Our Blog

Wie Sie Ihre WordPress-Sicherheit stärken 16 Tipps

by imleme
wordpress

Erfahren Sie, wie Sie Ihre WordPress-Website vor Hackern mit diesen 16 Sicherheitstipps schützen und was zu tun ist, wenn Ihre WP-Website gehackt wird.

Wenn es um Sicherheit geht, gibt es keinen WordPress-spezifischen Sicherheitstyp. Alle sicherheitsrelevanten Probleme sind allen Websites oder Apps gemeinsam.

WordPress-Sicherheitsprobleme bekommen eine Menge Aufmerksamkeit, weil sie Strom über 40% des Webs und sind Open Source. Wenn eine Schwachstelle im WordPress-Kernel oder in Plugins vorhanden ist, werden andere Websites, die sie verwenden, anfällig, weil sie alle den gleichen Code verwenden.

Auf der anderen Seite gibt es eine Menge von Plugins, die Sie verwenden können, um die Sicherheit Ihrer Website zu stärken.

In diesem Artikel erfahren Sie, wie Sie Ihre WordPress-Website gegen verschiedene Arten von Schwachstellen stärken können, obwohl der Umfang dieses Artikels breiter ist und für alle Arten von Webanwendungen gilt.

Schutz der Sicherheitsanfälligkeit bei WordPress

Die häufigsten Arten von Sicherheitsanfälligkeiten sind:

  1. Hintertüren.
  2. Drogen Hacks.
  3. Brute Force-Eingabeversuche.
  4. Bösartige Empfehlungen.
  5. Intersite Scripting (XSS).
  6. Denial of Service (DDoS).

Dies sind häufige Arten von Sicherheitsanfälligkeiten, aber das bedeutet nicht, dass sie auf sie beschränkt sind. Wenn Sie an Sicherheit denken, sollten Sie es in der Regel als 360° betrachten.

Es gibt keine begrenzte Möglichkeit, eine Website zu hacken. Angreifer können viele Techniken verwenden, um auf Ihre Website zuzugreifen.

Sie können beispielsweise Ihren Computer stehlen und physischen Zugriff auf Ihren Computer erhalten. Sie können auch Überwachungstechniken verwenden, um Ihre Kennwörter zu sehen, wenn Sie sich über ein öffentliches Netzwerk bei Ihrer Website anmelden.

Schauen wir uns an, wie wir unsere WordPress-Installationen verhärten können, um Angreifern das Leben etwas schwerer zu machen.

Lesen Sie weiter, um mehr über jede dieser 16 Möglichkeiten zu erfahren, um die Sicherheit Ihrer WordPress-Website zu verbessern:

  1. Verwenden Sie HTTPS.
  2. Verwenden Sie immer sichere Kennwörter.
  3. Verwenden Sie Kennwort-Manager, um Ihre Kennwörter zu speichern.
  4. Aktivieren Sie Captcha für Eingabeformulare.
  5. Verhindern Brute-Force-Anmeldeversuche.
  6. Verwenden Sie die Zwei-Faktor-Authentifizierung.
  7. Halten Sie Add-Ons auf dem neuesten Stand.
  8. Legen Sie Sicherheits-HTTP-Header fest.
  9. Legen Sie die richtigen Dateiberechtigungen für WordPress-Dateien fest.
  10. Deaktivieren Sie die Dateibearbeitung von WordPress.
  11. Deaktivieren Sie alle unnötigen Funktionen.
  12. Blendendruckversion ausblenden.
  13. Installieren Sie eine WordPress-Firewall.
  14. Bewahren Sie die Sicherungen auf.
  15. Verwenden Sie SFTP.
  16. Überwachen Sie die Aktivitäten der Benutzer.

1. Sichern Sie Ihre Website mit HTTPS

Es ist kein Zufall, dass wir mit der Sicherung der Website mit HTTPS begonnen haben.

Alles, was Sie tun, fließt über das Netzwerk und Kabelkabel. HTTP ändert Daten in Nur-Text zwischen dem Browser und dem Server. Daher kann jeder, der Zugriff auf das Netzwerk zwischen dem Server und dem Browser hat, Ihre unverschlüsselten Daten anzeigen.

Wenn Sie ihre Verbindung nicht aufrechterhalten, besteht die Gefahr, dass vertrauliche Daten an Angreifer weiterzugeben sind. Mit HTTPS werden Ihre Daten verschlüsselt, und Angreifer können übertragene Daten nicht lesen, selbst wenn sie Zugriff auf Ihr Netzwerk haben.

Daher ist der erste Schritt beim Sichern Ihrer Website, HTTPS zu aktivieren. Wenn Sie noch nicht zu HTTPS gewechselt haben, können Sie dieses Handbuch verwenden, um WordPress auf HTTPS zu verschieben.

Tools und WordPress-Plugins, die Sie verwenden können, um HTTP auf HTTPS zu verschieben

Bessere Suche ersetzen.

Datenbanksuche und Skript ersetzen.

  1. Verwenden Sie immer sichere Kennwörter

Der häufigste Weg für Hacker, auf Websites zuzugreifen, ist durch schwache oder verschlüsselte Passwörter. Diese machen dich anfällig für Brute-Force-Angriffe.

Erhöhen Sie Ihre Sicherheit, indem Sie sicherere Kennwörter als die anderen unten aufgeführten Methoden verwenden.

Verwenden Sie immer sichere Passwörter und sie pwned regelmäßig überprüfen, ob sie pwned werden.

WordPress Plugins zur Verbesserung der Passwortsicherheit:

Pwned-Passwort nicht zulassen.

Laden Sie Password Policy Manager herunter.

Passwort bcrypt.

  1. Verwenden von Kennwort-Managern zum Speichern Ihrer Kennwörter

Wenn Sie sich während der Arbeit über ein öffentliches Netzwerk anmelden, können Sie nicht sicher sein, wer beobachtet, was Sie auf Ihrem Laptop schreiben oder Ihre Kennwörter registrieren.

Um dieses Problem zu beheben, verwenden Sie Kennwort-Manager, um einfach auf Ihre Kennwörter zuzugreifen und sie an einem sicheren Ort zu speichern.

Selbst wenn auf Ihren PC zugegriffen wird, können sie Ihre Passwörter nicht erhalten. Passwort-Manager sind browserbasiert und nicht WordPress-Plugins.

Password Manager Browser Add-ons:

Lastpass.

1Passwort.

NordPass.

  1. Hinzufügen von CAPTCHA zum Eingabe- und Registrierungsformular

Wenn Sie Ihre Website mit HTTPS sichern und sichere Passwörter verwenden, machen Sie Hackern bereits das Leben ziemlich schwer.

Sie können dies jedoch noch schwieriger machen, indem Sie CAPTCHA zu Eingabeformularen hinzufügen.

Captchas sind eine großartige Möglichkeit, deine Anmeldeformulare vor Brute-Force-Angriffen zu schützen.

Plugins zum Hinzufügen von Captcha in WordPress-Eintrag:

Login No Captcha reCAPTCHA.

Login Security reCAPTCHA.

  1. Schutz vor Brute Force-Einstiegsversuchen

Input CAPTCHA bietet Ihnen Schutz vor Brute-Force-Versuchen bis zu einem bestimmten Punkt, aber nicht vollständig. In der Regel sind Captcha-Token für einige Minuten gültig, nachdem sie aufgelöst wurden.

Google reCaptcha ist beispielsweise 2 Minuten gültig. Angreifer können diese zwei Minuten verwenden, um während dieser Zeit brute Force-Eintrag in Ihr Eingabeformular zu versuchen.

Um dieses Problem zu beheben, müssen Sie fehlgeschlagene Anmeldeversuche mit einer IP-Adresse blockieren.

WordPress-Plugins, um Brute-Force-Angriffe zu verhindern:

WP-Limit-Anmeldeversuche.

Beschränken Sie Anmeldeversuche neu geladen.

  1. Einrichten der Zwei-Faktor-Authentifizierung (2FA)

Sie werden mehr geschützt mit sicheren Passwörtern und Captcha auf Login-Formulare, ja.

Was passiert, wenn die Hacker Überwachungsmethoden verwendet, um auf Ihre Website zuzugreifen und das Passwort aufzeichnen, das Sie im Video eingegeben haben?

Wenn Sie über ein Kennwort verfügen, kann nur die Zwei-Faktor-Authentifizierung Ihre Website vor Angreifern schützen.

WordPress Plugins für 2FA Authentication Setup:

Zwei-Faktor.

Google Authenticator.

WordPress Zwei-Faktor-Authentifizierung (2FA , MFA).

  1. Halten Sie WordPress-Kerne und Plugins auf dem neuesten Stand

Sicherheitsanfälligkeiten treten in der Regel für WordPress-Kernel und Plugins auf und werden gefunden und gemeldet, wenn sie auftreten. Achten Sie darauf, Ihre Add-Ons mit der neuesten Version zu aktualisieren, um zu verhindern, dass Websites durch bekannte und gemeldete Lücken in Dateien angegriffen werden.

Ich würde nicht empfehlen, auf automatische Aktualisierung zu wechseln, da es dazu führen kann, dass Ihre Websites ohne Ihr Wissen beschädigt werden.

Da diese Updates jedoch Sicherheitspatches für den Kernel enthalten, empfehle ich dringend, dass Sie kleine Updates des WordPress-Kernels aktivieren, indem Sie diese Codezeile zu wp-config.php hinzufügen.

definieren ( “WP_AUTO_UPDATE_CORE”, “geringfügig”);

  1. Festlegen von Sicherheits-HTTP-Headern

Sicherheitsheader bieten eine zusätzliche Schutzebene, indem sie Aktionen einschränken, die beim Durchsuchen der Website zwischen dem Browser und dem Server ausgeführt werden können.

Sicherheitsheader sollen vor Clickjacking- und XSS-Angriffen (Intersite Scripting) geschützt werden.

Die Sicherheitsthemen sind:

Strenge Transportsicherheit (HSTS).

Content-Security-Policy.

X-Frame-Optionen.

X-Content-Type-Optionen.

Bringen Sie Metadaten-Header.

Referenzpolitik.

Cache-Steuerung.

Löschen sie Standortdaten.

Feature-Politik.

Wir werden nicht tief in jede Sicherheitstitelbeschreibung gehen, aber Sie können einige Plugins hier finden, um sie zu beheben.

WordPress Plugins, um Sicherheits-Header zu aktivieren:

HTTP-Header, um die Websitesicherheit zu verbessern.

GD-Sicherheitsheader.

  1. Festlegen der richtigen Dateiberechtigungen für WordPress-Dateien

Wenn falsch eingestellt, wenn eine Website im Shared Hosting gehackt wird, können Angreifer auf Dateien auf Ihrer Website zugreifen und dort alle Inhalte lesen – insbesondere wp-config.php – und vollen Zugriff auf Ihre Website erhalten.

Alle Dateien müssen 644 sein.

Alle Ordner müssen 775 sein.

Wp-config.php muss 600 sein.

Die obigen Regeln bedeuten, dass Ihr Hosting-Benutzerkonto Dateien lesen und ändern kann und der Webserver (WordPress) Dateien und Ordner ändern, löschen und lesen kann.

Andere Benutzer können wp-config.php Inhalt nicht lesen. Wenn die Einstellung 600 für wp-config.php Ihre Website abstürzt, ändern Sie sie in 640 oder 644.

  1. Deaktivieren sie die Dateibearbeitung von WordPress

Es ist eine bekannte Funktion in WordPress, wo Sie Dateien aus dem Admin-Back-End bearbeiten können.

Es ist nicht wirklich notwendig, weil Entwickler SFTP verwenden und selten verwenden.

Dateiberechtigungen sind Regeln im Betriebssystem, das Ihre WordPress-Dateien hostet; Diese Regeln bestimmen, wie Dateien gelesen, bearbeitet und ausgeführt werden können. Diese Sicherheitsmaßnahme ist besonders wichtig, wenn Sie eine Website auf Shared Hosting hosten.

  1. Deaktivieren Sie alle unnötigen Funktionen

WordPress kommt mit vielen Funktionen, die Sie vielleicht nie brauchen. Beispielsweise wurde der XML-RPC-Endpunkt in WordPress für die Kommunikation mit externen Anwendungen erstellt. Angreifer können diesen Endpunkt für Brute-Force-Sitzungen verwenden.

Deaktivieren Sie XML- Deaktivieren Sie XML-RPC mit dem RPC-API-Add-In.

Eine andere Sache, in die WordPress integriert ist, ist die Bereitstellung eines REST-API-Endpunkts, um alle Benutzer auf der Website aufzulisten.

Wenn Sie “/wp-json/wp/v2/users” zu einem Beliebigen WordPress-Setup hinzufügen, wird eine Liste der Benutzernamen und Benutzer-IDs als JSON-Daten angezeigt.

Deaktivieren Sie Benutzer rest-api, indem Sie diese Codezeile zur Funktion hinzufügen.php

Funktion disable_users_rest_json( $response, $user, $request )

“;

add_filter( ‘rest_prepare_user’, ‘disable_users_rest_json’, 10, 3);

  1. Ausblenden WordPress-Version

WordPress fügt automatisch einen Kommentar zum HTML-Code der PAGE mit der WordPress-Version hinzu. Gibt dem Angreifer die Version Ihres installierten WordPress als zusätzliche Informationen.

Wenn Sie beispielsweise eine Version von WordPress verwenden, von der berichtet wurde, dass sie eine Schwachstelle in ihrem Kernel hat, weiß der Angreifer, dass er oder sie die gemeldete Technik verwenden kann, um Ihre Website zu hacken.

Verstecken WordPress Version Meta Tags mit diesen Plugins:

Meta-Generator und Version Info Remover.

WP Generator Remover von Dawsun.

  1. Einrichten einer WordPress-Firewall

Eine Firewall ist eine Webanwendung, die auf Websites ausgeführt wird und eingehende HTTP-Anforderungen analysiert. Implementiert komplexe Logik, um potenziell bedrohliche Anforderungen zu filtern.

Um Anforderungen zu blockieren, können Sie Regeln für die integrierten Regeln der Firewall festlegen. Eine der häufigsten Arten von Angriffen ist SQL-Injektion.

Nehmen wir an, Sie führen ein WordPress-Plugin, das anfällig für SQL-Injektionen ist und Sie wissen es nicht. Wenn Sie eine Firewall ausführen, kann der Angreifer die Website nicht hacken, selbst wenn er von der Sicherheitsanfälligkeit im Add-On weiß.

Dies liegt daran, dass die Firewall Anforderungen blockiert, die SQL-Injektionen enthalten.

Firewalls blockieren diese Anforderungen von ip und verhindern, dass aufeinanderfolgende gefährliche Anforderungen kommen. Firewalls können dDoS-Angriffe auch verhindern, indem zu viele Anforderungen von einer einzelnen IP erkannt und blockiert werden.

Es ist auch möglich, Firewalls auf DNS-Ebene auszuführen, die ausgeführt werden, bevor eine Anforderung an einen Webserver gestellt wird. Ein Beispiel ist die Cloudflare DNS-Firewall.

Der Vorteil dieser Methode ist, dass sie robuster gegen DDoS-Angriffe ist.

Firewalls auf Anwendungsebene, die auf dem Server ausgeführt werden, ermöglichen das Erreichen von HTTP-Anforderungen und blockieren dann den Webserver. Dies bedeutet, dass der Server einige CPU/RAM-Ressourcen ausgibt, um sie zu blockieren.

Es verschwendet keine Serverressourcen mit Firewalls auf DNS-Ebene, sodass es nachhaltiger gegen Angriffe ist.

WordPress Firewall Plugins können Sie verwenden:

Wordfence-Sicherheit.

Sucuri.

All In One WP Security & Firewall.

BulletProof-Sicherheit.

Schildsicherheit.

Hinweis: Wenn Sie Firewalls einrichten möchten, können diese Funktionen wie Denorat-Brute-Force-Schutz oder 2F-Authentifizierung aufweisen, und Sie können deren Funktionen verwenden, anstatt die oben genannten Add-Ons zu installieren.

  1. Speichern von Sicherungen

Wenn Sie angegriffen werden, ist der beste Weg, um die Website von der neuesten nicht infizierten Version wiederherstellen.

Wenn Sie keine Website-Backups speichern, kann die Bereinigung der Website ein zeitgerechter Prozess sein. Und in einigen Fällen, Es kann nicht möglich sein, alle Informationen wiederherzustellen, da die Malware löscht alle Daten.

Sichern Sie die Datenbank und Dateien Ihrer Website regelmäßig, um solche Szenarien zu vermeiden.

Überprüfen und aktivieren Sie Ihre Hosting-Unterstützung, wenn sie tägliche Backup-Funktionen bieten. Wenn dies nicht der Fall ist, können Sie diese Add-Ons verwenden, um Sicherungen auszuführen:

BackWPup.

UpdraftPlus.

BackupBuddy.

BlogVault.

  1. Verwenden von SFTP

Es ist wichtig, sich daran zu erinnern, dass viele Entwickler bereits SFTP verwenden, um eine Verbindung mit Webservern herzustellen, aber Sie tun es immer noch nicht.

Wie HTTPS verwendet SFTP Verschlüsselung, um Dateien über das Netzwerk zu übertragen, was es unmöglich macht, im Klartext zu lesen, selbst wenn es Zugriff auf das Netzwerk hat.

  1. Überwachen der Aktivitäten der Benutzer

Wir haben viele Möglichkeiten diskutiert, um Ihre Website vor unbekannten Hackern zu schützen. Was geschieht jedoch, wenn ein Mitarbeiter mit Zugriff auf den Website-Administrator zwielichtige Dinge tut, wie z. B. das Hinzufügen von Links zu Inhalten?

Keine der oben genannten Methoden kann einen schattierten Mitarbeiter erkennen.

Dies kann durch Befolgen der Aktivitätsprotokolle erfolgen. Wenn Sie sich die Aktivität jedes Benutzers ansehen, können Sie sehen, dass einer der Mitarbeiter einen Artikel bearbeitet hat, den sie nicht hätten ausführen sollen.

Sie können sich auch verdächtige Aktivitäten ansehen und sehen, welche Änderungen vorgenommen wurden.

WordPress Plugins zur Überwachung der Benutzeraktivität:

Aktivitätsprotokoll.

Benutzeraktivitätsprotokoll.

Wp-Aktivitätsprotokoll.

Beachten Sie, dass Sie möglicherweise die Zeit (oder die Anzahl der Datensätze) begrenzen möchten, die diese Add-Ons beibehalten. Wenn es zu viele sind, wird ihre Datenbank überlastet und die Website-Leistung und -Geschwindigkeit beeinträchtigt.

Was tun, wenn Sie gehackt werden?

Trotz aller Ratschläge von Sicherheitsexperten und wissend, wie Sie Ihre Websites vor Angriffen schützen können, geschieht dies immer noch.

Wenn Ihre Website gehackt wurde, müssen Sie die folgenden Schritte ausführen, um sie wiederherzustellen:

Ändern Sie jede Ihrer E-Mails und andere persönliche Passwörter in erster Linie, weil Hacker möglicherweise Zugriff auf Ihre erste E-Mail gewonnen haben, so dass Sie in der Lage sind, auf Ihre Website zuzugreifen und.

Stellen Sie Ihre Website auf die zuletzt deinstallierte Sicherung wieder her.

Setzen Sie die Kennwörter aller Website-Benutzer zurück.

Wenn Updates verfügbar sind, aktualisieren Sie alle Add-Ons.

 

Comments are closed.

Your nameYour emailYour text

Categories

Kategoriler

Log in
Register
Send message