WordPress Sicherheit
Dieses Tutorial behandelt die folgenden Themen:
WordPress ist das beliebteste Blogging- und CMS-System, und das macht es zu einem bevorzugten Ziel für Hacker. Eine WordPress-Seite zu haben bedeutet, dass Sie einige zusätzliche Anstrengungen unternehmen müssen, um Ihren und die Daten Ihrer Besucher zu schützen. Hier ist eine Zusammenfassung der Best Practices zur Sicherung einer WordPress-Site. Es ist wichtig zu erwähnen, dass diese Maßnahmen keinen 100-prozentigen Schutz vor Hackerangriffen garantieren, vor allem weil es keine 100% sichere Website gibt, aber sie werden Sie vor den meisten Angriffen schützen.
Die WordPress-Site und Plugins auf dem neuesten Stand halten
Es ist wirklich wichtig, Ihre Kern-WordPress-Dateien und alle Ihre Plugins auf die neueste Version aktualisiert zu halten. Die meisten neuen WordPress- und Plugin-Versionen enthalten Sicherheitspatches. Auch wenn diese Schwachstellen meistens nicht leicht ausgenutzt werden können, ist es wichtig, diese zu beheben.
Weitere Informationen zu diesem Thema finden Sie in unseren Tutorials WordPress aktualisieren und Automatische WordPress Updates.
Plugins und Themes nur von offiziellen Repositories herunterladen
Die Verwendung von Plugins, die aus offiziellen Quellen heruntergeladen wurden, ist sehr wichtig. Dateien, die aus inoffiziellen Quellen heruntergeladen werden, enthalten oft eine zusätzlichen Code, der Hintertüren für Angreifer enthält, die sie benutzen um die Website zu infizieren.
WordPress Admin-Bereich schützen
Es ist wichtig, den Zugriff auf Ihren WordPress Admin-Bereich nur auf Personen zu beschränken, die tatsächlich Zugriff darauf benötigen. Wenn Ihre Website keine Registrierung oder Erstellung von Frontend-Inhalten unterstützt, sollten Ihre Besucher nicht in der Lage sein, auf Ihren Ordner /wp-admin/ oder die Datei wp-login.php zuzugreifen. Das Beste, was Sie tun können ist, Ihre private IP-Adresse zu ermitteln (Sie können dafür eine Website wie whatismyip.com verwenden) und diese Zeilen zur Datei .htaccess in WordPress Admin-Ordner hinzuzufügen, wobei xx.xxx.xxx.xxx durch Ihre IP-Adresse ersetzt wird:
Falls Sie den Zugriff auf mehrere Computer (wie Ihr Büro, Heim-PC, Laptop, usw.) zulassen möchten, fügen Sie eine weitere Erlauben von xx.xxx.xxx.xxx -Anweisung in eine neue Zeile ein.
Wenn Sie von einer beliebigen IP-Adresse aus auf Ihren Verwaltungsbereich zugreifen möchten (z. B. wenn Sie häufig auf kostenlose Wi-Fi-Netzwerke angewiesen sind), kann die Beschränkung Ihres Verwaltungsbereichs auf eine einzige IP-Adresse oder auf wenige IPs unpraktisch sein. In solchen Fällen empfehlen wir Ihnen, die Anzahl der fehlerhaften Anmeldeversuche auf Ihrer Website zu begrenzen. Auf diese Weise schützen Sie Ihre WordPress-Website vor Brute-Force-Angriffen und Personen, die versuchen, Ihr Passwort zu erraten. Für solche Zwecke können Sie unser Security Optimizer Plugin verwenden.
Verwenden Sie nicht den Benutzernamen “admin”
Die meisten Angreifer gehen davon aus, dass Ihr Admin-Benutzername “admin” ist. Sie können viele Brute-Force und andere Angriffe einfach blockieren, indem Sie einen anderen Admin-Benutzernamen verwenden. Wenn Sie eine neue WordPress-Site installieren, werden Sie während der WordPress Installation Prozess nach einem Admin-Benutzernamen gefragt. Wenn Sie bereits eine WordPress-Seite haben, können Sie die Anweisungen in unserem Tutorial folgen und Ihren WordPress-Benutzernamen ändern.
Starke Passwörter verwenden
Es gibt Tausende von Menschen, die Phrasen wie “Passwort” oder “123456” für ihre Admin-Login-Daten verwenden. Unnötig zu erwähnen, dass solche Passwörter leicht erraten werden können und sie ganz oben auf der Liste aller Wörterbuchangriffe stehen. Ein guter Tipp ist, einen ganzen Satz zu verwenden, der für Sie Sinn macht und Sie sich leicht merken können. Solche Passwörter sind viel, viel besser als eine einzige Phrase.
Stellen Sie sicher, dass Ihr Computer frei von Viren und Malware ist
Wenn Ihr Computer mit einem Virus oder Malware-Software infiziert ist, kann ein potenzieller Angreifer Zugriff auf Ihre Login-Daten erhalten und ein gültiges Login auf Ihrer Website erzielen, und dabei alle zuvor getroffenen Maßnahmen zu umgehen. Aus diesem Grund ist es sehr wichtig, ein aktuelles Antivirus-Programm zu haben und die Gesamtsicherheit aller Computer mit Zugriff auf die WordPress-Seite, auf einem hohen Niveau zu halten.
