7 WordPress-Sicherheitstipps

Die meisten WordPress-Benutzer denken, dass die Chance, von einem Hacker angegriffen zu werden, gering bis gar nicht ist. Die Wahrheit ist, dass es häufiger vorkommt, als Sie denken, und leider sind sich die meisten Menschen dieser Gefahr nicht bewusst.

Ist Ihnen bei einer Google-Suche manchmal aufgefallen, dass einige Ergebnisse mit der Aufschrift „Diese Website kann Ihren Computer beschädigen“ gekennzeichnet ist? Dies sind Websites, die gehackt und daher von Google auf die schwarze Liste gesetzt wurden. Unnötig zu erwähnen, dass die meisten Benutzer ausflippen und Ihre Website möglicherweise nie wieder besuchen. Selbst wenn Sie es schaffen, Ihre Website nach einem solchen Angriff wiederherzustellen, würde dies Ihrem Unternehmen definitiv einen schlechten Ruf verleihen.

Ich habe eine Liste mit Tipps zusammengestellt, die die Sicherheit Ihrer WordPress-Website erheblich verbessern können. Bitte beachten Sie, dass die folgenden Tipps für alle Versionen von WordPress gelten.

1. Verwenden Sie starke Passwörter

Es mag offensichtlich erscheinen, aber Sie würden erstaunt sein, wie viele Benutzer dies ignorieren. Egal wie viel Sie an der Sicherung Ihrer Website arbeiten, ein schwaches Passwort kann alles ruinieren. Die Sicherheit Ihrer gesamten Website hängt von diesem Passwort ab. Machen Sie sich nicht einmal die Mühe, den Rest dieses Artikels zu lesen, wenn Ihr Passwort nicht stark genug ist.

Hier sind 3 Tipps zur Auswahl Ihres Passworts:

  • Verwenden Sie etwas so Zufälliges wie möglich (keine einzelnen Wörter, Geburtstage oder persönlichen Informationen)
  • Verwenden Sie mindestens acht Zeichen. Je länger das Passwort, desto schwieriger ist es zu erraten
  • Verwenden Sie eine Mischung aus Groß- und Kleinbuchstaben und Zahlen. Bei Passwörtern muss die Groß-/Kleinschreibung beachtet werden, also nutzen Sie dies zu Ihrem Vorteil.

2. Halten Sie WordPress immer auf dem neuesten Stand

Es versteht sich von selbst, dass Sie Ihre WordPress-Installation immer aktualisieren müssen. Wenn eine Schwachstelle entdeckt wird, wird das WordPress-Entwicklungsteam diese durch die Veröffentlichung einer neuen Version beheben. Das Problem ist, dass die Schwachstelle jetzt jedem bekannt ist, sodass alte Versionen von WordPress jetzt anfälliger für Angriffe sind.

Um nicht zum Ziel eines solchen Angriffs zu werden, ist es eine gute Idee, Ihre WordPress-Versionsnummer zu verbergen. Diese Nummer wird in den Metadaten der Seite und in der Datei readme.html Ihres WordPress-Installationsverzeichnisses angezeigt. Um diese Nummer auszublenden, müssen Sie die Datei readme.html löschen und die Versionsnummer für den Header entfernen, indem Sie die folgende Zeile zu Ihrer Datei functions.php Ihres Theme-Ordners hinzufügen.

<?php remove_action('wp_head', 'wp_generator');?>

3. Vorsicht vor bösartigen Themes oder Plugins

Einige Themes und Plugins enthalten fehlerhaften oder sogar bösartigen Code. Meistens wird bösartiger Code durch Verschlüsselung versteckt, sodass er nicht leicht zu erkennen ist. Deshalb sollten Sie sie nur von vertrauenswürdigen Quellen herunterladen. Installieren Sie niemals raubkopierte/nullierte Themes/Plugins und vermeiden Sie die kostenlosen, es sei denn, sie werden aus dem offiziellen WordPress Themes/Plugins-Repository heruntergeladen.

Schädliche Themes/Plugins können Ihrer Website versteckte Backlinks hinzufügen, Anmeldeinformationen stehlen und die Sicherheit Ihrer Website im Allgemeinen gefährden.

4. Dateibearbeitung deaktivieren

WordPress gibt Administratoren das Recht, Theme- und Plugin-Dateien zu bearbeiten. Diese Funktion kann für schnelle Bearbeitungen sehr nützlich sein, aber auch für einen Hacker, der es schafft, sich beim Administrations-Dashboard anzumelden. Mit dieser Funktion kann der Angreifer PHP-Dateien bearbeiten und Schadcode ausführen. Um diese Funktion zu deaktivieren, fügen Sie die folgende Zeile in die Datei wp-config.php ein.

define('DISALLOW_FILE_EDIT', true);

5. Sichere wp-config.php

wp-config.php enthält einige wichtige Konfigurationseinstellungen und vor allem Ihren Datenbankbenutzernamen und Ihr Passwort. Daher ist es für die Sicherheit Ihrer WordPress-Website entscheidend, dass niemand Zugriff auf den Inhalt dieser Datei hat.

Unter normalen Umständen ist der Inhalt dieser Datei der Öffentlichkeit nicht zugänglich. Es ist jedoch eine gute Idee, eine zusätzliche Schutzebene hinzuzufügen, indem Sie.htaccess-Regeln verwenden, um HTTP-Anfragen zu verweigern.

Fügen Sie dies einfach der.htaccess-Datei in Ihrem Website-Root hinzu:

<files wp-config.php>

order allow,deny
deny from all
</files>

6. Erlauben Sie Benutzern nicht, in Ihren WordPress-Verzeichnissen zu surfen

Fügen Sie in dem Verzeichnis, in dem Sie WordPress installiert haben, die folgende Zeile in die Datei .htaccess ein:

Options -Indexes

Dadurch wird das Durchsuchen von Verzeichnissen deaktiviert. Mit anderen Worten, es verhindert, dass jemand die Liste der in Ihren Verzeichnissen verfügbaren Dateien ohne eine index.html- oder index.php-Datei erhält.

7. Benutzername ändern

Hacker wissen, dass der häufigste Benutzername in WordPress „admin“ ist. Daher ist es sehr ratsam, einen anderen Benutzernamen zu verwenden.

Es ist am besten, Ihren Benutzernamen während des Installationsprozesses festzulegen, da der Benutzername, sobald er einmal festgelegt ist, nicht über das Admin-Dashboard geändert werden kann, aber es gibt zwei Möglichkeiten, dies zu umgehen.

Die erste Möglichkeit besteht darin, einen neuen Administratorbenutzer über das Administrator-Dashboard hinzuzufügen. Melden Sie sich dann ab und als neuer Benutzer wieder an. Gehen Sie zum Admin-Dashboard und löschen Sie den Benutzer namens admin. WordPress bietet Ihnen die Möglichkeit, alle Beiträge und Links dem neuen Benutzer zuzuordnen.

Wenn Sie technisch versierter sind, können Sie Ihren Benutzernamen einfach durch Ausführen einer SQL-Abfrage ändern. Gehen Sie zu phpmyadmin, wählen Sie Ihre Datenbank aus und senden Sie die folgende Abfrage:

UPDATE wp_users SET user_login = 'NewUsername' WHERE user_login = 'admin';

Es ist wichtig zu bedenken, dass Sie, selbst wenn Sie alle meine Ratschläge umsetzen, nie 100% vor Hackern geschützt sein können. Die oben genannten Tipps sollten jedoch ausreichen, um die Wahrscheinlichkeit eines Hackerangriffs zu verringern.



Quelle von Charis Mitsakis
#WordPressSicherheitstipps

Kommentar verfassen