WordPress-Sicherheit – 24 Tipps zum Schutz Ihrer Website vor Hackern

Die Sicherheit von WordPress sollte bei der Verwaltung einer Website oberste Priorität haben. Sie entwerfen Ihre Website, veröffentlichen Inhalte, verkaufen Produkte online, aber wenn Sie die WordPress-Sicherheit nicht ernst nehmen, kann Ihre Website jederzeit gehackt werden.

Jeden Tag werden 30.000 Websites gehackt und mehr als 2.000 Websites von Google auf die schwarze Liste gesetzt. Sie sind keine Ausnahme. Wenn eine Regierungswebsite gehackt werden kann, warum dann nicht Ihre?

Eines Morgens wachst du auf und siehst, dass deine WordPress-Seite nicht zugänglich ist und siehst zufällige Nachrichten wie:

„ your website is hacked by xyz “ – die Seite wurde gehackt

„ Die Seite voraus enthält Malware “ – von Google auf die schwarze Liste gesetzt

Das ist das Schlimmste, was Sie jemals mit Ihrer Website erleben könnten.

Aber warum WordPress?

WordPress betreibt über 31 % (80 Millionen) aller Websites im Internet. Laut W3Techs hat WordPress 60 % des CMS-Marktanteils mehr als andere Plattformen, was ein ziemlich solider Grund ist, Hacker anzuziehen.

Aber keine Panik. Das Härten der WordPress-Sicherheit ist sehr einfach und Sie können es auch tun.

In diesem Artikel werde ich die 24 besten WordPress-Sicherheitstipps teilen, um Ihre Website vor Hackern und Malware zu schützen.

„Warum lässt du das Tor deines Palastes nicht verschwinden, bevor sie es entdecken?“ – WPMyWeb

Häufige WordPress-Sicherheitsprobleme

Bevor wir uns eingehend mit den Best Practices für die WordPress-Sicherheit befassen, wollen wir uns zunächst mit einigen häufigen WordPress-Sicherheitsproblemen befassen.

Viele Benutzer glauben, dass WordPress keine sichere Plattform für Unternehmen ist, was überhaupt nicht stimmt. Dies liegt an mangelnder Kenntnis der WordPress-Sicherheit, schlechter Systemadministration, Verwendung veralteter WordPress-Software und Plugins usw.

Viele WordPress-Anfänger gehen davon aus, dass das Erstellen einer Website das Ende ist und keine Sicherheitswartung erforderlich ist. Auf diese Weise hinterlassen Sie Ihre Website angreifbar.

Sobald Hacker Schwachstellen auf Ihrer Website finden, können sie Ihre Website leicht ausnutzen.

Schauen wir uns einige der häufigsten WordPress-Sicherheitsprobleme an.

1. Brute-Force-Angriffe:

Beim Brute-Force-Angriff werden mithilfe eines automatisierten Skripts verschiedene Kombinationen von Benutzernamen und Passwörtern generiert. Hacker verwendet die Anmeldeseite von WordPress, um einen Brute-Force-Angriff auszuführen.

Wenn Sie einen einfachen Benutzernamen und ein einfaches Passwort verwenden, könnten Sie das nächste Opfer dieses Angriffs sein.

2. Cross-Site-Scripting (XSS):

Cross Site Scripting ist eine Angriffsart, bei der Angreifer bösartigen Code/Skript auf einer vertrauenswürdigen Website einschleusen. Diese Hacking-Methode ist für die Benutzer, die auf der Website surfen, völlig unsichtbar.

Diese schädlichen Skripte werden anonym geladen und stehlen Informationen aus dem Browser der Benutzer. Selbst wenn ein Benutzer Daten in irgendein Formular eingibt, könnten die Daten gestohlen werden.

3. SQL-Injektionen:

WordPress verwendet eine MySQL-Datenbank, um Blog-Informationen zu speichern.

SQL-Injection tritt auf, wenn Hacker Zugriff auf die WordPress-Datenbank erhalten. Durch das Hacken der WordPress-Datenbank können Hacker ein neues Administratorkonto mit vollem Zugriff auf Ihre Website erstellen.

Sie können auch Daten in Ihre MySQL-Datenbank einfügen und Links zu schädlichen oder Spam-Websites hinzufügen.

4. Hintertüren:

Unter dem Namen „Hintertür“ können Sie verstehen, was es bedeutet.

Backdoor ist eine Hacking-Methode, die es Hackern ermöglicht, eine Website zu betreten, indem sie den normalen Authentifizierungsprozess umgehen und sogar vom Eigentümer der Website unentdeckt bleiben.

Nach dem Hacken einer Website hinterlassen Hacker normalerweise ihren Fußabdruck, damit sie wieder auf die Website zugreifen können, selbst wenn der Hack entfernt wurde.

5. Pharma-Hacks:

WordPress Pharma Hacks ist eine Art Website-Spam, der Suchmaschinenergebnisse mit Spam-Apothekeninhalten füllt, die im Internet verboten sind, wie Viagra, Nexium, Cialis usw.

Im Gegensatz zu anderen WordPress-Hacks sind die Ergebnisse von Pharma-Hacks nur für Suchmaschinen sichtbar. Sie können den Hack also nicht erkennen, indem Sie sich nur Ihre Website oder den Quellcode ansehen.

Gehen Sie zu Google und geben Sie site:domain.com ein. Wenn die Suchergebnisse Ihre Website-Inhalte zeigen (keine Apotheken-Inhalte), dann ist Ihre Website nicht von Pharma-Hacks betroffen.

Das Ziel dieses Hacks ist es, Ihre wertvollsten Seiten auszunutzen, indem Sie das Titel-Tag mit schädlichen Links überschreiben. Ganz zu schweigen davon, dass Suchmaschinen wie Google, Bing Ihre Website wegen der Bereitstellung schädlicher Inhalte auf die schwarze Liste setzen können, wenn Sie die Angelegenheit nicht frühzeitig untersuchen.

6. Schädliche Weiterleitungen:

WordPress böswillige Weiterleitung ist eine Art Hack, bei dem Ihre Website-Besucher automatisch auf Spam-Websites wie Glücksspiel-, Porno- und Dating-Websites umgeleitet werden. Dieser Hack tritt auf, wenn ein schädlicher Code in die Datei oder Datenbank Ihrer Website eingeschleust wird.

Wenn Ihre Website Besucher auf illegale oder böswillige Websites umleitet, wird Ihre Website möglicherweise von Google auf die schwarze Liste gesetzt.

Warum WordPress-Sicherheit wichtig ist

Ihre Website repräsentiert Ihre Marke, Ihr Unternehmen und vor allem den ersten Kontakt mit Ihren Kunden.

Sie haben wahrscheinlich mehrere Jahre mit vielen Anstrengungen gebraucht, um Ihr Geschäft aufrechtzuerhalten und Ihren Traffic zu steigern. Ihr Publikum liebt Ihre Artikel und vertraut Ihren Produkten, deshalb bleiben sie mit Ihnen in Kontakt.

Wenn Ihre WordPress-Site nicht sicher ist, gibt es viele Möglichkeiten, wie sowohl Ihre Site als auch Ihre Kunden davon betroffen sind. Hacker können persönliche Informationen, Kennwörter, Kreditkartendetails und Transaktionsinformationen von Benutzern stehlen und Malware an Ihre Benutzer verteilen.

Wenn Ihre Website gehackt wird, werden Sie feststellen, dass Ihr Traffic drastisch zurückgeht. Darüber hinaus wird Google Ihre Website auf die schwarze Liste setzen.

Laut dem Google-Blog steigt die Zahl der gehackten Websites im Jahr 2016 um etwa 20 % im Vergleich zu 2015.

In einer Studie berichtet Securi, dass Google täglich über 10.000 Websites auf die schwarze Liste setzt.

Wenn Sie Ihr Geschäft ernst nehmen, müssen Sie Ihrer WordPress-Sicherheit besondere Aufmerksamkeit schenken.

Bester WordPress-Sicherheitsleitfaden

1. Holen Sie sich ein gutes WordPress-Hosting
2. Halten Sie die WordPress-Version auf dem neuesten Stand
3. Verwenden Sie keine Nulled/Cracked Themes oder Plugins
4. Verwenden Sie sichere Passwörter
5. Fügen Sie (2FA) Zwei-Faktor-Authentifizierung hinzu
6. Ändern Sie die WordPress-Anmelde-URL
7. Anmeldeversuche begrenzen
8. Sichern Sie Ihre Website regelmäßig
9. Verwenden Sie ein WordPress-Sicherheits-Plugin
10. Inaktive Benutzer automatisch abmelden
11. Fügen Sie Sicherheitsfragen zur WordPress-Anmeldeseite hinzu
12. Ändern Sie den Standardbenutzernamen „admin“.
13. Weisen Sie Benutzern die niedrigstmögliche Rolle zu
14. Überwachen Sie Dateiänderungen und Benutzeraktivitäten
15. SSL-Zertifikat installieren
16. Löschen Sie ungenutzte Themes und Plugins
17. Deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard
18. Passwortgeschützte WordPress-Anmeldeseite
19. Deaktivieren Sie das Durchsuchen von Verzeichnissen
20. Entfernen Sie Ihre WordPress-Versionsnummer
21. Ändern Sie das Präfix der WordPress-Datenbanktabelle
22. Verwenden Sie nur vertrauenswürdige WordPress-Themes und Plugins
23. Deaktivieren Sie die PHP-Fehlerberichterstattung
24. Füge sichere HTTP-Header zu WordPress hinzu

Bereit? Lasst uns beginnen.

1. Holen Sie sich ein gutes WordPress-Hosting

WordPress-Hosting spielt eine wichtige Rolle, wenn es um die Verbesserung der WordPress-Sicherheit geht.

Sie zahlen für den Hosting-Service und Ihre Website bleibt unter ihrer Kontrolle. Sie sollten also vorsichtig sein, bevor Sie ein gutes WordPress-Hosting für Ihre Website auswählen.

Shared Hosting wie A2Hosting, Bluehost usw. sind die beste Hosting-Option, um einen Blog mit geringem Datenverkehr zu betreiben. Beim Shared Hosting besteht jedoch immer die Möglichkeit einer standortübergreifenden Kontamination.

Cross-Site-Kontamination tritt auf, wenn ein Hacker über eine anfällige Website auf den Webserver zugreifen und dann alle anderen Websites auf demselben Webserver ausnutzen kann.

Wir empfehlen die Verwendung eines verwalteten WordPress-Hosting-Anbieters. Verwaltete WordPress-Hosting-Unternehmen bieten mehrschichtige Sicherheitsoptionen für Websites. Ihre Hosting-Plattformen sind hochgradig gesichert und sie bieten einen täglichen Malware-Scan und verhindern externe Angriffe. Wenn sie trotzdem Malware auf ihrem Server finden, übernehmen sie die Verantwortung und entfernen sie sofort.

Sie bieten auch tägliche Backups, kostenloses SSL-Zertifikat und Expertenunterstützung rund um die Uhr.

Wir empfehlen das von WPEngine verwaltete WordPress-Hosting-Unternehmen. Sie bieten mehrere Sicherheitsebenen zum Schutz Ihrer WordPress-Site. Mit ihrem Plan erhalten Sie tägliche Backups, kostenloses SSL, globales CDN und Expertensupport rund um die Uhr.

Besuchen Sie WPEngine . [Rabattcode in diesem Link hinzugefügt]

Zurück nach oben

2. Halten Sie die WordPress-Version auf dem neuesten Stand

Deine WordPress-Seite auf dem neuesten Stand zu halten, ist eine gute Sicherheitspraxis, um deine WordPress-Sicherheit zu verstärken. Dieses Update enthält die WordPress-Version, Plugins und Designs.

In einer kürzlich durchgeführten Studie analysierte Securi, dass 56 % aller mit WordPress infizierten Websites immer noch veraltet waren. Wenn Sie einer von ihnen sind, sind Sie in Gefahr.

Jeden Tag werden neue Schwachstellen entdeckt und es gibt keine Möglichkeit, sie zu stoppen. Veraltete Software und Plugins können Schwachstellen enthalten, die Hacker nutzen können, um eine Website auszunutzen.

Mit jedem Update fügen Entwickler neue Funktionen hinzu, flicken Sicherheitslücken, beheben Fehler usw. Wie bei der WordPress-Software müssen Sie auch Ihre WordPress-Themes und -Plugins aktualisieren.

Das Gute ist, dass WordPress seine Updates automatisch ausrollt und seine Benutzer benachrichtigt.

Das Aktualisieren der WordPress-Version, Plugins und Themes ist sehr einfach und Sie können dies über Ihr WordPress-Admin-Dashboard tun.

Wie aktualisiere ich WordPress, Plugins und Themes?

Melden Sie sich zuerst bei Ihrem WordPress-Dashboard an und gehen Sie zu Dashboard> Updates . Dort können Sie sehen, ob ein neues Update verfügbar ist.

Hinweis: Bevor Sie Ihre WordPress-Version aktualisieren, erstellen Sie eine vollständige Sicherung Ihrer Dateien und Datenbank. Falls ein Fehler auftritt, können Sie Ihre Website ganz einfach auf die vorherige Version zurücksetzen. Mit BlogVault können Sie Ihre Website ganz einfach mit nur einem Klick sichern und wiederherstellen.

Auf der Seite können Sie „Eine aktualisierte Version von WordPress ist verfügbar“ sehen. Klicken Sie auf die Schaltfläche Jetzt aktualisieren, um Ihre WordPress-Version zu aktualisieren. Dieser Vorgang kann einige Sekunden dauern.

Sobald das Update abgeschlossen ist, scrollen Sie nach unten, um Ihre WordPress-Plugins zu aktualisieren. Wir empfehlen Ihnen, die Plugins einzeln zu aktualisieren. Wählen Sie zunächst ein Plugin aus und klicken Sie auf Plugins aktualisieren .

Aktualisieren Sie auf ähnliche Weise Ihre Themen unten.

Der Aktualisierungsprozess ist jedoch für einige Benutzer etwas schwierig, insbesondere für diejenigen, die nicht technisch versiert sind.

Einige verwaltete WordPress-Hosting-Anbieter wie SiteGround, Kinsta, FlyWheel bieten eine automatische Update- Funktion. Wenn Sie also einen vollen Terminkalender haben oder zu faul zum Aktualisieren sind, könnte dies nützlich sein.

Lesen Sie auch, So aktualisieren Sie die WordPress-Version, Plugins und Themes manuell

Zurück nach oben

3. Verwenden Sie niemals Nulled/Cracked Themes und Plugins

Es ist kein Wunder, dass Premium-Plugins und -Designs mehr Funktionen enthalten und professionell aussehen. Aber keines der Premium-Produkte ist kostenlos. Es ist mit einem Preis verbunden und nach dem Kauf von Premium-Produkten müssen Benutzer den Produktschlüssel eingeben, um das Produkt zu aktivieren.

Es gibt jedoch viele bösartige Websites, die kostenlose Premium-Designs und Plugins anbieten. Diese gecrackten Themes und Plugins benötigen zur Aktivierung keinen Serienschlüssel und werden nie aktualisiert.

Hier ist, was ich meine:

Diese auf Null gesetzten Themen und Plugins sind sehr gefährlich für Ihre Website. Hacker injizieren speziell schädliche Codes hinein und erstellen eine Hintertür zu Ihrer Website. So können sie leicht auf Ihre Website zugreifen und Ihre Website einschließlich der Datenbank hacken.

Verwenden Sie also niemals genullte oder gecrackte WordPress-Themes und -Plugins.

Wir empfehlen dringend, kostenlose Themes oder Plugins nur von WordPress.org herunterzuladen.

Wir verstehen, dass kostenlose Themes oder Plugins sehr eingeschränkte Funktionen haben. Aber diese kostenlosen Themen oder Plugins sind sicher zu verwenden und werden regelmäßig aktualisiert.

Lesen Sie auch, Die 7 besten Premium-Blogging-Themen für WordPress

Zurück nach oben

4. Verwenden Sie starke Passwörter

Ein Passwort ist ein Primärschlüssel für den Zugriff auf Ihre WordPress-Site. Wenn es einfach und kurz ist, können Hacker Ihr Passwort leicht knacken. Über 80 % der Hacking-bedingten Sicherheitsverletzungen sind auf ein schwaches Passwort oder ein gestohlenes Passwort zurückzuführen.

In einer aktuellen Studie enthüllte SplashData die 100 schlechtesten Passwörter des Jahres 2017.

Hier sind einige davon:

1. 123456
2. Passwort
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. Lass mich rein
8. 1234567
9. Fußball
10. ich liebe dich
11. Administrator
12. willkommen
13. Affe (lol)

Wenn Ihr Passwort wie oben einfach ist, ändern Sie es sofort. Ein sicheres Passwort sollte mindestens 10 Ziffern lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.

Sie können ein Online-Passwortgenerator-Tool verwenden, um sofort Tausende von sicheren Passwörtern zu erstellen.

Es ist auch erforderlich, dass Sie das Passwort auf Ihrem Computer speichern.

Um es einfacher zu machen, können Sie eine Passwort-Manager-Software verwenden, um alle Ihre Passwörter wie LastPass, Dashlane usw. zu verwalten.

Erzwingen Sie starke Passwörter für Benutzer

Standardmäßig verfügt WordPress nicht über eine Funktion, die Benutzer daran hindert, schwache Passwörter einzugeben. Meistens legen Benutzer ein schwaches Passwort für ihr Konto fest und ändern es kaum.

Wenn Sie einen Mehrbenutzer-WordPress-Blog betreiben, sollten Sie die Benutzer dazu zwingen, ein sicheres Passwort zu verwenden.

Um diesen Vorgang zu vereinfachen, können Sie ein Plugin verwenden. Installiere und aktiviere das Force Strong Passwords Plugin und du bist fertig. Dadurch wird verhindert, dass Benutzer und sogar Administratoren ein schwaches Passwort eingeben.

Zurück nach oben

5. Zwei-Faktor-Authentifizierung (2FA) hinzufügen

Eine weitere einfache Methode, um Ihre WordPress-Sicherheit zu erhöhen, besteht darin, Ihrer WordPress-Anmeldeseite eine Zwei-Faktor-Authentifizierung (2FA) hinzuzufügen. Grundsätzlich ist die Zwei-Faktor-Authentifizierung oder Zwei-Schritt-Verifizierung ein Sicherheitsprozess, der zwei Methoden zur Überprüfung Ihrer Identität erfordert.

Standardmäßig geben wir normalerweise Benutzername und Passwort ein, um uns bei einer Website anzumelden. Durch das Hinzufügen der Zwei-Faktor-Authentifizierung ist ein zusätzlicher Verifizierungsprozess wie eine Smartphone-App erforderlich, um den Authentifizierungsprozess zu genehmigen.

Wenn also jemand Ihren Benutzernamen und Ihr Passwort kennt, benötigt er Ihr Smartphone, um den Bestätigungscode für die Anmeldung auf Ihrer Website zu erhalten.

Indem Sie die Zwei-Faktor-Authentifizierung hinzufügen, sichern Sie nicht nur Ihre WordPress-Anmeldeseite, sondern verhindern auch Brute-Force-Angriffe.

Sie können die Zwei-Faktor-Authentifizierung einfach aktivieren, indem Sie das Google-Zwei-Faktor-Authentifikator-WordPress-Plugin verwenden.

Gehen Sie nach der Aktivierung zu Benutzer > Benutzerprofil und aktivieren Sie das Plugin.

Laden Sie dann die Google Authenticator-App von Ihrem Telefon herunter und scannen Sie den Barcode oder geben Sie den Geheimcode (siehe Screenshot oben) von Ihrer Website ein, um Ihre Website hinzuzufügen.

Melden Sie sich nach dem Hinzufügen von Ihrer Website ab. Auf der Anmeldeseite sehen Sie ein zusätzliches Feld, in das Sie den Bestätigungscode aus der mobilen Google Authenticator-App eingeben müssen.

Ausführliche Anweisungen finden Sie in der Anleitung zum Hinzufügen der Google-Zwei-Faktor-Authentifizierung auf der WordPress-Anmeldeseite.

Zurück nach oben

6. Ändern Sie die URL der WordPress-Anmeldeseite

Standardmäßig kann jeder auf Ihre Anmeldeseite zugreifen, indem er einfach „wp-admin“ oder „wp-login.php“ am Ende Ihres Domainnamens hinzufügt, z. B.: „domain.com/wp-admin“ oder „domain.com/“. wp-login.php“ .

Erraten Sie, was! Hacker können über Ihre Anmeldeseite einen Brute-Force-Angriff ausführen. Wenn Sie ein sehr einfaches Passwort verwenden, können Hacker Ihr Passwort leicht knacken und auf Ihre Website zugreifen.

Aber was, wenn sie nicht wissen, wo sie angreifen sollen? Ja, du hast es richtig erraten.

Wenn Sie die URL Ihrer Anmeldeseite ausblenden oder umbenennen, können Hacker keinen Brute-Force-Angriff ausführen.

In WordPress können Sie Ihre Anmeldeseite mithilfe eines Plugins ganz einfach ausblenden oder umbenennen. Installieren und aktivieren Sie aus der WordPress-Plug-in-Galerie das WPS Hide Login-Plug-in.

Gehen Sie nach der Aktivierung zu Einstellungen> Allgemein und unten finden Sie die Option WP Hide Login .

Ändern Sie einfach die Anmelde-URL „login“ in etwas anderes, das schwer zu erraten ist, und klicken Sie auf Änderungen speichern .

Wenn Sie fertig sind, markieren Sie die neue Anmeldeseite und Sie sind fertig.

Zurück nach oben

7. Anmeldeversuche begrenzen

Standardmäßig beschränkt WordPress die Anzahl der Anmeldeversuche über das Anmeldeformular nicht. Das bedeutet, dass jeder, der Ihre Anmelde-URL kennt, die Anmeldefunktion so oft ausprobieren kann, wie er möchte. Auf diese Weise führen Hacker einen Brute-Force-Angriff durch, um Ihren „Benutzernamen“ und Ihr „Passwort“ zu knacken, um auf Ihre Website zuzugreifen.

Indem Sie Anmeldeversuche einschränken, können Sie die WordPress-Sicherheit erhöhen und Ihre Anmeldeseite vor Brute-Force-Angriffen schützen.

Sie können eine maximale Anzahl falscher Anmeldeversuche festlegen, die ein Benutzer von derselben IP-Adresse aus unternehmen kann. Wenn der Benutzer die Limits überschreitet, wird die IP des Benutzers für eine bestimmte Zeit gesperrt.

Um Anmeldeversuche in WordPress einzuschränken, installieren Sie das Login LockDown-Plugin. Gehen Sie nach der Aktivierung zu Einstellungen> Anmeldesperre , um das Plugin zu konfigurieren.

Detaillierte Anweisungen finden Sie in unserem Leitfaden zum Begrenzen von Anmeldeversuchen in WordPress

Zurück nach oben

8. Sichern Sie Ihre Website regelmäßig

Backups sind wie Time Machine. Wenn Sie es haben, ist Ihre Website sicher.

Website-Backups schützen Ihre Website jedoch nicht vor Hackern, aber sie helfen Ihnen, Ihre Website wiederherzustellen.

Wenn beispielsweise während des Updates etwas mit Ihrer Website schief geht oder Ihre Website gehackt wird, wie werden Sie Ihre Website wieder reparieren? Sie verlieren wahrscheinlich Ihre Website.

Wenn Sie jedoch Backups Ihrer Website haben, können Sie Ihre Website problemlos wiederherstellen, bevor sie gehackt oder abgestürzt ist.

Aus diesem Grund empfehlen wir Ihnen dringend, ein zuverlässiges WordPress-Backup-Plugin zu verwenden. Viele Hosting-Unternehmen bieten jedoch ein kostenloses Website-Backup an, können jedoch die Verfügbarkeit Ihrer Website im Falle eines katastrophalen Ausfalls garantieren. Sie müssen die Backups also an einem entfernten Ort wie Google Drive, Amazon S3, Dropbox usw. speichern.

Glücklicherweise kann dies mit BlogVault oder dem BackUpBuddy WordPress Backup Plugin erfolgen. Beide bieten tägliche Backups und Wiederherstellung mit einem Klick. Sie können auch ohne zusätzliche Kosten eine Staging-Site erstellen.

Zurück nach oben

9. Verwenden Sie das WordPress-Sicherheits-Plugin

Das nächste, was Sie zum Härten Ihrer WordPress-Sicherheit benötigen, ist ein Sicherheits-Plugin. Es sind viele WordPress-Sicherheits-Plugins verfügbar, die Ihre Website vor Hackern und Malware schützen.

WordPress-Sicherheits-Plugins erkennen und beseitigen Malware, wenn sie auf Ihrer Website vorhanden ist. Außerdem überwachen sie die Benutzeraktivitäten in Echtzeit, benachrichtigen Sie, wenn sich etwas geändert hat , wenn ein Plugin Malware enthält, blockieren den Spam-Verkehr und vieles mehr.

Wir empfehlen das Securi WordPress Security Plugin. Securi Security bietet eine andere Art von Sicherheitsfunktionen wie Sicherheitsaktivitätsprüfung, Website-Überwachung, Website-Firewall und viele mehr.

Das Beste an Securi ist, dass, wenn Ihre Website von Google gehackt oder auf die schwarze Liste gesetzt wird, während Sie ihren Dienst nutzen, sie garantieren, dass sie Ihre Website reparieren.

Die meisten WordPress-Sicherheitsexperten verlangen mehr als 300 US-Dollar, um eine gehackte Website zu reparieren, während Sie alle Sicherheitsdienste für nur 199 US-Dollar pro Jahr erhalten. Es ist eine gute Investition, um Ihre WordPress-Sicherheit zu stärken.

Zurück nach oben

10. Inaktive Benutzer automatisch abmelden

Wenn ein Benutzer auf Ihrer Website zu lange untätig oder inaktiv bleibt, kann dies zu einem Brute-Force-Angriff führen.

Wenn ein Benutzer zu lange inaktiv bleibt, können Hacker Cookie- oder Session-Hijacking-Methoden verwenden, um unbefugten Zugriff auf Ihre Website zu erhalten. Aus diesem Grund verwenden die meisten bildungs- und finanzbezogenen Websites wie Banken- und Zahlungsgateway-Websites die Timeout-Funktion für Benutzersitzungen. Wenn also ein Benutzer von der Seite wegnavigiert und nach einer gewissen Zeit nicht interagiert, meldet die Website den inaktiven Benutzer automatisch ab.

Dieselbe Funktion können Sie Ihrer WordPress-Site hinzufügen, um Ihre WordPress-Sicherheit zu verbessern. Das automatische Abmelden von inaktiven Benutzern in WordPress ist extrem einfach. Alles, was Sie brauchen, um ein Plugin zu installieren.

Laden Sie zunächst das Inactive Logout WordPress-Plugin herunter und installieren Sie es. Aktivieren Sie es dann und gehen Sie zu Einstellungen> Inaktives Abmelden , um das Plugin zu konfigurieren.

In den Einstellungen können Sie das Leerlauf-Timeout ändern. Nach Ablauf dieser Zeit werden alle Benutzer Ihrer Website automatisch abgemeldet.

Sie können bei Bedarf auch die Leerlaufzeitüberschreitungsmeldung und andere Einstellungen ändern.

Wenn Sie fertig sind, klicken Sie auf Änderungen speichern, um die Einstellungen zu speichern.

Ausführliche Anweisungen finden Sie in unserer Anleitung zum automatischen Abmelden von inaktiven Benutzern in WordPress

Zurück nach oben

11. Sicherheitsfragen zur WordPress-Anmeldeseite hinzufügen

Indem Sie Sicherheitsfragen zu Ihrer WordPress-Anmeldeseite hinzufügen, schützen Sie nicht nur Ihre WordPress-Anmeldeseite, sondern erhöhen auch die WordPress-Sicherheit.

Die Sicherheitsfrage fügt eine zusätzliche Sicherheitsebene hinzu, um Ihre Identität während der Anmeldung weiter zu authentifizieren. Dies ist sehr nützlich, wenn Sie einen WordPress-Blog mit mehreren Autoren betreiben.

Wenn einer Ihrer Benutzer oder Ihr Passwort gestohlen wurde, kann die Sicherheitsfrage das Leben retten.

Weil Benutzername und Passwort leicht gehackt werden können, aber die Auswahl der richtigen Sicherheitsfrage und -antwort so gut wie unmöglich ist. Auf diese Weise können Sie Ihre WordPress-Anmeldeseite vor Hackern und Brute-Force-Angriffen schützen.

Um eine Sicherheitsfrage auf der WordPress-Anmeldeseite hinzuzufügen, installieren Sie das Plugin WP Security Question.

Gehen Sie nach der Aktivierung zu WP-Sicherheitsfragen > Plugin-Einstellungen , um das Plugin zu konfigurieren.

Standardmäßig sind dem Plugin viele häufig gestellte Fragen hinzugefügt. Sie können jedoch Sicherheitsfragen zur Liste hinzufügen oder daraus entfernen.

Unten können Sie die Sicherheitsfrage auf der Anmeldeseite, der Registrierung und der Seite „Passwort vergessen“ aktivieren. Nachdem das Plugin konfiguriert ist, vergessen Sie nicht, auf Save Setting zu klicken.

Hinweis: Nur neue Benutzer können ihre Sicherheitsfrage und Antwort während der Registrierung festlegen. Registrierte Benutzer müssen also ihre eigene Sicherheitsfrage und -antwort manuell festlegen. Sie können auch eine Sicherheitsfrage festlegen und darauf antworten. Dies kann auf der Seite Benutzerprofil erfolgen.

Detaillierte Anweisungen finden Sie in unserer Anleitung zum Hinzufügen von Sicherheitsfragen zur WordPress-Anmeldeseite

Zurück nach oben

12. Ändern Sie den Standardbenutzernamen „Admin“ .

Nach der Installation von WordPress können Sie Ihr Passwort beliebig oft ändern. Aber können Sie Ihren Benutzernamen ändern, sobald er festgelegt ist? Kein Recht?

Standardmäßig erlaubt WordPress Benutzern nicht, den Benutzernamen zu ändern. Aber warum sollte man das ändern?

Wenn Sie einen sehr gebräuchlichen Benutzernamen wie „admin“ verwenden, können Hacker mit Hilfe Ihres Benutzernamens Brute-Force-Attach ausführen.

Aber keine Panik. Es gibt mehrere Möglichkeiten, wie Sie Ihr WordPress einfach ändern können.

Um den Vorgang jedoch zu vereinfachen, verwenden wir ein Plugin. Laden Sie zunächst das Plugin zum Ändern des Benutzernamens herunter und installieren Sie es. Gehen Sie dann zu Benutzer> Ihr Profil und suchen Sie die Option Benutzername. Dort finden Sie die Option „ Benutzernamen ändern “.

Klicken Sie auf die Schaltfläche Benutzernamen ändern und geben Sie Ihren neuen Benutzernamen ein. Wenn Sie fertig sind, klicken Sie auf Profil aktualisieren .

Wenn Sie Ihren Benutzernamen manuell ändern möchten (ohne Plugin), sehen Sie sich den Artikel 3 verschiedene Möglichkeiten zum Ändern des WordPress-Benutzernamens an.

Zurück nach oben

13. Weisen Sie Benutzern die niedrigstmögliche Rolle zu

Wenn Sie eine WordPress-Site mit mehreren Autoren betreiben, müssen Sie vorsichtig sein, bevor Sie einem Benutzer eine Rolle zuweisen.

Oft weisen Besitzer von WordPress-Sites neuen Benutzern eine höhere Benutzerrolle zu, auf diese Weise erteilen Sie Benutzern alle Privilegien, und als Ergebnis kann jeder Benutzer jede beliebige Aufgabe ausführen.

Wenn Sie beispielsweise nicht wissen, was eine Editor-Benutzerrolle leisten kann, und Sie die Rolle einem normalen Benutzer zuweisen, kann der Benutzer alle Ihre Posts löschen, Links bearbeiten, Spam-Posts erstellen und schädliche Links zu Ihrem Blog hinzufügen Beiträge. So kann ein Benutzer Ihre Website leicht ruinieren.

Standardmäßig verfügt WordPress über 5 verschiedene Benutzerrollen.

• Administrator
• Editor
• Autor
• Mitwirkender
• Teilnehmer

1. Administrator: Administratoren sind die mächtigste Benutzerrolle in einer WordPress-Site. Sie können ein Benutzerkonto erstellen, bearbeiten und löschen, können jede Aufgabe im gesamten WordPress-Adminbereich ausführen, haben die Kontrolle über den gesamten Inhaltsbereich und moderieren auch Kommentare.
2. Editor: Benutzer mit der Editor-Rolle haben die volle Kontrolle über den gesamten Inhalt. Sie können alle Beiträge erstellen, bearbeiten und löschen, einschließlich der von anderen Benutzern erstellten Beiträge. Sie können auch Kommentare moderieren und Links ändern.
3. Autor: Autoren können nur ihre eigenen Beiträge veröffentlichen, bearbeiten oder löschen. Sie können Mediendateien hochladen, um sie in ihren Beiträgen zu verwenden. Sie können die Kommentare anzeigen, aber keine Kommentare genehmigen oder löschen.
4. Mitwirkender: Benutzer mit der Rolle Mitwirkender können nur ihren eigenen unveröffentlichten Beitrag schreiben, bearbeiten oder löschen, aber sie können keinen eigenen Beitrag veröffentlichen.
5. Abonnent: Abonnenten können nur ihre Kontoinformationen einschließlich Passwort bearbeiten, aber sie haben keinen Zugriff auf die Inhalte oder Seiteneinstellungen. Sie haben die niedrigsten Fähigkeiten in einer WordPress-Site.

Wenn Sie die WordPress-Benutzerrollen verstehen, können Sie sie einfach und ohne Risiko verwalten.

Wir empfehlen Ihnen außerdem, die Standardrolle für neue Benutzer als Abonnent festzulegen. Gehen Sie zu Einstellungen> Allgemeine Einstellungen und von ihrer Einstellung Neue Benutzer-Standardrolle – Abonnent und klicken Sie auf Änderungen speichern .

Weitere Einzelheiten finden Sie im Anfängerleitfaden zu WordPress-Benutzerrollen und -Funktionen

Zurück nach oben

14. Dateiänderungen und Benutzeraktivitäten überwachen

Eine weitere intelligente Möglichkeit, die WordPress-Sicherheit zu erhöhen, besteht darin, Benutzeraktivitäten und Dateiänderungen zu überwachen.

Wenn Sie eine Mehrbenutzer-WordPress-Site betreiben, sollten Sie das Benutzerverhalten verfolgen, um besser zu verstehen, was ihre Aktivitäten auf Ihrer WordPress-Site sind.

Wer weiß, ob ein Benutzer verdächtige Arbeiten ausführt oder versucht, Ihre Website zu hacken? Wie kannst du das wissen?

Die einzige Möglichkeit, Benutzeraktivitäten und Dateiänderungen zu verfolgen, ist die Verwendung eines WordPress-Plugins für Benutzeraktivitäten. Durch die Verwendung eines Benutzeraktivitäts-Plugins in WordPress können Sie:

• Sehen Sie in Echtzeit, wer eingeloggt ist und was er tut
• wenn sich ein Benutzer an- und abmeldet
• wie oft ein Benutzer versucht hat, sich anzumelden, aber fehlgeschlagen ist

Wenn ein Redakteur ohne Ihre Erlaubnis Änderungen an einem Beitrag oder einer Seite vorgenommen hat, können Sie dies außerdem leicht herausfinden und wiederherstellen. Das Gute an einem Benutzeraktivitäts-Plugin ist, dass es Ihnen sofort eine E-Mail-Benachrichtigung sendet, wenn etwas schief geht.

WP Security Audit Log ist das beste Plugin, um Benutzeraktivitäten und Dateiänderungen in Echtzeit zu überwachen. Hier ist ein Screenshot unten, wie das Plugin funktioniert.

Lesen Sie auch, 5 beste Plugins zur Überwachung der Benutzeraktivität in WordPress (alternative Plugins)

Zurück nach oben

15. Implementieren Sie SSL und HTTPS

Die WordPress-Sicherheit kann ohne ein SSL-Zertifikat nicht verbessert werden. Ein SSL (Secure Socket Layer) ist das Rückgrat der Website-Sicherheit.

SSL ist eine Standard-Sicherheitstechnologie, die verschlüsselte Verbindungen zwischen einem Server und einem Webbrowser in einer Online-Kommunikation, wie z. B. einer Online-Transaktion, herstellt. So werden alle sensiblen Daten wie Passwörter, Kreditkartendaten usw. durch verschlüsselte Links geleitet.

Wenn Sie ein Online-Geschäft oder einen Blog betreiben, in dem Sie Zahlungen akzeptieren, ist ein SSL-Zertifikat ein Muss. Es schützt die Daten Ihrer Kunden vor Hackern. Für Online-Shops oder WooCommerce-Websites kosten SSL-Zertifikate zwischen 20 und 170 US-Dollar.

Falls Sie einen WordPress-Blog betreiben, benötigen Sie kein kostenpflichtiges SSL-Zertifikat. Wenn Sie cPanel-Hosting wie SiteGround oder WPEngine verwenden, können Sie das SSL-Zertifikat mit nur einem Klick kostenlos installieren.

Melden Sie sich zunächst bei Ihrem Hosting-cPanel-Konto an und navigieren Sie zu Sicherheit . (Hier ist ein Screenshot unten von SiteGround, das cPanel hostet.)

Gehen Sie zum SSL/TLS-Manager und klicken Sie auf SSL-Zertifikat installieren . Wählen Sie auf der Seite Ihre Domain aus und klicken Sie auf Autofill by domain . Der Vorgang ist automatisch, sodass Sie nichts bearbeiten oder ändern müssen.

Klicken Sie nun auf die Schaltfläche Zertifikat installieren , um den Einrichtungsvorgang abzuschließen.

Wenn Sie fertig sind, melden Sie sich bei Ihrem WordPress-Admin-Dashboard an, um Ihre Website-URL zu ändern. Gehen Sie zu Einstellungen> Allgemein und fügen Sie hinzu, dass HTTP durch HTTPS vor Ihrer Site-URL ersetzt wird. Hier ist ein Screenshot unten.

Klicken Sie nach der Aktualisierung auf Änderungen speichern .

So leiten Sie HTTP zu HTTPS in WordPress um

Wenn Sie das SSL-Zertifikat ordnungsgemäß installiert haben, ist Ihre Website mit HTTPS zugänglich.

Wenn jedoch jemand nur Ihren Website-Namen (z. B. domain.com) in die Adressleiste des Browsers eingibt, zeigt die Website möglicherweise die Meldung „ Verbindung ist nicht sicher “ an. Das bedeutet, dass Ihre Website über HTTP zugänglich ist.

Um das Problem zu beheben, müssen Sie HTTPS in WordPress erzwingen, damit Ihre Website nur mit HTTPS geladen wird. Du kannst HTTPS in WordPress ganz einfach erzwingen.

Melden Sie sich zuerst bei Ihrem Hosting-cPanel an und gehen Sie zum Stammordner Ihrer Website und suchen Sie die .htaccess -Datei. Bearbeiten Sie die .htaccess-Datei und fügen Sie am Ende den folgenden Code hinzu.

RewriteEngine ein
RewriteCond %{HTTPS} aus
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Speichern Sie die Datei und Sie sind fertig. Jetzt ist Ihre Website nur noch mit HTTPS erreichbar.

Wenn Ihr Webhosting-Anbieter kein kostenloses SSL-Zertifikat bereitstellt, können Sie manuell ein SSL-Zertifikat installieren. Hier ist die Anleitung zur Installation eines kostenlosen SSL-Zertifikats.

Zurück nach oben

16. Löschen Sie nicht verwendete Designs und Plugins

Wenn es darum geht, die WordPress-Sicherheit zu erhöhen, sollten wir keinen kleinen Schritt ignorieren, der Ihre Website angreifbar machen kann.

Meistens installieren WordPress-Site-Besitzer verschiedene Themes und Plugins, um zu testen, welches Theme auf ihrer Site besser aussieht oder welches Plugin mehr Funktionalität hat. Das ist okay. Aber das Beibehalten dieser ungenutzten Themen und Plugins macht Ihre Website angreifbar.

Weil viele WordPress-Themes und Plugins regelmäßig aktualisiert werden müssen, wie das, das Sie verwenden. Wenn Sie sie nicht aktualisieren, werden sie anfällig und Hacker können Ihre Website leicht über die anfälligen Themen und Plugins ausnutzen. Außerdem macht das Beibehalten so vieler Themen und Plugins die WordPress-Site langsamer.

Daher sollten Sie ungenutzte Themes und Plugins immer löschen, um die Leistung der Website und die WordPress-Sicherheit zu verbessern.

Um ein ungenutztes Plugin zu löschen, gehen Sie zu Plugins > Installierte Plugins . Suchen Sie dann das Plugin, das Sie nicht mehr benötigen. Deaktivieren Sie zunächst das Plugin und klicken Sie auf Löschen .

Um ein Thema zu löschen, gehen Sie auf ähnliche Weise zu Darstellung> Themen und klicken Sie auf Themendetails . Klicken Sie dann unten rechts auf Löschen .

Zurück nach oben

17. Deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard

Standardmäßig erlaubt WordPress Benutzern, Theme- und Plugin-Dateien direkt vom WordPress-Dashboard aus zu bearbeiten. Dies ist eine nützliche Option für Benutzer, die das Design und die Plugin-Datei häufig bearbeiten müssen.

Diese Funktion aktiviert zu lassen, kann jedoch ein ernsthaftes Sicherheitsproblem darstellen. Wenn Hacker auf Ihre Website zugreifen, hinterlassen sie normalerweise ihren Fußabdruck, indem sie bösartigen Code in Website-Dateien einfügen. Wenn Ihre WordPress-Dateibearbeitungsfunktion aktiviert ist, können Hacker leicht bösartigen Code in Ihre Theme- oder Plugin-Datei einfügen, der Ihnen unbekannt ist.

Um die WordPress-Sicherheit zu verbessern, müssen Sie die Dateibearbeitungsfunktion in Ihrem WordPress-Dashboard deaktivieren. Das Deaktivieren des WordPress-Themes und des Plugin-Editors in WordPress ist ein sehr einfacher Vorgang.

Zuerst müssen Sie sich bei Ihrem Hosting-cPanel-Konto anmelden und zum Stammordner Ihrer WordPress-Site gehen. Suchen Sie von dort aus die wp-config.php. Klicken Sie auf Bearbeiten und fügen Sie am Ende den folgenden Code hinzu.

define( 'DISALLOW_FILE_EDIT', true );

Speichern Sie nun die Datei und aktualisieren Sie Ihr WordPress-Dashboard. Sie werden sehen, dass die Theme- und Plugin-Editor-Option weg ist. Mit diesem kleinen Trick können Sie die WordPress-Sicherheit ganz einfach verbessern.

Lesen Sie die ausführliche Anleitung zum Deaktivieren des Theme- und Plugin-Editors in WordPress

Zurück nach oben

18. Passwortgeschützte WordPress-Anmeldeseite

Eine weitere großartige Möglichkeit, die WordPress-Sicherheit zu verbessern, ist der Passwortschutz der WordPress-Anmeldeseite.

Indem Sie Ihre WordPress-Login- (/wp-login.php) oder Admin-Seite (/wp-admin) mit einem Passwort schützen, können Sie verhindern, dass Hacker auf Ihre Login-Seite zugreifen, da für den Zugriff auf die Login-Seite ein Passwort erforderlich ist. Sobald diese Funktion aktiviert ist, wird Ihre Website alle Benutzer, die auf die Anmeldeseite zugreifen, mit einem Benutzernamen und einem Passwortfenster auffordern. Kurz gesagt, alle Benutzer müssen sich zweimal mit einem anderen Benutzernamen und Passwort anmelden, bevor sie auf Ihr WordPress-Admin-Dashboard zugreifen können.

Auf diese Weise können Sie Ihre WordPress-Sicherheit stärken und Ihrer Anmeldeseite eine zusätzliche Sicherheitsebene hinzufügen.

Lesen Sie unsere ausführliche Anleitung zum Passwortschutz der WordPress-Anmeldeseite.

Zurück nach oben

19. Deaktivieren Sie die Verzeichnissuche in WordPress

Standardmäßig erlauben die meisten Webserver wie Apache, NGINX und LiteSpeed ​​jedem Benutzer, die Verzeichnisse zu durchsuchen, die WordPress-Dateien und -Ordner enthalten. Sie können auch sehen, welches Design und welche Plugins Sie verwenden, und mehr über die Struktur Ihrer Website erfahren.

Diese Informationen können Ihre WordPress-Site angreifbar machen und einem Hacker helfen, wenn er versucht, Ihre Site zu kompromittieren.

Um die Sicherheit von WordPress zu verbessern, empfehlen wir Ihnen, diese Option zu deaktivieren. Um das Durchsuchen von Verzeichnissen in WordPress zu deaktivieren, fügen Sie einfach die folgende Zeile zu Ihrer .htaccess -Datei hinzu.

Optionen Alle -Indizes

Ausführliche Anweisungen finden Sie in unserer Anleitung zum Deaktivieren der Verzeichnissuche in WordPress

Zurück nach oben

20. Entfernen Sie Ihre WordPress-Version

Standardmäßig fügt WordPress automatisch Meta-Tags an verschiedenen Stellen hinzu, die die von Ihnen verwendete WordPress-Version anzeigen.

Hier ist die Sache: Wenn Hacker wissen, dass Sie eine veraltete WordPress-Version verwenden, können sie Ihre Website durch die bekannten Schwachstellen ausnutzen, die in der älteren WordPress-Version vorhanden sind.

Daher ist es besser, dass Sie Ihre WordPress-Version entfernen, um die WordPress-Sicherheit zu verbessern. Es gibt mehrere Stellen, an denen WordPress die Meta-Tags hinzufügt, z. B. im WordPress-Dashboard, in der Kopfzeile, in Stil und Javascript und im RSS-Feed.

Entfernen der WordPress-Version aus dem Header und RSS

Um die Version aus dem Header und RSS zu entfernen, fügen Sie die folgende Zeile am Ende Ihrer Datei functions.php hinzu.

Funktion remove_wordpress_version() {
Rückkehr '';
}
add_filter('the_generator', 'remove_wordpress_version');

Entfernen der WordPress-Versionsnummer aus Skripten und CSS

Um die WordPress-Version aus dem CSS und den Skripten zu entfernen, fügen Sie die folgende Zeile am Ende Ihrer Datei functions.php hinzu.

// Die Versionsnummer aus Skripten und Stilen heraussuchen
Funktion remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
gib $src zurück;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Wenn Sie fertig sind, speichern Sie die Datei functions.php .

Das ist es. Mit diesem einfachen Trick können Sie Ihre WordPress-Sicherheit sicherlich verbessern. Wir empfehlen Ihnen jedoch immer, Ihre WordPress-Version sowie Theme und Plugins regelmäßig zu aktualisieren.

Für detaillierte Anweisungen lesen Sie unsere Anleitung zum Ausblenden oder Entfernen der WordPress-Version

Zurück nach oben

21. Ändern Sie das Präfix der WordPress-Datenbanktabelle

Während der Installation von WordPress werden Sie gefragt, ob Sie ein anderes Datenbankpräfix verwenden möchten. Normalerweise überspringen wir diesen Schritt, sodass WordPress automatisch (WP_) als Standard-Datenbanktabellenpräfix verwendet. Wir empfehlen Ihnen, es in etwas Starkes und Einzigartiges zu ändern.

Die Verwendung des Standardpräfixes (WP_) macht Ihre WordPress-Datenbank anfällig für SQL-Injection-Angriffe. Solche Angriffe können verhindert werden, indem das Datenbankpräfix (WP_) in etwas Einzigartiges geändert wird.

Nach der Installation von WordPress können Sie das Standard-Datenbanktabellenpräfix mithilfe von Plugins oder manuell ändern. Plugins wie BackupBuddy, Brozzme DB Prefix ermöglichen es Ihnen, das Tabellenpräfix mit nur einem Klick zu ändern.

Für das Tutorial zeige ich, wie man es mit dem Brozzme DB Prefix-Plugin ändert.

Hinweis: Bevor Sie irgendetwas mit Ihrer Datenbank tun, stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer Website und Datenbank erstellen. Falls etwas schief geht, können Sie Ihre Website wiederherstellen.

Installieren und aktivieren Sie zunächst das Brozzme DB Prefix-Plugin. Gehen Sie in Ihrem WordPress-Dashboard zu Extras> DB-Präfix und geben Sie einen neuen eindeutigen Namen für das Datenbankpräfix ein.

Nachdem Sie Ihr neues Präfix eingegeben haben, klicken Sie auf DB-Präfix ändern .

Lesen Sie für den manuellen Prozess, wie Sie das Datenbanktabellenpräfix mit phpMyAdmin ändern

Zurück nach oben

22. Verwenden Sie nur vertrauenswürdige WordPress-Plugins

WordPress enthält mehr als 48.000 Plugins. Das bedeutet nicht, dass alle Plugins nützlich und sicher zu verwenden sind.

Weil in der WordPress-Plugin-Galerie viele Plugins verfügbar sind, die seit langem nicht mehr aktualisiert wurden und normalerweise anfällig wurden. Außerdem würden Sie keinen Support erhalten, wenn das Plugin Ihre Website beschädigt.

Bevor Sie ein kostenloses Plugin verwenden, müssen Sie zwei wichtige Dinge überprüfen:

• Überprüfen Sie, wann das Plugin zuletzt aktualisiert wurde: Wenn das Plugin nicht häufig aktualisiert oder nicht mehr vom Plugin-Entwickler gepflegt wird, sollten Sie das Plugin meiden.

• Überprüfen Sie, ob das Plugin maximal positive Bewertungen hat: Als nächstes müssen Sie überprüfen, ob das Plugin maximal positive oder negative Bewertungen hat. Wenn das Plugin maximal negative Bewertungen hat, sollten Sie es nicht verwenden.

Sie können auch die Seite Bewertungen und Support des Plugins überprüfen, um zu sehen, was andere Benutzer über das Plugin sagen.

Aber keine Sorge. Es gibt viele ähnliche Plugins, die Sie in der WordPress-Plugin-Galerie finden können.

Wenn Sie ein Premium-Plugin verwenden möchten, brauchen Sie sich darüber keine Gedanken zu machen. Premium-Plugins werden regelmäßig aktualisiert und Sie erhalten 24x Support vom Plugin-Entwickler.

Zurück nach oben

23. Deaktivieren Sie die PHP-Fehlerberichterstattung

Eine weitere großartige Möglichkeit, die WordPress-Sicherheit zu erhöhen, besteht darin, den PHP-Fehlerbericht in WordPress zu deaktivieren. Wenn Sie ein veraltetes Plugin oder Design installieren, wird häufig die PHP-Fehlerwarnung angezeigt.

Es kann jedoch Ihre Website anfällig machen, wenn Hacker es erhalten, da es den Code und den Speicherort der Datei anzeigt. Um das Risiko zu minimieren, kannst du die PHP-Fehlerberichterstattung in WordPress deaktivieren.

Das Deaktivieren der PHP-Fehlerwarnung in WordPress ist sehr einfach. Bearbeiten Sie zuerst Ihre wp-config.php- Datei und finden Sie die Zeile mit diesem Code:

define('WP_DEBUG', false);

Möglicherweise sehen Sie „true“ anstelle von „false“. Ersetzen Sie nun die Zeile durch den folgenden Code.

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL);
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Speichern Sie die Datei und Sie sind fertig.

Wir empfehlen Ihnen außerdem, aktuelle und gut bewertete Plugins zu verwenden, um diese Art von Problemen zu vermeiden.

Zurück nach oben

24. Fügen Sie sichere HTTP-Header zu WordPress hinzu

Eine weitere großartige Möglichkeit, die WordPress-Sicherheit zu erhöhen, besteht darin, Ihrer WordPress-Site sichere HTTP-Header hinzuzufügen.

Wenn jemand auf Ihre Website zugreift, stellt der Browser eine Anfrage an Ihren Webserver. Dann antwortet der Webserver mit den Anfragen zusammen mit HTTP-Headern. Diese HTTP-Header übergeben Informationen wie Inhaltscodierung, Cache-Steuerung, Inhaltstyp, Verbindung usw.

Durch das Hinzufügen sicherer HTTP-Antwort-Header können Sie Ihre WordPress-Sicherheit verbessern und außerdem Angriffe und Sicherheitslücken abschwächen.

Hier sind die folgenden HTTP-Header:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) zwingt den Webbrowser, bei der Kommunikation mit einer Website nur sichere Verbindungen (HTTPS) zu verwenden. Dies verhindert SSL-Protokoll-Hacks, Cookie-Hijacking, SSL-Stripping usw.
• X-Frame-Options : Die X-Frame-Options sind eine Art HTTP-Header, der festlegt, ob ein Browser eine Website in einem Frame darstellen darf oder nicht. Dies verhindert Clickjacking-Angriffe und stellt sicher, dass Ihre Website nicht mithilfe von <frame> in andere Websites eingebettet wird.
• X-XSS-Schutz : Der X-XSS-Schutz ist eine integrierte Funktion von Internet Explorer, Google Chrome, Firefox und Safari-Browsern, die das Laden der Seiten blockiert, wenn ein schädliches Skript aus einer Benutzereingabe eingefügt wurde.
• X-Content-Type-Options : X-Content-Type-Options ist eine Art HTTP-Response-Header mit dem Wert nosniff, der verhindert, dass Webbrowser eine Antwort vom deklarierten Content-Type MIME-sniffen.
• Referrer-Policy: Die Referrer-Richtlinie ist ein HTTP-Antwortheader, der domänenübergreifende Referrer-Lecks verhindert.

Um sichere HTTP-Header in WordPress hinzuzufügen, fügen Sie einfach die folgenden Codezeilen in Ihre .htaccess -Datei ein.

Header-Set Strict-Transport-Security „max-age=31536000“ env=HTTPS
Header hängen immer X-Frame-Optionen SAMEORIGIN an
Header-Set X-XSS-Protection "1; mode=block"
Header-Set X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-when-downgrade

Gehen Sie jetzt zu securityheaders.com, um zu überprüfen, ob die Codes funktionieren oder nicht. Wir haben die „Inhaltssicherheitsrichtlinie“ nicht hinzugefügt, da sie Ihre Website beschädigen könnte. Es reicht jedoch aus, um Ihre WordPress-Site sicher zu machen.

Zurück nach oben

Fazit

Es gibt viele Möglichkeiten, wie Sie die WordPress-Sicherheit erhöhen können, z. B.: Verwenden eines verwalteten WordPress-Hostings, Verwenden sicherer Passwörter für Konten, Überwachen von Benutzeraktivitäten, Verwenden eines WordPress-Sicherheits-Plugins, Implementieren von SSL und HTTPS und vieles mehr.

Die Sicherheit von Harding WordPress ist keine Raketenwissenschaft. Sie können Ihre WordPress-Site ganz einfach sichern, indem Sie Best Practices für die WordPress-Sicherheit implementieren, die wir in diesem Artikel geteilt haben. Indem Sie sie implementieren, sichern Sie nicht nur Ihre WordPress-Site, sondern verhindern auch, dass Hacker auf Ihre Site zugreifen.

Sobald Sie fertig sind, müssen Sie sich keine Sorgen mehr um Ihre WordPress-Sicherheit machen. Darüber hinaus können Sie produktiver und stressfreier sein.

JETZT bist du an der Reihe . Lesen Sie den Artikel gründlich durch und implementieren Sie ihn auf Ihrer Website. Sie werden froh sein, dass Sie es getan haben.

Haben wir wichtige WordPress-Sicherheitstipps vergessen, die wir hier erwähnen sollten? lass es uns gerne im Kommentarbereich wissen.

WordPress-Sicherheitsinfografik