Wie sichert man eine Website? Leitfaden zur Website-Sicherheit

Hören Sie sich diesen Artikel an

Website-Sicherheit oder wie man eine Website schützt? Manche Hacks passieren aus völlig lächerlichen Gründen: vorzeitige Updates, schwache Passwörter usw. In diesem wichtigen Leitfaden zur Website-Sicherheit zeige ich Ihnen, wie Sie eine Website sichern:

• Auch wenn ... Sie neu in der Website-Sicherheit sind und nicht ganz verstehen, was das bedeutet;
• Selbst wenn ... Sie schon einmal versucht haben, Ihre Website zu sichern, aber daran gescheitert sind;
• Auch wenn… Sie mit der Hauptarbeit überfordert sind und nicht wissen, wo Sie anfangen sollen;
• Selbst wenn ... Sie denken: „Ich bin Hackern nicht gewachsen – warum also versuchen, etwas zu unternehmen?“

Aber was noch wichtiger ist: Ich werde darüber sprechen, wie wir überhaupt anfangen, über die Sicherheit unserer Websites nachzudenken. Auf diese Weise verfügen Sie über alle Tools, die Sie benötigen, um die richtigen (Sicherheits-)Entscheidungen für Ihre Website zu treffen. Es wird so viele Informationen wie möglich geben, gießen Sie sich eine Tasse Tee oder Kaffee ein und machen Sie sich bereit.

Der Inhalt des Artikels:

• Was ist Website-Sicherheit?
• Warum ist Website-Sicherheit wichtig?
• Wie schützen Sie Ihre Website vor Hackern? (Effektive Schritte)
• Gute Website-Sicherheitspraktiken
• Was sollten Sie beim Schutz Ihrer Website vermeiden?
• Was tun, wenn Ihre Website gehackt wird?
• All-in-One-WP-Sicherheit und Firewall – WordPress-Site-Sicherheit
• Abschluss

Was ist Website-Sicherheit?

Es ist zwar großartig, dass Sie einige Schritte unternehmen, um Ihre Website zu schützen. Sie müssen verstehen, dass die Site-Sicherheit ein fortlaufender Prozess ist, der regelmäßige Aufmerksamkeit von Ihnen erfordert. Hacker sind kreative Menschen, daher entwickeln sich die Bedrohungen ständig weiter.

Unter Website-Sicherheit versteht man den Plan, Ihre Website und Benutzer vor Hackern und deren Malware zu schützen. Dazu gehört es, die Komponenten Ihrer Website zu verstehen, wie sie zusammenarbeiten und welche Schwachstellen sie aufweisen.

Sobald diese Grundlage geschaffen ist, müssen Sie einen umfassenden Sicherheitsplan zum Schutz vor Schwachstellen formulieren. Dazu gehören eine Reihe von Konfigurationsschritten, die Implementierung von Richtlinien und die Aktualisierung der Bedrohungsinformationen.

Der Schlüssel zur Sicherung einer Website liegt darin, zu verstehen, dass dies keine einmalige Angelegenheit ist. Sicherheit entwickelt sich, weil sich Bedrohungen weiterentwickeln.

Im folgenden Artikel werden Sie sehen, dass ein gutes Sicherheits-Plugin die meiste harte Arbeit in Bezug auf Malware erledigt, aber Vorsicht und Wachsamkeit sind das, was die Sicherheit einer Website überhaupt erst gewährleistet.

Warum ist Website-Sicherheit wichtig?

WordPress wird von Millionen von Menschen verwendet, also ist es wahrscheinlich sicher, oder? Ja und nein.

— Ja, denn die Kerndateien von WordPress sind geschützt und selbst wenn eine Schwachstelle gefunden wird, wird diese sehr schnell behoben.

- Nein, denn Ihre Website ist nicht nur der Kern von WordPress. Es handelt sich um eine Kombination aus Plugins und Themes, die dazu beitragen, Ihre Website funktionaler, interaktiver und attraktiver zu machen. Diese Plugins und Themes verbessern die Funktionalität von WordPress, erhöhen aber auch das Potenzial für Schwachstellen. Gute Plugin-Entwickler beheben Schwachstellen schnell. Aber die Gefahr ist in dieser Hinsicht viel höher.

Wie schützen Sie Ihre Website vor Hackern? Handlungsschritte

Um einen wirksamen Plan zum Schutz Ihrer Website zu erstellen, müssen Sie zunächst verstehen, wie Websites gehackt werden. Laut der folgenden Studie werden Websites hauptsächlich auf drei Arten gehackt:

• 90+% – Sicherheitslücke in einem WordPress-Plugin oder Theme.
• 5+% – Benutzername und/oder Passwort kompromittiert.
• <1% – Schlechte Webhosting-Dienste.

Diese Zuweisung sollte die Grundlage dafür bilden, wie Sie Ihre Website sichern möchten und wo Sie mehr Zeit und Ressourcen einplanen sollten.

1. Schützen Sie Ihre Website vor Schwachstellen

Hacker sind ständig auf der Suche nach anfälligen Websites. Dabei spielt es keine Rolle, ob die Seite groß oder klein ist. Sie haben viele Vorteile, wenn sie fast jede Website hacken. Unserer Erfahrung nach sind über 90% aller Verstöße darauf zurückzuführen, dass Hacker eine Schwachstelle entdecken und ausnutzen.

Schauen wir uns genauer an, was Schwachstellen sind. Dies ist sehr wichtig zu verstehen, damit Sie Ihre Website-Sicherheitsstrategie in Zukunft bewusst gestalten können.

Was ist eine Schwachstelle?

Ihre Website besteht aus drei Hauptkomponenten: WordPress, Plugins und Themes. Es handelt sich im Grunde genommen um Software, und wie jede Software enthält sie Fehler, die manchmal zum Absturz führen.

Fehler können unterschiedliche Folgen haben: Einige von ihnen verlangsamen Ihre Website oder verursachen einen Fehler, wenn jemand sie besucht. Das ist ärgerlich und problematisch, aber die schwerwiegenderen Varianten ermöglichen unbefugten Benutzern (z. B. Hackern) den Zugriff auf Ihre Website. Ein solcher Fehler wird als Sicherheitslücke bezeichnet.

Arten von Schwachstellen

Schwachstellen können, wie wir es im vorherigen Absatz getan haben, als Fehler im Code charakterisiert werden. Es gibt jedoch einige spezifische Arten, die häufiger vorkommen als andere:

1. Veraltete Software: Es ist wichtig, Kern, Plugins und Themes auf dem neuesten Stand zu halten;
2. Schlechte Benutzerrollenverwaltung: Gewähren Sie nicht jedem Benutzer vollständigen Administratorzugriff.
3. Nicht bereinigte Eingaben: Eingabefelder müssen die Eingabe vor dem Speichern und/oder Ausführen validieren.

Mögliche Hacks auf einer ungesicherten Website

Schwachstellen hängen eng mit den Arten von Angriffen zusammen, die sie ermöglichen, und werden oft synonym bezeichnet. Die häufigsten Angriffe, denen WordPress ausgesetzt ist, sind:

• Code-Injection: wenn bösartiger Code über Eingabefelder eingefügt und vom Website-Code oder der Datenbank ausgeführt wird. Eine gängige SQL-Injection-Variante der Code-Injection, die besonders für datenbankgesteuerte Anwendungen wie WordPress ungeheuerlich ist.
• Cross-Site-Scripting-Angriffe: Diese Art von Sicherheitslücke stiehlt Benutzercookies, um sich als diese auszugeben oder sogar die Sitzung zu kapern. Der Zugriff des Zielbenutzers wird dann zum Angriff auf Ihre Website verwendet.
• Brute-Force-Angriffe: Wie der Name schon sagt, gibt es für diese Art von Angriff keinen Trick. Der Hacker bombardiert Ihre Anmeldeseite mit Kombinationen aus Benutzername und Passwort, um die richtige Kombination zu finden.
• SEO-SpamA: Jeder Spam ist schwerwiegend, aber dieser Angriff trifft das, was einer Website am meisten schadet: SEO. Website-Besitzer verschwenden Ressourcen für die Arbeit an ihrer SEO, nur damit ein Hacker sich einen ungebührlichen Vorteil verschafft, indem er Pop-ups und Links zu illegalen oder grauen Waren einfügt. Auch SEO-Spam-Angriffe sind schwer zu erkennen und oft erleben Websites die negativen Auswirkungen von Spam, bevor sie bemerken, dass sie infiziert sind.
• Phishing-Angriffe: Bei diesen Angriffen versucht ein Hacker, sich als legitime Person auszugeben, um den Benutzer dazu zu verleiten, seine Daten freiwillig preiszugeben. Phishing geht Hand in Hand mit E-Mail und einer gehackten Website, um an diese Anmeldedaten zu gelangen.

Welche Auswirkung hat Verletzlichkeit?

Plugins und Themes sind auf mehreren tausend Seiten installiert, sodass sich die Auswirkung dieses einen Fehlers um ein Vielfaches vervielfacht. Verantwortungsbewusste Plugin- und Theme-Entwickler bemühen sich, Sicherheitslücken in ihren Produkten durch die Veröffentlichung von Updates zu schließen.

Tatsächlich ist dies der Hauptgrund, warum empfohlen wird, wann immer möglich Premium-Plugins zu wählen. Der regelmäßigen Softwarewartung sollte in einer Website-Sicherheitsstrategie maximale Aufmerksamkeit geschenkt werden. Großartig, das heißt, der Fehler wurde behoben. Wir sind jetzt in Sicherheit, oder? Nicht ganz. Die Entdeckung von Sicherheitslücken ist eine gefährliche Zeit für Websitebesitzer.

Was passiert, wenn eine Schwachstelle entdeckt wird?

Sicherheitslücken werden häufig von Website-Sicherheitsforschern entdeckt. Sie melden ihre Ergebnisse dem Plugin- oder Theme-Entwickler. Wie bereits im vorherigen Abschnitt erwähnt, werden die verantwortlichen Entwickler versuchen, das Problem zu beheben und ein Update zu veröffentlichen.
Sobald die Schwachstelle behoben ist, wird der Sicherheitsforscher der Website seine Ergebnisse veröffentlichen. Der Entwickler hat einen Fix veröffentlicht, um die Sicherheit von Websites zu gewährleisten, oder? Nicht wirklich.

Hacker informieren sich auch über die Sicherheitslücke und suchen nach Websites, deren Versionen nicht aktualisiert wurden. Öffentliche Schwachstellen sind in der Regel für angehende Hacker (auch als „Script Kids“ bekannt) attraktiv, da sie nun problemlos Websites nutzen können. Sie wissen genau, wo ihr Ziel ist.

Was sollte getan werden, um die Website vor Schwachstellen zu schützen?

Jetzt werde ich über konkrete Schritte sprechen, die Sie unternehmen können, um Ihre Website sicher und vor Hackern zu schützen. Diese Schritte mögen einfach erscheinen, sie sind jedoch wirksame Möglichkeiten, um die Sicherheit Ihrer Website zu gewährleisten.

1. Erstellen Sie Backups

Backups sind der am meisten unterschätzte Teil der Sicherheitsstrategie einer Website. Ich kann nicht genug betonen, wie wichtig regelmäßige Backups sind. Sie sind Ihr Sicherheitsnetz, das Einzige, auf das Sie sich verlassen können, wenn etwas schief geht. Mithilfe von Backups können Sie die Site schnell wieder in einen fehlerfreien Zustand versetzen.

2. Aktualisieren Sie Plugins und Themes

Dies mag sehr offensichtlich erscheinen, insbesondere wenn Sie den vorherigen Abschnitt über die Wichtigkeit von Updates gelesen haben. Es ist jedoch sehr einfach, die rote Benachrichtigung auf dem Dashboard zu ignorieren und sich mit etwas Dringenderem zu beschäftigen.

Deshalb werde ich es wiederholen. Plugin-Entwickler veröffentlichen hierfür Updates mit Sicherheitsfixes. Auch wenn Sie die Installation von Updates verzögern möchten, aktualisieren Sie das Plugin zu einem späteren Zeitpunkt, zumindest nachdem Sie die Versionshinweise gelesen haben.

3. Wählen Sie hochwertige Plugins und Themes

Es ist unwahrscheinlich, dass es jemals eine völlig zuverlässige Software geben wird. Bei der Auswahl der richtigen Plugins und Themes für Ihre Website sind jedoch wichtige Faktoren zu berücksichtigen:

• Das Plugin wird regelmäßig aktualisiertA: Ein Plugin oder Theme, das von seinem Entwickler regelmäßig gepflegt wird, erhält mit größerer Wahrscheinlichkeit einen Sicherheitspatch, wenn eine Schwachstelle entdeckt wird.
• Ist das Plugin beliebt?? Das ist ein zweischneidiges Schwert. Ein beliebtes Plugin mit Millionen von Installationen wird zum Ziel von Hackern. Allerdings sind Plugins wie dieses tendenziell auch sicherer, da sie von viel mehr Entwicklern kontrolliert werden.
• Ist das ein Premium-Plugin?A: Bezahlte Plugins unterstützen die Arbeit von Entwicklern und werden daher viel seltener aufgegeben als kostenlose Plugins. Dies bedeutet nicht, dass Open-Source-Software niemals sicher ist. Bei einem Premium-Produkt zahlen Sie jedoch für Kundensupport und Produktqualität.
• Installieren Sie niemals ungültige Plugins und ThemesA: Die verfügbare kostenlose Premium-Software ist in vielerlei Hinsicht problematisch. Zeroed-Software enthält häufig Malware oder Hintertüren, die es Hackern nach der Installation ermöglichen, auf Ihre Website zuzugreifen.

4. Verwenden Sie eine Firewall

Es gibt keine zuverlässige Möglichkeit, Hacker oder ihre Bots davon abzuhalten, Websites wie Ihre anzugreifen. Sie können das Risiko jedoch durch die Installation einer Firewall erheblich verringern.

2. Schützen Sie Ihren Benutzernamen und Ihr Passwort

Etwa 6% der gehackten Websites waren aufgrund schwacher Passwörter anfällig für Angriffe. Im Vergleich zu direkter böswilliger Aktivität mag dies wie eine kleine Zahl erscheinen, aber sie ist dennoch signifikant genug, um Ihre Aufmerksamkeit zu erregen.

Der Verlust Ihres Site-Administratorkennworts ist wie der Verlust Ihrer Wohnungs- oder Autoschlüssel. Mit dem Schlüssel hat der Dieb die vollständige Kontrolle über Ihre wertvollen Besitztümer. Ebenso haben Hacker mit einem Passwort vollen Zugriff auf Ihre Website und deren Informationen. Derzeit kann nicht einmal eine Firewall oder ein Sicherheits-Plugin Hacker davon abhalten, Ihrer Website Schaden zuzufügen.

Die Notwendigkeit sicherer Passwörter wird immer noch aktiv gefördert, aber aufgrund der damit verbundenen Schwierigkeiten wird sie von Website-Benutzern oft ignoriert. Bevor ich mich mit den Mechanismen zur Erlangung eines guten Rufs befasse, beantworten wir einige häufig gestellte Fragen dazu.

Wie kann ein Passwort gestohlen werden?

Die Antwort mag überraschend sein: Der Hacker versucht, das Passwort zu erraten. Damit meine ich, dass sie manuell verschiedene Passwörter ausprobieren, aber dafür sind Bots da. Dies wird auch als Brute-Force-Angriff oder, wenn der Bot die Wörter errät, als Wörterbuchangriff bezeichnet.

Diese Angriffe funktionieren aus mehreren Gründen sehr gut.:

• Leicht zu erratende Passwörter: allgemeine Wörter, kurze Wörter, das Wort „Passwort“ selbst in verschiedenen Kombinationen.
• Daten aus früheren Hacks: Es gibt einen Grund, warum Menschen empfehlen, für verschiedene Dienste und Websites unterschiedliche Passwörter zu verwenden.

So schützen Sie sich vor Passwortdiebstahl

1. Verwenden Sie ein sicheres Passwort – Starke Passwörter verwenden eine zufällige Kombination aus Buchstaben, Zahlen und Symbolen, da sie schwer zu knacken sind. Es kann Jahre dauern, bis Hacker-Bots das richtige Passwort finden. Sie können versuchen, selbst ein sicheres Passwort zu erstellen oder einen Passwortgenerator zu verwenden.

2. Begrenzen Sie die Anzahl der Anmeldeversuche – Eine gute Möglichkeit, einen Brute-Force-Angriff zu verhindern, besteht darin, Eindringlinge nach mehreren fehlgeschlagenen Anmeldeversuchen zu blockieren. Dies ist ein effektiver Mechanismus, da diese Art von Angriff darin besteht, dass Hacker-Bots wiederholt verschiedene Passwörter ausprobieren.

3. Implementieren Sie die Zwei-Faktor-Authentifizierung – Einige Dienste verwenden während des Anmeldevorgangs eine Zwei-Faktor-Authentifizierung, was im Wesentlichen bedeutet, dass Sie zwei (idealerweise) separate Token benötigen, um auf Ihr Konto zuzugreifen. Meistens handelt es sich um eine Kombination aus Passwörtern und einem Ablauftoken, z. B. einer PIN oder einem QR-Code, die an Ihre E-Mail oder Ihr Gerät gesendet werden.

4. CAPTCHA-Schutz implementieren – CAPTCHAs können nur von Menschen gelöst werden. Sie sollen verhindern, dass Hacker-Bots auf ein Konto zugreifen. Sie können es verwenden, um Ihre Website zu sichern.

5. Verwenden Sie eine Firewall – Einige Website-Sicherheitsfirewalls überwachen auch schädliche IP-Adressen weltweit. Die Firewall lernt auf allen Sites, auf denen das Plugin installiert ist. Es blockiert dann automatisch fehlerhafte IPs, bevor sie versuchen, Ihr Passwort zu knacken. In Kombination mit der Möglichkeit, Anmeldungen einzuschränken, kann dies Ihre Website vor Hackern schützen, die versuchen, in den Admin-Bereich Ihrer Website einzudringen.

3. Wählen Sie einen guten Hosting-Anbieter

Es besteht die Tendenz, den Webhoster für alles verantwortlich zu machen, was mit einer Website schief geht. Während Webhoster in der Regel für viele Aspekte einer Website verantwortlich sind, sind sie selten schuld, wenn eine Website gehackt wird. Tatsächlich ist im Allgemeinen das Gegenteil der Fall: Webhoster verbessern die Sicherheit von Websites.

Natürlich gibt es einige Webhoster, die bei der Gefährdung von Websites, die auf ihrem Server gehostet werden, eine Rolle spielen. Das passiert selten, aber wenn doch, handelt es sich um einen schwerwiegenden Vorfall, der Tausende von Websites gefährdet.

4. Installieren Sie ein SSL-Zertifikat

Secure Sockets Layer, besser bekannt als SSL, ist ein Sicherheitsprotokoll, das alle Verbindungen zu einer Website verschlüsselt. Nach der Installation erscheint es als Vorhängeschloss am Anfang der URL Ihrer Website.

Die Verwendung eines SSL-Zertifikats bietet folgende Vorteile:

• Alle von und zu Ihrer Website übertragenen Daten werden verschlüsselt.
• Dies ist ein Zeichen des Vertrauens in Ihre Website. Tatsächlich markieren die meisten Browser Nicht-SSL-Sites in der Adressleiste als „Unsicher“.
• Google liebt Websites mit einem SSL-Zertifikat und belohnt sie sogar mit höheren Rankings.

Gute Website-Sicherheitspraktiken

Wie ich eingangs sagte, ist Website-Sicherheit eine ständige Praxis. In diesem Abschnitt liste ich Techniken auf, die Sie in Ihre allgemeine Website-Sicherheitsstrategie integrieren können. Sobald Sie sich dies zur Gewohnheit gemacht haben, wird sich die geringe Investition Ihrer Zeit und Mühe durch eine sichere Website um ein Vielfaches auszahlen.

1. Ändern Sie Ihr Passwort häufig — Ich verstehe, dass das Festlegen schwer zu erratender Passwörter schwierig ist, insbesondere weil sie oft gleichbedeutend mit schwer zu merkenden Passwörtern sind. Wir können uns auch die Angst vorstellen, die dadurch entsteht, dass wir regelmäßig unser ausgezeichnetes Passwort ändern müssen.

Der Grund dafür ist, dass Passwörter das schwächste Glied in der Sicherheit sind, insbesondere wenn Sie dieselben Passwörter für mehrere Konten verwenden. Selbst wenn eine Website gehackt wird, können Sie davon ausgehen, dass alle Ihre Konten möglicherweise gefährdet sind. Regelmäßig kann für verschiedene Menschen auch unterschiedliche Bedeutungen haben. Einige Finanzinstitute, wie zum Beispiel Banken, verlangen, dass Passwörter alle 90 Tage geändert werden.

2. Überprüfen Sie Website-Benutzer und verfolgen Sie neue Admin-Benutzer — Hacker verlassen häufig Administratorbenutzer, damit diese wieder Zugriff auf die Website erhalten. Daher kann die regelmäßige Überprüfung von Administratorbenutzern die Sicherheit einer Website erhöhen.

Zweitens können sich die Co-Autoren der Website ändern. Wenn ein Benutzer keinen Zugriff mehr benötigt, entfernen Sie am besten den Zugriff auf die Website. Der Grund ist zweifach:

1. Sie möchten nicht, dass der Benutzer Änderungen an Ihrer Website vornimmt.
2. Ihre inaktiven Konten können von Hackern kompromittiert werden.

Im Laufe der Zeit, während wir unsere Website mit neuen Inhalten und Designs erweitern, fügen wir unserer Website immer wieder neue Benutzer hinzu. Sie sollten diese Benutzer regelmäßig überprüfen. Sie können die Sicherheitsregeln selbst befolgen, aber ein anderer kompromittierter Benutzer hat Auswirkungen auf Ihre Website. Geben Sie Benutzern beim Hinzufügen nach Möglichkeit nur die erforderlichen Zugriffsebenen. Wenn jemand beispielsweise nur Artikel schreibt, geben Sie ihm keine Administratorrechte.

3. Richten Sie ein Aktivitätsprotokoll auf Ihrer Website ein Hacker verwenden nicht die zentralen WordPress-APIs, um die Website zu ändern, sodass viele der von ihnen vorgenommenen Änderungen nicht im Aktivitätsprotokoll widergespiegelt werden. Sie hinterlassen jedoch möglicherweise Spuren, indem sie beispielsweise Administratorkonten für den Zugriff auf die Website erstellen. Diese unerwarteten Aktivitäten können dabei helfen, einen Verstoß zu erkennen. Wenn umgekehrt ein Mitarbeiter Änderungen vornimmt, können Aktivitätsprotokolle dazu beitragen, unnötige Panik zu vermeiden, wenn Sie Änderungen an Ihrer Website sehen.

4. Blockieren Sie PHP in Ihrem Download-Ordner - Eine ganze Klasse von Schwachstellen (genauer gesagt Remote Code Execution) ermöglicht es Hackern, schädliche PHP-Dateien in den Uploads-Ordner hochzuladen. Der Hacker kann damit dann beliebigen Code auf Ihrer Website ausführen. Mit anderen Worten: Sie haben die vollständige Kontrolle über Ihre Website.

Der Angriff kann wirksam abgemildert werden, wenn Sie die Ausführung der PHP-Dateien im Uploads-Ordner blockieren. Keine Sorge. Das Blockieren von PHP-Dateien im Download-Ordner ist sicher, da sie dort überhaupt nicht vorhanden sein sollten. Im Ordner „Uploads“ speichern Sie Ihre Mediendateien, keine Skripte.

Was sollten Sie beim Schutz Ihrer Website vermeiden?

Eine schnelle Google-Suche liefert Ihnen zahlreiche Tipps und Strategien zur Sicherung Ihrer Website. Mehrere Sicherheits-Plugins bieten außerdem verschiedene Optionen zum Schutz Ihrer Website vor Passwort-Crackern. Sie sollten Ihre Website schützen, es gibt jedoch einige Dinge, die Sie vermeiden sollten.

Die Gründe für jeden der unten besprochenen Punkte sind unterschiedlich, aber im Kern sollten Ihre Maßnahmen spürbare Sicherheitsvorteile bieten, insbesondere wenn Sie von Ihren Benutzern die Überwindung zusätzlicher Sicherheitsbarrieren verlangen. Wenn Sie beispielsweise sowohl Captcha als auch die Zwei-Faktor-Authentifizierung verwenden, wird es schwierig, auf Ihre Website zuzugreifen, und der Mehrwert ist gering.

Sie können ein zusätzliches Gefühl der Sicherheit erlangen, indem Sie alle verfügbaren Optionen nutzen, aber im Hinblick auf die Kosten-Nutzen-Analyse sind sie nicht der einzige Ausweg.

1. WP-Anmeldeseite ausblenden - Sie werden dies in vielen Foren sehen: Ändern Sie die wp-Login-Seite in die eigene URL Ihrer Website. Die Logik besteht darin, dass Hacker, wenn sie die Anmeldeseite nicht finden, keinen Brute-Force-Angriff nutzen können, um Zugriff auf Ihre Website zu erhalten. Dies hat mehrere Nachteile:

• WordPress ermöglicht Ihnen auch die Anmeldung über XML-RPC.
• Dadurch wird die Nutzung Ihrer Website erschwert. Wenn Sie die spezielle URL vergessen, die Sie anstelle von wp-login für sich selbst erstellt haben, kann die Wiederherstellung schwierig sein.
• Wenn Sie die generische URL oder die Standard-URL verwenden, die mit dem Sicherheits-Plug-in geliefert wird, ist es für Hacker immer noch leicht zu erraten, was Ihren Zweck völlig zunichte macht.
• Das Ausblenden dieser Seite erfordert die Anwendung komplexer Einstellungen auf Ihrer Website, die andere unerwartete Nebenwirkungen haben können.

2. Geoblocking Eine weitere häufig empfohlene Sicherheitsmaßnahme ist Geoblocking. Möglicherweise benötigen oder erwarten Sie keinen legitimen Datenverkehr aus bestimmten Ländern und entscheiden sich daher dafür, den Zugriff einzuschränken.

• IP-Adressen für Regionen sind nicht ideal und können Fehler aufweisen.
• Wenn Sie sich versehentlich blockiert haben, wird es schwierig sein, dies rückgängig zu machen.
• Möglicherweise blockieren Sie am Ende gute Bots wie Google, die Ihrer Website keinen Schaden zufügen können.

Eine gute Firewall kann und wird Ihre Website vor bösartigen Bots und unerwünschtem Datenverkehr schützen. Die Vorteile von Firewalls habe ich im vorherigen Abschnitt behandelt.

3. Schützen Sie das wp-admin-Verzeichnis mit einem Passwort – Der wp-admin-Ordner ist einer der wichtigsten Ordner auf Ihrer Website. Natürlich erregt es große Aufmerksamkeit von Hackern. Daher mag der Schutz mit einem Passwort wie ein brillanter, aber kontraproduktiver Schachzug erscheinen.

Das Passwort, das Ihr wp-admin-Verzeichnis schützt, unterbricht die AJAX-Funktionalität auf Ihrer WordPress-Website. AJAX ist eine Kodierungstechnik, die Teile Ihrer Website vom Server herunterlädt, ohne die aktuell angezeigte Seite zu verändern.

Wenn das nach Unsinn klingt, bedeutet es im Wesentlichen, dass es Ihre Website dynamisch macht, ohne die Benutzer bei jeder Änderung ständig neu zu laden.

Denken Sie darüber nach, durch Ihren Social-Media-Feed zu scrollen. Neue Geschichten oder Tweets werden geladen, während Sie die bereits auf Ihrem Bildschirm angezeigten lesen, und Sie können Ihren Newsfeed jederzeit aktualisieren, wenn Sie neue Inhalte laden möchten.

4. WordPress-Version ausblenden – Die Logik hinter dem Verstecken der Version Ihrer WordPress-Site beruht auf Sicherheitsupdates. Wenn auf Ihrer Website nicht die neueste Version von WordPress ausgeführt wird, könnte ein Hacker eine Schwachstelle ausnutzen, die in einer älteren Version besteht. Es nützt jedoch nichts, Ihre WordPress-Version zu verbergen. Es gibt mehrere Möglichkeiten, die WordPress-Version einer Website zu ermitteln: Überprüfen des externen Codes der Website, Überprüfen des RSS-Feeds usw. Alle davon sind übrigens legal.

Der Umgang mit WordPress-Schwachstellen in älteren Versionen besteht darin, Ihre Version auf die neueste Version zu aktualisieren. Viele Website-Administratoren befürchten, dass die Aktualisierung einer Live-Website zu Schäden führen kann. Daher ist es am besten, dies zunächst auf einer Testseite durchzuführen.

Was tun, wenn Ihre Website gehackt wird?

Wenn Ihre Website kürzlich gehackt wurde, ist es umso wichtiger, dass Sie äußerst aufmerksam auf die Sicherheit Ihrer Website achten. Wenn es nicht richtig gemacht wird, kann es zu wiederholten Website-Hacks kommen und die ganze Situation wird zu einem kompletten Albtraum.

1. Bereinigen Sie zuerst die MalwareA: Verwenden Sie ein gutes Sicherheits-Plugin, um Malware automatisch zu entfernen, ohne Spuren zu hinterlassen.
2. Alles aktualisierenA: Wie ich bereits sagte, sind Software-Updates von entscheidender Bedeutung. Stellen Sie sicher, dass Sie die neuesten Versionen von WordPress, Themes und Plugins installiert haben. Wenn Sie dies nicht tun, besteht eine gute Chance, dass dies der Grund dafür ist, dass Ihre Website überhaupt gehackt wurde.
3. Sehen Sie sich jeden Admin-Benutzer an: Schauen Sie sich jedes Administratorkonto genau an. Wir haben in diesem Artikel bereits darüber gesprochen, aber Hacker erstellen Administratorkonten, um wieder Zugriff auf eine gehackte Website zu erhalten, wenn Malware gefunden wird.
4. Ändern Sie alle Passwörter. Angenommen, Ihre Zugangsdaten wurden kompromittiert, ändern Sie Ihre Passwörter. Ich hoffe, dass Sie nicht für verschiedene Produkte und Dienstleistungen dasselbe Passwort verwenden, ansonsten sollten Sie auch die restlichen Passwörter ändern.
5. Datenbankanmeldeinformationen ändern (falls möglich): Die Datei wp-config.php enthält die Anmeldeinformationen, die die WordPress-Site verwendet, um eine Verbindung zur Datenbank der Site herzustellen. In vielen Fällen ist der Zugriff auf die Datenbank auch dann eingeschränkt, wenn die Datenbankanmeldeinformationen kompromittiert sind. Auf einigen Hosts können Hacker diese Informationen jedoch nutzen, um die Datenbank direkt zu ändern. Dies kann zu einer erneuten Infektion der Website führen.
6. Sicherheitsschlüssel ändernA: WordPress verwendet Sicherheitsschlüssel, um Sitzungen für registrierte Benutzer zu verwalten.
7. Richten Sie Ihre WordPress-Firewall ein: Darauf habe ich in diesem Artikel bereits ausführlich eingegangen. Die WordPress-Firewall ist Ihr bester Schutz gegen bösartige Bots und schlechten Datenverkehr.

All-in-One-WP-Sicherheit und Firewall – WordPress-Site-Sicherheit

Kurz gesagt: Der einfachste Weg, Ihre Website zu schützen, ist die Installation eines Site-Sicherheits-Plugins wie: All In One WP Security & Firewall ist ein umfassendes, benutzerfreundliches, stabiles und gut gewartetes WordPress-Sicherheits-Plugin.
All In One WP Security & Firewall bietet die folgenden Funktionen:

1. Sicherheit des Benutzerkontos

• Stellen Sie fest, ob ein Benutzerkonto mit dem Standardbenutzernamen „admin“ vorhanden ist, und ändern Sie den Benutzernamen einfach in einen Wert Ihrer Wahl.
• Das Plugin erkennt auch, ob Sie WordPress-Benutzerkonten mit denselben Anmeldenamen und Anzeigenamen haben. Ein Konto zu haben, das denselben Anzeigenamen wie das Login hat, ist eine schlechte Sicherheitspraxis, da Sie ein Login für Hacker erstellen, das bereits auf 50% bereit ist, da diese das Login bereits kennen.
• Ein Tool zur Passwortsicherheit, mit dem Sie sehr sichere Passwörter erstellen können.
• Hören Sie auf, Benutzer aufzulisten. Daher können Benutzer/Bots keine Benutzerinformationen über den Permalink des Autors finden.

2. Anmeldesicherheit für den Benutzer

• Schützen Sie sich mit der Login-Blockierungsfunktion vor „Brute-Force-Login-Angriffen“. Benutzer mit einer bestimmten IP-Adresse oder einem bestimmten Bereich werden abhängig von den Konfigurationseinstellungen für einen vorgegebenen Zeitraum vom System ausgeschlossen und Sie erhalten möglicherweise auch Benachrichtigungen.
  per E-Mail, wenn jemand aufgrund zu vieler Anmeldeversuche blockiert wird.
• Als Administrator können Sie eine Liste aller blockierten Benutzer einsehen, die in einer leicht lesbaren und leicht zu navigierenden Tabelle angezeigt wird, die es Ihnen auch ermöglicht, einzelne oder Gruppen-IP-Adressen per Knopfdruck zu entsperren.
• Erzwingen Sie die Abmeldung aller Benutzer nach einem konfigurierbaren Zeitraum.
• Verfolgen/Anzeigen fehlgeschlagener Anmeldeversuche. Hier werden die IP-Adresse, die Benutzer-ID/der Benutzername des Benutzers sowie Datum und Uhrzeit des fehlgeschlagenen Anmeldeversuchs angezeigt.
• Verfolgen/anzeigen Sie die Kontoaktivität aller Benutzerkonten auf Ihrem System, indem Sie Benutzername, IP-Adresse, Anmeldedatum/-uhrzeit und Abmeldedatum/-uhrzeit verfolgen.
• Möglichkeit, IP-Adressbereiche automatisch zu blockieren, die versuchen, sich mit einem ungültigen Benutzernamen anzumelden.
• Möglichkeit, eine Liste aller Benutzer anzuzeigen, die derzeit auf Ihrer Website angemeldet sind.
• Ermöglicht die Angabe einer oder mehrerer IP-Adressen in einer speziellen Whitelist. IP-Adressen auf der Whitelist haben Zugriff auf Ihre WP-Anmeldeseite.
• Fügen Sie Google reCaptcha oder ein einfaches Mathe-Captcha zu Ihrem WordPress-Anmeldeformular hinzu.
• Fügen Sie Google reCaptcha oder ein einfaches mathematisches Captcha zum Formular für vergessene Passwörter Ihres WP-Anmeldesystems hinzu.

3. Sicherheit der Benutzerregistrierung

• Aktivieren Sie die manuelle Überprüfung von WordPress-Benutzerkonten. Wenn Ihre Website es Benutzern ermöglicht, über das WordPress-Registrierungsformular eigene Konten zu erstellen, können Sie SPAM oder gefälschte Registrierungen minimieren, indem Sie jede Registrierung manuell bestätigen.
• Möglichkeit, Google reCaptcha oder ein einfaches mathematisches Captcha zu Ihrer WordPress-Benutzerregistrierungsseite hinzuzufügen, um Sie vor Spam-Benutzerregistrierung zu schützen.
• Die Möglichkeit, dem WordPress-Benutzerregistrierungsformular einen Honeypot hinzuzufügen, um die Anzahl der Registrierungsversuche durch Bots zu reduzieren.

4. Schutz der WordPress-Datenbank

• Legen Sie das Standard-WP-Präfix ganz einfach per Knopfdruck auf einen Wert Ihrer Wahl fest.
• Planen Sie automatische Backups und E-Mail-Benachrichtigungen oder erstellen Sie jederzeit mit nur einem Klick sofortige DB-Backups.

5. Dateisystemsicherheit einer WordPress-Site

• Identifizieren Sie Dateien oder Ordner mit unsicheren Berechtigungseinstellungen und stellen Sie Berechtigungen per Knopfdruck auf empfohlene sichere Werte ein.
• Schützen Sie Ihren PHP-Code, indem Sie die Dateibearbeitung im WordPress-Administrationsbereich deaktivieren.
• Sehen und überwachen Sie ganz einfach alle Hostsystemprotokolle von einer einzigen Menüseite aus und bleiben Sie über alle Probleme, die auf Ihrem Server auftreten, auf dem Laufenden, damit Sie diese schnell beheben können.
• Verhindern Sie, dass Personen auf die Dateien „readme.html“, „licence.txt“ und „wp-config-sample.php“ Ihrer WordPress-Site zugreifen.

6. Sichern und Wiederherstellen der htaccess- und wp-config.php-Dateien

• Sichern Sie ganz einfach Ihre ursprünglichen .htaccess- und wp-config.php-Dateien, falls Sie sie zur Wiederherstellung fehlerhafter Funktionen benötigen.
• Ändern Sie den Inhalt aktuell aktiver .htaccess- oder wp-config.php-Dateien im Admin-Bereich mit nur wenigen Klicks.

7. Blacklist-Funktionalität

• Blockieren Sie Benutzer, indem Sie IP-Adressen angeben, oder verwenden Sie einen Platzhalter, um IP-Adressbereiche anzugeben.
• Sperren Sie Benutzer durch die Angabe von Benutzeragenten.

8. Firewall-Funktionalität

Mit diesem Plugin können Sie ganz einfach viele Firewall-Schutzelemente über eine htaccess-Datei zu Ihrer Website hinzufügen. Die htaccess-Datei wird von Ihrem Webserver vor jedem anderen Code auf Ihrer Website verarbeitet.
Diese Firewall-Regeln stoppen also die schädlichen Skripte, bevor sie den WordPress-Code auf Ihrer Website erreichen können.

• Zugriffskontrollobjekt.
• Aktivieren Sie sofort eine Reihe von Firewall-Einstellungen, die von einfach über mittel bis erweitert reichen.
• Aktivieren Sie die berühmten Firewall-Regeln „6G Blacklist“ mit freundlicher Genehmigung von Perishable Press.
• Deaktivieren Sie das Posten von Kommentaren über einen Proxy.
• Blockieren Sie den Zugriff auf die Debug-Protokolldatei.
• Deaktivieren Sie die Nachverfolgung und Nachverfolgung.
• Lehnen Sie ungültige oder böswillige Abfragezeichenfolgen ab.
• Schützen Sie sich vor Cross-Site-Scripting (XSS), indem Sie einen umfassenden erweiterten Zeichenfolgenfilter aktivieren.
  oder bösartige Bots, die kein spezielles Cookie in ihrem Browser haben. Sie (der Site-Administrator) wissen, wie Sie dieses spezielle Cookie setzen und können sich bei Ihrer Site anmelden.
• WordPress PingBack-Funktion zum Schutz vor Sicherheitslücken. Mit dieser Firewall-Funktion kann der Benutzer den Zugriff auf die Datei xmlrpc.php verweigern, um sich vor bestimmten Schwachstellen in der Ping-Funktion zu schützen. Dies ist auch nützlich, um zu verhindern, dass Bots ständig auf die Datei xmlrpc.php zugreifen und Ihre Serverressourcen verschwenden.
• Die Möglichkeit, gefälschte Googlebots am Crawlen Ihrer Website zu hindern.
• Möglichkeit, Bild-Hotlinking zu verhindern. Verwenden Sie dies, um zu verhindern, dass andere Ihre Bilder per Hotlink verknüpfen.
• Möglichkeit, alle 404-Ereignisse auf Ihrer Website zu protokollieren. Sie können IP-Adressen, die zu viele 404-Fehler erhalten, auch automatisch blockieren.
• Die Möglichkeit, eigene Regeln hinzuzufügen, um den Zugriff auf verschiedene Ressourcen auf Ihrer Website zu blockieren.

9. Verhindern Sie Brute-Force-Angriffe bei der Anmeldung

• Blockieren Sie Brute-Force-Angriffe sofort mit unserer benutzerdefinierten Cookie-basierten Brute-Force-Schutzfunktion für die Anmeldung. Diese Firewall-Funktion blockiert alle Anmeldeversuche von Menschen und Bots.
• Möglichkeit, dem WordPress-Anmeldeformular ein einfaches mathematisches Captcha hinzuzufügen, um sich vor Brute-Force-Angriffen zu schützen.
• Möglichkeit, die Administrator-Anmeldeseite auszublenden. Benennen Sie die URL Ihrer WordPress-Anmeldeseite um, um zu verhindern, dass Bots und Hacker auf Ihre echte WordPress-Anmelde-URL zugreifen. Mit dieser Funktion können Sie die Standard-Anmeldeseite (wp-login.php) in eine von Ihnen angepasste Seite ändern.
• Die Möglichkeit, den Login-Honeypot zu verwenden, der dazu beitragen wird, die Anzahl der Anmeldeversuche durch Brute-Force-Angriffe von Robotern zu reduzieren.

10. Website-Dateisicherheitsscanner

• Der File Change Detection Scanner kann Sie warnen, wenn Dateien auf Ihrem WordPress-System geändert wurden. Anschließend können Sie untersuchen, ob es sich um eine legitime Änderung handelte oder ob fehlerhafter Code eingeführt wurde.

11. Kommentar-Spam-Schutz

• Verfolgen Sie die aktivsten IPs, die regelmäßig die meisten Spam-Kommentare produzieren, und blockieren Sie sie sofort mit einem Klick.
• Verhindern Sie, dass Kommentare gesendet werden, wenn diese nicht von Ihrer Domain stammen (dies sollte die Anzahl der von Spam-Bots auf Ihrer Website geposteten Kommentare verringern).
• Fügen Sie Ihrem WordPress-Kommentarformular ein Captcha hinzu, um Ihren Schutz vor Kommentar-Spam zu verbessern.
• Blockieren Sie automatisch und dauerhaft IP-Adressen, die eine bestimmte Anzahl als SPAM markierter Kommentare überschreiten.

12. Kopierschutztext vorne

• Möglichkeit, Rechtsklick, Textauswahl und Kopieroption für Ihr Frontend zu deaktivieren.

13. Zusätzliche Funktionen des Plugins

• Möglichkeit, Metainformationen des WordPress-Generators aus dem HTML-Quellcode Ihrer Website zu entfernen.
• Möglichkeit, WordPress-Versionsinformationen aus den JS- und CSS-Dateien Ihrer Website zu entfernen.
• Möglichkeit, zu verhindern, dass Personen auf die Dateien readme.html, License.txt und wp-config-sample.php zugreifen.
• Die Möglichkeit, die Vorderseite Ihrer Website vorübergehend für reguläre Besucher zu sperren, während Sie verschiedene interne Aufgaben ausführen (Untersuchung von Website-Sicherheitsangriffen, Durchführung von Website-Updates, Wartung usw.)
• Möglichkeit zum Exportieren/Importieren von Sicherheitseinstellungen.
• Verhindern Sie, dass andere Websites Ihre Inhalte über einen Frame oder Iframe anzeigen.

Es ist ideal für diejenigen, die einfach keine Zeit haben, sich mit der Website-Sicherheit zu befassen. Einfach installieren und das Plugin vergessen. Wenn Sie sich jedoch die zusätzliche Zeit leisten können, Ihre Sicherheit zu verbessern, empfehle ich Ihnen dringend, alle oben genannten Maßnahmen umzusetzen.

Abschluss

Ich habe diesen Artikel zum Sichern einer Website mit einem klaren Hinweis begonnen: Der erste Schritt besteht darin, die Sicherheit Ihrer Website richtig zu gestalten. Dies ist ein fortlaufender Prozess. In jeder Organisation ist es eine gute Standardpraxis, regelmäßige Audits durchzuführen, um eine maximale Kontrolle über die Sicherheit der Website zu ermöglichen. Die Bedrohungslandschaft verändert sich ständig und Hacker werden immer kreativere Wege finden, um die Sicherheit zu durchbrechen. Sicherheitsexperten bleiben ständig wachsam, und das ist die wichtigste Schlussfolgerung von allem: Entspannen Sie sich nicht.

Lesen dieses Artikels:

• Was ist der Unterschied zwischen Malware und Virus? (Erläuterung)
• 10 wesentliche Schritte zur Verbesserung Ihrer Website-Sicherheit

Danke fürs Lesen: SEO HELPER | NICOLA.TOP