WordPress Sicherheit

Wenn Sie alles tun, was wir bis jetzt erwähnt haben, dann sind Sie in einer ziemlich guten Verfassung.

Aber wie immer gibt es noch mehr, was Sie tun können, um Ihre WordPress-Sicherheit zu erhöhen.

Für einige dieser Schritte sind möglicherweise Programmierkenntnisse erforderlich.

Ändern Sie den Standard-Benutzernamen „admin“

Früher lautete der Standard-Benutzername für WordPress-Administratoren „admin“. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.

Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.

Einige 1-Klick-WordPress-Installationsprogramme setzen den Standard-Benutzernamen für den Administrator jedoch immer noch auf „admin“. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.

Da WordPress es nicht erlaubt, Benutzernamen standardmäßig zu ändern, gibt es drei Methoden, um den Benutzernamen zu ändern.

1. Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
2. Verwenden Sie das Username Changer Plugin
3. Aktualisieren des Benutzernamens über phpMyAdmin

Wir haben alle drei Methoden in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens beschrieben (Schritt für Schritt).

Hinweis: Wir sprechen hier über den Benutzernamen „admin“, nicht über die Administratorrolle.

Dateibearbeitung deaktivieren

WordPress verfügt über einen eingebauten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können. In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.

Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen.

12	// Dateibearbeitung verbietendefine( 'DISALLOW_FILE_EDIT', true );

Alternativ können Sie dies auch mit der oben erwähnten Härtungsfunktion des kostenlosen Sucuri-Plugins mit nur einem Klick erledigen.

Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen

Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/.

Öffnen Sie dazu einen Texteditor wie Notepad und fügen Sie diesen Code ein:

123	von allen verweigern

Anschließend müssen Sie diese Datei als .htaccess speichern und mit einem FTP-Client in den Ordner /wp-content/uploads/ auf Ihrer Website hochladen.

Eine ausführlichere Erklärung finden Sie in unserer Anleitung zum Deaktivieren der PHP-Ausführung in bestimmten WordPress-Verzeichnissen

Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des kostenlosen Sucuri-Plugins tun, das wir oben erwähnt haben.

Login-Versuche begrenzen

Standardmäßig erlaubt WordPress den Benutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Hacker versuchen, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.

Dies kann leicht behoben werden, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.

Wenn Sie die Firewall jedoch nicht eingerichtet haben, fahren Sie mit den folgenden Schritten fort.

Zunächst müssen Sie das Login LockDown-Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.

Nach der Aktivierung besuchen Sie die Seite Einstellungen “ Login LockDown, um das Plugin einzurichten.

Detaillierte Anweisungen finden Sie in unserem Leitfaden, wie und warum Sie Login-Versuche in WordPress begrenzen sollten.

Zwei-Faktor-Authentifizierung hinzufügen

Bei der Zwei-Faktor-Authentifizierung müssen sich die Benutzer mit einer zweistufigen Authentifizierungsmethode anmelden. Der erste Schritt ist der Benutzername und das Passwort, und der zweite Schritt erfordert die Authentifizierung über ein separates Gerät oder eine App.

Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch in Ihre WordPress-Website integrieren.

Zunächst müssen Sie das Plugin für die Zwei-Faktor-Authentifizierung installieren und aktivieren. Nach der Aktivierung müssen Sie in der WordPress-Admin-Seitenleiste auf den Link „Zwei-Faktor-Authentifizierung“ klicken.

Als nächstes müssen Sie eine Authentifizierungs-App auf Ihrem Telefon installieren und öffnen. Es gibt mehrere davon, wie Google Authenticator, Authy und LastPass Authenticator.

Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da beide die Möglichkeit bieten, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich problemlos wiederherstellen.

Für diese Anleitung verwenden wir den LastPass Authenticator. Die Anweisungen sind jedoch für alle Authentifizierungs-Apps ähnlich. Öffnen Sie Ihre Authenticator-App und klicken Sie dann auf die Schaltfläche Hinzufügen.

Sie werden gefragt, ob Sie eine Website manuell scannen oder den Barcode scannen möchten. Wählen Sie die Option Barcode scannen und richten Sie dann die Kamera Ihres Telefons auf den QR-Code, der auf der Einstellungsseite des Plugins angezeigt wird.

Das war’s, Ihre Authentifizierungs-App wird ihn nun speichern. Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Zwei-Faktor-Authentifizierungscode gefragt.

Öffnen Sie einfach die Authentifizierungs-App auf Ihrem Telefon und geben Sie den Code ein, den Sie dort sehen.

WordPress Datenbank-Präfix ändern

WordPress verwendet standardmäßig wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank. Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Aus diesem Grund empfehlen wir, es zu ändern.

Sie können Ihr Datenbank-Präfix ändern, indem Sie unsere Schritt-für-Schritt-Anleitung zum Ändern des WordPress-Datenbank-Präfixes befolgen , um die Sicherheit zu verbessern.

Hinweis: Dies kann Ihre Website zerstören, wenn es nicht richtig gemacht wird. Machen Sie nur weiter, wenn Sie sich mit Ihren Programmierkenntnissen sicher fühlen.

Passwortschutz für WordPress Admin und Login-Seite

Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Login-Seite ohne jede Einschränkung anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.

Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.

Folgen Sie unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.

Verzeichnisindizierung und -durchsuchung deaktivieren

Das Durchsuchen von Verzeichnissen kann von Hackern verwendet werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, damit sie diese Dateien ausnutzen können, um Zugang zu erhalten.

Das Durchsuchen von Verzeichnissen kann auch von anderen Personen genutzt werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur zu ermitteln und andere Informationen zu erhalten. Aus diesem Grund sollten Sie die Verzeichnisindizierung und das Durchsuchen von Verzeichnissen unbedingt deaktivieren.

Verbinden Sie sich mit Ihrer Website über FTP oder den Dateimanager von cPanel. Suchen Sie dann die .htaccess-Datei im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie bitte unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.

Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei einfügen:

Optionen -Indexe

Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen. Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.

XML-RPC in WordPress deaktivieren

XML-RPC wurde in WordPress 3.5 standardmäßig aktiviert, da es dabei hilft, Ihre WordPress-Site mit Web- und Mobilanwendungen zu verbinden.

Aufgrund seiner Leistungsfähigkeit kann XML-RPC die Brute-Force-Angriffe erheblich verstärken.

Wenn ein Hacker beispielsweise 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, musste er 500 separate Anmeldeversuche unternehmen, die vom Login Lockdown Plugin abgefangen und blockiert wurden.

Mit XML-RPC kann ein Hacker jedoch die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.

Aus diesem Grund empfehlen wir, XML-RPC zu deaktivieren, wenn Sie es nicht verwenden.

Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben sie alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress beschrieben.

Tipp: Die .htaccess-Methode ist die beste, weil sie am wenigsten Ressourcen verbraucht.

Wenn Sie die bereits erwähnte Web-Applikations-Firewall verwenden, kann dies von der Firewall übernommen werden.

Untätige Benutzer in WordPress automatisch abmelden

Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, und das stellt ein Sicherheitsrisiko dar. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.

Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website implementieren.

Dazu müssen Sie das Plugin Inactive Logout installieren und aktivieren. Nach der Aktivierung besuchen Sie die Seite Einstellungen “ Inaktive Abmeldung, um die Einstellungen des Plugins zu konfigurieren.

Legen Sie einfach die Zeitdauer fest und fügen Sie eine Logout-Nachricht hinzu. Vergessen Sie nicht, auf die Schaltfläche Änderungen speichern zu klicken, um Ihre Einstellungen zu speichern.

Sicherheitsfragen zum WordPress Login-Bildschirm hinzufügen

Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es für jemanden noch schwieriger, unbefugten Zugriff zu erhalten.

Sie können Sicherheitsfragen hinzufügen, indem Sie das WP Security Questions Plugin installieren. Nach der Aktivierung müssen Sie die Seite Einstellungen “ Sicherheitsfragen besuchen, um die Einstellungen des Plugins zu konfigurieren.

Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.

Scannen von WordPress auf Malware und Sicherheitslücken

Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, dann überprüfen diese Plugins routinemäßig auf Malware und Anzeichen von Sicherheitsverletzungen.

Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie einen manuellen Scan durchführen. Sie können Ihr WordPress-Sicherheits-Plugin verwenden oder einen dieser Malware- und Sicherheitsscanner einsetzen.

Die Durchführung dieser Online-Scans ist recht einfach: Sie geben einfach die URLs Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.

Beachten Sie jedoch, dass die meisten WordPress-Sicherheitsscanner Ihre Website nur scannen können. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.

Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.

Reparieren einer gehackten WordPress-Site

Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wurde.

Die Bereinigung einer WordPress-Website kann sehr schwierig und zeitaufwändig sein. Unser erster Rat wäre, dies einem Profi zu überlassen.

Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt werden.

Wenn Sie Ihre Website von einem professionellen Sicherheitsunternehmen wie Sucuri reparieren lassen, können Sie sicherstellen, dass Ihre Website wieder sicher ist. Außerdem werden Sie so vor zukünftigen Angriffen geschützt.

Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.

Bonustipp: Identitätsdiebstahl und Netzwerkschutz

Als Kleinunternehmer ist es von entscheidender Bedeutung, dass wir unsere digitale und finanzielle Identität schützen, denn wenn wir dies nicht tun, kann dies zu erheblichen Verlusten führen. Hacker und Kriminelle können Ihre Identität nutzen, um den Domainnamen Ihrer Website zu stehlen, Ihre Bankkonten zu hacken und sogar Straftaten zu begehen, für die Sie haftbar gemacht werden können.

Im Jahr 2020 wurden der Federal Trade Commission (FTC) 4,7 Millionen Fälle von Identitätsdiebstahl und Kreditkartenbetrug gemeldet.

Aus diesem Grund empfehlen wir die Nutzung eines Identitätsdiebstahlschutzdienstes wie Aura (wir selbst nutzen Aura).

Aura bietet Schutz für Geräte und WLAN-Netzwerke durch sein kostenloses VPN (virtuelles privates Netzwerk), das Ihre Internetverbindung mit militärischer Verschlüsselung sichert, wo immer Sie sich befinden. Das ist ideal, wenn Sie auf Reisen sind oder sich an einem öffentlichen Ort wie Starbucks mit Ihrem WordPress-Administrator verbinden, damit Sie sicher und privat online arbeiten können.

Der Überwachungsdienst für das Dark Web überwacht ständig das Dark Web mithilfe künstlicher Intelligenz und warnt Sie, wenn Ihre Passwörter, Sozialversicherungsnummern und Bankkonten kompromittiert wurden.

So können Sie schneller handeln und Ihre digitale Identität besser schützen.

Ursprüngliche Quelle: wpbeginner.com