Jahren gibt und das sowohl für sein detailliertes Protokoll als auch für die Einfachheit der Benutzeroberfläche bekannt ist.
Früher war ein SSL für Websites erforderlich, die für bestimmte Transaktionen wie Zahlungen sicher sein mussten. Heutzutage spielt es jedoch keine Rolle, ob Sie Zahlungen auf Ihrer Website abwickeln oder nicht. SSL ist für jede Website obligatorisch, die vertrauliche Informationen wie Passwörter, Namen, Adressen usw. verarbeitet.
Die Mechanismen neben den Kulissen sind wie folgt: Ohne ein SSL auf Ihrer Website werden alle Daten, die zwischen dem Webbrowser des Benutzers und Ihrem Webserver übertragen werden, im Klartext geliefert, den Hacker lesen können.
Sobald Sie ein SSL installiert haben, werden die sensiblen Informationen verschlüsselt, bevor sie zwischen den beiden Parteien übertragen werden – dem Webbrowser des Benutzers und Ihrem Server, wodurch sie vor böswilligen Dritten geschützt werden.
Google hat die Wichtigkeit eines SSL-Zertifikats schon vor einiger Zeit erkannt und damit begonnen, auf den ersten Plätzen Websites anzuzeigen, die eine verschlüsselte Übertragung von Informationen anbieten könnten.
Darüber hinaus warnte Google 2018 alle Website-Eigentümer, dass jede Website ohne aktives SSL in der URL als „Nicht sicher“ angezeigt würde. Das macht das SSL-Zertifikat zu einem absoluten Muss; Die gute Nachricht ist, dass es ziemlich einfach zu bekommen ist, und außerdem ist bei einigen Hosting-Unternehmen (einschließlich Kualo!) ein SSL kostenlos enthalten.
Wenn Sie ein neues Design/Plugin installieren oder aktiv an Ihrer Website arbeiten, kann es oft vorkommen, dass etwas kaputt geht, daher ist es ohne Zweifel ein Muss, ein Backup zu haben.
Während die meisten zuverlässigen Hosting-Anbieter diese täglichen Backups für Sie eingerichtet haben, ist es keine schlechte Idee, entweder zu lernen, wie man sie manuell durchführt, oder ein Backup-Plugin wie UpdraftPlus oder BackupBuddy zu verwenden. Beide haben die Möglichkeit, Ihre Website-Backups auf Cloud-Dienste wie Amazon hochzuladen oder sie lokal zu exportieren.
Sie können auch die Softaculous Backup-Funktion verwenden, die in Ihrem cPanel leicht zugänglich ist. Die gute Nachricht ist, dass es maximale Einfachheit bietet und keine zusätzlichen Kosten verursacht. Die schlechte Nachricht ist, dass es im Gegensatz zu seinen Gegenstücken die Backups auf Ihr Hosting-Konto hochlädt, also Speicherplatz verbraucht und auch am selben Ort wie die Website selbst gespeichert wird. Wenn etwas mit Ihrem Konto passieren würde (z. B. Dateien versehentlich löschen oder ein manueller Hackerangriff), könnte auch Ihre Sicherungskopie gefährdet sein.
Denken Sie immer daran, eine Sicherungskopie zu erstellen, wenn Sie planen, an Ihrem WordPress zu arbeiten, und Sie sich über das Endergebnis nicht sicher sind!
Wenn Sie eine stark frequentierte E-Commerce-Website betreiben, sind stündliche Backups möglicherweise die beste Wahl für Sie. Wie bereits erwähnt, können Websites, die viele Bestellungen generieren, erhebliche Verluste erleiden, falls sie ein mehrere Stunden zuvor erstelltes Backup wiederherstellen müssen.
Du kannst dies tun, indem du deiner wp-config.php-Datei einen Code hinzufügst:
Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:
<Dateien *.php>
abgelehnt von allen
</Dateien>
Speichern Sie diese Datei als .htaccess und laden Sie sie mit einem FTP-Client oder über Ihren Dateimanager in cPanel in die Ordner /wp-content/uploads/ Ihrer Website hoch.
Wenn ein Hacker beispielsweise 1000 verschiedene Passwörter auf Ihren Websites ausprobieren möchte, müsste er 1000 separate Anmeldeversuche unternehmen, die von Ihrem Sicherheits-Plugin oder Ihrer Firewall abgefangen werden. Wenn Sie jedoch XML-RPC aktiviert lassen, könnte ein Hacker die Funktion system.multicall verwenden und 1000 verschiedene Passwörter mit 30-60 Anfragen ausprobieren.
Aus diesem Grund empfehlen wir dringend, es zu deaktivieren, und Sie können dies tun, indem Sie einfach einen Code in Ihre .htaccess-Datei einfügen:
In Zeile 5 sollten Sie Ihre eigene IP einfügen, falls dies die einzige ist, von der Sie XML-RPC behalten möchten (andernfalls einfach löschen).
Hinweis: Wenn Sie einer unserer Benutzer sind, müssen Sie diesen Schritt nicht ausführen, da Ihr XMLRPC durch die Brute-Force-Schutzfunktion von LiteSpeed geschützt wird.
Eine gute Möglichkeit, damit umzugehen, besteht darin, missbräuchliche Bots daran zu hindern, Zugriff auf Ihr WordPress zu erhalten. Fügen Sie den folgenden Code in die .htaccess-Datei ein.
Geben Sie jedem Ihrer Website-Benutzer den geringstmöglichen Zugriff. Wenn Sie beispielsweise einen Content-Autor haben, ist es nicht erforderlich, ihm ein Administratorkonto zur Verfügung zu stellen – ein Editor-Benutzer reicht völlig aus. Geben Sie Ihr Konto nicht weiter, es sei denn, es ist absolut notwendig, und wenn Sie dies tun, ändern Sie Ihr Passwort, sobald derjenige, dem Sie es gegeben haben, es nicht mehr benötigt.
Geben Sie auch Ihre Hosting-Details nicht weiter, es sei denn, es ist absolut notwendig.
Verwenden Sie keine ungültigen (illegal heruntergeladenen) WordPress-Designs und -Plugins
Irgendwann kann es zur Versuchung werden, etwas Geld zu sparen und ein nicht lizenziertes Plugin oder Design herunterzuladen. In diesem Fall zahlen Sie auf andere Weise – höchstwahrscheinlich mit der Positionierung einer Hintertür zu Ihrem WordPress. Hacker verstecken oft Spam-Links oder bösartigen Code in den nicht lizenzierten Artikeln und bieten sie zum kostenlosen Download an.
Vermeiden Sie sie um jeden Preis, und wenn Sie eine Website oder Funktionalität in Auftrag geben, stellen Sie sicher, dass Sie sich vom Entwickler bestätigen lassen, dass alles ordnungsgemäß lizenziert ist.
Finden Sie einen der angebotenen Ratschläge schwer zu befolgen? Haben wir etwas Wichtiges vergessen? Pingen Sie uns in den Kommentaren, wir würden gerne Ihre Meinung hören!
Oder wenn Sie bereit sind, zu Kualos supersicherem WordPress-Hosting zu wechseln, sehen Sie sich hier unsere Pläne an.
Warum darfst du fragen?
Gehen wir dieser Frage gemeinsam nach.
Warum ist der Schutz Ihres WordPress wichtig?
Wie andere sicherheitsrelevante Dinge im Leben ist auch die Sicherheit von Websites ein notwendiges Übel. Wenn Sie einen Entwickler oder eine Agentur damit beauftragen, eine Website für Sie zu erstellen, taucht normalerweise das Thema Sicherheit auf. Experten wissen aus erster Hand, wie oft Websites gehackt werden – insbesondere WordPress-Websites aufgrund der Beliebtheit der Plattform. Sie werden Ihnen in der Regel raten, Ihre Website auf verschiedene Weise zu schützen, und können einige bekannte Sicherheitspraktiken empfehlen.Viele Menschen ignorieren diese Informationen, weil sie noch nie mit einer gehackten Website zu tun hatten und sich daher einfach nicht vorstellen können, wie viel Aufwand, Zeit und Aufwand die Lösung des Problems verursachen kann.
Erstens, wenn Sie ein Online-Geschäft betreiben oder zumindest einen Teil Ihres Geschäfts über die Website verwalten, wird ein Hackerangriff Ihren Arbeitsprozess unweigerlich stoppen. Wenn Sie einen Online-Shop besitzen, können Sie nicht verkaufen; Wenn Sie Termine über Ihre Website buchen, können Sie dies nicht tun.
Für Online-Shops mit hohem Volumen ist dies besonders schlimm – Sie werden nicht nur eine Zeit lang nicht verkaufen können, sondern Sie können auch Bestellungen verlieren. Website-Backups werden normalerweise einmal am Tag erstellt, und wenn Sie Stunden danach gehackt werden, gehen alle in der Zwischenzeit getätigten Bestellungen verloren.
Wenn Ihre Website in Betrieb ist, kann es dennoch zu einem Hack gekommen sein – beispielsweise können Links in den Code eingefügt werden und auf andere Websites verweisen.
Wenn Sie Ihre Website über Anzeigen monetarisieren, werden Ihre Anzeigen möglicherweise durch die Anzeigen einer anderen Person ersetzt (und daher Anzeigen angezeigt, mit denen Sie keine Einnahmen erzielen).
Es gibt viele Fälle, in denen Ihre Website kompromittiert werden kann, und es wird Tage, wenn nicht Wochen dauern, bis Sie dies bemerken. Im Szenario mit der Spam-Link-Injektion kann dies Ihre SEO beeinträchtigen (da Google Spam-Links stark ablehnt). Infolgedessen könnten Ihre Google-Rankings darunter leiden, und es kann sehr lange dauern, bis Sie diese Art von Schaden reparieren.
Es geht auch um das Vertrauen der Kunden; Menschen machen sich große Sorgen, wenn sie hören, dass eine von ihnen genutzte Website gehackt wurde.
Die Verwendung von SSL-Zertifikaten hat die schwerwiegendsten Folgen wie das Durchsickern von Kreditkartennummern verhindert, aber einige Daten können immer noch abgerufen werden. Benutzer können einen Hackerangriff auf Ihre Website mit mangelnder Sicherheit in Verbindung bringen und beschließen, Ihre Dienste nicht mehr zu nutzen.
Wenn Ihre Website gehackt wird, können Sie sie insgesamt reparieren, aber der Schutz Ihres WordPress an erster Stelle ist ein viel schmerzloser Weg.
Können Sie ein gehacktes WordPress reparieren?
Wenn Sie mit dem Prozess nicht vertraut sind, kann das Reparieren einer gehackten WordPress-Website ein ziemlicher Kampf sein. Das Bereinigen von infiziertem Code erfordert eine bestimmte Art von Wissen. Im Gegensatz zu vielen anderen technischen Problemen wäre es für Google aufgrund der unterschiedlichen Art der Hackerangriffe schwierig, eine schnelle Lösung zu finden.Wenn bereits ein Angriff stattgefunden hat, können Sie ein Plugin verwenden, um Ihre Website zu scannen, aber die meisten der verfügbaren Plugins weisen nur darauf hin, welche Datei(en) kürzlich geändert wurden, und Sie müssen immer noch alles manuell bereinigen.
Eine andere Möglichkeit, dies zu beheben, besteht darin, ein Backup Ihrer Website wiederherzustellen. Dies ist jedoch keine 100% garantierte Lösung, insbesondere wenn Sie nicht sicher sind, wann Ihr WordPress gehackt wurde (und daher sicher ist, welche Sicherungskopie sauber ist).
Sie können sich auch an eine spezialisierte Agentur wenden, die Malware-Entfernung und technische Unterstützung anbietet; Sie werden relativ schnell handeln und dein WordPress für dich bereinigen, aber das hat natürlich seinen Preis.
Sie müssen bedenken, dass selbst wenn Sie den Schaden erfolgreich beheben können, diese Situation erneut auftreten kann (und wahrscheinlich auch passieren wird), wenn Sie keinen angemessenen Schutz einrichten.
Am besten handeln Sie hier präventiv und sichern Ihre Website durch einen detaillierten und umfassenden Schutzansatz.
Aber was bedeutet das?
Wie schützen Sie also Ihre WordPress-Website ? Welche umsetzbaren Schritte können Sie unternehmen? Wir freuen uns, dass Sie gefragt haben! Weiter lesen.
Umsetzbare Schritte zum Schutz Ihrer WordPress-Website
1. Wählen Sie einen guten Hosting-Provider
Bevor Sie sich auf andere Sicherheitsschritte konzentrieren, ist die Wahl einer soliden Grundlage für Ihre Website von entscheidender Bedeutung. Die Zusammenarbeit mit einem guten Hosting-Anbieter, der Ihnen mehrere Sicherheitsebenen bieten kann, ist der einfachste Weg, Ihre Website vor zukünftigen Cyberangriffen zu schützen. Die Wahl eines Webhosting-Anbieters ist selten etwas, das Menschen akribisch planen, insbesondere wenn sie seit Jahren kein Online-Geschäft betreiben.Die Art und Weise, wie Webhosting ausgewählt wird, erfolgt normalerweise durch eine Empfehlung eines Freundes, über die Agentur, die die Website erstellt, oder durch Online-Recherche.
Was unerfahrene Benutzer oft suchen, ist der günstigste Preis. Wie bei den meisten Dingen im Leben kostet zuverlässiges, qualitativ hochwertiges Hosting jedoch mehr und bietet Ihnen auch mehr. Gute Hosting-Anbieter bieten viele Sicherheitsfunktionen, die den Unterschied ausmachen können, ob Sie es mit einer gehackten Website zu tun haben oder nicht.
Auf der anderen Seite werden kostengünstige Hosting-Anbieter Abstriche machen, wann immer sie können, um die Differenz auszugleichen, und leider ist die Sicherheit ein Bereich, der stark leidet.
Lassen Sie uns Ihnen ein Beispiel für einige der Funktionen geben, die wir unseren Kunden zur Verfügung stellen. Neben den klassischen Optionen wie DDoS-Schutz, SSL-Zertifikaten und Web Application Firewalls haben wir einige, die Ihr Website-Sicherheitsspiel verbessern werden.
Einer von ihnen ist Patchman, eine Anwendung, die für Benutzer, die ihr WordPress nicht automatisch aktualisieren, äußerst nützlich sein kann. Patchman scannt Ihre Installation und behebt alle bekannten Schwachstellen in WordPress-Kerndateien und zahlreichen beliebten Plugins. Anstatt die Software automatisch zu aktualisieren, um die Schwachstelle zu beheben, was zu Site-Breaking-Abhängigkeitsproblemen führen könnte, wendet Patchman die Sicherheitskorrektur auf die aktuell installierte Version an.
Sie können sich darauf verlassen, dass die angewendeten Patches sicher und ohne Beschädigung Ihrer Website ausgeführt werden.
Wenn Sie sich für Shared Hosting entscheiden, ist die Wahl eines leistungsstarken, sicheren Hostings unerlässlich. Viele Unternehmen bieten auch WordPress-Hosting an, das speziell für WordPress konfiguriert ist und auf dem Ihre Website in der Regel viel besser abschneidet.
Wenn Sie eine Website mit hohem Volumen haben und sich für ein Upgrade Ihres Hosting-Kontos entscheiden, garantiert der vollständig verwaltete dedizierte Server im Gegensatz zu seinem billigeren (nicht verwalteten) Gegenstück ein höheres Maß an Sicherheit.
Alles in allem, recherchieren Sie gründlich über Webhosting und lassen Sie sich bei Ihrer Wahl nicht vom Preis leiten.
2. Halten Sie Ihr WordPress auf dem neuesten Stand
Dies ist wahrscheinlich der erste Ratschlag, den Sie von Ihrem Webentwickler hören werden – halten Sie alles auf dem Laufenden! Viele WordPress-Besitzer missachten dies bewusst oder unbewusst in der Regel und werden Ziel böswilliger Angriffe.Der Grund dafür sind Schwachstellen, die von Hackern entdeckt wurden. Wenn Sie daran interessiert sind, mehr zu diesem Thema zu lesen, empfehlen wir diesen Artikel, aber um es zusammenzufassen, Schwachstellen sind „Löcher“ im Code der Anwendung, die Sie verwenden. Es gibt einen ständigen Kampf zwischen Hackern und Softwareentwicklern, wo Hacker finden und nutzen Sicherheitslücken aus, und die Entwickler versuchen, sie schnell zu patchen.
Wie andere CMS-Anwendungen durchläuft WordPress Aktualisierungszyklen, in denen neue Funktionen hinzugefügt werden und die Entwickler daran arbeiten, alle bekannten Schwachstellen zu beheben. Jedes Jahr gibt es in der Regel 1-3 Major Updates und viele Minors, die allesamt sicherheitskritisch sind, da sie fast immer Sicherheitspatches enthalten.
Aber warten Sie - wenn Sie so etwas wie Patchman haben, warum müssen Sie dann noch aktualisieren?
Patchman deckt WordPress-Kerndateien und einige der beliebtesten Plugins ab, aber viele Plugins werden nicht über die App gepatcht. Das bedeutet, dass alle diese Plugins, wenn sie veraltet sind, leicht zu einem Einstiegspunkt für die Hacker werden, um auf Ihrer Website zu tun, was sie wollen.
Es ist ganz einfach, Ihr WordPress auf dem neuesten Stand zu halten.
Zunächst einmal haben alle Versionen nach 5.6 (veröffentlicht im Dezember 2020) automatische Updates aktiviert, was bedeutet, dass Sie nichts tun müssen. Wenn dies aus irgendeinem Grund nicht der Fall ist (sagen wir, Ihr Entwickler hat sie deaktiviert), gibt es mehrere Möglichkeiten, wie Sie Ihre automatischen Updates aktivieren können.
Einer ist über Softaculous, die Anwendung, die häufig von cPanel-Benutzern verwendet wird, um WordPress auf ihren Servern zu installieren. Mit dem WordPress Manager von Softaculous können Sie automatische Upgrades konfigurieren; Sie können wählen, ob Sie nur kleinere Updates oder auch größere Updates automatisch aktualisieren möchten.
Sie können sich auch dafür entscheiden, Ihre Plugins und Themes automatisch zu aktualisieren. Das Beste ist, dass vor jedem automatischen Upgrade ein Backup erstellt wird, nur für den Fall, dass eine Wiederherstellung erforderlich ist.
Eine weitere Option, wenn Sie etwas geschickt darin sind, Ihren Code zu modifizieren, besteht darin, die native Konfiguration für automatische Updates von WordPress zu verwenden – erfahren Sie mehr darüber direkt in der KB von WordPress.
3. Wählen Sie einen starken Benutzernamen und ein sicheres Passwort
Zu den häufigsten WordPress-Hacking-Versuchen gehört die Verwendung gestohlener Anmeldedaten. Wir sprechen über den sogenannten Brute-Force-Angriff – eine effiziente und unkomplizierte Art von Cyber-Angriffen, bei der Hacker einen Computer verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren lassen, bis sie die richtigen finden.Viele Leute verwenden den Benutzernamen „admin“, da dieser standardmäßig angezeigt wird, wenn Sie eine Softwareanwendung wie Softaculous verwenden, um Ihr WordPress zu installieren.
Verwenden Sie nicht den Standardbenutzernamen , um Hackern die Arbeit zu erleichtern – wählen Sie einen anderen Benutzernamen, z. B. Ihre E-Mail-Adresse. Wenn Sie einen bereits erstellten Benutzer mit diesem Benutzernamen erhalten haben, erstellen Sie einen neuen Administrator und löschen Sie den vorhandenen.
Gleiches gilt für Ihr Passwort; je stärker es ist, desto besser. Wählen Sie ein langes Passwort, das Ziffern und Sonderzeichen enthält, oder, noch besser, generieren Sie ein zufälliges.
Wenn Sie befürchten, Ihr Passwort zu vergessen, versuchen Sie, ein System zu finden, das Ihnen dabei helfen kann, sich daran zu erinnern. Manche Leute verwenden gerne eine statische Kombination aus Zeichen + dem Namen der Website als Unterscheidungsmerkmal (Jack1990Apple!), andere bevorzugen assoziative Passwörter.
Natürlich können Sie Ihre Zugangsdaten einfach speichern und müssen sich keine Gedanken darüber machen, ob Sie sich daran erinnern oder nicht. Verwenden Sie jedoch nicht Ihren Browser, um Ihre Zugangsdaten zu speichern! Dies ist eine ziemlich unsichere (und häufig verwendete) Option.
Wenn Sie Ihre Anmeldedaten speichern möchten, damit Sie sie nicht jedes Mal eingeben müssen, verwenden Sie einen Passwort-Manager wie Lastpass – sie haben einen kostenlosen Tarif und Ihre Anmeldedaten sind so sicher wie möglich. Mit dem Passwort-Manager müssen Sie sich nur 1 Passwort (das Master-Passwort) merken und auch Kreditkartendaten speichern.
4. Anmeldeversuche begrenzen
Eine andere Möglichkeit, Brute-Force-Angriffe zu verhindern (auch hier versuchen sie einzudringen, indem sie Ihre Daten erraten), besteht darin, einfach die Anzahl der Anmeldeversuche zu begrenzen. Glücklicherweise ist dies ziemlich einfach; Installieren Sie einfach ein Plugin wie Loginizer oder prüfen Sie, ob ein Sicherheits-Plugin dies nicht als Funktion anbietet, wenn Sie ein Sicherheits-Plugin verwenden.Kunden des Shared-Hosting-Service von Kualo sind außerdem automatisch vor Brute-Force-Login-Angriffen geschützt – wobei Brute-Force-Angriffe gedrosselt und blockiert werden.
5. Verwenden Sie 2FA (Zwei-Faktor-Authentifizierung)
Die Zwei-Faktor-Authentifizierung hat sich in den letzten Jahren zu einer Art Goldstandard entwickelt. Tatsächlich werden viele seriöse Websites ihre Benutzer zwingen, 2FA auf ihrem Konto zu implementieren, als eine der zuverlässigsten Methoden, es zu schützen. Die Funktionsweise besteht darin, dass jedes Mal, wenn Sie sich von einem nicht erkannten Gerät aus anmelden, eine zusätzliche Authentifizierung (normalerweise über Ihr Telefon) erforderlich ist.Das bedeutet, dass Hacker, selbst wenn sie Ihre genauen Anmeldedaten haben, sich ohne diese zusätzliche Authentifizierung nicht anmelden können.
Sie können ein Plugin wie WP 2FA installieren und andere Benutzer auf Ihrer Website dazu zwingen, es ebenfalls zu verwenden (insbesondere wenn sie Administrator- oder Editorrechte haben). Denken Sie daran, Ihre Sicherungscodes immer herunterzuladen und an einem sicheren Ort aufzubewahren, falls Sie den Zugriff auf Ihr Telefon verlieren.
6. Ändern Sie die URL Ihrer Anmeldeseite
Ähnlich wie der Benutzername „admin“ ist ein weiteres berüchtigtes Detail von WordPress, wenn es um den Anmeldezugriff geht, die Anmeldeseite. Die Standardeinstellung ist entweder „www.ihrewebsite.com/wp-login.php“ oder „www.ihrewebsite.com/wp-admin“.Wie auch immer, wenn Sie es so belassen, machen Sie es Hackern viel einfacher, den Eingang zu Ihrem Backend zu identifizieren und einen Brute-Force-Angriff zu starten.
Ändern Sie die URL (Slug) zu Ihrer Anmeldeseite, indem Sie ein Plugin wie ThemeMyLogin verwenden, oder suchen Sie nach einem Sicherheits-Plugin, das mehrere von uns aufgelistete Funktionen enthält (2FA, Anmeldeversuche begrenzen usw.).
Es gibt auch einen ausgezeichneten Artikel von WPBeginner darüber, wie Sie Ihre Anmelde-URL manuell ändern können, aber wenn Sie sich mit der Verwaltung von Code nicht auskennen, ist es am besten, nicht dorthin zu gehen.
7. Installieren Sie ein Sicherheits-Plugin
Zum Zeitpunkt des Schreibens dieses Artikels sind mehr als 50 Millionen Plugins verfügbar, sowohl kostenlos als auch kostenpflichtig. Es wäre schade, die große Basis an Plugins nicht zu nutzen, die Ihre Installation vor böswilligen Angriffen schützen können.Andererseits ist jedes Plugin, das Sie installieren, ein weiteres Stück Code, das gepflegt (dh aktualisiert) werden muss. Eine Vielzahl von Plugins erhöht auch das Risiko einer Inkompatibilität – in diesem Fall können zwei oder mehr Plugins nicht zusammenarbeiten – Sie müssen also vermeiden, Plugins zu installieren, auf die Sie verzichten können.
Einige der besten Sicherheits-Plugins kombinieren, wie oben erwähnt, mehrere Funktionen und reduzieren so die Anzahl der Plugins, die Sie installieren müssen, um all die Dinge zu tun, über die wir sprechen. Einige großartige Beispiele sind:
- Wordfence-Sicherheit – eine weitere weit verbreitete Option voller Funktionen. Das Plugin eignet sich hervorragend für Benutzer mit mehreren Websites über seine Wordfence-Zentrale und überprüft WordPress auf verschiedene Sicherheitsrisiken wie bösartigen Code, Spam-Injektionen und sogar schlechte URLs
- WP Cerber Security – ein großartiges Plugin mit einer leistungsstarken Kombination von Optionen, von denen viele in diesem Artikel empfohlen werden. Tatsächlich ist dies wahrscheinlich eines der Plugins mit der umfassendsten Liste von Sicherheitsfunktionen.
- All in One WP Security – dieses Plugin ist bei technisch weniger versierten Nutzern sehr beliebt, zudem gibt es keine kostenpflichtige Version, also keinerlei Einschränkungen. Es erfordert mehr manuelle Konfiguration, aber seine Einfachheit gewährleistet eine relativ flache Lernkurve.
8. Installieren Sie ein Aktivitätsprotokoll-Plugin
Dies ist ein netter Ratschlag, der bei vielen Gelegenheiten nützlich sein kann. Das Aktivitätsprotokoll-Plugin zeichnet Protokolle aller Aktivitäten auf und zeigt sie an, die von verschiedenen Benutzern auf Ihrer Website ausgeführt werden. Stellen Sie es sich als eine Art CCTV-Kamera vor, die alles im Auge behält, was auf Ihrer Website passiert (natürlich im Textformat!).Wenn mehrere Benutzer mit Administratorrechten an Ihrer Website arbeiten, ist dies eine hervorragende Möglichkeit, um zu dokumentieren, was getan wird.
Aus Sicherheitssicht kann es Ihnen verschiedene Informationen anzeigen, die sehr nützlich sein können – von fehlgeschlagenen Anmeldeversuchen bis hin zu Änderungen in den Dateien und Einstellungen der WordPress-Site. Wenn Sie jemand sind, der seine eigene Website-Wartung durchführen möchte, ist diese Funktion ein Muss.
Eine großartige (und kostenlose) Option ist das WP-Aktivitätsprotokoll, ein Plugin, das es seit Jahren gibt und das sowohl für sein detailliertes Protokoll als auch für die Einfachheit der Benutzeroberfläche bekannt ist.
9. Installieren Sie ein SSL-Zertifikat
Das sollte eigentlich selbstverständlich sein, aber fügen wir diese Empfehlung sicherheitshalber mit ein.Früher war ein SSL für Websites erforderlich, die für bestimmte Transaktionen wie Zahlungen sicher sein mussten. Heutzutage spielt es jedoch keine Rolle, ob Sie Zahlungen auf Ihrer Website abwickeln oder nicht. SSL ist für jede Website obligatorisch, die vertrauliche Informationen wie Passwörter, Namen, Adressen usw. verarbeitet.
Die Mechanismen neben den Kulissen sind wie folgt: Ohne ein SSL auf Ihrer Website werden alle Daten, die zwischen dem Webbrowser des Benutzers und Ihrem Webserver übertragen werden, im Klartext geliefert, den Hacker lesen können.
Sobald Sie ein SSL installiert haben, werden die sensiblen Informationen verschlüsselt, bevor sie zwischen den beiden Parteien übertragen werden – dem Webbrowser des Benutzers und Ihrem Server, wodurch sie vor böswilligen Dritten geschützt werden.
Google hat die Wichtigkeit eines SSL-Zertifikats schon vor einiger Zeit erkannt und damit begonnen, auf den ersten Plätzen Websites anzuzeigen, die eine verschlüsselte Übertragung von Informationen anbieten könnten.
Darüber hinaus warnte Google 2018 alle Website-Eigentümer, dass jede Website ohne aktives SSL in der URL als „Nicht sicher“ angezeigt würde. Das macht das SSL-Zertifikat zu einem absoluten Muss; Die gute Nachricht ist, dass es ziemlich einfach zu bekommen ist, und außerdem ist bei einigen Hosting-Unternehmen (einschließlich Kualo!) ein SSL kostenlos enthalten.
10. Backups einrichten
Während Backups möglicherweise nicht zu 100% funktionieren, wenn Sie ein WordPress-Problem beheben müssen, sind sie Ihre erste Verteidigungslinie. Ein Website-Backup kann sich nicht nur bei einem Hackerangriff als nützlich erweisen, sondern auch bei technischen Problemen.Wenn Sie ein neues Design/Plugin installieren oder aktiv an Ihrer Website arbeiten, kann es oft vorkommen, dass etwas kaputt geht, daher ist es ohne Zweifel ein Muss, ein Backup zu haben.
Während die meisten zuverlässigen Hosting-Anbieter diese täglichen Backups für Sie eingerichtet haben, ist es keine schlechte Idee, entweder zu lernen, wie man sie manuell durchführt, oder ein Backup-Plugin wie UpdraftPlus oder BackupBuddy zu verwenden. Beide haben die Möglichkeit, Ihre Website-Backups auf Cloud-Dienste wie Amazon hochzuladen oder sie lokal zu exportieren.
Sie können auch die Softaculous Backup-Funktion verwenden, die in Ihrem cPanel leicht zugänglich ist. Die gute Nachricht ist, dass es maximale Einfachheit bietet und keine zusätzlichen Kosten verursacht. Die schlechte Nachricht ist, dass es im Gegensatz zu seinen Gegenstücken die Backups auf Ihr Hosting-Konto hochlädt, also Speicherplatz verbraucht und auch am selben Ort wie die Website selbst gespeichert wird. Wenn etwas mit Ihrem Konto passieren würde (z. B. Dateien versehentlich löschen oder ein manueller Hackerangriff), könnte auch Ihre Sicherungskopie gefährdet sein.
Denken Sie immer daran, eine Sicherungskopie zu erstellen, wenn Sie planen, an Ihrem WordPress zu arbeiten, und Sie sich über das Endergebnis nicht sicher sind!
Wenn Sie eine stark frequentierte E-Commerce-Website betreiben, sind stündliche Backups möglicherweise die beste Wahl für Sie. Wie bereits erwähnt, können Websites, die viele Bestellungen generieren, erhebliche Verluste erleiden, falls sie ein mehrere Stunden zuvor erstelltes Backup wiederherstellen müssen.
Weitere umsetzbare Schritte zum Schutz Ihrer WordPress-Website [Erweitert]
Die Tipps, die Sie in diesem Abschnitt finden, erfordern etwas fortgeschrittenere Kenntnisse in der Verwaltung Ihres WordPress und das Vertrauen, direkt in seinen Code zu schreiben. Wenn Sie sich bei diesen Schritten nicht wohl fühlen, ist es ratsam, einen WordPress-Entwickler zu konsultieren, der Ihnen bei der Ausführung helfen kann.11. Deaktivieren Sie die Dateibearbeitung
WordPress wird mit einem integrierten Code-Editor geliefert, mit dem Sie Ihre Design- und Plugin-Dateien von Ihrem Admin-Panel aus bearbeiten können. Wenn die falsche Person Zugriff auf Ihr Admin-Panel erhält, kann dies ein enormes Sicherheitsrisiko darstellen. Aus diesem Grund empfehlen wir, diese Funktion zu deaktivieren.Du kannst dies tun, indem du deiner wp-config.php-Datei einen Code hinzufügst:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Deaktivieren Sie die Ausführung von PHP-Dateien für bestimmte WordPress-Verzeichnisse
Fügen Sie eine weitere Schutzebene hinzu, indem Sie die Ausführung von PHP-Dateien in Verzeichnissen deaktivieren, in denen dies nicht erforderlich ist. Der Grund, warum Sie das tun möchten, ist, dass Hacker häufig die Funktion verwenden, um Backdoor-Zugriffsdateien oder Malware auf Ihre WordPress-Site hochzuladen. Dies ist ein gefährlicher Schritt, wenn Sie nicht wissen, was Sie tun, da Ihre Website möglicherweise nicht mehr funktioniert. Gehen Sie also vorsichtig vor! Das gesuchte Verzeichnis ist /wp-content/uploads/Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:
<Dateien *.php>
abgelehnt von allen
</Dateien>
Speichern Sie diese Datei als .htaccess und laden Sie sie mit einem FTP-Client oder über Ihren Dateimanager in cPanel in die Ordner /wp-content/uploads/ Ihrer Website hoch.
13. Deaktivieren Sie XML-RPC
Früher wurde XML-RPC verwendet, um Ihre WordPress-Site mit Web- und mobilen Apps zu verbinden, aber seit WordPress seine eigene REST-API veröffentlicht hat, wurde XML-RPC zu einer Belastung statt einer nützlichen Funktion.Wenn ein Hacker beispielsweise 1000 verschiedene Passwörter auf Ihren Websites ausprobieren möchte, müsste er 1000 separate Anmeldeversuche unternehmen, die von Ihrem Sicherheits-Plugin oder Ihrer Firewall abgefangen werden. Wenn Sie jedoch XML-RPC aktiviert lassen, könnte ein Hacker die Funktion system.multicall verwenden und 1000 verschiedene Passwörter mit 30-60 Anfragen ausprobieren.
Aus diesem Grund empfehlen wir dringend, es zu deaktivieren, und Sie können dies tun, indem Sie einfach einen Code in Ihre .htaccess-Datei einfügen:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>In Zeile 5 sollten Sie Ihre eigene IP einfügen, falls dies die einzige ist, von der Sie XML-RPC behalten möchten (andernfalls einfach löschen).
Hinweis: Wenn Sie einer unserer Benutzer sind, müssen Sie diesen Schritt nicht ausführen, da Ihr XMLRPC durch die Brute-Force-Schutzfunktion von LiteSpeed geschützt wird.
14. Beschränken Sie den Zugriff von Bots
Während Ihre Website immer von einigen Bots gecrawlt wird, können schlechte Bots lästige Störungen verursachen. Sie könnten Ihren Arbeitsablauf verlangsamen und/oder die Funktionalität Ihrer WordPress-Seite stören und so zu einem Verlust von Benutzern führen.Eine gute Möglichkeit, damit umzugehen, besteht darin, missbräuchliche Bots daran zu hindern, Zugriff auf Ihr WordPress zu erhalten. Fügen Sie den folgenden Code in die .htaccess-Datei ein.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outNicht-technische Tipps, um Ihr WordPress sicher zu halten
Verwenden Sie das Prinzip der geringsten Berechtigung (POLP)Geben Sie jedem Ihrer Website-Benutzer den geringstmöglichen Zugriff. Wenn Sie beispielsweise einen Content-Autor haben, ist es nicht erforderlich, ihm ein Administratorkonto zur Verfügung zu stellen – ein Editor-Benutzer reicht völlig aus. Geben Sie Ihr Konto nicht weiter, es sei denn, es ist absolut notwendig, und wenn Sie dies tun, ändern Sie Ihr Passwort, sobald derjenige, dem Sie es gegeben haben, es nicht mehr benötigt.
Geben Sie auch Ihre Hosting-Details nicht weiter, es sei denn, es ist absolut notwendig.
Verwenden Sie keine ungültigen (illegal heruntergeladenen) WordPress-Designs und -Plugins
Irgendwann kann es zur Versuchung werden, etwas Geld zu sparen und ein nicht lizenziertes Plugin oder Design herunterzuladen. In diesem Fall zahlen Sie auf andere Weise – höchstwahrscheinlich mit der Positionierung einer Hintertür zu Ihrem WordPress. Hacker verstecken oft Spam-Links oder bösartigen Code in den nicht lizenzierten Artikeln und bieten sie zum kostenlosen Download an.
Vermeiden Sie sie um jeden Preis, und wenn Sie eine Website oder Funktionalität in Auftrag geben, stellen Sie sicher, dass Sie sich vom Entwickler bestätigen lassen, dass alles ordnungsgemäß lizenziert ist.
Abschließende Gedanken
Betrachten Sie die Zeit (und die Mittel), die Sie aufwenden werden, um Ihr WordPress zu sichern, als eine weitere wichtige Geschäftsinvestition. Das Reparieren einer gehackten Website kostet Sie erheblich mehr – im unglücklichsten Fall kann es Sie sogar Ihr Unternehmen kosten. Die Befolgung dieses Leitfadens garantiert keinen 100-prozentigen Schutz vor böswilligen Angriffen, verringert jedoch die Wahrscheinlichkeit, dass dies geschieht, erheblich.Finden Sie einen der angebotenen Ratschläge schwer zu befolgen? Haben wir etwas Wichtiges vergessen? Pingen Sie uns in den Kommentaren, wir würden gerne Ihre Meinung hören!
Oder wenn Sie bereit sind, zu Kualos supersicherem WordPress-Hosting zu wechseln, sehen Sie sich hier unsere Pläne an.