16 WordPress-Sicherheitstipps zum Schutz Ihrer Website (2023)

Veröffentlicht: 2023-10-27

Benötigen Sie eine vollständige Liste mit WordPress-Sicherheitstipps, die Ihre Website vor häufigen Gefahren schützen, für die WordPress bekannt ist?

In diesem Beitrag finden Sie über ein Dutzend grundlegende und erweiterte Sicherheitstipps, die Sie umsetzen können, um Ihre Website vor Schwachstellen und Hacks zu schützen.

Hier sind die WordPress-Sicherheitstipps, die wir in diesem Beitrag behandeln werden:

  1. Wählen Sie einen hochwertigen WordPress-Host.
  2. Verwalten Sie WordPress-Kern, Themes und Plugins.
  3. Installieren Sie ein WordPress-Sicherheits-Plugin.
  4. Installieren Sie ein Backup-Plugin.
  5. Wählen Sie Themes und Plugins von Drittanbietern sorgfältig aus.
  6. Informieren Sie sich über WordPress-Benutzerrollen und deren Berechtigungen.
  7. Implementieren Sie Schutzprotokolle auf der Backend-Anmeldeseite Ihrer Website.
  8. Verwenden Sie sichere Benutzernamen und Passwörter.
  9. Aktivieren Sie ein SSL-Zertifikat für Ihre Site.
  10. Dateibearbeitung deaktivieren.
  11. Deaktivieren Sie die PHP-Ausführung.
  12. Ändern Sie das WordPress-Datenbankpräfix.
  13. Sichern Sie Ihre wp-config.php-Datei.
  14. Benennen Sie die WordPress-Anmeldeseite um.
  15. Deaktivieren Sie das Durchsuchen von Verzeichnissen.
  16. Melden Sie inaktive Benutzer ab.

Wir haben die Listen in zwei separate Listen unterteilt: grundlegende Sicherheitstipps und erweiterte Sicherheitstipps.

Beginnen wir ganz oben mit grundlegenden Sicherheitstipps.

Grundlegende WordPress-Sicherheitstipps für alle Benutzer

1. Wählen Sie einen hochwertigen WordPress-Host

Hier beginnt alles.

Wenn Sie sich nicht für einen hochwertigen WordPress-Host mit einem seriösen Ruf entscheiden, ist Ihre Website anfällig für Angriffe, egal wie viel Sicherheit Sie in WordPress implementieren.

Während Ihre Website aus Code besteht, befindet sich dieser Code in Dateien, die auf einem Webserver installiert werden müssen.

Wählen Sie zumindest einen Hoster, der dafür bekannt ist, schnelle und sichere Server zu unterhalten, seine Servertechnologie auf dem neuesten Stand zu halten und Zugriff auf die neuesten PHP-Versionen zu bieten.

Wir verwenden Cloudways, um den Blogging Wizard zu hosten. Es ist schnell und erschwinglich. Auch die Skalierbarkeit ist ein wichtiger Faktor, da wir viel Verkehr haben.

Sie bieten folgende Sicherheitsfunktionen:

  • Ein Cloudflare Enterprise-Add-on, das DDoS-Schutz und eine Web Application Firewall (WAF) implementiert.
  • Server-Firewalls.
  • Anmeldesicherheit.
  • Datenbanksicherheit.
  • Bot-Schutz.
  • Kostenlose SSL-Zertifikate.
  • Benutzerrollenverwaltung.
  • Sichere Betriebssystemverwaltung.
  • Zwei-Faktor-Authentifizierung.

Was die WordPress-Sicherheit betrifft, sind Sie jedoch möglicherweise mit einem verwalteten WordPress-Host besser dran, insbesondere wenn Sie kein fortgeschrittener WordPress-Benutzer sind.

Verwaltetes WordPress-Hosting

Managed WordPress Hosting ist eine Form des WordPress Hostings, bei der Ihr Host viele Aspekte der Pflege einer WordPress-Site für Sie verwaltet.

Dazu gehören typischerweise Aspekte der WordPress-Sicherheit.

Hier ist ein Beispiel mit unserem am häufigsten empfohlenen verwalteten WordPress-Host WPX Hosting. Dieser Hosting-Anbieter bietet die folgenden Sicherheitsfunktionen:

  • Die Entfernung von Malware ist in allen Plänen enthalten.
  • Site-Korrekturen, wenn Ihre Site offline geht.
  • DDoS-Schutz.
  • Automatische Backups mit Speicher für Backups im Wert von bis zu 28 Tagen.
  • Proprietäres CDN mit 35 Edge-Standorten.
  • Kostenlose SSL-Zertifikate.
  • Ein Staging-Bereich zum Testen von Updates, bevor Sie sie live veröffentlichen.
  • Zwei-Faktor-Authentifizierung.
  • Erweiterte Kontosicherheit, die es Ihnen ermöglicht, den Zugriff auf Ihr WPX Hosting-Konto auf Hardwareebene einzuschränken.
Wpx-Hosting-Homepage

2. WordPress-Kern, Themes und Plugins richtig verwalten

Wie gesagt, Ihre WordPress-Site besteht aus Dateien und Code. Dazu gehören WordPress-Themes und WordPress-Plugins sowie WordPress selbst, das als „WordPress Core“ bekannt ist.

Wie die von Ihnen verwendeten Computer- und Telefonanwendungen werden auch WordPress-Dateien regelmäßig aktualisiert, um neue Funktionen und Sicherheitskorrekturen zu implementieren.

WordPress-Updates

Aus diesem Grund ist es unerlässlich, dass Sie WordPress selbst sowie Ihre Themes und Plugins so oft wie möglich auf dem neuesten Stand halten. Andernfalls könnte Ihre Website verheerenden Sicherheitslücken ausgesetzt sein.

Sie sollten immer versuchen, die neueste WordPress-Version auf Ihrer Website zu verwenden.

Glücklicherweise implementiert WordPress Notfall-Sicherheitsupdates bereits automatisch, und Sie können auch generell automatische WordPress-Updates einrichten.

Allerdings ist es am besten, die meisten WordPress-Updates manuell über einen Staging-Bereich durchzuführen (wie den, den Sie mit WPX Hosting erstellen können), damit Sie die Änderungen, die diese Updates an Ihrer Website vornehmen, in einer kontrollierten Umgebung testen können, bevor Sie sie in die Live-Produktionsversion von übertragen deine Seite.

Alles in allem sollten Sie sich jede Woche Zeit nehmen, um nach WordPress-Updates zu suchen, sie zu testen und auf Ihrer Website anzuwenden, um sie so sicher wie möglich zu halten.

Stellen Sie außerdem sicher, dass Sie Themes und Plugins entfernen, die Sie nicht mehr verwenden.

Aktivieren automatischer Updates für Themes und Plugins

Sie können automatische WordPress-Updates für Themes und Plugins aktivieren, ohne ein Plugin innerhalb von WordPress zu benötigen.

Gehen Sie für Themen zu Erscheinungsbilder → Themen, klicken Sie auf ein Thema und dann auf die Schaltfläche „Automatische Updates aktivieren“.

WordPress aktiviert automatische Updates

Das Aktivieren automatischer Updates für Plugins funktioniert auf die gleiche Weise.

Gehen Sie zu Plugins → Installierte Plugins und klicken Sie auf die Schaltfläche „Automatische Updates aktivieren“ für jedes Plugin, für das Sie automatische Updates aktivieren möchten.

Sie können sogar die Massenoption verwenden, um automatische Updates für alle Plugins auf einmal zu aktivieren.

Automatische Massenupdates für WordPress

3. Installieren Sie ein spezielles WordPress-Sicherheits-Plugin

Wenn Sie Ihre WordPress-Website nicht bei einem verwalteten WordPress-Host hosten, verwenden Sie am besten ein dediziertes WordPress-Sicherheits-Plugin.

Wir empfehlen die WordPress-Sicherheits-Plugins MalCare oder Sucuri.

MalCare implementiert die folgenden Funktionen in Ihre WordPress-Site:

  • Malware-Scanner.
  • Virus-Entfernung.
  • Speziell für WordPress entwickelte Firewall.
  • Login-Schutz.
  • Überwachung der Betriebszeit.
  • Inkrementelle Backups und Site-Wiederherstellungen mit einem Klick.
  • Bot-Schutz.
  • Schwachstellenscanner.
  • Aktivitätsprotokoll, mit dem Sie verdächtiges Verhalten erkennen können.
  • E-Mail-Benachrichtigungen über Malware und Schwachstellen.
Malcare-Statistiken

Sucuri bietet ebenfalls viele dieser Funktionen, ist jedoch vor allem für seine Funktionen zum Scannen und Entfernen von Malware sowie für die Möglichkeit bekannt, eine Firewall zum Schutz Ihrer WordPress-Site zu implementieren.

MalCare ist günstiger als Sucuri und beinhaltet sogar einen begrenzten kostenlosen Plan.

4. Installieren Sie ein WordPress-Back-Plugin

Backups bieten eine der besten Möglichkeiten, Ihre Website zu sichern, falls andere Sicherheitsaspekte ausfallen.

Wenn Ihre Website gehackt oder beschädigt wird oder ein Update einige Probleme verursacht, können Sie sie mithilfe eines Backups auf einen Zeitpunkt wiederherstellen, an dem sie normal funktionierte.

Wenn Ihr Host keine Backups anbietet und Sie diese Funktion nicht über ein Sicherheits-Plugin erhalten, sollten Sie auf jeden Fall ein dediziertes Backup-Plugin verwenden.

Wir empfehlen WP STAGING.

wp staging Homepage

Es ist, wie der Name schon sagt, auf Site-Staging spezialisiert, bietet aber auch Backup-, Migrations- und Klonfunktionen.

Dieses Plugin bietet automatische Backups und ermöglicht Ihnen, diese extern auf Google Drive oder Amazon S3 zu speichern.

Wenn Sie inkrementelle Backups und viele der gleichen Funktionen wie WP STAGING wünschen, probieren Sie BlogVault aus.

Mit beiden Lösungen können Sie Ihre Site aus einem Backup wiederherstellen.

Hinweis: Wenn Sie sich für einen hochwertigen WordPress-Host entscheiden, ist es zwar unwahrscheinlich, dass Sie Backups von Drittanbietern verwenden, dennoch empfehlen wir vorsichtshalber die Verwendung einer der oben genannten Lösungen.

5. Seien Sie vorsichtig bei WordPress-Themes und -Plugins von Drittanbietern

Wenn Sie hören, dass WordPress-Sites gehackt werden, liegt das normalerweise an einem von zwei Gründen: veralteten Versionen des WordPress-Kerns und Themes und Plugins von Drittanbietern.

Aus diesem Grund ist es so wichtig, über WordPress-Updates auf dem Laufenden zu bleiben. Dennoch können nicht alle Updates der Welt Ihre Website vor bösartigen oder schlecht codierten Themes oder Plugins von Drittanbietern schützen.

Bevor Sie sich entscheiden, ein Theme oder Plugin auf Ihrer Website zu installieren, sollten Sie sich informieren.

Wann wurde das Theme oder Plugin zuletzt aktualisiert? Es ist kein gutes Zeichen, wenn ein Theme oder Plugin seit über einem Jahr nicht aktualisiert wurde.

WordPress-Plugin veraltet

Lesen Sie unbedingt auch die Rezensionen und Support-Threads zu einem Theme oder Plugin durch. Dadurch erhalten Sie bessere Indikatoren dafür, wie gut das Theme oder Plugin unterstützt wird.

Stellen Sie sicher, dass Sie den Namen des Themas oder Plugins auch in einer Social-Media-Suche eingeben, insbesondere auf Twitter, Reddit und Facebook.

Diese Websites haben möglicherweise Beschwerden, die auf der offiziellen Seite des Themes oder Plugins auf WordPress.org nicht behandelt werden.

6. Beachten Sie die WordPress-Benutzerrollen und deren Berechtigungen

Als Besitzer einer WordPress-Website ist es wichtig, die Unterschiede zwischen WordPress-Benutzerrollen und den jeweils gewährten Berechtigungen zu kennen.

Hier ist ein kurzer Überblick über die Berechtigungen, auf die jede Rolle Zugriff hat:

  • Administrator (Admin) – Kann auf alle Bereiche des WordPress-Dashboards zugreifen und Änderungen an jedem Teil der Website sowie an jedem Benutzer dieser Website vornehmen.
  • Herausgeber – Hat Zugriff auf WordPress-Beiträge und -Seiten und verfügt über die Möglichkeit, diese Inhalte hinzuzufügen, zu veröffentlichen, zu löschen und zu bearbeiten, auch wenn sie diese nicht selbst erstellt haben.
  • Autor – Hat die Möglichkeit, eigene Beiträge hinzuzufügen, zu bearbeiten und zu veröffentlichen.
  • Mitwirkender – Hat die Möglichkeit, eigene Beiträge hinzuzufügen und zu bearbeiten.
  • Abonnent – ​​Kann sein Benutzerprofil bearbeiten und Kommentare mit dem nativen WordPress-Kommentarsystem hinterlassen.

Wenn Sie also einen Redakteur für Ihr Blog engagieren, sollten Sie ihm die Rolle „Redakteur“ und nicht die Rolle „Administrator“ zuweisen.

Auf diese Weise können sie den Inhalt Ihrer Website verwalten, aber keine Änderungen an Ihrem Theme, Ihren Plugins und WordPress-Einstellungen vornehmen.

7. Schützen Sie die WordPress-Anmeldeseite

Die WordPress-Anmeldeseite ist die Seite, über die Sie sich beim WordPress-Dashboard anmelden.

WordPress-Anmeldeseite

Normalerweise können Sie darauf zugreifen, indem Sie zu yourdomain.com/wp-login.php gehen.

Es gibt eine Reihe verschiedener Techniken, mit denen wir die WordPress-Anmeldeseite sichern können.

Wir werden in diesem Abschnitt zwei Techniken erwähnen, aber im fortgeschrittenen Abschnitt dieses Artikels finden Sie weitere Techniken.

Die erste Technik, die wir erwähnen, besteht darin, einfach ein CAPTCHA-Formular zur Anmeldeseite Ihrer Website hinzuzufügen.

Wenn Sie sich für die Verwendung des zuvor erwähnten MalCare-Sicherheits-Plugins entscheiden, benötigen Sie kein separates Plugin, um diese Funktionalität zu Ihrer Website hinzuzufügen.

Mit diesem Plugin können Sie Anmeldeversuche begrenzen, indem Besuchern automatisch ein CAPTCHA angezeigt wird, das sie lösen können, wenn sie sich nach drei Versuchen nicht anmelden können.

Wenn Sie MalCare nicht verwenden, verwenden Sie stattdessen ein Plugin wie Advanced Google reCAPTCHA.

Erweitertes Google Recaptcha

Es ist ein wirklich einfaches Plugin, mit dem Sie ein CAPTCHA-Formular zum Anmeldeformular, Registrierungsformular und mehr hinzufügen können.

Wenn Sie dieses Plugin aktiviert haben, müssen Sie und jeder, der auf Ihre Anmeldeseite stößt, das CAPTCHA-Formular ausfüllen, um sich anzumelden.

Darüber hinaus besteht eine weitere einfache Möglichkeit, die WordPress-Anmeldeseite zu schützen, darin, die Zwei-Faktor-Authentifizierung zu aktivieren.

Verwenden Sie ein Plugin wie Two Factor Authentication (von den Herstellern von UpdraftPlus), um Ihrer Anmeldeseite eine Zwei-Faktor-Authentifizierung hinzuzufügen. Das Plugin lässt sich in Google Authenticator integrieren.

8. Verwenden Sie sichere Anmeldeinformationen

CAPTCHA-Formulare und Zwei-Faktor-Authentifizierungstechniken machen es Angreifern zwar schwerer, aber nicht unmöglich, auf Ihre Website zuzugreifen.

Aus diesem Grund ist die Verwendung sicherer Anmeldeinformationen wichtig. Es fügt Ihrer Website eine zusätzliche Sicherheitsebene hinzu.

Zunächst einmal sollten Sie niemals „admin“ als Ihren Benutzernamen oder Ihren eigenen Namen verwenden.

Kombinieren Sie stattdessen Fragmente Ihres Namens. Wenn Sie beispielsweise David Smith heißen und am 10. Oktober 1980 geboren wurden, verwenden Sie „dasm1080“ als Benutzernamen oder etwas Ähnliches.

Wenn ein Angreifer auf diese Weise versucht, auf Ihre Website einzudringen, muss er zunächst Ihren Benutzernamen herausfinden.

Dies ist ein etwas fortgeschrittener Tipp, aber Sie können WordPress-Benutzernamen tatsächlich verbergen und sie für Angreifer schwerer zu finden machen. Das ist gut, weil Benutzernamen manchmal im Quellcode einer Seite zu finden sind.

Außerdem enthalten die URLs, die WordPress für Autorenarchivseiten generiert, normalerweise den Benutzernamen jedes Autors.

Um dem entgegenzuwirken, gehen Sie zum Benutzerprofil dieses Autors in WordPress und füllen Sie die Felder „Vorname“, „Nachname“, „Spitzname“ und „Anzeigename als“ mit etwas anderem als dem Benutzernamen des Benutzers aus.

Um noch einen Schritt weiter zu gehen, und hier kommt der Tipp für Fortgeschrittene ins Spiel, greifen Sie über phpMyAdmin auf die Datenbank Ihrer Website zu und suchen Sie die Tabelle wp_users. Das „wp“-Bit sieht möglicherweise etwas anders aus, wenn Sie oder Ihr Host das Präfix Ihrer Datenbank geändert haben, der Teil „_users“ ist jedoch weiterhin angehängt.

Sie möchten den Datenbankeintrag jedes Benutzers bearbeiten und den Wert „user_nicename“ in einen anderen Wert ändern als den, auf den der Benutzername des Benutzers festgelegt ist.

Der Name des Benutzers reicht völlig aus. Achten Sie nur darauf, Leerzeichen mit Bindestrichen auszufüllen, z. B. „David-Smith“.

Verwenden Sie für Passwörter einen Passwortgenerator, um ein sicheres Passwort zu erstellen, und erwägen Sie, es für einen einfachen Zugriff in einem Passwort-Manager zu speichern.

9. Richten Sie SSL für Ihre Site ein

SSL oder Secure Sockets Layer ist ein Sicherheitsprotokoll, das Daten bei der Übertragung zwischen zwei Netzwerken verschlüsselt.

Dies wird typischerweise zur Verschlüsselung von Zahlungsinformationen und sensiblen Kundendaten verwendet.

Es gibt zwei Möglichkeiten, um festzustellen, ob eine Website mit einem SSL-Zertifikat verschlüsselt ist: ein Vorhängeschloss in der Adressleiste und die Verwendung von „https“ anstelle von „http“ auf der Website.

Blogging-Assistent SSL

Da SSL ein leichter Rankingfaktor bei Google ist, wird allen Websites empfohlen, SSL einzurichten, auch wenn sie nie vorhaben, Zahlungen zu akzeptieren.

Glücklicherweise bieten die meisten Hoster heutzutage SSL-Zertifikate kostenlos über Let's Encrypt an, sodass die Einrichtung jetzt einfacher und günstiger als je zuvor ist.

Sehen Sie sich die Wissensdatenbank Ihres Hosts an, um herauszufinden, wie das geht, da jeder Host anders damit umgeht.

WordPress-Sicherheitstipps für fortgeschrittene Benutzer

10. Deaktivieren Sie die Dateibearbeitung

Das WordPress-Dashboard oder WordPress-Administrator für Administratoren verfügt über zwei Dateieditoren, mit denen Sie Theme- und Plugin-Dateien bearbeiten können.

Sie finden sie unter „Darstellung“ → „Designdatei-Editor und Plugins“ → „Plugin-Dateieditor“.

Editor für WordPress-Themedateien

Wenn Sie Änderungen an diesen Dateien vornehmen, kann Ihre Website beschädigt werden. Schlimmer noch: Sollte ein Hacker jemals Zugriff auf eines Ihrer Administratorkonten erhalten, könnte er diese Editoren verwenden, um bösartigen Code in Ihre Website einzuschleusen.

Aus diesem Grund wird WordPress-Websitebesitzern empfohlen, die Dateibearbeitung vollständig zu deaktivieren.

Sie müssen lediglich den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen:

 define('DISALLOW_FILE_EDIT', true);

Wenn Ihr Host über keinen Dateimanager verfügt, müssen Sie über FTP auf die Dateien Ihrer Site zugreifen, Ihre wp-config.php-Datei herunterladen, sie mit einem Nur-Text-Texteditor bearbeiten, speichern und dann erneut dort hochladen Speicherort im Dateisystem für Ihre WordPress-Installation.

Achten Sie nur darauf, das Original zu überschreiben.

Stellen Sie außerdem sicher, dass Sie Ihre Site sichern, bevor Sie Änderungen an Ihrem Dateisystem vornehmen. Es kann auch eine gute Idee sein, eine Kopie Ihrer wp-config.php-Datei herunterzuladen, bevor Sie Änderungen daran vornehmen.

11. Deaktivieren Sie die PHP-Ausführung

Hacker erstellen häufig Hintertüren im Dateisystem Ihrer Website, indem sie darin PHP-Dateien ausführen.

Sie können diese Art von Angriffen blockieren, indem Sie die Ausführung von PHP-Dateien in Ordnern deaktivieren, die eigentlich keine PHP-Dateien enthalten sollten, beispielsweise in Ihrem Uploads-Ordner, in dem Ihre Mediendateien gespeichert sind.

Das Blockieren der PHP-Ausführung in Ordnern, die PHP enthalten , kann Ihre Website tatsächlich beschädigen. Aus Sicherheitsgründen wird daher oft empfohlen, die PHP-Ausführung nur für Ordner zu deaktivieren, in denen PHP nie gefunden wird.

Wenn Sie das MalCare-Sicherheits-Plugin verwenden, können Sie die PHP-Ausführung deaktivieren, indem Sie die FTP-Anmeldeinformationen Ihrer Site eingeben.

Wenn nicht, müssen Sie dies manuell tun, indem Sie das Dateisystem Ihrer Site bearbeiten.

Öffnen Sie zunächst einen Nur-Text-Texteditor auf Ihrem Computer und fügen Sie den folgenden Code hinzu:

 <Dateien *.php>

abgelehnt von allen

</Dateien>

Speichern Sie dann diese Datei und nennen Sie sie „.htaccess“. Achten Sie darauf, den Punkt „.“ einzufügen. vor „htaccess“.

Notizblock htaccess

Jetzt müssen Sie nur noch auf das Dateisystem Ihrer Site zugreifen, Ihre neue .htaccess-Datei in den Ordner „Uploads“ hochladen und Ihre Änderungen speichern.

12. Ändern Sie das WordPress-Datenbankpräfix

Wir haben es schon mehrfach gesagt, aber Ihre Website besteht aus Code, der in Dateien gespeichert ist.

Was wir nicht erwähnt haben, ist, wie Ihre Site auch aus Datenbanktabellen besteht. Wie bei Code oder Dateien kann das Löschen oder Ändern dieser Tabellen Ihrer Website großen Schaden zufügen.

Wenn ein Hacker Ihr Datenbankpräfix kennt, kann er leider damit Ihre Website angreifen, ohne tatsächlich manuell darauf zuzugreifen.

Alle WordPress-Websites sind so konzipiert, dass sie standardmäßig das Präfix „wp“ verwenden. Deshalb ist es so wichtig, dass Sie es ändern, da Hacker dieses Präfix bereits kennen.

Glücklicherweise ändern viele Hosts das Standardpräfix Ihrer Site bereits automatisch, sobald Sie eine Site bei ihnen erstellen.

Sie wissen, ob dies der Fall ist, wenn Ihre Datenbanktabellen vor jedem Unterstrichwert etwas anderes als „wp“ haben, z. B. „fx87_user“ anstelle des üblichen „wp_user“.

Wenn nicht, ist es eigentlich ganz einfach, dies zu tun, solange Sie mit dem Zugriff auf das Dateisystem Ihrer Site vertraut sind.

Für diesen Tipp ist erneut die Datei wp-config.php erforderlich. Wie zuvor ist es eine gute Idee, Ihre Website sowie eine Kopie Ihrer wp-config.php-Datei zu speichern, bevor Sie Änderungen daran vornehmen.

Hier sind die Schritte zum Ändern Ihres WordPress-Datenbankpräfixes:

  1. Laden Sie die Datei wp-config.php Ihrer Website herunter.
  2. Öffnen Sie die Datei in einem Nur-Text-Texteditor.
  3. Suchen Sie eine Zeile mit der Aufschrift „$table_prefix“. Wenn in der gesamten Zeile „$table_prefix = 'wp_'; Du musst es ändern.
  4. Ändern Sie das Präfix „wp“ in zwei bis fünf Buchstaben und Zahlen, die für einen Angreifer schwer zu erraten sind.
  5. Stellen Sie sicher, dass Ihr neues Präfix weiterhin Anführungszeichen und Semikolon enthält. Beispiel: $table_prefix = „fx87_';
  6. Speichern Sie Ihre wp-config.php-Datei und laden Sie sie an denselben Ort im Dateisystem Ihrer Site hoch.
  7. Überschreiben Sie die ursprüngliche Datei wp-config.php, wenn Sie dazu aufgefordert werden.
WordPress-Datenbankpräfix

13. Sichern Sie Ihre wp-config.php-Datei, indem Sie sie verschieben

Bei einigen Angriffsstrategien wird Code in Ihre wp-config.php-Datei eingeschleust, was zunächst erfordert, dass der Angreifer ihn herunterlädt.

Sie können es Hackern erheblich erschweren, Ihre wp-config.php-Datei zu finden, indem Sie sie verschieben.

Mit WordPress können Sie Ihre wp-config.php-Datei um ein Verzeichnis nach oben verschieben, ohne dass Sie etwas anderes tun müssen. Von dort aus kann Ihre Website weiterhin darauf zugreifen.

Da es sich bei einem Verzeichnis nach oben jedoch möglicherweise immer noch um einen öffentlichen Ordner handelt, ist es besser, ihn etwas weiter zu verschieben.

Dieser Tipp ist nicht schwer zu befolgen, aber die Änderungen, die er an Ihrer Website vornimmt, sind ziemlich weit fortgeschritten, insbesondere wenn etwas schief geht. Fahren Sie also nur fort, wenn Sie wissen, was Sie tun.

Hier sind die Schritte zum Verschieben Ihrer wp-config.php-Datei:

  1. Erstellen Sie eine Kopie Ihrer wp-config.php-Datei und speichern Sie sie auf Ihrem Computer.
  2. Greifen Sie auf das Dateisystem Ihrer Site zu und suchen Sie den Ordner, der Ihren public_html-Ordner enthält.
  3. Erstellen Sie in diesem Verzeichnis einen neuen Ordner und benennen Sie ihn so, dass es sich nicht um einen Ordner handelt, der Ihre wp-config.php-Datei enthalten würde. So etwas wie „bw-assets“ würde funktionieren. Hinweis: Verwenden Sie keine BW-Assets auf Ihrer eigenen Website. Verwenden Sie etwas Originelles, das Sie sich ausgedacht haben, damit es sicherer ist.
  4. Stellen Sie die Berechtigungsstufe Ihres neuen Ordners auf 700 ein.
  5. Kopieren Sie Ihre wp-config.php-Datei, fügen Sie sie in Ihren neu erstellten Ordner ein und benennen Sie sie in einen Namen um, der sie nicht als Ihre wp-config.php-Datei identifiziert. Auch hier würde so etwas wie „bw-asset.php“ gut funktionieren.
  6. Ändern Sie die Berechtigungsstufe dieser neuen Datei auf 600.

Bearbeiten Sie Ihre ursprüngliche wp-config.php-Datei, löschen Sie den darin enthaltenen Code und ersetzen Sie ihn durch diesen:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Der Dateipfad zwischen den Anführungszeichen sollte mit dem absoluten Dateipfad Ihrer eigenen Site übereinstimmen, einschließlich der Benennung Ihres neu erstellten Ordners und Ihrer neu erstellten Datei.

Speichern Sie die Datei anschließend.

14. Benennen Sie die WordPress-Anmeldeseite um

Die WordPress-Anmeldeseite existiert standardmäßig unter /wp-login.php und ähnlichen URL-Pfaden. Wenn Sie sich also bei Ihrer WordPress-Site anmelden möchten, gehen Sie einfach zu yourdomain.com/wp-login.php oder yourdomain.com/wp-admin.

Hacker sind damit bestens vertraut. Sobald sie auf das Anmeldeformular Ihrer Website zugreifen, können sie Brute-Force-Angriffe starten, um zu versuchen, Ihre Abwehrmaßnahmen zu durchbrechen.

Zu diesen Abwehrmaßnahmen gehört hoffentlich die Begrenzung der Anmeldeversuche mit einem Sicherheits-Plugin oder einem CAPTCHA-Formular, aber Sie können die Anmeldeseite auch ganz ausblenden.

Verwenden Sie ein Plugin wie WPS Hide Login, um diese Funktion zu implementieren.

Das Plugin fügt der Seite „Allgemeine WordPress-Einstellungen“ eine einfache Einstellung hinzu, eine Einstellung, mit der Sie Ihre Anmelde-URL ändern können, indem Sie die gewünschte URL in ein Textfeld eingeben.

Verwenden Sie etwas Sicheres, das ungewöhnlich ist, damit Hacker es nicht leicht erraten können. Versuchen Sie es vielleicht mit einer Wortkombination, die unsinnig erscheint, wie zum Beispiel „einsteinbananafrisbee“.

WPS-Login ausblenden

Sobald Sie diese Änderung vornehmen, können Sie über wp-login.php oder ähnliche URLs nicht mehr auf Ihre Anmeldeseite zugreifen. Sie können nur yourdomain.com/einsteinbananafrisbee verwenden. Stellen Sie daher sicher, dass Sie sich daran erinnern können.

15. Deaktivieren Sie das Durchsuchen von Verzeichnissen

Das Durchsuchen von Verzeichnissen ist eine Webdesign-Funktion, die es einem Benutzer ermöglicht, ein Verzeichnis als URL in die Adressleiste einzugeben und den Inhalt dieses Verzeichnisses anzuzeigen.

Hacker nutzen dies, um ein Verzeichnis anzuzeigen, ohne tatsächlich auf böswillige Weise auf eine Website zugreifen zu müssen. Auf diese Weise können sie möglicherweise Dateien und Schwachstellen lokalisieren, die sie ausnutzen können.

Der beste Weg, dieses Problem zu bekämpfen, besteht darin, das Durchsuchen von Verzeichnissen vollständig zu deaktivieren.

Überprüfen Sie zunächst, ob das Durchsuchen von Verzeichnissen für Ihre Site aktiviert ist. Sie können dies erkennen, indem Sie zu yourdomain.com/wp-includes gehen. Wenn Ihnen der Fehler 403 Forbidden angezeigt wird, ist das Durchsuchen von Verzeichnissen bereits deaktiviert und Sie brauchen sich keine Sorgen zu machen.

Wenn Sie jedoch stattdessen eine Liste mit Dateien sehen, müssen Sie die Verzeichnissuche selbst deaktivieren.

Beginnen Sie damit, auf das Dateisystem Ihrer Site zuzugreifen und Ihre .htaccess-Datei zu finden.

Genau wie bei Ihrer wp-config.php-Datei sollten Sie Ihre Site sichern und eine Kopie Ihrer .htaccess-Datei erstellen, bevor Sie Änderungen daran vornehmen.

Laden Sie es dann herunter, öffnen Sie es in einem Nur-Text-Texteditor und fügen Sie am Ende dieses Code-Snippet hinzu:

 Optionen Alle -Indizes
Der Blogging-Assistent deaktiviert das Surfen

Speichern Sie die Datei und laden Sie sie erneut auf Ihre WordPress-Site hoch. Achten Sie dabei darauf, das Original zu überschreiben.

16. Melden Sie inaktive Benutzer ab

Andere Administratoren, Redakteure und Autoren denken vielleicht, dass ihre Arbeitsbereiche sicher sind, aber man kann nie vorsichtig genug sein.

Wenn ein Administrator oder Redakteur seinen Computer verlässt, während er auf Ihrer Website angemeldet ist, kann er Ihre Website möglicherweise unbemerkt für Schwachstellen öffnen, insbesondere wenn er sich in der Öffentlichkeit aufhält und sein Computer gestohlen wird.

Um dem entgegenzuwirken, empfiehlt es sich, inaktive Benutzer abzumelden. Das Inactive Logout-Plugin bietet eine der einfachsten Möglichkeiten, diese Aufgabe zu erledigen.

Mit dem Plugin können Sie automatische Abmeldungen basierend auf Inaktivität für einen bestimmten Zeitraum einrichten.

WordPress-Einstellungen für inaktives Abmelden

Sie können sogar Warnmeldungen einrichten, für den Fall, dass Benutzer tatsächlich an ihren Computern sitzen und nicht mit der Website interagieren.

Es handelt sich um ein ziemlich einfaches und unkompliziertes Plugin, mit dem Sie eine zusätzliche Ebene der WordPress-Site-Sicherheit implementieren können.

Letzte Gedanken und was zu tun ist, wenn Ihre Website gehackt wird

Wenn Ihre Website gehackt wird, sehen Sie möglicherweise einige der folgenden Warnzeichen, wenn Sie versuchen, mit ihr zu interagieren:

  • Ich kann mich nicht anmelden.
  • Änderungen am Frontend, die Sie nicht vorgenommen haben.
  • Alle Seiten Ihrer Website werden auf eine völlig andere Website weitergeleitet.

Davon ausgenommen sind Warnungen, die Sie möglicherweise von Ihrem Host oder Sicherheits-Plugin erhalten haben.

Egal, was mit Ihrer Website los ist, Sie wissen jetzt, dass es Probleme gibt. Hier erfahren Sie, was zu tun ist, wenn dies passiert.

Das erste, was Sie tun sollten, ist, Ihre Site mit einem Wartungsmodus-Plugin in den Wartungsmodus zu versetzen.

Das Coming Soon- und Maintenance Mode-Plugin ist ein bekanntes Plugin, das sich hervorragend für diesen Zweck eignet.

Eine gehackte Website macht auch Ihre Benutzer anfällig für Angriffe. Je schneller Sie also den Zugriff von außen auf Ihre Website blockieren, während diese kompromittiert bleibt, desto besser.

Sobald Ihre Website offline ist, befolgen Sie diese Schritte, um sie zu sichern:

  • Ändern Sie die Passwörter für alle Benutzer Ihrer Website, insbesondere aber für Administratorkonten.
  • Sehen Sie sich alle Benutzer auf Ihrer Website an und entfernen Sie Administratorkonten, die Sie nicht kennen.
  • Installieren Sie WordPress-Updates, falls Sie ein wichtiges Sicherheitsupdate für ein Theme oder Plugin eines Drittanbieters verpasst haben.
  • Verwenden Sie Ihr Sicherheits-Plugin, um nach Malware zu suchen und diese zu entfernen. Wenn Sie einen Hoster wie WPX Hosting verwenden, wird die Malware für Sie entfernt. Wenn Sie MalCare installiert haben, sollte das Plugin es für Sie entfernen können. Andernfalls müssen Sie möglicherweise einen externen Dienst wie Sucuri verwenden, der es manuell entfernt.
  • Generieren Sie Ihre Sitemap neu und übermitteln Sie Ihre Website über die Google Search Console erneut an Google. Dies ist der Fall, wenn Ihre Sitemap-Datei beschädigt ist.
  • Installieren Sie saubere Versionen des WordPress-Kerns sowie der Themes und Plugins, die Sie auf Ihrer Website hatten, neu.
  • Bereinigen Sie Ihre Datenbank mit einem WordPress-Plugin wie WP-Optimize.
  • Deaktivieren Sie den Wartungsmodus, sobald Ihre Website stabil ist.
  • Führen Sie eine Sicherheitsüberprüfung durch, um Sicherheitslücken zu identifizieren, die möglicherweise zum Hack geführt haben.

Auch wenn es verlockend sein mag, Ihre Website aus einem Backup wiederherzustellen, wissen Sie nicht, wie lange der Schadcode schon auf Ihrer Website verborgen ist.

Aus diesem Grund ist es am besten, beim Bereinigen einer infizierten Site nicht auf Backups zurückzugreifen.

Offenlegung: Unser Inhalt wird vom Leser unterstützt. Wenn Sie auf bestimmte Links klicken, erhalten wir möglicherweise eine Provision. Dies trägt zu den Betriebskosten des Blogging Wizard bei. Ihre Unterstützung wird sehr geschätzt.