Schützen Sie Ihre WordPress-Site 2021 vor Hackern

Über 100.000 Websites werden täglich von Hackern angegriffen! Aus diesem Grund ist es wichtig, Ihre WordPress-Site sicher zu halten. Ihre Website kann jederzeit eine dieser Websites sein. WordPress ist ziemlich sicher. Viele WordPress-Sites sind jedoch Opfer von Hacking. Dies hat weniger mit WordPress selbst zu tun, sondern damit, wie Sie als Webmaster Ihre Site pflegen und Ihre Sicherheit einrichten.

Selbst wenn Sie beim Start sichergestellt haben, dass Ihre Site sicher war, wird durch die Sicherheitswartung sichergestellt, dass Ihre Site jederzeit angemessen geschützt ist.

Bevor wir beginnen, ist es eine gute Idee, sich mit einigen der häufigsten Sicherheitsprobleme von WordPress-Sites zu befassen:

• Brute-Force-Angriffe – Brute-Force-Angriffe sind der Grund dafür, dass ein sicheres Passwort wichtig ist. Ein Angreifer wird immer wieder Anmeldeinformationen eingeben, bis er die richtige Anmeldekombination für den Zugriff auf Ihre WordPress-Site erhält.
• Malware – Abkürzung für bösartige Software, Malware ist Code, der verwendet wird, um unbefugten Zugriff auf eine Website zu erlangen, um sensible Daten des Geschäftsinhabers und seiner Kunden oder Kontakte zu sammeln.
• Dateieinschluss-Exploits – Dateieinschluss-Exploits treten auf, wenn unsicherer Code verwendet wird, um Remote-Dateien zu laden, die Hackern den Zugriff auf Ihre Website ermöglichen. Dadurch erhalten sie auch Zugriff auf Ihre wp-config.php-Datei, die im Wesentlichen das Rückgrat Ihrer WordPress-Installation ist. Wenn diese Datei kompromittiert wird, können Hacker auf die Anmeldeinformationen der Datenbank und die Verschlüsselungssicherheit zugreifen.
• SQL-Injections – SQL-Injections sind ein Angriff auf Ihre WordPress-Datenbank, bei dem der Angreifer Zugriff auf Ihre Datenbank und damit auf Ihre Daten erhält. In diesem Fall kann der Angreifer die Daten hinzufügen und ändern, die bösartige Links und Spam enthalten können.
• Cross Site Scripting – Cross Site Scripting ist das häufigste Problem bei Plugins und funktioniert, indem ein Angreifer einen Weg findet, ein Opfer dazu zu bringen, unwissentlich Webseiten mit unsicheren Javascript-Skripten zu laden.

Was passiert, wenn Ihre Sicherheit gefährdet ist?

Hacker können Ihre Daten und alle Daten Ihrer Kunden stehlen und diese Daten offen lassen. Malware könnte von Ihrer Website an Ihre Besucher verbreitet werden, was Ihrem SEO-Ranking sowie Ihrem Markenruf schaden kann. Und schließlich könnte Ihre gesamte Site gelöscht werden, was zu ernsthaften Problemen führen kann, wenn sie nicht gesichert wird.

Die große Frage ist nun, wie Sie Ihre Website vor Hackern schützen können. Für WordPress-Sites gibt es eine Reihe von Möglichkeiten, wie Sie Ihre Website sicherer machen können. In diesem Leitfaden zeige ich Ihnen einige der grundlegenden Sicherheitsänderungen, die Sie vornehmen können, bis hin zu den tiefergehenden WordPress-Sicherheitsfunktionen. Tauchen wir ein.

Was sind grundlegende Sicherheitseinstellungen?

Die meisten Websites haben nicht einmal die Grundlagen abgedeckt, und das sorgt für einen ziemlich schlampigen Schutz. Hier werden wir die grundlegenden Dinge behandeln, die Sie tun können, um Ihre WordPress-Sicherheit zu erhöhen.

1. Starke Anmeldeinformationen

Es mag albern klingen, aber ein sicheres Passwort ist Ihre erste Verteidigungslinie. Heute verwenden die Leute immer noch Passwörter wie Password123, die sehr wenig Schutz bieten. Es mag verlockend sein, Ihren Benutzernamen oder sogar Ihre E-Mail-Adresse als Passwort zu verwenden, aber tun Sie es nicht!

Ein starkes Passwort unterscheidet sich von Ihrem Benutzernamen und/oder Ihrer E-Mail-Adresse und enthält sowohl Großbuchstaben als auch Kleinbuchstaben, Zahlen und Sonderzeichen (zB !,*,%).

Ebenso werden Sie vielleicht überrascht sein zu erfahren, dass viele Leute admin als Benutzernamen verwenden. Wenn ja, ist es an der Zeit, es zu ändern.

2. Sicheres Hosting, das eine sichere Verbindung verwendet

Webhoster sind genauso für die Sicherheit Ihrer Website verantwortlich wie Sie selbst. Heutzutage wird das Hosting über Cloud-Hosting oder Shared Hosting bereitgestellt (überprüfen Sie die besten günstigen WordPress-Hosting-Optionen). Cloud-Hosting hostet mehrere Websites auf mehreren Servern, während Shared Hosting mehrere Websites über einen Server hostet.

Cloud-Hosting wird für sein höheres Maß an Zuverlässigkeit und Sicherheit geschätzt, da es keine gemeinsame Nutzung begrenzter Ressourcen an mehreren Standorten erfordert. Das ist das Problem bei Shared Hosting, und wenn Hosts mehr Websites anhäufen, als der Server verarbeiten kann, macht dies Websites anfällig.

Das soll nicht heißen, dass Shared Hosting schlecht ist. Verantwortliche Hosts verwenden immer eine sichere Verbindung und geben einem Server nie mehr, als er verarbeiten kann. Jetzt könnte ein guter Zeitpunkt sein, um nach Ihrem Host zu sehen und herauszufinden, ob Sie einen Wechsel vornehmen müssen.

3. Zwei-Faktor-Authentifizierung

Eine einfache Sicherheitslösung besteht darin, die Zwei-Faktor-Authentifizierung bei der Anmeldung bei Ihrem Dashboard zu aktivieren. Dies fügt Ihrer Website eine zusätzliche Sicherheitsebene hinzu und ist in Ihren Einstellungen sehr einfach zu aktivieren.

Die Authentifizierung erfolgt in der Regel über einen Code per SMS oder E-Mail. Einige finden es ärgerlich, einen zusätzlichen Schritt zum Anmelden durchlaufen zu müssen, aber es lohnt sich für den zusätzlichen Schutz.

3. SSL-Zertifikate

Sie sind sich nicht sicher, ob Ihre Website über ein SSL-Zertifikat verfügt? Eine Site, die über SSL verfügt, wird am Anfang ihrer Webadresse https:/ enthalten und Ihr Browser sagt oft, dass die Site unsicher ist. SSL-Zertifikate weisen Webbesucher darauf hin, dass Ihre Site sicher ist, sodass ihre Daten bei der Nutzung Ihrer Site geschützt sind.

Die meisten Hosting-Anbieter beinhalten jetzt SSL-Zertifikate in ihren Abonnementkosten, aber wenn Sie keins haben, können Sie eines über Ihren Host bezahlen oder das kostenlose Let's Encrypt-Zertifikat verwenden (siehe, wie Sie manuell kostenloses SSL zur WordPress-Site hinzufügen).

Als Websitebesitzer sollten Sie bei der Auswahl eines SSL-Zertifikats für Ihre Website nach verschiedenen SSL-Typen suchen. Wenn eine E-Commerce-Website beispielsweise mehrere Subdomains hat, sollten Sie daran denken, ein Wildcard-SSL-Zertifikat zu erwerben.

Es gibt viele renommierte Zertifikatsmarken, die Ihnen helfen können, das Vertrauen auf der Website aufzubauen, wie AlphaSSL, Comodo, GlobalSign, DigiCert. Sie können jeden auswählen, da alle renommierten Marken authentifizierte SSL-Zertifikate anbieten.

4. Sichern Sie Ihre Site

Egal wie stark die Sicherheit Ihrer Site ist, sie wird niemals 100% kugelsicher sein. Aus diesem Grund ist die Sicherung Ihrer Site (siehe WordPress-Backup-Plugins im Vergleich) eines der absoluten Muss für die Website-Sicherheit. Sollte das Unvermeidliche eintreten, können Sie sicher sein, dass Sie Ihre Website nicht von vorne beginnen müssen.

Sie können ein Backup-Plugin wie Duplicator verwenden (siehe, wie Sie die WordPress-Site mit Duplicator migrieren), BackupBuddy (siehe BackupBuddy-Überprüfung), WPvivid (siehe WPvivid-Überprüfung), 10Web-Backup (siehe 10Web-Überprüfung) usw.

Eine andere Möglichkeit, Ihre Daten zu sichern, besteht darin, alle Apps oder Software zu synchronisieren, die Sie mit denselben Daten verwenden. Du kannst zum Beispiel deine Kontakte sichern, indem du Mailchimp und Office 365 synchronisierst. Dadurch kannst du Kontaktdaten sicher aufbewahren.

5. Plugins und Themes

WordPress-Sites funktionieren mit Themes und vielen Plug-Ins, die auch Updates erfordern. Diese Updates sind unerlässlich, damit Ihre Website reibungslos funktioniert, aber auch um Fehler oder Probleme in ihrer Software zu beheben. So viele Unternehmen haben Websites, die auf älteren Softwareversionen laufen, und sie wissen es nicht einmal.

Ein weiteres Problem ist die Verwendung von nulled Themes und Plugins, diese enthalten modifizierten Code und sind nicht vertrauenswürdig. Die Verwendung von nulled Plugins kann Ihre Website gefährden.

6. Aktualisieren Sie Ihre PHP-Version

Jede Site, auf der eine sehr alte PHP-Version ausgeführt wird, ist Sicherheitsrisiken ausgesetzt. Ein veraltetes PHP kann Ihre WordPress-Site angreifbar machen. Es ist eine gute Idee zu überprüfen, ob Ihre Version auf der neuesten PHP-Version ausgeführt wird. Sie können Ihre Version finden, indem Sie die Header-Anfrage auf Ihrer Website überprüfen, ein verschiedenes Plugin verwenden oder über Ihr cPanel, wenn Ihr Hosting es verwendet.

7. Den Admin-Bereich straffen

Der WordPress-Administrationsbereich gibt dem Benutzer im Wesentlichen die Möglichkeit, auf bestimmte Aufgaben auf Ihrer Website zuzugreifen und diese auszuführen, und bleibt oft ungeschützt. Aus diesem Grund ist es der am häufigsten angesprochene Bereich einer WordPress-Site.

Sie können die Sicherheit erhöhen, indem Sie Ihrem Admin-Verzeichnis zusätzliche Authentifizierungsmaßnahmen hinzufügen. Sie können eine Zwei-Faktor-Authentifizierung hinzufügen und die Anmeldeversuche begrenzen, um eine weitere Sicherheitsebene hinzuzufügen und Hacker abzuschrecken.

Sie können noch einen Schritt weiter gehen und die WordPress-Anmelde-URL ändern. Die Standard-URL für WordPress-Sites ist domain.com/wp-admin oder /login.php, was es Hackern leichter macht, Brute-Force-Angriffe auf Ihr Admin-Login zu versuchen.

Obwohl es sich nicht um eine große Sicherheitslösung handelt, erschwert das Ändern der URL es Angreifern, auf die Site zuzugreifen. Sie können Ihre Anmelde-URL mit einem Plugin wie iThemes Security ändern (siehe Vergleich von iThemes Security vs. WordFence), Hide My WP (siehe Vergleich von Swift Performance vs Hide My WP) usw.

Wie implementiert man eine stärkere Sicherheit?

Hier sind einige Empfehlungen für ein höheres Sicherheitsniveau für die WordPress-Site.

1. Installieren Sie ein WordPress-Sicherheits-Plugin

Sie fragen sich vielleicht, ob es ein raffiniertes Plugin gibt, das Sie installieren können, um die Sicherheit zu erleichtern, und die gute Nachricht ist, dass es viele gibt. Der Vorteil der Verwendung dieser Plugins sind ihre verschiedenen Funktionen sowie die Möglichkeit, Ihre WordPress-Installation nach geänderten Dateien zu durchsuchen, die auf einen Hacking-Versuch hinweisen könnten. Diese Plugins bieten außerdem:

• WHOIS-Informationen zu Website-Besuchern
• Zwei-Faktor-Authentifizierung
• reCAPTCHAs
• Malware-Scans
• Passwortablauf – zwingt Sie, Ihr Passwort nach einer bestimmten Zeit zurückzusetzen.
• WordPress-Sicherheitsfirewalls

Auch wenn sie möglicherweise nicht alle Ihre Sicherheitsprobleme lösen, kann ein Plugin helfen, eine weitere Verteidigungsebene hinzuzufügen und Hacking-Versuche zu verhindern. Ich empfehle, die folgenden Plugins in Betracht zu ziehen: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (siehe MalCare Review) etc.

2. Verstecke deine WordPress-Version

Je weniger Informationen über Sie und Ihre Website-Konfiguration verfügbar sind, desto schwieriger ist es für Hacker, Sie ins Visier zu nehmen. Das Verbergen Ihrer Site-Version verhindert, dass Hacker Ihre Site als eine ältere Version identifizieren.

Eine einfachere Lösung besteht darin, sicherzustellen, dass Ihre Website immer auf dem neuesten Stand ist. Wenn Sie jedoch Vorsichtsmaßnahmen treffen möchten, können Sie Ihre WordPress-Version ausblenden, indem Sie der Datei functions.php Ihres Themes Code hinzufügen.

3. Dateiberechtigungen

Dateiberechtigungen sind eine Reihe von Regeln, die von Ihrem Webserver verwendet werden, um den Zugriff auf die Dateien auf Ihrer Site zu kontrollieren. Wenn Sie die falschen Berechtigungen haben, kann Ihre Website nicht mehr funktionieren, aber sie können Hackern auch ermöglichen, auf diese Dateien zuzugreifen und sie neu zu schreiben und zu ändern.

Die empfohlenen Werte für Dateiberechtigungen lauten wie folgt: Alle Dateien sollten auf 644 gesetzt werden und alle Verzeichnisse sollten auf 755 oder 750 gesetzt werden. Verzeichnisse sollten niemals auf 777 gesetzt werden.

4. Datenbanksicherheit

Ihre Datenbank wird den Namen Ihrer Website haben. Wenn Ihre Site also richie rich heißt, heißt Ihre Datenbank wp_richierich. Indem Sie dies in etwas anderes ändern, wird verhindert, dass Hacker Ihren Datenbanknamen erraten können.

Eine andere Möglichkeit, die Sicherheit zu erhöhen, besteht darin, das standardmäßige WordPress-Tabellenpräfix zu ändern. Standardmäßig hat WordPress wp_ als Präfix verwendet, um Ihre Datenbank zu erstellen. Während der Installation können Sie dieses Präfix ändern. Es wird empfohlen, dies zu tun, um Hackern das Erraten Ihrer Datenbanknamen zu erschweren.

5. DDoS-Prävention

DDoS ist eine Art von Denial-of-Service-Angriff, der Ihrer Website keinen Schaden zufügt, Ihre Website jedoch für Stunden oder sogar Tage lahmlegt. Dies kann Ihrer Website zwar keinen Schaden zufügen, kann jedoch Ihrem Unternehmen schaden, wenn Sie sich darauf verlassen, dass Ihre Website jederzeit voll funktionsfähig ist. Sie können einen DDoS-Angriff verhindern, indem Sie Sicherheitsfunktionen von Drittanbietern wie Securi oder Cloudflare verwenden.

6. Schützen Sie Ihre wp-config.php-Datei

Wie bereits erwähnt, ist die Datei wp-config.php die wichtigste Datei in Ihrer WordPress-Installation. Wenn der Hacker kompromittiert wird, kann er Ihr Datenbank-Login erhalten, wodurch er vollständigen Zugriff auf Ihre Website erhält.

Das mag beängstigend klingen, aber keine Sorge, Sie können die Sicherheit Ihrer wp-config.php-Datei erhöhen, indem Sie die Dateiberechtigungen ändern. Dateien im Root-Verzeichnis werden normalerweise auf 644 gesetzt, was dem Besitzer das Lesen und Schreiben der Dateien ermöglicht und von Benutzern im Gruppenbesitzer und allen anderen gelesen werden kann.

Wenn Sie anderen Verwendungen den Zugriff verweigern möchten, sollten die Dateien auf 440 oder 400 gesetzt werden. Beachten Sie, dass bestimmte Hosting-Plattformen unterschiedliche Berechtigungen haben. Dies liegt daran, dass der Benutzer keine Berechtigung zum Schreiben der Dateien hat. In diesem Fall ist es eine gute Idee, sich an Ihren Hosting-Provider zu wenden, um sich über die Berechtigungen zu informieren.

Halten Sie Ihre WordPress-Site sicher

Es gibt viele Gründe, warum WordPress-Sites gehackt werden. Das Bereinigen einer gehackten WordPress-Site ist nicht unmöglich, aber durch vorbeugende Maßnahmen können Sie die Wahrscheinlichkeit einer gehackten Site verringern, sodass Sie sich keine Sorgen machen müssen, Ihre Site zu bereinigen oder im schlimmsten Fall eine ganz neue zu erstellen Webseite.