Der große WordPress Sicherheitsleitfaden 2020

467

Bei so vielen Websites, die sich auf WordPress verlassen, ist es keine Überraschung, dass Millionen von Website-Eigentümern auf der Suche nach den besten Möglichkeiten sind, ihre WordPress-Sites zu sichern. Die weit verbreitete Verbreitung von WordPress macht es auch zu einem Ziel für Hacker: Zehntausende von Websites werden mit Malware infiziert, werden zur Quelle von Phishing-Programmen und werden von Suchmaschinen auf schwarze Listen gesetzt.

In diesem Leitfaden behandeln wir alles, was Sie über die Sicherheit von WordPress wissen müssen, einschließlich einer umfassenden Liste von WordPress-Sicherheitstipps zum Selbermachen für praktische Website-Besitzer. Lesen Sie weiter, um zu erfahren, wie Sie Ihre Website selbst vor den entschlossensten Angreifern schützen können.

Warum die Sicherheit von WordPress so wichtig ist

Im Kern ist WordPress sehr sicher, das CMS wird von hunderten von Experten-Codierern geprüft, die Sicherheit in WordPress schreiben. Nichtsdestotrotz kann WordPress immer noch gehackt werden, was oft auf einen Mangel an grundlegenden Sicherheitspraktiken zurückzuführen ist.

WordPress-Sites, die gehackt werden, können für den Eigentümer sehr schädlich sein, da sie unweigerlich zu einem Reputationsverlust führen, der auch finanzielle Verluste nach sich zieht. Ein Hacker kann ein Unternehmen seiner vertraulichen Benutzerdaten berauben, Software installieren, die im weiteren Verlauf zu weiteren Schäden führt, oder sogar bösartige Programme auf den PCs der Benutzer installieren.

Google spielt eine wichtige Rolle bei der Überwachung von Websites. Erstens kann es potenziell gehackte Websites von den Suchergebnissen ausschließen – und in der Tat stellt es jede Woche Zehntausende von Websites auf eine schwarze Liste. Google warnt Nutzer auch vor infizierten Websites, indem es eine Warnung in Chrome anzeigt. Die daraus resultierenden Warnungen können zu einem enormen Verkehrsrückgang für Website-Besitzer führen.

Die Verantwortung für die Sicherung einer Website liegt natürlich beim Website-Eigentümer. Sie unterscheidet sich nicht von der Unternehmenssicherheit an einem physischen Geschäftsstandort. Im Wesentlichen ist Ihre Website Ihr Firmensitz, und Sie müssen dafür sorgen, dass sie gesichert ist.

Allgemeine WordPress-Sicherheitstipps

Wir sind uns bewusst, dass die Beseitigung von Risiken sehr schwer zu erreichen ist; wenn große und gut geschützte Regierungs- und Militär-Websites gehackt werden können, ist es selbst für die fähigsten Sicherheitsregime eindeutig schwierig, Risiken zu beseitigen. Deshalb glauben wir stattdessen an die Risikominderung. Dies sind die ersten, umsetzbaren Schritte, die wir Ihnen vorschlagen.

Wählen Sie einen Host, dem Sie vertrauen können

Obwohl ein großer Teil Ihres WordPress-Sicherheitssystems einfach von Ihnen selbst abhängt, gibt es ein Element, das Sie wahrscheinlich nicht kontrollieren können: die Sicherheit auf der Server-Hosting-Seite. Tatsächlich kann man argumentieren, dass die Wahl eines sicheren Shared Hosting-Providers Ihr allererster Schritt ist, um die Sicherheit von WordPress auf den neuesten Stand zu bringen.

Beim Shared Hosting teilen Sie die physische und Software-Hosting-Umgebung mit vielen anderen Benutzern. Wenn also die Website eines Benutzers gehackt wird, kann sie sich auf Ihre Website ausbreiten. Dies wird als Kreuzkontamination bezeichnet und kann bedeuten, dass Ihre Website ohne Ihr eigenes Verschulden infiziert wird.

Daher müssen Sie einen Host auswählen, dem Sie wirklich vertrauen können. Eine Möglichkeit besteht darin, ein verwaltetes WordPress-Hosting-Unternehmen zu verwenden, das eine Reihe von Dienstleistungen anbieten kann, die Ihnen helfen, Ihre WordPress-Site zu sichern, einschließlich fortgeschrittener Sicherheitskonfigurationen und automatischer Backups und Updates.

Benutzerberechtigungen und Passwörter

Ein gestohlenes Passwort ist wie die Übergabe der Schlüssel an einen Hacker, weshalb gestohlene Passwörter so häufig in kompromittierten WordPress-Websites involviert sind. Eine Möglichkeit, ein Passwort zu „stehlen“, besteht darin, es zu erraten. Wenn Sie ein schwaches Passwort verwenden, kann ein Hacker es leicht erraten und sich Zugang zu Ihrer WordPress-Instanz verschaffen.

Wählen Sie stattdessen sichere Passwörter sowohl für Ihre WP-Logins als auch für jeden anderen Bereich Ihrer Hosting-Lösung einschließlich FTP und MySQL. Dies gilt auch für Ihre E-Mail-Adressen, da ein gehacktes E-Mail-Konto zum Zurücksetzen von Passwörtern verwendet werden kann.

Achten Sie auch auf die Benutzerberechtigungen, geben Sie Ihre Admin-Zugangsdaten nicht einfach an irgendjemanden weiter. Wenn Ihre Website mit einem größeren Team einschließlich Beitragenden arbeitet, müssen Sie sicherstellen, dass Sie den Zugriff kontrollieren, indem Sie die Benutzerrechte auf das absolute Minimum beschränken. Geben Sie Benutzern nur dann vollen Administrator-Zugriff, wenn sie ihn wirklich benötigen.

WordPress immer aktualisieren

Wenn Ihr Gastgeber keine automatischen WordPress-Updates zur Verfügung stellt, sollten Sie sicherstellen, dass Sie diese Updates regelmäßig selbst ausführen. Als Open-Source-Software wird die WP-Codebasis regelmäßig aktualisiert, wobei kleinere Änderungen am Code automatisch installiert werden. Größere neue Versionen von WordPress erfordern jedoch ein Eingreifen des Benutzers, damit das Update installiert wird.

Aktivieren einer automatischen Sicherungslösung

Vorhin in diesem Artikel haben wir darauf hingewiesen, dass es fast unmöglich ist, eine Website 100% sicher gegen Hackerangriffe zu machen. Sie können die Wahrscheinlichkeit eines erfolgreichen Angriffs reduzieren, aber nicht eliminieren. Website-Eigentümer müssen also davon ausgehen, dass eine Chance auf einen erfolgreichen Angriff besteht. Effektive Backups sind die wichtigste Verteidigung gegen einen erfolgreichen Angriff, da sie es Ihnen ermöglichen, Ihre Website im schlimmsten Fall wiederherzustellen.

Glücklicherweise ist es nicht schwer, WordPress-Backups zu erstellen, und Sie haben die Wahl zwischen kostenpflichtigen und kostenlosen Lösungen. Allerdings müssen Sie Ihre Backups an einem entfernten Ort speichern – nicht in Ihrem Haupt-Hosting-Account. Anderenfalls, wenn Ihr Hosting-Account kompromittiert wird, ist Ihr Backup gleichzeitig gefährdet. Speichern Sie Ihre Backups stattdessen in Cloud-Storage wie OneDrive, Dropbox oder AWS.

Dateibearbeitungsberechtigungen ändern

WP wird mit einem eingebauten Code-Editor geliefert, mit dem Sie die von Plugins und Themes verwendeten Dateien bearbeiten können, wir empfehlen jedoch, diesen auszuschalten. Dieser direkte Zugriff kann Probleme verursachen, wenn er von einem abtrünnigen Schauspieler verwendet wird. Es ist einfach, die Fähigkeit zum Bearbeiten von Plugin- und Themendateien auszuschalten. Fügen Sie einfach diesen Code zu Ihrer wp-config.php-Datei hinzu:

// Datei-Bearbeitung verbieten

define( ‚DISALLOW_FILE_EDIT‘, wahr );

Deaktivieren von XML-Fernprozeduraufrufen

XML Remote Procedure Calls oder XML-RPC können die Auswirkungen eines Brute-Force-Hackerangriffs auf Ihre WordPress-Instanz verstärken. Es ist ein leistungsstarkes Protokoll und obwohl es einerseits nützlich ist (Sie können andere Websites und Anwendungen über XML-RPC verbinden), birgt es andererseits auch Risiken.

XML-RPC ist seit WordPress 3.5 standardmäßig aktiviert, aber es kann Hackern die Tür öffnen. Anstatt 500 einzelne Passwortversuche auf Ihrer Website zu verwenden, kann ein Hacker einfach system.multicall, eine Funktion in XML-RPC, verwenden, um diese Anmeldeversuche auszuprobieren. Tatsächlich kann diese Funktion Tausende von Passwörtern mit nur zwanzig bis fünfzig XML-RPC-Anfragen ausprobieren.

Sie können das berühmte WP-Hardening-Plugin verwenden, um XMLRPC zu deaktivieren, die Admin-URL zu ändern und mehr als 10 andere Sicherheitsprobleme zu beheben

Besorgen Sie sich eine Firewall für Ihre Website

Eine Firewall für Ihre Website, auch Website Application Firewall oder WAF genannt, ist eine der besten Möglichkeiten, Ihre Website sicher und geschützt zu halten. Warum? Weil eine Firewall Ihre Website vor bösartigem Datenverkehr schützt, bevor dieser überhaupt Ihre Website erreicht.

Es liegt auf der Hand, dass es oberste Priorität der WordPress-Sicherheit ist, Eindringlinge zunächst daran zu hindern, Ihre Website zu erreichen, aber Astra bietet noch mehr. Für den unwahrscheinlichen Fall, dass das Eindringen erfolgreich ist, kann Astra auch eine Bereinigung vornehmen und Ihnen helfen, Ihre Websites von den schwarzen Listen zu entfernen, denn das Unternehmen garantiert, dass es dies tun kann. 

Die Kommentarfunktion ist geschlossen.