WordPress absichern – schützen Sie jetzt Ihre Website
Veröffentlicht am 14.03.2022 von DomainFactory
WordPress ist das erfolgreichste Content-Management-System, daher sind WordPress-Websites ständig das Ziel von Angriffen und sollten bestmöglich abgesichert werden. Hacker testen Websites rund um die Uhr automatisiert auf Schwachstellen, um diese für ihre Zwecke zu infiltrieren. Lernen Sie jetzt, wie Sie WordPress absichern!Einfallstore für Hacker sind unter anderem gehackte Anmeldedaten und Schwachstellen in einer installierten WordPress-Erweiterung. Beispielsweise ist gerade im September 2021 die Malware Capoae bekannt geworden. Diese installiert nach einem erfolgreichen Brute-Force-Angriff auf den Anmeldebereich ein „download-monitor“ genanntes Plugin und damit einen Miner der Kryptowährung Monero. Der Miner nutzt die Hardware-Ressourcen des Servers aus, um neue Monero-Coins zu generieren. Ransomware-Attacken sind eine andere schwerwiegende Bedrohung für Ihre Daten und die Erreichbarkeit Ihrer WordPress-Website. Nach einer solchen Attacke sind sämtliche Dateien auf dem Server verschlüsselt und nicht mehr nutzbar. Für die Entschlüsselung müssen Sie dann in der Regel Lösegeld per Bitcoin bezahlen. Auch deshalb sind vollständige Backups so wichtig.
Weitere mögliche Folgen einer Cyberattacke: Sie können sich nicht mehr anmelden, Ihre Website leitet zu einer anderen weiter oder es befindet sich neuer, unbekannter Inhalt auf der Seite. Die Liste der Cyberattacken ist lang. Glücklicherweise können Sie WordPress grundsätzlich gut absichern. Wir zeigen Ihnen mehrere Wege, wie Sie mit etwas Aufwand Ihre Internetpräsenz schützen, und eine automatisierte Alternative, die zahlreiche Schutzmechanismen vereint.
1. Den Anmeldebereich von WordPress besser schützen
Per Default ist der Adminbereich Ihrer WordPress-Website über die URL „ihre-website.de/wp-admin“ erreichbar – jeder kann darauf zugreifen und sein Glück versuchen; Bots versuchen das Nonstop per Brute-Force-Attacken. Sie probieren so oft Sie dürfen. Diese Anmeldeversuche sollten Sie bestmöglich unterbinden.
Der erste Schritt: Ändern Sie die URL, statt „wp-admin“ zum Beispiel in „w4swcf“. Das gelingt mit einer Erweiterung wie WPS Hide Login.
Zweiter Schritt: Sie können die Anzahl der Login-Versuche begrenzen, das lässt sich mit einer Erweiterung wie Limit Login Attempts Reloaded erreichen.
Dritter Schritt: Verwenden Sie die Zwei-Faktor-Authentifizierung (2FA). Für mehr Sicherheit wird dann Ihr Passwort und zusätzlich ein Code von Ihrem Smartphone abgefragt. Die 2FA für den Login-Bereich von WordPress lässt sich mit einer Erweiterung wie WP 2FA einrichten.
2. Das Bearbeiten von Dateien deaktivieren
Administratoren können im Dashboard normalerweise PHP-Dateien bearbeiten. Wenn sich ein Hacker erfolgreich einloggen sollte, wird dieses Tool häufig zuerst genutzt. Mit folgender Codezeile in der Datei wp-config.php deaktivieren Sie die Bearbeitung:
define('DISALLOW_FILE_EDIT', true);
Hinweis: Die Datei befindet sich im Root-Verzeichnis und ist per FTP-Programm editierbar.
3. Die Verwendung starker Passwörter zur Pflicht machen
WordPress empfiehlt die Verwendung starker Passwörter, Pflicht ist dies jedoch nicht. Es reicht nicht, wenn Sie sich daran halten, andere aber auf das Dashboard zugreifen können und womöglich ein schwaches Passwort verwenden. Mit einem Plugin wie dem Password Policy Manager fordern Sie die Verwendung starker Passwörter ein und lassen zum Beispiel Kennwörter nach einer gewissen Zeit automatisch ablaufen.
4. Die Alternative: Sucuri Website Security installieren
Sie können mit den beschriebenen Schritten WordPress besser absichern. Einfacher und umfangreicher ist jedoch der Schutz mit einer Security Solution wie Sucuri Website Security, mit der Sie Ihre Internetseiten günstig vor Malware und Hacker-Angriffen schützen. Die Erweiterung integriert bereits in der Basisversion einen täglichen Malware-Scan. Gefundener Schadcode wird automatisch entfernt und Ihr Webauftritt davor beschützt, auf der sogenannten Blacklist von Google zu landen. Dorthin verbannt Google infizierte Websites, die dann in der Google-Suche nicht mehr angezeigt werden – der Worst Case für jedes Online-Business. Das Tool überwacht die Blacklist und das Team kümmert sich im Fall der Fälle nach dem Löschen der Malware um die Beseitigung einer Auflistung. In der Deluxe-Version gehören außerdem die empfehlenswerte Web-Application-Firewall und das CDN zum schnelleren Laden der Website zum Funktionsumfang. Erfahren Sie mehr über die Security Solution Sucuri Website Security!
5. Grundregeln zur Absicherung von WordPress
Grundsätzlich sollten Sie die folgenden Regeln beherzigen:
- Verfügbare Updates für WordPress, Erweiterungen und Vorlagen umgehend installieren.
- Nicht verwendete Plugins und Vorlagen deaktivieren und löschen.
- Sichere Passwörter verwenden und Nutzerrechte sinnvoll einschränken.
- Keinen Nutzer mit Namen „admin“ verwenden.
- Verbindungen nur über HTTPS erfolgen lassen.
- Nicht irgendwo im Netz kostenlose „Premium-Plugins“ herunterladen und installieren.
- Regelmäßige Backups mit einer Erweiterung wie UpdraftPlus erstellen.
Zusammenfassung
Es gibt viele manuelle Möglichkeiten, wie Sie WordPress absichern können. Die vorgestellten Erweiterungen lösen einzelne Probleme und bieten mit etwas Aufwand zumindest teilweise Schutz. Für maximale Sicherheit ist Sucuri Website Security die umfassende Lösung. Schauen Sie sich die Details der Sicherheitslösung an. Wenn Sie sich um den Schutz gekümmert haben, ist unter anderem eine schnelle Seitenladegeschwindigkeit Ihrer Website ein wichtiges Thema für den Erfolg. Lesen Sie dazu bei Interesse unseren Blogbeitrag zur Verbesserung der Performance Ihrer WordPress-Website.
Sie möchten schnell und einfach eine sicher WordPress-Webseite erstellen? Wir empfehlen dafür WordPress Hosting - mit täglichem Malware-Scan, kostenlosem SSL-Zertifikat, regelmäßigen WordPress System- und Sicherheit-Updates, Website-Backup und 1-Klick Wiederherstellung und, und, und. Erfahren Sie hier mehr über WordPress Hosting.
Titelmotiv: Pixabay