WordPress Security – 19 Schritte für mehr Sicherheit

Wenn es um die WordPress-Sicherheit geht, gibt es viele Möglichkeiten, Ihre Website zu sperren, um zu verhindern, dass Hacker und Sicherheitsanfälligkeiten Ihr Unternehmen oder Ihr Blog beeinträchtigen. Hier wollen wir viele Tipps, Strategien und Techniken aufführen, mit denen Sie Ihre WordPress-Sicherheit verbessern und eine geschützte WP-Site betreiben können.

WordPress-Sicherheitslücken

WordPress hat manchmal einen schlechten Ruf, weil es anfällig für Sicherheitslücken und von Natur aus keine sichere Plattform für ein Unternehmen sei. Dies ist jedoch fast immer darauf zurückzuführen, dass Seitenbetreiber nicht die in der Industrie bewährten Sicherheitsmethoden befolgen. Durch die Verwendung veralteter WordPress-Software, eine schlechte Systemadministration, die Verwaltung von Anmeldeinformationen und das Fehlen notwendiger Web- und Sicherheitskenntnisse für Nicht-Techie-Nutzer bleiben Hackern die Tore zu vielen WP-Sites offen. Selbst Branchenführer setzen nicht immer auf Best Practices. Reuters wurde 2012 gehackt, weil sie eine veraltete Version von WordPress verwendeten.

Das heißt nicht, dass es keine Schwachstellen gibt. Laut einer Studie aus dem dritten Quartal 2017 von Sucuri, einem Multi-Plattform-Sicherheitsunternehmen, führt WordPress weiterhin die infizierten Websites (mit 83%) an. Dies ist ein Anstieg von 74% im Jahr 2016.

WordPress Security/Sicherheit - Sicherheitslücken nach CMS

WordPress wird auf über 32% aller Websites im verwendet. Da es Hunderttausende von Kombinationen aus Themes und Plugins gibt, ist es nicht verwunderlich, dass Schwachstellen vorhanden sind und ständig neue entdeckt werden. Es gibt jedoch auch eine großartige Community rund um die WordPress-Plattform, um sicherzustellen, dass diese Dinge so schnell wie möglich gepatcht werden. Das Sicherheitsteam von WordPress besteht aus etwa 25 Experten, darunter führende Entwickler und Sicherheitsforscher. Etwa die Hälfte sind Automattic-Mitarbeiter.

Nachfolgend finden Sie einige der verschiedenen Arten von WordPress-Sicherheitslücken.

WordPress Backdoors – die „Hintertüren“

Die treffend benannte Backdoor-Schwachstelle bietet Hackern versteckte Zugänge, wobei die Sicherheitsverschlüsselung umgangen wird, um über Methoden wie wp-Admin, SFTP, FTP usw. – auf WordPress-Websites zuzugreifen. Nach der Ausnutzung von Backdoors können Hacker erhebliches Chaos auf Hosting-Servern mit standortübergreifender Kontamination verursachen. Das bedeutet z.B. auch die Gefährdung mehrerer auf demselben Server gehosteter Sites. Im dritten Quartal 2017 berichtete Sucuri, dass WordPress Backdoors nach wie vor eine der am häufigsten genutzten Angriffsmöglichkeiten seien. 71% der infizierten Websites wiesen eine Form der Backdoor Injection auf.

WordPress Security/Sicherheit - Malware Verteilung

Backdoors werden häufig verschlüsselt, um als legitime WordPress-Systemdateien zu erscheinen, und gelangen zu WordPress-Datenbanken, indem sie Schwachstellen und Fehler in veralteten Versionen der Plattform ausnutzen. Das TimThumb-Fiasko war ein Paradebeispiel für Backdoor-Schwachstellen, bei denen zwielichtige Skripts und veraltete Software ausgenutzt wurden, die Millionen von Websites beeinträchtigten.

Zum Glück ist die Vorbeugung und Behebung dieser Sicherheitsanfälligkeit ziemlich einfach. Sie können Ihre WordPress-Site mit Tools wie SiteCheck scannen, mit denen Sie häufige Schwachstellen erkennen können. Die Zwei-Faktor-Authentifizierung, das Blockieren von IP-Adressen, die Beschränkung des Administratorzugriffs und die Verhinderung der unautorisierten Ausführung von PHP-Dateien behebt die üblichen Backdoor-Bedrohungen. Canton Becker hat auch einen großartigen Beitrag zum Bereinigen des Backdoor-Chaos Ihrer WordPress-Installationen erstellt.

Pharma-Hacks

Der sog. „Pharma-Hack-Exploit“ wird verwendet, um schädlichen Code in veraltete Versionen von WordPress-Websites und -Plugins einzufügen, wodurch der Google-Crawler Inhalte für pharmazeutische Produkte erhält, obwohl diese gar nicht Inhalt der Seite sind. Diese Schwachstelle ist eher eine Spam-Bedrohung als herkömmliche Malware, gibt Suchmaschinen jedoch Anlass, die Website aufgrund von Vorwürfen der Verbreitung von Spam zu blockieren.

Bei anderen Exploits handelt es sich häufig um bösartige Varianten verschlüsselter böswilliger Injektionen, die in Datenbanken versteckt sind, und erfordern einen gründlichen Bereinigungsvorgang, um diese Sicherheitslücke zu beheben. Dennoch können Sie Pharma Hacks problemlos verhindern, indem Sie empfohlene WordPress-Hostinganbieter mit aktuellen Servern verwenden und Ihre WordPress-Installationen, Designs und Plugins regelmäßig aktualisieren.

Brute-Force-Anmeldeversuche

Brute-Force-Anmeldeversuche verwenden automatisierte Skripts, um schwache Passwörter auszunutzen und Zugriff auf Ihre Site zu erhalten. Die zweistufige Authentifizierung, die Beschränkung der Anmeldeversuche, die Überwachung nicht autorisierter Anmeldungen, das Blockieren von IP-Adressen und die Verwendung sicherer Kennwörter sind einige der einfachsten und effektivsten Methoden, um Brute-Force-Angriffe zu verhindern. Leider haben einige Besitzer von WordPress-Websites diese Sicherheitspraktiken nicht eingehalten, sodass Hacker mit Brute-Force-Angriffen an einem einzigen Tag bis zu 30.000 Websites gefährden konnten.

Bösartige Weiterleitungen

Schädliche Weiterleitungen erstellen Hintertüren in WordPress-Installationen mithilfe von FTP, SFTP, wp-admin und anderen Protokollen und fügen Weiterleitungscodes in die Website ein. Die Weiterleitungen werden häufig in verschlüsselter Form in Ihre .htaccess-Datei und andere WP-Core-Dateien eingefügt, um den Webverkehr auf schädliche Websites zu lenken. WordPress-Benutzer können kostenlose Scanner,
wie SiteCheck, verwenden, die böswillige Verweise, Bots oder Browser effektiv erkennen und Benutzerkommentare scannen. Wir werden einige Möglichkeiten aufzeigen, wie Sie diese Praktiken verhindern können.

Denial of Service

Die möglicherweise gefährlichste Denial of Service (DoS) -Schwachstelle nutzt Fehler im Code, um den Speicher der Website-Betriebssysteme zu überfordern. Hacker haben Millionen von Websites kompromittiert und Millionen von Euros erzielt, indem sie veraltete und fehlerhafte Versionen der WordPress-Software mit DoS-Angriffen ausnutzten. Obwohl finanziell motivierte Cyberkriminelle weniger auf kleine Unternehmen abzielen, neigen sie dazu, veraltete anfällige Websites zu auszunutzen, indem sie sog. „Botnet Chains“ schaffen, um damit dann große Unternehmen anzugreifen.

Sogar die neuesten Versionen der WordPress-Software können nicht umfassend gegen DoS-Angriffe vorgehen. Und vergessen Sie nicht den 21. Oktober 2016. An diesem Tag kam das Internet aufgrund eines DNS-DDoS-Angriffs zum Erliegen.

WordPress-Sicherheitshandbuch

Laut Internet Live Stats werden täglich mehr als 60.000 Websites gehackt. Aus diesem Grund ist es so wichtig, sich etwas Zeit zu nehmen und die folgenden Empfehlungen zur Verbesserung der Sicherheit von WordPress durchzugehen.

WordPress Security/Sicherheit - Seiten gehackt

WordPress-Websites gehackt

Security is not an absolute, it’s a continuous process and should be managed as such. Security is about risk reduction, not risk elimination, and risk will never be zero. It’s about employing the appropriate security controls that best help address the risks and threats as they pertain to your website.

Security also transcends the WordPress application. It’s as much about securing and hardening your local environment, online behaviors and internal processes, as it is physically tuning and configuring your installation. Security is comprised of three domains: People, Process, and Technology. Each work in a synchronous harmony with each other, without the people, and their processes, the technology itself would be useless. Keep this in mind as you work through this guide, the threat landscape is constantly evolving and as such so should your security posture. – WordPress-Sicherheitskodex

Wir werden diesen Beitrag mit relevanten Informationen auf dem neuesten Stand halten, da sich der Status bei WordPress ständig ändert und neue Sicherheitslücken entstehen, bzw. alte geschlossen werden können.

WordPress Sicherheit – Schritt für Schritt

1. Investieren Sie in sicheres WordPress-Hosting

Wenn es um die WordPress-Sicherheit geht, gibt es viel mehr als nur das Sperren Ihres Login-Bereichs. Es gibt auch Sicherheitsmaßnahmen auf Webserver-Ebene, für die Ihr WordPress-Host verantwortlich ist. Es ist sehr wichtig, dass Sie einen Host wählen, dem Sie Ihre Unternehmenswebsite anvertrauen können. Wenn Sie WordPress auf Ihrem eigenen VPS hosten, benötigen Sie das technische Wissen, um diese Dinge selbst zu erledigen.

Server-Hardening ist der Schlüssel zum Erhalt einer absolut sicheren WordPress-Umgebung. Es sind mehrere Sicherheitsmaßnahmen auf Hardware- und Softwareebene erforderlich, um sicherzustellen, dass die IT-Infrastruktur, auf der WordPress-Sites gehostet werden, in der Lage ist, komplexe, physische und virtuelle Bedrohungen zu verhindern. Aus diesem Grund sollten Server, auf denen WordPress gehostet wird, mit dem neuesten Betriebssystem und (Sicherheits-) Software aktualisiert sowie gründlich getestet und auf Schwachstellen und Malware geprüft werden. Ein aktuelles Beispiel dafür war, als vor kurzem NGINX-Server aufgrund erkannter OpenSSL-Sicherheitslücken gepatcht werden mussten.

Firewalls und Intrusion Detection-Systeme auf Serverebene sollten vor der Installation von WordPress auf dem Server installiert sein, damit sie auch während der Website-Erstellungsphase gut geschützt ist. Jede auf dem Server installierte Software, die WordPress-Inhalte schützen soll, sollte mit den neuesten Datenbankverwaltungssystemen kompatibel sein, um eine optimale Leistung zu gewährleisten. Der Server sollte außerdem so konfiguriert sein, dass er sichere Protokolle für das Netzwerk- und Dateiübertragungsprotokoll verwendet (z. B. SFTP anstelle von FTP), um vertrauliche Inhalte vor böswilligen Eindringlingen zu verbergen.

2. Verwenden Sie die neueste PHP-Version

PHP ist das Rückgrat Ihrer WordPress-Site. Daher ist die Verwendung der neuesten Version auf Ihrem Server sehr wichtig. Jede Hauptversion von PHP wird normalerweise zwei Jahre nach ihrer Veröffentlichung vollständig unterstützt. In dieser Zeit werden Fehler und Sicherheitsprobleme behoben und regelmäßig gepatcht. Jeder, der mit einer PHP-Version unter 5.6 läuft, hat keine Sicherheitsunterstützung mehr und ist nicht gepatchten Sicherheitslücken ausgesetzt.

WordPress Security/Sicherheit - unterstützte PHP-Versionen

Und rate was? Laut der offiziellen Seite mit den WordPress-Statistiken verwenden derzeit mehr als 35% der WordPress-Benutzer immer noch eine Version von PHP, die unter 5.6 liegt. Das ist gruselig! Manchmal benötigen Unternehmen und Entwickler Zeit, um die Kompatibilität mit ihrem Code zu testen und sicherzustellen, aber sie haben keine Entschuldigung, etwas ohne Sicherheitsunterstützung auszuführen.

WordPress Security/Sicherheit - Verteilung der PHP Versionen

Sie wissen nicht, in welcher PHP-Version Sie gerade arbeiten? Die meisten Hosts senden diese Information normalerweise im Header jeder Anfrage mit. Eine schnelle Methode zum Überprüfen der PHP-Version ist der Abruf Ihrer Website durch Pingdom. Klicken Sie in die erste Anfrage und suchen Sie nach einem X-Powered-By-Parameter. Normalerweise zeigt dies die Version von PHP an, die Ihr Webserver derzeit verwendet.

WordPress Sicherheit - PHP-Version kontrollieren

3. Verwenden Sie clevere Benutzernamen und Kennwörter

Überraschenderweise ist eine der besten Möglichkeiten, Ihre WordPress-Sicherheit zu verbessern, einfach clevere Benutzernamen und Passwörter zu verwenden. Klingt ziemlich einfach, oder? Schauen Sie sich die Jahresliste 2017 von SplashData an, die die beliebtesten Passwörter enthält, die das ganze Jahr über gestohlen wurden (sortiert nach Beliebtheit).

  • 123456
  • Passwort
  • 12345678
  • QWERTZ
  • 12345
  • 123456789
  • 1234567

Das ist richtig! Das beliebteste Passwort lautet „123456“, gefolgt von einem erstaunlichen „Passwort“.

Die Kernfunktion von WordPress wp_hash_password verwendet das phpass-Passwort-Hashing-Framework und acht Durchgänge von MD5-basiertem Hashing.

Einige der besten Sicherheitsmaßnahmen beginnen mit den Grundlagen. Google hat bereits einige großartige Empfehlungen zur Wahl eines sicheren Passworts aufgeführt. Oder Sie können ein Online-Tool wie den Strong Password Generator verwenden.

Es ist auch wichtig, für jede Website unterschiedliche Passwörter zu verwenden. Die beste Methode zum Speichern ist, das Passwort lokal in einer verschlüsselten Datenbank auf Ihrem Computer abzulegen. Ein gutes kostenloses Werkzeug dafür ist KeePass. Wenn Sie diesen Weg nicht gehen wollen, gibt es auch Online-Passwortmanager wie LastPass oder TeamPassword. Obwohl Ihre Daten sicher in der Cloud gehostet werden, sind diese im Allgemeinen sicherer, da Sie dasselbe Kennwort nicht an mehreren Standorten verwenden.

Und für Ihre WordPress-Installation sollten Sie niemals den Standard-Benutzernamen „admin“ verwenden. Erstellen Sie einen eindeutigen WordPress-Benutzernamen für das Administratorkonto und löschen Sie den Benutzer „admin“, falls er existiert. Sie können dies tun, indem Sie im Dashboard unter „Benutzer“ einen neuen Benutzer hinzufügen und ihm das „Administrator“ -Profil zuweisen (siehe unten).

WordPress Security/Sicherheit - neuer Admin User

Wenn Sie dem neuen Konto die Administratorrolle zugewiesen haben, können Sie den ursprünglichen Benutzer „Admin“ löschen.

Achtung: Stellen Sie unbedingt sicher, dass Sie beim Klicken auf „Löschen“ die Option „Alle Inhalte zuweisen für“ auswählen und Ihr neues Administratorprofil auswählen. Dadurch wird die Person als Autor dieser Posts zugewiesen.

WordPress Security/Sicherheit - Inhalte an neuen User binden

Sie können Ihren aktuellen Admin-Benutzernamen auch manuell mit dem folgenden Befehl in phpMyAdmin umbenennen.

Achtung: Stellen Sie sicher, dass Sie Ihre Datenbank sichern, bevor Sie Tabellen bearbeiten:

UPDATE wp_users SET user_login = 'neuersichererusername' WHERE user_login = 'admin';

Immer die neueste Version von WordPress und Plugins verwenden

Ein weiterer sehr wichtiger Weg, Ihre WordPress-Sicherheit zu verbessern, besteht darin, sie stets auf dem neuesten Stand zu halten. Dies betrifft den WordPress Core, alle verwendeten Plugins sowie Themes. Diese werden aus einem bestimmten Grund aktualisiert, und häufig werden Sicherheitsverbesserungen und Fehlerbehebungen vorgenommen.

WordPress Security/Sicherheit - WP Core Update

Unglücklicherweise laufen Millionen von Unternehmen mit veralteten Versionen von WordPress-Software und Plugins und glauben immer noch, dass dies keine Auswirkungen auf die Sicherheit Ihrer WordPress Seite haben wird.

Tatsächlich werden Websites hauptsächlich aufgrund von Fehlern in älteren WordPress-Versionen außer Gefecht gesetzt.

Grundlegende Änderungen am Core von WordPress werden vom Automattic-Team (WordPress Hersteller) und dessen erfahrenen Entwicklern, die die damit verbundenen Risiken verstehen, niemals empfohlen. WordPress-Updates enthalten meistens unbedingt erforderliche Sicherheitspatches sowie die zusätzliche Funktionalität, die zum Ausführen der neuesten Plugins erforderlich ist.

Wussten Sie, dass Plugin-Sicherheitslücken 55,9% der bekannten Angriffspunkte für Hacker darstellen? Dies ist, was WordFence in einer Studie aus dem Jahr 2016 veröffentlichte, in der mehr als 1.000 Besitzer von WordPress-Websites interviewt wurden, die Opfer von Angriffen waren. Durch die Aktualisierung Ihrer Plugins können Sie besser sicherstellen, dass Sie nicht zu diesen Opfern gehören.

WordPress Security/Sicherheit - Liste der Top Schwachstellen

Es wird außerdem empfohlen, nur vertrauenswürdige Plugins zu installieren. Die Kategorien „Vorgestellt“ und „Beliebt“ im WordPress-Repository können ein guter Anfang sein. Oder laden Sie es direkt von der Entwickler-Website herunter.

Sie können ein Online-Tool wie VirusTotal verwenden, um ein Plugin oder die Dateien eines Designs zu prüfen, um festzustellen, ob Malware gefunden wurde.

WordPress Security/Sicherheit - Virus Total

So aktualisieren Sie WordPress-Plugins

Das Aktualisieren Ihrer WordPress-Plugins ist ein sehr ähnlicher Vorgang wie das Aktualisieren des WordPress-Kerns. Klicken Sie in Ihrem WordPress-Dashboard auf „Updates“, wählen Sie die Plugins aus, die Sie aktualisieren möchten, und klicken Sie auf „Plugins aktualisieren“.

WordPress Security/Sicherheit - Plugins updaten

Ebenso können Sie ein Plugin auch manuell aktualisieren. Laden Sie einfach die neueste Version vom Plugin-Entwickler oder aus dem WordPress-Repository herunter, und laden Sie sie per FTP hoch. Dabei überschreiben Sie das vorhandene Plugin im Verzeichnis / wp-content / plugins (Vorsicht, vorher unbedingt die alte Version sichern!)

Es ist auch wichtig zu beachten, dass Entwickler ihre Plugins nicht immer auf dem neuesten Stand halten. Das Team von WP Loop führte eine kleine Analyse durch, wie viele WordPress-Plugins im Repository nicht mit dem aktuellen WordPress-Kern auf dem neuesten Stand sind. Laut ihrer Analyse wurden fast 50% der Plugins im Repository seit über 2 Jahren nicht aktualisiert. Dies bedeutet nicht, dass das Plugin nicht mit der aktuellen Version von WordPress funktioniert, es wird jedoch empfohlen, dass Sie Plugins auswählen, die aktiv aktualisiert werden. Veraltete Plugins enthalten eher Sicherheitslücken.

Lassen Sie höchste Sorgfalt walten, wenn es um Plugins geht. Schauen Sie sich das Datum der letzten Aktualisierung an und wie viele Bewertungen ein Plugin hat. Wie im nachstehenden Beispiel gezeigt, ist dieses Exemplar nicht mehr aktuell und hat schlechte Bewertungen. Daher würden wir höchstwahrscheinlich empfehlen, diesem Plugin fern zu bleiben.

WordPress Security/Sicherheit - altes WordPress Plugin

Es gibt auch eine Vielzahl von Ressourcen, die Ihnen dabei helfen, die neuesten WordPress-Sicherheitsupdates und Sicherheitsanfälligkeiten im Blick zu behalten. Einige davon sehen Sie unten:

WordPress Security/Sicherheit - Sicherheits-Archiv

5. Sperren Sie Ihren WordPress Admin Bereich

Wenn Sie Hackern das Auffinden bestimmter Hintertüren erschweren, werden Sie seltener angegriffen. Das Sperren Ihres WordPress-Administrationsbereichs und -Logins ist eine gute Möglichkeit, die Sicherheit Ihrer WordPress Installation zu verbessern. Es gibt zwei Möglichkeiten, dies zu tun, indem Sie zunächst die standardmäßige Anmelde-URL für den WP-Admin-Bereich ändern und somit ein beliebtes Einfallstor für Hacker verschwinden lassen.

So ändern Sie Ihre WordPress-Anmelde-URL

Die Anmelde-URL Ihrer WordPress-Site lautet standardmäßig „domain.com/wp-admin“. Eines der Probleme dabei ist, dass alle Bots, Hacker und Skripte diese URL kennen. Durch das Ändern der URL können Sie Ihre Seite zu einem weniger beliebten Ziel machen und sich somit besser vor Brute-Force-Angriffen schützen. Dies ist nicht die ultimative Sicherheitslösung, sondern nur ein kleiner Trick, der die Wahrscheinlichkeit eines Angriffs erheblich verringert.

Um Ihre WordPress-Login-URL zu ändern, empfehlen wir die Verwendung des kostenlosen WPS Hide Login-Plugins oder des Premium-Plugins von Perfmatters. Das Plugin hat nur eine Option und ist schnell zu konfigurieren. Nach der Aktivierung ändern Sie einfach Ihre WordPress-Anmelde-URL unter „Allgemein“ in den Einstellungen. Denken Sie daran, etwas Einzigartiges auszuwählen, das noch nicht auf einer Liste steht, die ein Bot oder ein Skript möglicherweise scannen möchte

WordPress Security/Sicherheit - Login URL ändern

So beschränken Sie Anmeldeversuche

Durch die oben beschriebene Lösung der Änderung Ihrer Admin-Anmelde-URL wird die Großzahl der automatischen Anmeldeversuche durch Bots verringert. Eine Begrenzung der Anzahl möglicher Falsch-Anmeldungen kann jedoch auch sehr effektiv sein. Das kostenlose Cerber Security Plugin ist eine großartige Möglichkeit, Sperrzeiten , Anmeldeversuche sowie IP-Whitelists und Blacklists einfach einzurichten.

WordPress Security/Sicherheit: Anmeldeversuche begrenzen

Wenn Sie nach einer einfacheren WordPress-Sicherheitslösung suchen, ist das kostenlose Login Lockdown- Plugin eine gute Alternative. Login LockDown zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs auf. Wenn innerhalb eines kurzen Zeitraums mehr als eine bestimmte Anzahl von Versuchen aus demselben IP-Bereich erkannt wird, ist die Anmeldefunktion für alle Anforderungen aus diesem Bereich deaktiviert. Und es ist vollständig kompatibel mit dem WPS Hide Login Plugin, das wir oben erwähnt haben.

WordPress Security/Sicherheit - LockDown

Hinzufügen einer einfachen HTTP-Authentifizierung (htpasswd-Schutz)

Eine weitere Möglichkeit zum Sperren des Administratorbereichs, besteht im Hinzufügen der sog. „HTTP-Authentifizierung“. Diese forder einen Benutzernamen und ein Passwort, bevor man überhaupt auf die WordPress-Anmeldeseite zugreifen darf. 

Hinweis: Dies sollte im Allgemeinen nicht auf eCommerce-Websites oder Mitgliederseiten verwendet werden. Es kann jedoch ein sehr effektiver Weg sein, um den Zugriff von Bots auf Ihre Seite zu verhindern.

WordPress Security/Sicherheit - HTTP Authentifizierung

Apache

Wenn Sie einen cPanel-Host verwenden, können Sie kennwortgeschützte Verzeichnisse im cPanel aktivieren. Um es manuell einzurichten, müssen Sie zunächst eine .htpasswd Datei erstellen. Sie können dazu dieses praktische Generatorwerkzeug verwenden . Laden Sie dann die Datei in ein Verzeichnis in Ihrem WP-Admin-Ordner hoch, beispielsweise: home/user/.htpasswds/public_html/wp-admin/htpasswd/

Erstellen Sie dann eine .htaccess-Datei mit dem folgenden Code und laden Sie diese in Ihr Verzeichnis /wp-admin/ . Stellen Sie sicher, dass Sie den Verzeichnispfad und den Benutzernamen aktualisieren.

AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd AuthType basic require user yourusername

AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd AuthType basic require user yourusername

Der einzige Nachteil dabei ist, dass AJAX (admin-ajax) im Frontend Ihrer Site gestört wird. Dies ist für einige Plugins von Drittanbietern erforderlich. Daher müssen Sie der obigen .htaccess-Datei auch den folgenden Code hinzufügen.

<Files admin-ajax.php>
Order allow,deny Allow from all Satisfy any
</Files>

6. Nutzen Sie die Zwei-Faktor-Authentifizierung

Natürlich sollten wir die Zwei-Faktor-Authentifizierung nicht vergessen! Egal wie sicher Ihr Passwort ist, es besteht immer die Gefahr, dass es jemand entdeckt. Die Zwei-Faktor-Authentifizierung umfasst einen zweistufigen Vorgang, bei dem Sie nicht nur Ihr Kennwort, sondern eine zweite Methode für die Anmeldung benötigen. Es handelt sich im Allgemeinen um einen Text (SMS), einen Telefonanruf oder ein zeitbasiertes Einmalkennwort (TOTP). In den meisten Fällen ist dies zu 100% wirksam, um Brute-Force-Angriffe auf Ihre WordPress-Site zu verhindern. Warum? Weil es fast unmöglich ist, dass der Angreifer sowohl Ihr Kennwort als auch Ihr Mobiltelefon hat.

Der Anbieter Authy hat ein offizielles WordPress-Plugin, das Sie herunterladen und verwenden können. Der kostenlose Plan ist auf 100 Autorisierungen pro Monat beschränkt, aber deren bezahlte Pläne beginnen bereits bei sehr günstigen 0,09 USD / Auth mit unbegrenzten Benutzern und Berechtigungen.

Wenn Sie nach einer vollständig kostenlosen Option suchen, ist das Google Authenticator- Plugin eine großartige Alternative. Es erlaubt auch eine unbegrenzte Anzahl von Benutzern. Nach der Installation können Sie in Ihr Benutzerprofil klicken, es als aktiv markieren und einen neuen geheimen Schlüssel erstellen oder den QR-Code scannen.

WordPress Security/Sicherheit - zwei Faktor Authentifizierung

Sie können dann eine der kostenlosen Authenticator-Apps auf Ihrem Telefon verwenden:

Nachdem Sie diese Option aktiviert haben, benötigen Sie nun Ihr normales Passwort für die Anmeldung und den Code der Google Authenticator-App auf Ihrem Telefon. Sie werden ein zusätzliches Feld sehen, das jetzt auf Ihrer WordPress-Anmeldeseite angezeigt wird. Dieses Plugin ist auch vollständig mit dem zuvor erwähnten WPS Hide Login-Plugin kompatibel.

WordPress Security/Sicherheit - Google Authenticator

Stellen Sie also sicher, dass Sie die Zwei-Faktor-Authentifizierung nutzen können. Dies ist eine einfache Möglichkeit, Ihre WordPress-Sicherheit zu verbessern.

7. Verwenden Sie HTTPS für verschlüsselte Verbindungen – SSL-Zertifikat

Eine der am meisten übersehenen Methoden zur Absicherung Ihrer WordPress-Sicherheit besteht darin, ein SSL-Zertifikat zu installieren und Ihre Site über HTTPS auszuführen. HTTPS (Hyper Text Transfer Protocol Secure) ist ein Mechanismus, mit dem Ihr Browser oder Ihre Webanwendung eine sichere Verbindung zu einer Website herstellen kann. Ein großes Missverständnis ist, dass Sie, wenn Sie keine Kreditkarten akzeptieren, kein SSL benötigen. Nun, lassen Sie uns einige Gründe erläutern, warum HTTPS über E-Commerce hinaus ebenso wichtig ist. Viele Hosts bieten mit Let’s Encrypt jetzt sogar kostenlose SSL-Zertifikate an.

1. Sicherheit

Natürlich ist der Hauptgrund für HTTPS die zusätzliche Sicherheit. Ja, dies betrifft vor allem E-Commerce-Websites. Wie wichtig sind jedoch Ihre Zugangsdaten? Für diejenigen, die WordPress-Websites mit mehreren Autoren ausführen, werden diese Informationen bei jeder Anmeldung einer Person über HTTP in Klartext an den Server übermittelt. HTTPS ist absolut notwendig, um eine sichere Verbindung zwischen einer Website und einem Browser aufrechtzuerhalten . Auf diese Weise können Sie besser verhindern, dass Hacker und / oder ein Mittelsmann Zugriff auf Ihre Website erhalten. So können auch WordPress-Blogs, News-Sites und Agenturen von HTTPS profitieren.

2. SEO

Google hat offiziell erklärt, dass HTTPS ein Rankingfaktor ist . Obwohl dies nur ein kleiner Rankingfaktor ist, wird jeder Websitebetreiber diesen Bonus gerne mitnehmen wollen.

3. Vertrauen und Glaubwürdigkeit

Laut einer Umfrage von GlobalSign suchen 28,9% der Besucher in ihrem Browser nach der grünen Adressleiste. Und 77% von ihnen haben Angst, dass ihre Daten online abgefangen oder missbraucht werden. Wenn Sie dieses grüne Vorhängeschloss sehen, haben Kunden sofort mehr Gewissheit, dass ihre Daten sicherer sind.

4. Referer Daten

Viele Leute wissen nicht, dass HTTPS-zu-HTTP-Referrer Daten in Google Analytics blockiert sind. Was passiert also mit den Daten? Nun, das meiste davon ist nur mit dem Abschnitt „Direkter Verkehr“ zusammengefasst. Wenn jemand von HTTP zu HTTPS wechselt, wird der Referrer immer noch übergeben.

5. Chrome-Warnungen

Das Chrome-Team hat angekündigt, ab Januar 2017 HTTP-Sites, die Passwörter oder Kreditkarten übertragen, als nicht sicher zu kennzeichnen. Dies ist besonders wichtig, wenn Ihre Website einen Großteil des Datenverkehrs von Chrome erhält. Sie können in Google Analytics unter Browser & OS im Abschnitt „Zielgruppe“ nachsehen, um den Prozentsatz des Verkehrs zu ermitteln, den Ihre WordPress-Site von Google Chrome erhält. Google macht Besuchern klar, dass Ihre WordPress-Website möglicherweise nicht auf einer gesicherten Verbindung ausgeführt wird.

6. Leistung

Aufgrund eines neuen Protokolls mit dem Namen HTTP / 2 können Benutzer, die ordnungsgemäß optimierte Websites über HTTPS ausführen, sogar Geschwindigkeitsverbesserungen feststellen. HTTP / 2 erfordert HTTPS aufgrund der Browserunterstützung. Die Verbesserung der Leistung ist auf verschiedene Gründe zurückzuführen, z. B. weil HTTP / 2 besseres Multiplexing, Parallelität, HPACK-Komprimierung mit Huffman-Codierung, die ALPN-Erweiterung und Server-Push unterstützen kann. Mit dem Start von TLS 1.3 am 21. März 2018 sind HTTPS-Verbindungen noch schneller.

Um eine sichere, verschlüsselte Verbindung zwischen Ihnen und dem Server zu erzwingen, fügen Sie der Datei wp-config.php die folgende Zeile hinzu:

define('FORCE_SSL_ADMIN', true);

8. Sichern Sie Ihre wp-config.php-Datei ab

Ihre wp-config.php- Datei ist das Herz und die Seele Ihrer WordPress-Installation. Es ist bei weitem die wichtigste Datei auf Ihrer Website, wenn es um die Sicherheit von WordPress geht. Es enthält Ihre Datenbank-Anmeldeinformationen und Sicherheitsschlüssel, die die Verschlüsselung von Informationen in Cookies übernehmen. Nachfolgend finden Sie einige Möglichkeiten, um diese wichtige Datei besser zu schützen.

1. Verschieben Sie wp-config.php

Standardmäßig befindet sich Ihre Datei wp-config.php im Stammverzeichnis Ihrer WordPress-Installation (Ihrem / public-HTML-Ordner). Sie können dies jedoch in ein nicht fürs WWW zugängliches Verzeichnis verschieben. Aaron Adams hat eine großartige Erklärung geschrieben, warum dies von Vorteil ist.

Um die Datei wp-config.php zu verschieben, kopieren Sie einfach alles in eine andere Datei. Dann können Sie in Ihrer Datei wp-config.php das folgende Snippet einbinden, um einfach Ihre andere Datei aufzurufen. 

Hinweis: Der Verzeichnispfad kann je nach Webhost und Setup unterschiedlich sein. Normalerweise ist es jedoch nur ein Verzeichnis darüber.

  <?php  include ('/home/deinname/wp-config.php');

2. Aktualisieren Sie die WordPress-Sicherheitsschlüssel

WordPress-Sicherheitsschlüssel sind eine Reihe von Zufallsvariablen, die die Verschlüsselung der in den Cookies des Benutzers gespeicherten Informationen verbessern. Seit WordPress 2.7 gab es 4 verschiedene Schlüssel: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY und NONCE_KEY. Wenn Sie WordPress installieren, werden diese für Sie zufällig generiert. Wenn Sie jedoch mehrere Migrationen durchlaufen oder eine Website von einer anderen Person erworben haben, kann es sinnvoll sein, neue WordPress-Schlüssel zu erstellen.

WordPress verfügt über ein kostenloses Tool, mit dem Sie zufällige Schlüssel generieren können. Sie können Ihre aktuellen Schlüssel aktualisieren, die in Ihrer Datei wp-config.php gespeichert sind.

WordPress Security/Sicherheit - Keys definieren

3. Berechtigungen ändern

Normalerweise werden Dateien im Stammverzeichnis einer WordPress-Site auf 644 gesetzt. Dies bedeutet, dass Dateien vom Eigentümer der Datei lesbar und beschreibbar und für Benutzer des Gruppeneigentümers dieser Datei lesbar und für alle anderen lesbar sind. Gemäß der WordPress-Dokumentation sollten die Berechtigungen für die Datei wp-config.php auf 440 oder 400 festgelegt werden, damit andere Benutzer auf dem Server sie nicht lesen können. Sie können dies einfach mit Ihrem FTP-Client ändern.

WordPress Security/Sicherheit - wp-config.php chmod permissions

9. Deaktivieren Sie XML-RPC

In den letzten Jahren hat sich XML-RPC zu einem immer größeren Ziel für Brute-Force-Angriffe entwickelt. Eine der versteckten Funktionen von XML-RPC besteht darin, dass Sie die system.multicall-Methode verwenden können, um mehrere Methoden in einer einzelnen Anforderung auszuführen. Das ist sehr nützlich, da es der Anwendung ermöglicht, mehrere Befehle innerhalb eines HTTP-Requests zu übergeben. Dieser Sachverhalt kann für böswillige Absichten ausgenutzt werden.

Es gibt ein paar WordPress-Plugins wie Jetpack, die auf XML-RPC angewiesen sind, aber die Mehrheit der Menschen wird dies nicht brauchen, und es kann von Vorteil sein, den Zugriff darauf einfach zu deaktivieren. Sie sind sich nicht sicher, ob auf Ihrer Website derzeit XML-RPC ausgeführt wird? Danilo Ercoli vom Automattic-Team hat ein kleines Tool namens XML-RPC Validator geschrieben . Sie können Ihre WordPress-Site durchlaufen lassen, um zu sehen, ob XML-RPC aktiviert ist. Ist dies nicht der Fall, wird eine Fehlermeldung angezeigt, wie in der Abbildung unten dargestellt.

WordPress Security/Sicherheit - XMLRPC Schnittstelle sperren

Um dies vollständig zu deaktivieren, können Sie das kostenlose XML-RPC- Plugin installieren. Oder Sie können es mit dem Premium-Plugin für Perfmatters deaktivieren, das auch Verbesserungen der Web-Performance enthält.

Wenn ein Angriff durch XML-RPC erkannt wird, wird ein kleines Codefragment in die NGINX-Konfigurationsdatei eingefügt, um ihren Aufruf zu stoppen – was einen 403-Fehler verursacht.

 location ~* ^/xmlrpc.php$ { return 403; } 

10. Verstecken Sie Ihre WordPress-Version

Je weniger Personen über Ihre WordPress-Site-Konfiguration Bescheid wissen, desto besser. Wenn Sie feststellen, dass Sie eine veraltete WordPress-Installation ausführen, könnte dies ein willkommenes Zeichen für Eindringlinge sein. Standardmäßig wird die WordPress-Version in der Kopfzeile des Quellcodes Ihrer Site angezeigt. Wieder empfehlen wir, einfach sicherzustellen, dass Ihre WordPress-Installation immer auf dem neuesten Stand ist, damit Sie sich keine Sorgen machen müssen.

WordPress Security/Sicherheit - WP Version verstecken

WPBeginner hat ein tolles kleines Code-Snippet, mit dem Sie das entfernen können. Fügen Sie einfach die folgenden Dateien in die Datei functions.php Ihres WordPress-Themes ein.

Wichtig! Wenn Sie den Quellcode eines WordPress-Themes bearbeiten, kann Ihre Website beschädigt werden, wenn Sie sie nicht korrekt ausführen. Wenn Sie sich nicht sicher sind, wenden Sie sich bitte an einen Entwickler.

function wpversion_remove_version() { 
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

Sie können auch ein Premium-Plugin wie Perfmatters verwenden, mit dem Sie die WordPress-Version mit einem Klick ausblenden können, zusammen mit anderen Optimierungen für Ihre WordPress-Site.

WordPress Security/Sicherheit - Perfmatters Plugin

Eine andere Stelle, an der die WordPress-Version angezeigt wird, befindet sich in der Standard-Datei readme.html (siehe unten), die in jeder WordPress-Version enthalten ist. Es befindet sich im Stammverzeichnis Ihrer Installation, domain.com/readme.html. Sie können diese Datei sicher per FTP löschen.

WordPress Security/Sicherheit - Version in Readme File ersichtlich

11. Fügen Sie die neuesten HTTP-Sicherheitsheader hinzu

Ein weiterer Schritt, um Ihre WordPress-Sicherheit zu verbessern, besteht darin, HTTP-Sicherheitsheader zu nutzen. Diese werden normalerweise auf Webserver-Ebene konfiguriert und teilen dem Browser mit, wie er sich beim Umgang mit dem Inhalt Ihrer Site verhalten soll. Es gibt viele verschiedene HTTP-Sicherheitsheader, aber unten sind normalerweise die wichtigsten. KeyCDN hat einen großartigen Beitrag, wenn Sie mehr über HTTP-Sicherheitsheader erfahren möchten.

Sie können überprüfen, welche Header derzeit auf Ihrer WordPress-Site ausgeführt werden, indem Sie Chrome devtools starten und den Header in der ersten Antwort Ihrer Site anzeigen. Unten sehen Sie ein Beispiel. Sie können sehen, dass die Header für strikte Transportsicherheit, X-Content-Typ und X-Frame-Optionen verwendet werden.

WordPress Security/Sicherheit - Security Heads

Sie können Ihre WordPress-Website auch mit dem kostenlosen Tool securityheaders.io von Scott Helme scannen. Dies zeigt Ihnen, welche HTTP-Sicherheitsheader Sie derzeit auf Ihrer Site haben.

WordPress Security/Sicherheit - Security Headers

Hinweis: Es ist auch wichtig zu wissen, dass HTTP-Sicherheitsheader Auswirkungen auf Ihre WordPress-Unterdomänen haben können. Wenn Sie beispielsweise den Content-Security-Richtlinienheader hinzufügen und den Zugriff auf Domänen einschränken, müssen Sie auch Ihre eigenen Unterdomänen hinzufügen.

12. Verwenden Sie WordPress Security Plugins

Einige WordPress-Sicherheits-Plugins müssen natürlich erwähnt werden. Es gibt viele großartige Entwickler und Unternehmen, die großartige Lösungen zum besseren Schutz Ihrer WordPress-Site bieten. Hier sind ein paar von ihnen.

Hier sind einige typische Funktionen und Anwendungen der obigen Plugins:

  • Generieren Sie sichere Kennwörter, wenn Sie Benutzerprofile erstellen
  • Erzwingen Sie, dass Kennwörter ablaufen und regelmäßig zurückgesetzt werden
  • Protokollierung der Benutzeraktionen
  • Einfache Updates der WordPress-Sicherheitsschlüssel
  • Malware-Scanning
  • Zwei-Faktor-Authentifizierung
  • reCAPTCHAs
  • WordPress-Sicherheitsfirewalls
  • IP-Whitelisting
  • IP-Blacklisting
  • Datei-Änderungsprotokolle
  • Überwachen Sie die DNS-Änderungen
  • Blockieren Sie schädliche Netzwerke
  • WHOIS-Informationen zu Besuchern anzeigen

Manche Sicherheits-Plugins können auch Ihre WP-Installation auf Veränderungen an den Core Dateien überprüfen. Jede Änderung oder Änderung dieser Dateien kann auf einen Hack hinweisen. Sie können auch WP-CLI auch verwenden, um Ihren eigenen Test durchzuführen.

Ein weiteres großartiges Plugin, das eine lobende Erwähnung verdient, ist das WordPress Security Audit Log-Plugin. Dies ist großartig für alle, die an WP-Websites mit mehreren Autoren arbeiten. Dadurch wird die Produktivität der Benutzer sichergestellt und Administratoren können alle Änderungen sehen. wie Anmeldungen, Passwortänderungen, Theme-Änderungen, Widget-Änderungen, neue Post-Creations, WordPress-Updates usw. So ziemlich alles, was passiert, wird protokolliert! Das WP Security Audit Log- Plugin verfügt derzeit über mehr als 40.000 aktive Installationen mit einer Bewertung von 4,7 von 5 Sternen.

WordPress Security/Sicherheit - Security Audit Log

Darüber hinaus gibt es zusätzliche Premium-Add-Ons wie E-Mail-Benachrichtigungen, Benutzersitzungsverwaltung, Suche und Berichte. 

13. Verbessern Sie die Datenbanksicherheit

Es gibt mehrere Möglichkeiten, die Sicherheit Ihrer WordPress-Datenbank zu verbessern. Der erste ist die Verwendung eines cleveren Datenbanknamens . Wenn Ihre Website Volleyball-Tricks.de heißt, hat Ihre WordPress-Datenbank höchstwahrscheinlich den Namen wp_volleyballtricks. Durch die Änderung Ihres Datenbanknamens in einen etwas unklareren Namen wird Ihre Website geschützt, da Hacker die Identifizierung und den Zugriff auf Ihre Datenbankdetails erschweren. Das Team von WPMUDEV hat ein tolles kleines Tutorial darüber geschrieben, wie Sie Ihren Datenbanknamen bei bestehenden Installationen ändern können.

Eine zweite Empfehlung ist die Verwendung eines anderen Datenbanktabellenpräfixes. Standardmäßig verwendet WordPress wp_ . Das Ändern auf 39xw_ kann so viel sicherer sein. Wenn Sie WordPress installieren, werden Sie nach einem Tabellenpräfix gefragt (siehe unten). Es gibt auch Möglichkeiten, das WordPress-Tabellenpräfix bei vorhandenen Installationen zu ändern .

WordPress Security/Sicherheit - Table Prefix anpassen

14. Verwenden Sie immer sichere Verbindungen

Wir können nicht genug betonen, wie wichtig es ist, sichere Verbindungen zu verwenden! Stellen Sie sicher, dass Ihr WordPress-Host Vorsichtsmaßnahmen wie das Anbieten von SFTP oder SSH übernimmt. SFTP oder Secure File Transfer Protocol (auch als SSH-Dateiübertragungsprotokoll bezeichnet) ist ein Netzwerkprotokoll, das für die Dateiübertragung verwendet wird. Es ist eine sicherere Methode gegenüber Standard-FTP. Die meisten WordPress-Hosts verwenden normalerweise auch Port 22 für SFTP.

Es ist auch wichtig sicherzustellen, dass Ihr Heimrouter korrekt eingerichtet ist.Wenn jemand Ihr Heimnetzwerk hackt, kann er auf alle Arten von Informationen zugreifen, darunter möglicherweise auch, wo Ihre wichtigen Informationen zu Ihren WordPress-Sites gespeichert sind. Hier einige einfache Tipps:

  • Aktivieren Sie keine Fernverwaltung (VPN). Durchschnitts-Benutzer verwenden diese Funktion ohnehin nie und wenn Sie sie deaktivieren, brauchen Sie Ihr Netzwerk nicht nach außen hin sichtbar machen.
  • Router verwenden standardmäßig IPs im Bereich von 192.168.1.1. Verwenden Sie einen anderen Bereich, z. B. 10.9.8.7.
  • Aktivieren Sie die höchste Verschlüsselungsstufe für Ihr WLAN.
  • Setzen Sie eine IP-Whitelist für Ihr WLAN auf, so dass nur Personen mit dem Passwort und bestimmter IP-Adresse darauf zugreifen können.
  • Halten Sie die Firmware Ihres Routers auf dem neuesten Stand.

Seien Sie immer vorsichtig, wenn Sie sich an öffentlichen Orten an Ihrer WordPress-Site anmelden. Denken Sie daran, dass Starbucks kein sicheres Netzwerk ist! Treffen Sie Vorsichtsmaßnahmen wie die Überprüfung der Netzwerk-SSID, bevor Sie auf Verbinden klicken. Sie können auch einen VPN-Dienst eines Drittanbieters wie ExpressVPN verwenden , um Ihren Internetverkehr zu verschlüsseln und Ihre IP-Adresse vor Hackern zu verbergen.

15. Überprüfen Sie die Datei- und Serverberechtigungen

Dateiberechtigungen sowohl für Ihre Installation als auch für Ihren Webserver sind entscheidend, um Ihre WordPress-Sicherheit zu verbessern. Wenn die Berechtigungen zu locker sind, kann jemand leicht auf Ihre Website zugreifen und Schaden anrichten. Wenn Ihre Berechtigungen jedoch zu streng sind, kann dies die Funktionalität Ihrer Website beeinträchtigen. Daher ist es wichtig, dass die richtigen Berechtigungen auf breiter Front festgelegt werden.

Dateiberechtigungen

  • Leseberechtigungen werden zugewiesen, wenn der Benutzer die Berechtigung hat, die Datei zu lesen.
  • Schreibberechtigungen werden zugewiesen, wenn der Benutzer die Rechte zum Schreiben oder Ändern der Datei besitzt.
  • Ausführungsberechtigungen werden zugewiesen, wenn der Benutzer die Berechtigung hat, die Datei auszuführen und / oder sie als Skript auszuführen.

Verzeichnisberechtigungen

  • Leseberechtigungen werden zugewiesen, wenn der Benutzer die Zugriffsrechte auf den Inhalt des angegebenen Ordners / Verzeichnisses hat.
  • Schreibberechtigungen werden zugewiesen, wenn der Benutzer die Berechtigung zum Hinzufügen oder Löschen von Dateien hat, die sich im Ordner / Verzeichnis befinden.
  • Ausführungsberechtigungen werden zugewiesen, wenn der Benutzer die Berechtigung hat, auf das eigentliche Verzeichnis zuzugreifen und Funktionen und Befehle auszuführen, einschließlich der Möglichkeit, die Daten im Ordner / Verzeichnis zu löschen.

Sie können ein kostenloses Plugin wie iThemes Security verwenden , um die Berechtigungen Ihrer WordPress-Site zu überprüfen .

WordPress Security/Sicherheit - Schreibrechte, file permissions

Hier sind einige typische Empfehlungen für Berechtigungen, wenn es um Datei- und Ordnerberechtigungen in WordPress geht. Eine ausführlichere Erklärung finden Sie im WordPress-Codex-Artikel zum Ändern von Dateiberechtigungen .

  • Alle Dateien sollten 644 oder 640 sein. Ausnahme: wp-config.php sollte 440 oder 400 sein, um zu verhindern, dass andere Benutzer auf dem Server sie lesen.
  • Alle Verzeichnisse sollten 755 oder 750 sein.
  • Keinem Verzeichnis sollte jemals 777 gegeben werden, auch keinem Upload-Verzeichnis.

16. Deaktivieren Sie die Dateibearbeitung im WordPress Dashboard

Viele WordPress-Sites haben mehrere Benutzer und Administratoren, wodurch die Sicherheit von WordPress komplizierter wird. Eine sehr schlechte Praxis besteht darin, Autoren oder Mitwirkenden Administratorzugriff zu gewähren . Dies geschieht jedoch leider häufig. Es ist wichtig, den Benutzern die richtigen Rollen und Berechtigungen zu geben, damit sie nichts kaputt machen können. Aus diesem Grund kann es von Vorteil sein, den „Appearance Editor“ in WordPress einfach zu deaktivieren. Es ist viel sinnvoller, die Datei lokal zu bearbeiten und über FTP hochzuladen (und gleichzeitig eine GIT-Versionsverwaltung der Dateien zu pflegen). In der Praxis sollten Sie solche Dinge natürlich zuerst auf einer Entwicklungsumgebung testen.

WordPress Security/Sicherheit - functions.php editieren

Auch wenn Ihre WordPress – Website gehackt wurde ist das erste, was womöglich getan wird, zu versuchen, eine PHP-Datei oder ein Theme über den Appearance Editor zu bearbeiten. Dies ist eine schnelle Möglichkeit, schädlichen Code auf Ihrer Website auszuführen. Wenn sie über das Dashboard keinen Zugriff darauf haben, können zunächst Angriffe verhindert werden. Fügen Sie den folgenden Code in Ihre Datei wp-config.php ein, um die Funktionen ‚edit_themes‘, ‚edit_plugins‘ und ‚edit_files‘ aller Benutzer zu entfernen.

 define ('DISALLOW_FILE_EDIT', true); 

17. Hotlinking verhindern

Das Konzept des Hotlinks ist sehr einfach. Sie finden ein Bild irgendwo im Internet und verwenden die URL des Bildes direkt auf Ihrer Website. Dieses Bild wird auf Ihrer Website angezeigt, aber es wird vom ursprünglichen Speicherort geliefert. Dies ist tatsächlich Diebstahl, da die Bandbreite der Hotlink-Site verwendet wird. Dies scheint keine große Sache zu sein, könnte aber zu zusätzlichen Kosten führen. Der Fall von „The Oatmeal“ ist ein gutes Beispiel dafür. Die Huffington Post band eines deren Bilder ein und erzeugte eine beeindruckende Rechnung von über 1.000 Dollar für zusätzlichen Traffic.

WordPress Security/Sicherheit - Hotlinking

Hotlinking in Apache verhindern

Um das Hotlinking in Apache zu verhindern, fügen Sie der .htaccess-Datei einfach den folgenden Code hinzu.

RewriteEngine on 
RewriteCond %{HTTP_REFERER}
!^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

Die zweite Zeile definiert den erlaubten Referer – die Site, die direkt mit dem Bild verlinkt werden darf. Dies sollte Ihre tatsächliche Website sein. Wenn Sie mehrere Sites zulassen möchten, können Sie diese Zeile duplizieren und den Referrer ersetzen. Wenn Sie komplexere Regeln erstellen möchten, werfen Sie einen Blick auf diesen Hotlink-Schutzgenerator.

Verhindern Sie Hotlinks in NGINX

Um das Hotlinking in NGINX zu verhindern, fügen Sie einfach den folgenden Code in Ihre Konfigurationsdatei ein.

location ~ .(gif|png|jpe?g)$ { 
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

Hotlinking auf CDN verhindern

Wenn Sie Ihre Bilder von einem CDN aus bereitstellen, kann das Setup etwas anders sein. Hier finden Sie einige Quellen mit bekannten CDN-Anbietern.

18. Erstellen Sie immer Backups

Die meisten der oben genannten Empfehlungen sind Sicherheitsmaßnahmen, die Sie ergreifen können, um Ihre WordPress Website besser zu schützen. Egal wie sicher Ihre Website ist, sie wird niemals zu 100% sicher sein. Sie benötigen daher Backups für den Fall, dass das Schlimmste passiert. Die meisten Managed-WordPress-Hostinganbieter bieten jetzt auch automatische Backups an. Wenn Ihr Host über keine Sicherungen verfügt, gibt es einige beliebte WordPress-Dienste und Plugins, mit denen Sie den Prozess automatisieren können.

WordPress-Sicherungsdienste

WordPress-Backup-Services haben normalerweise eine geringe monatliche Gebühr und speichern Ihre Backups für Sie in der Cloud.

WordPress-Backup-Plugins

Mit WordPress-Sicherungs-Plugins können Sie Ihre Sicherungen über FTP abrufen oder eine externe Speicherquelle wie Amazon S3, Google Cloud Storage, Google Drive oder Dropbox integrieren. Wir empfehlen dringend, eine inkrementelle Lösung zu verwenden, um weniger Ressourcen zu benötigen.

19. DDoS-Schutz

DDoS ist eine Art von Angriff, bei dem mehrere Systeme verwendet werden, um ein einzelnes System anzugreifen (Denial-of-Service-Angriff – kurz DoS). DDoS-Angriffe sind nichts Neues – laut Britannica geht der erste dokumentierte Fall auf das Jahr 2000 zurück. Anders als jemand, der Ihre Website hackt, schaden diese Arten von Angriffen normalerweise nicht Ihrer Website, sondern bringen Ihre Website lediglich für einige Stunden oder Tage außer Betrieb . 

Was können Sie tun, um sich zu schützen? Eine der besten Empfehlungen ist die Verwendung eines seriösen Sicherheitsdienstes von Drittanbietern wie Cloudflare oder Sucuri . Wenn Sie ein Unternehmen betreiben, kann es sinnvoll sein, in Premiumpläne zu investieren.

WordPress Security/Sicherheit - DDOS Schutz durch Sucuri und Cloudflare

Deren fortschrittlicher DDoS-Schutz kann zur Abschwächung von DDoS-Angriffen aller Formen und Größen verwendet werden, einschließlich der Angriffe auf die Protokolle UDP und ICMP sowie SYN / ACK. Zu den weiteren Vorteilen gehört, dass Sie sich hinter einem Proxy befinden, der dazu dient, Ihre Ursprungs-IP-Adresse zu verbergen, obwohl dies nicht zu 100% kugelsicher ist.

Wir hatten einen Kunden mit einer kleinen E-Commerce-Site und innerhalb von 7 Tagen über 5 Millionen Anfragen auf eine einzige Seite erhielt. Die Site generierte in der Regel nur zwischen 30 und 40 MB Bandbreite pro Tag und ein paar hundert Besucher pro Tag. Aber aus heiterem Himmel wurden sofort 15 bis 19 GB an Daten pro Tag übertragen! Das ist eine Steigerung von 4650% . Und Google Analytics zeigte keinen zusätzlichen Traffic. Das war also nicht gut.

WordPress Security/Sicherheit - Bandbreite

Der Kunde hat dann die Webanwendungs-Firewall von Sucuri auf seiner Website implementiert. Die gesamte Bandbreite und Anforderungen gingen sofort in den Keller (siehe unten), und seitdem gab es kein Problem mehr. Also definitiv eine gute Investition und Zeitersparnis, wenn Sie auf Probleme wie diese stoßen.

WordPress Security/Sicherheit - nach Sucuri Firewall


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.