WordPress-Sicherheit – 24 Tipps zum Schutz Ihrer Website vor Hackern

Die Sicherheit von WordPress sollte bei der Verwaltung einer Website oberste Priorität haben. Sie gestalten Ihre Website, veröffentlichen Inhalte, verkaufen Produkte online. Wenn Sie jedoch die Sicherheit von WordPress nicht ernst nehmen, kann Ihre Website jederzeit gehackt werden. 


Jeden Tag werden 30.000 Websites gehackt und mehr als 2.000 Websites werden von Google auf die schwarze Liste gesetzt. Sie sind keine Ausnahme. Wenn eine Regierungswebsite gehackt werden kann, warum nicht Ihre??

Eines Morgens sind Sie aufgewacht und haben festgestellt, dass auf Ihre WordPress-Site nicht zugegriffen werden kann,

“Ihre Website wird von xyz gehackt” – die Website wird gehackt

“Die bevorstehende Website enthält Malware” – von Google auf die schwarze Liste gesetzt

Dies ist das Schlimmste, was Sie jemals mit Ihrer Website erleben könnten.

Aber warum WordPress?

WordPress macht über 31% (80 Millionen) aller Websites im Web aus. Gemäß W3Techs, WordPress hat 60% des CMS-Marktanteils mehr als andere Plattformen, was ein ziemlich solider Grund ist, Hacker anzulocken.

Aber keine Panik. Das Härten der WordPress-Sicherheit ist sehr einfach und Sie können es auch tun.

In diesem Artikel werde ich 24 der besten WordPress-Sicherheitstipps zum Schutz Ihrer Website vor Hackern und Malware vorstellen.

“Warum nicht das Tor zu deinem Palast verschwinden lassen, bevor sie es entdecken?” – WPMyWeb

Contents

Häufige WordPress-Sicherheitsprobleme

Bevor wir uns eingehend mit den Best Practices für die WordPress-Sicherheit befassen, wollen wir zunächst einige häufig auftretende WordPress-Sicherheitsprobleme verstehen.

Viele Benutzer glauben, dass WordPress keine sichere Plattform für ein Unternehmen ist, was überhaupt nicht der Fall ist. Dies ist auf mangelnde Kenntnisse der WordPress-Sicherheit, schlechte Systemadministration, Verwendung veralteter WordPress-Software und Plugins usw. zurückzuführen.

Viele WordPress-Anfänger gehen davon aus, dass das Erstellen einer Website das Ende ist und keine Sicherheitswartung erforderlich ist. Auf diese Weise wird Ihre Website anfällig.

Sobald Hacker auf Ihrer Website verwundbar sind, können sie Ihre Website problemlos ausnutzen.

Schauen wir uns einige häufig auftretende WordPress-Sicherheitsprobleme an.

1. Brute-Force-Angriffe: 

Beim Brute-Force-Angriff werden mithilfe eines automatisierten Skripts verschiedene Kombinationen von Benutzernamen und Kennwörtern generiert. Hacker verwendet die Anmeldeseite von WordPress, um Brute-Force-Angriffe auszuführen. 

Wenn Sie einen einfachen Benutzernamen und ein Passwort verwenden, könnten Sie das nächste Opfer dieses Angriffs sein.

2. Cross Site Scripting (XSS):

Cross Site Scripting ist eine Art von Angriff, bei dem Angreifer bösartigen Code / Skript auf eine vertrauenswürdige Website injizieren. Diese Hacking-Methode ist für die Benutzer, die auf der Website surfen, völlig unsichtbar.

Diese schädlichen Skripte werden anonym geladen und stehlen Informationen aus dem Browser der Benutzer. Selbst wenn ein Benutzer Daten in irgendeiner Form eingibt, können diese gestohlen werden.

3. SQL Injections:

WordPress verwendet eine MySQL-Datenbank zum Speichern von Blog-Informationen.

SQL-Injection tritt auf, wenn Hacker Zugriff auf die WordPress-Datenbank erhalten. Durch das Hacken der WordPress-Datenbank können Hacker ein neues Administratorkonto mit vollem Zugriff auf Ihre Website erstellen.

Sie können auch Daten in Ihre MySQL-Datenbank einfügen und Links zu schädlichen oder Spam-Websites hinzufügen.

4. Hintertüren:

Unter dem Namen “Hintertür” können Sie verstehen, was es bedeutet. 

Backdoor ist eine Hacking-Methode, mit der Hacker eine Website betreten können, indem sie den normalen Authentifizierungsprozess umgehen und sogar vom Websitebesitzer unentdeckt bleiben.

Nach dem Hacken einer Website hinterlassen Hacker normalerweise ihren Fußabdruck, sodass sie erneut auf die Website zugreifen können, selbst wenn der Hack entfernt wird.

5. Pharma Hacks:

WordPress Pharma-Hacks sind eine Art Website-Spam, der Suchmaschinenergebnisse mit Spam-Apothekeninhalten füllt, die im Internet verboten sind, wie Viagra, Nexium, Cialis usw..

Im Gegensatz zu anderen WordPress-Hacks sind Pharma-Hack-Ergebnisse nur für Suchmaschinen sichtbar. Sie können den Hack also nicht erkennen, indem Sie nur Ihre Website oder den Quellcode anzeigen.

Gehen Sie zu Google und geben Sie ein Website: domain.com. Wenn in den Suchergebnissen der Inhalt Ihrer Website (nicht der Inhalt der Apotheke) angezeigt wird, ist Ihre Website nicht von Pharma-Hacks betroffen.

Das Ziel dieses Hacks ist es, Ihre wertvollsten Seiten auszunutzen, indem Sie das Titel-Tag mit schädlichen Links überschreiben. Ganz zu schweigen davon, dass Suchmaschinen wie Google, Bing Ihre Website für die Bereitstellung schädlicher Inhalte auf die schwarze Liste setzen können, wenn Sie die Angelegenheit nicht frühzeitig untersuchen.

6. Böswillige Weiterleitungen:

Die böswillige Weiterleitung von WordPress ist eine Art Hack, bei dem Ihre Website-Besucher automatisch zu Spam-Websites wie Glücksspielen, Pornos und Dating-Websites weitergeleitet werden. Dieser Hack tritt auf, wenn ein Schadcode in die Datei oder Datenbank Ihrer Website eingefügt wird.

Wenn Ihre Website Besucher auf illegale oder böswillige Websites umleitet, wird Ihre Website möglicherweise von Google auf die schwarze Liste gesetzt.

Warum WordPress-Sicherheit wichtig ist?

Ihre Website repräsentiert Ihre Marke, Ihr Unternehmen und vor allem den ersten Kontakt mit Ihren Kunden.

Es hat wahrscheinlich mehrere Jahre gedauert, bis Sie Ihr Geschäft aufgebaut und Ihren Traffic gesteigert haben. Ihr Publikum liebt Ihre Artikel und vertraut Ihren Produkten. Deshalb bleiben sie mit Ihnen in Kontakt.

Wenn Ihre WordPress-Site nicht sicher ist, gibt es viele Möglichkeiten, wie sowohl Ihre Site als auch Ihre Kunden betroffen sind. Hacker können persönliche Informationen, Passwörter, Kreditkartendaten und Transaktionsinformationen des Benutzers stehlen und Malware an Ihre Benutzer verteilen.

Wenn Ihre Website gehackt wird, werden Sie feststellen, dass Ihr Datenverkehr drastisch sinkt. Darüber hinaus wird Google Ihre Website auf die schwarze Liste setzen.

Laut der Google Blog, Die Anzahl der gehackten Websites steigt 2016 im Vergleich zu 2015 um ca. 20%.

In einer Studie, Securi Berichte dass Google jeden Tag über 10.000 Websites auf die schwarze Liste setzt.

Wenn Sie Ihr Geschäft ernst nehmen, müssen Sie besonders auf Ihre WordPress-Sicherheit achten.

WordPress-Sicherheit

Bester WordPress-Sicherheitsleitfaden

  1. Holen Sie sich ein gutes WordPress-Hosting
  2. Halten Sie die WordPress-Version auf dem neuesten Stand
  3. Verwenden Sie kein Nulled / Cracked Theme oder Plugin
  4. Verwenden Sie sichere Passwörter
  5. Add (2FA) Zwei-Faktor-Authentifizierung
  6. Ändern Sie die WordPress-Anmelde-URL
  7. Anmeldeversuche begrenzen
  8. Sichern Sie Ihre Site regelmäßig
  9. Verwenden Sie ein WordPress-Sicherheits-Plugin
  10. Inaktive Benutzer automatisch abmelden
  11. Hinzufügen von Sicherheitsfragen zur WordPress-Anmeldeseite
  12. Ändern Sie den Standardbenutzernamen “admin”
  13. Weisen Sie Benutzer der niedrigstmöglichen Rolle zu
  14. Überwachen Sie Dateiänderungen und Benutzeraktivitäten
  15. Installieren Sie das SSL-Zertifikat
  16. Löschen Sie nicht verwendete Themen und Plugins
  17. Deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard
  18. Passwort schützen WordPress Anmeldeseite
  19. Deaktivieren Sie das Durchsuchen von Verzeichnissen
  20. Entfernen Sie Ihre WordPress-Versionsnummer
  21. Ändern Sie das Präfix der WordPress-Datenbanktabelle
  22. Verwenden Sie nur vertrauenswürdige WordPress-Themes und Plugins
  23. Deaktivieren Sie die PHP-Fehlerberichterstattung
  24. Fügen Sie sichere HTTP-Header zu WordPress hinzu

Bereit? Lasst uns beginnen.

1. Holen Sie sich ein gutes WordPress-Hosting

WordPress-Hosting spielt eine wichtige Rolle bei der Verbesserung der WordPress-Sicherheit.

Sie bezahlen für den Hosting-Service und Ihre Website bleibt unter ihrer Kontrolle. Sie sollten also vorsichtig sein, bevor Sie ein gutes WordPress-Hosting für Ihre Website auswählen.

Shared Hosting wie A2Hosting, Bluehost usw. sind die beste Hosting-Option, um ein Blog mit geringem Datenverkehr zu betreiben. Beim Shared Hosting besteht jedoch immer die Möglichkeit einer standortübergreifenden Kontamination.

Eine standortübergreifende Kontamination tritt auf, wenn ein Hacker über eine anfällige Website auf den Webserver zugreifen und dann alle anderen Websites auf demselben Webserver ausnutzen kann.

Wir empfehlen die Verwendung eines verwalteten WordPress-Hosting-Anbieters. Verwaltete WordPress-Hosting-Unternehmen bieten mehrschichtige Sicherheitsoptionen für Websites. Ihre Hosting-Plattformen sind hochsicher und bieten einen täglichen Malware-Scan und verhindern externe Angriffe. Wenn sie auf ihrem Server Malware finden, übernehmen sie die Verantwortung und entfernen sie sofort.

Sie bieten auch tägliche Backups, ein kostenloses SSL-Zertifikat und 24×7-Experten-Support.

Wir empfehlen die von WPEngine verwaltete WordPress-Hosting-Firma. Sie bieten mehrere Sicherheitsebenen zum Schutz Ihrer WordPress-Site. Mit ihrem Plan erhalten Sie tägliche Backups, kostenloses SSL, globales CDN und 24×7-Experten-Support.

Besuch WPEngine. [Rabattcode in diesem Link hinzugefügt]

Zurück nach oben

2. Halten Sie die WordPress-Version auf dem neuesten Stand

Das Aktualisieren Ihrer WordPress-Site ist eine gute Sicherheitspraxis, um Ihre WordPress-Sicherheit zu verbessern. Dieses Update enthält die WordPress-Version, Plugins und Themes.

In einer aktuellen Studie, Securi analysierte dass 56% der gesamten mit WordPress infizierten Websites noch auf dem neuesten Stand waren. Wenn Sie einer von ihnen sind, sind Sie in Gefahr.

Jeden Tag werden neue Schwachstellen entdeckt und können nicht gestoppt werden. Veraltete Software und Plugins können Schwachstellen enthalten, mit denen Hacker eine Site ausnutzen können.

Mit jedem Update schließen Entwickler neue Funktionen ein, reparieren Sicherheitslücken, beheben Fehler usw. Wie bei der WordPress-Software müssen Sie auch Ihre WordPress-Themes und -Plugins aktualisieren.

Das Gute ist, dass WordPress seine Updates automatisch bereitstellt und seine Benutzer benachrichtigt.

Das Aktualisieren der WordPress-Version, Plugins und Themes ist sehr einfach und Sie können dies über Ihr WordPress-Admin-Dashboard tun.

So aktualisieren Sie WordPress, Plugins und Themes?

Melden Sie sich zuerst in Ihrem WordPress-Dashboard an und gehen Sie zu Instrumententafel> Aktualisierung. Dort können Sie sehen, ob ein neues Update verfügbar ist.

Hinweis: Erstellen Sie vor dem Aktualisieren Ihrer WordPress-Version eine vollständige Sicherung Ihrer Dateien und Ihrer Datenbank. Im Falle eines Fehlers können Sie Ihre Site problemlos auf die vorherige Version zurücksetzen. Sie können Ihre Site mit BlogVault mit nur einem Klick einfach sichern und wiederherstellen.

Auf der Seite sehen Sie “Eine aktualisierte Version von WordPress ist verfügbar”. Klicke auf Jetzt aktualisieren Klicken Sie auf die Schaltfläche, um Ihre WordPress-Version zu aktualisieren. Dieser Vorgang kann einige Sekunden dauern.

Scrollen Sie nach Abschluss des Updates nach unten, um Ihre WordPress-Plugins zu aktualisieren. Wir empfehlen Ihnen, die Plugins einzeln zu aktualisieren. Wählen Sie zunächst ein Plugin aus und klicken Sie auf Plugins aktualisieren.

Aktualisieren Sie auf ähnliche Weise Ihre Themen unten.

Aktualisieren Sie WordPress über das Dashboard

Der Aktualisierungsprozess ist jedoch für einige Benutzer etwas schwierig, insbesondere für diejenigen, die nicht technisch versiert sind.

Einige verwaltete WordPress-Hosting-Anbieter wie SiteGround, Kinsta, FlyWheel bieten automatisches Update Merkmal. Wenn Sie also einen vollen Terminkalender haben oder nicht schnell aktualisieren können, kann dies hilfreich sein.

Lesen Sie auch, wie Sie die WordPress-Version, Plugins und Themes manuell aktualisieren

Zurück nach oben

3. Verwenden Sie niemals nullte / geknackte Themes und Plugins

Es ist kein Wunder, dass Premium-Plugins und -Themen mehr Funktionalität bieten und professionell aussehen. Keines der Premiumprodukte ist jedoch kostenlos. Es ist mit einem Preis verbunden und nach dem Kauf von Premium-Produkten müssen Benutzer den Produktschlüssel eingeben, um das Produkt zu aktivieren.

Es gibt jedoch viele schädliche Websites, die Premium-Themen und Plugins kostenlos anbieten. Diese geknackten Themen und Plugins benötigen zum Aktivieren keinen Serienschlüssel und werden nie aktualisiert.

Folgendes meine ich:

Beispiel für ein nulled WordPress-Plugin

Diese nullten Themen und Plugins sind für Ihre Site sehr gefährlich. Hacker fügen speziell schädliche Codes ein und machen eine Hintertür zu Ihrer Site. So können sie einfach auf Ihre Website zugreifen und Ihre Website einschließlich der Datenbank hacken.

Verwenden Sie also niemals nullte oder geknackte WordPress-Themes und -Plugins.

Wir empfehlen dringend, dass Sie nur kostenlose Themes oder Plugins von WordPress.org herunterladen.

Wir verstehen, dass das kostenlose Thema oder Plugin nur sehr eingeschränkte Funktionen hat. Diese kostenlosen Themes oder Plugins sind jedoch sicher zu verwenden und werden regelmäßig aktualisiert.

Lesen Sie auch die 7 besten Premium-Blogging-Themen für WordPress

Zurück nach oben

4. Verwenden Sie sichere Passwörter

Ein Passwort ist ein Primärschlüssel für den Zugriff auf Ihre WordPress-Site. Wenn es einfach und kurz ist, können Hacker Ihr Passwort leicht knacken. Über 80% von Hacking-bezogenen Verstößen passieren aufgrund eines schwachen oder gestohlenen Passworts.

In einer aktuellen Studie, SplashData enthüllt 100 schlechteste Passwörter von 2017.

Hier sind einige davon:

  1. 123456
  2. Passwort
  3. 12345678
  4. QWERTY
  5. 12345
  6. 123456789
  7. Lass mich rein
  8. 1234567
  9. Fußball
  10. ich liebe dich
  11. Administrator
  12. herzlich willkommen
  13. Affe (lol)

Wenn Ihr Passwort wie oben beschrieben einfach ist, ändern Sie es sofort. Ein Passwort mit guter Stärke sollte mindestens 10 Ziffern umfassen und Groß-, Klein-, Zahlen- und Sonderzeichen enthalten.

Sie können eine verwenden Online-Tool zur Passwortgenerierung um sofort Tausende von gesicherten Passwörtern zu erstellen.

Es ist auch erforderlich, dass Sie das Kennwort auf Ihrem Computer speichern.

Zur Vereinfachung können Sie die Passwort-Manager-Software verwenden, um alle Ihre Passwörter wie LastPass, Dashlane usw. Zu verwalten.

Erzwingen Sie ein sicheres Passwort für Benutzer

Standardmäßig verfügt WordPress nicht über eine Funktion, die Benutzer daran hindert, schwache Passwörter einzugeben. Meistens legen Benutzer ein schwaches Passwort für ihr Konto fest und ändern es kaum.

Wenn Sie ein WordPress-Blog für mehrere Benutzer ausführen, sollten Sie Benutzer zwingen, ein sicheres Kennwort zu verwenden.

Um diesen Vorgang zu vereinfachen, können Sie ein Plugin verwenden. Installieren und aktivieren Starke Passwörter erzwingen Plugin und du bist fertig. Dadurch wird verhindert, dass Benutzer und sogar Administratoren ein schwaches Kennwort eingeben.

Zurück nach oben

5. Fügen Sie die Zwei-Faktor-Authentifizierung (2FA) hinzu. 

Eine andere einfache Methode, um Ihre WordPress-Sicherheit zu verbessern, ist das Hinzufügen einer Zwei-Faktor-Authentifizierung (2FA) zu Ihrer WordPress-Anmeldeseite. Grundsätzlich ist die Zwei-Faktor-Authentifizierung oder die Bestätigung in zwei Schritten ein Sicherheitsprozess, für den zwei Methoden zur Überprüfung Ihrer Identität erforderlich sind.

Standardmäßig geben wir normalerweise Benutzername und Passwort ein, um uns auf einer Website anzumelden. Wenn Sie eine Zwei-Faktor-Authentifizierung hinzufügen, benötigen Sie einen zusätzlichen Überprüfungsprozess wie eine Smartphone-App, um den Authentifizierungsprozess zu genehmigen.

Wenn jemand Ihren Benutzernamen und Ihr Passwort kennt, benötigt er Ihr Smartphone, um den Bestätigungscode für die Anmeldung bei Ihrer Site zu erhalten.

Durch Hinzufügen einer Zwei-Faktor-Authentifizierung sichern Sie nicht nur Ihre WordPress-Anmeldeseite, sondern verhindern auch Brute-Force-Angriffe.

Sie können die Zwei-Faktor-Authentifizierung ganz einfach aktivieren, indem Sie das WordPress-Plugin für den Zwei-Faktor-Authentifikator von Google verwenden.

Nach der Aktivierung gehen Sie zu Benutzer> Benutzerprofil und aktiviere das Plugin.

Google Authenticator-Einstellungen

Laden Sie dann die Google Authenticator-App von Ihrem Telefon herunter und scannen Sie die Barcode oder geben Sie die Geheim Code (siehe Abbildung oben) von Ihrer Website, um Ihre Website hinzuzufügen.

Melden Sie sich nach dem Hinzufügen von Ihrer Website ab. Auf der Anmeldeseite sehen Sie ein zusätzliches Feld, in das Sie den Bestätigungscode über die mobile Google Authenticator-App eingeben müssen.

Google Authenticator-Feld

Ausführliche Anweisungen finden Sie in der Anleitung zum Hinzufügen der Google-Zwei-Faktor-Authentifizierung auf der WordPress-Anmeldeseite.

Zurück nach oben

6. Ändern Sie die URL der WordPress-Anmeldeseite

Standardmäßig kann jeder auf Ihre Anmeldeseite zugreifen, indem Sie einfach “wp-admin” oder “wp-login.php” am Ende Ihres Domainnamens hinzufügen, z. B.: “Domain.com/wp-admin” oder “domain.com/”. wp-login.php ”.

Erraten Sie, was! Hacker können über Ihre Anmeldeseite Brute-Force-Angriffe ausführen. Wenn Sie ein sehr einfaches Passwort verwenden, können Hacker Ihr Passwort leicht knacken und Ihre Website betreten.

Aber was ist, wenn sie nicht wissen, wo sie angreifen sollen? Ja, du hast es richtig erraten.

Wenn Sie die URL Ihrer Anmeldeseite ausblenden oder umbenennen, können Hacker keinen Brute-Force-Angriff ausführen.

In WordPress können Sie Ihre Anmeldeseite mithilfe eines Plugins einfach ausblenden oder umbenennen. Installieren und aktivieren Sie in der WordPress-Plugin-Galerie WPS Login ausblenden Plugin.

Nach der Aktivierung gehen Sie zu die Einstellungen> Allgemeines und unten finden Sie die WP Anmeldeoption ausblenden.

WPS Login-Einstellungen ausblenden

Ändern Sie einfach die Anmelde-URL “Anmeldung” zu etwas anderem, das schwer zu erraten ist, und klicken Sie darauf Änderungen speichern.

Wenn Sie fertig sind, setzen Sie ein Lesezeichen auf die neue Anmeldeseite und Sie sind fertig.

Zurück nach oben

7. Beschränken Sie die Anmeldeversuche

Standardmäßig begrenzt WordPress die Anzahl der Anmeldeversuche über das Anmeldeformular nicht. Das bedeutet, dass jeder weiß, dass Ihre Anmelde-URL die Anmeldefunktion so oft ausprobieren kann, wie er möchte. Auf diese Weise führen Hacker einen Brute-Force-Angriff durch, um Ihren “Benutzernamen” und Ihr “Passwort” zu knacken und auf Ihre Website zuzugreifen.

Durch die Begrenzung der Anmeldeversuche können Sie die Sicherheit von WordPress erhöhen und Ihre Anmeldeseite vor Brute-Force-Angriffen schützen.

Sie können eine maximale Anzahl falscher Anmeldeversuche festlegen, die ein Benutzer mit derselben IP-Adresse ausführen kann. Wenn der Benutzer die Grenzwerte überschreitet, wird die IP des Benutzers für eine bestimmte Zeit blockiert.

Installieren Sie, um Anmeldeversuche in WordPress einzuschränken Login LockDown Plugin. Nach der Aktivierung gehen Sie zu die Einstellungen> Login LockDown um das Plugin zu konfigurieren.

Login LockDown-Einstellungen

Ausführliche Anweisungen finden Sie in unserer Anleitung zum Einschränken von Anmeldeversuchen in WordPress

Zurück nach oben

8. Sichern Sie Ihre Site regelmäßig

Backups sind wie Time Machine. Wenn Sie es haben, ist Ihre Website sicher.

Website-Backups schützen Ihre Website jedoch nicht vor Hackern, sondern helfen Ihnen, Ihre Website wiederherzustellen.

Wenn beispielsweise während des Updates ein Fehler mit Ihrer Website auftritt oder Ihre Website gehackt wird, wie können Sie Ihre Website erneut reparieren? Sie verlieren wahrscheinlich Ihre Website.

Wenn Sie jedoch Backups Ihrer Site haben, können Sie Ihre Site problemlos wiederherstellen, bevor sie gehackt oder abgestürzt ist.

Aus diesem Grund empfehlen wir Ihnen dringend, ein zuverlässiges WordPress-Backup-Plugin zu verwenden. Viele Hosting-Unternehmen bieten jedoch kostenlose Website-Backups an, können jedoch die Verfügbarkeit Ihrer Website garantieren, wenn ein katastrophaler Fehler auftritt. Sie müssen die Backups also an einem Remotestandort wie Google Drive, Amazon S3, Dropbox usw. Speichern.

Zum Glück kann dies mit BlogVault oder BackUpBuddy WordPress Backup Plugin erfolgen. Beide bieten tägliche Backups und Wiederherstellungen mit einem Klick. Sie können auch ohne zusätzliche Kosten eine Staging-Site erstellen.

Zurück nach oben

9. Verwenden Sie das WordPress Security Plugin

Das nächste, was Sie brauchen, um Ihre zu härten WordPress-Sicherheit ist ein Sicherheits-Plugin. Es gibt viele WordPress-Sicherheits-Plugins, die Ihre Website vor Hackern und Malware schützen.

WordPress-Sicherheits-Plugins erkennen und beseitigen Malware, wenn sie auf Ihrer Website vorhanden ist. Außerdem überwachen sie die Benutzeraktivität in Echtzeit, benachrichtigen Sie, wenn sich etwas geändert hat, wenn ein Plugin Malware enthält, blockieren den Spam-Verkehr und vieles mehr.

Wir empfehlen das Securi WordPress Security Plugin. Securi Security bietet eine andere Art von Sicherheitsfunktionen wie die Überwachung von Sicherheitsaktivitäten und die Überwachung von Websites, Website-Firewall,  und viele mehr.

Securi

Das Beste an Securi ist, dass wenn Ihre Website während der Nutzung ihres Dienstes von Google gehackt oder auf die schwarze Liste gesetzt wird, diese garantiert, dass sie Ihre Website reparieren.

Die meisten WordPress-Sicherheitsexperten verlangen mehr als 300 US-Dollar für die Reparatur einer gehackten Site, während Sie nur alle Sicherheitsdienste erhalten 199 $ pro Jahr. Dies ist eine gute Investition, um Ihre WordPress-Sicherheit zu verbessern.

Zurück nach oben

10. Leere Benutzer automatisch abmelden

Wenn ein Benutzer zu lange inaktiv oder inaktiv auf Ihrer Website bleibt, kann dies zu Brute-Force-Angriffen führen.

Wenn ein Benutzer zu lange inaktiv bleibt, verwenden Hacker möglicherweise die Cookie- oder Sitzungsentführungsmethode, um unbefugten Zugriff auf Ihre Website zu erhalten. Aus diesem Grund verwenden die meisten Websites im Bildungs- und Finanzbereich wie Bank- und Zahlungsgateway-Websites die Timeout-Funktion für Benutzersitzungen. Wenn ein Benutzer von der Seite weg navigiert und nach einer bestimmten Zeit nicht mehr interagiert, meldet die Website den inaktiven Benutzer automatisch ab.

Dieselbe Funktion, die Sie Ihrer WordPress-Site hinzufügen können, um Ihre WordPress-Sicherheit zu verbessern. Das Hinzufügen von automatisch abgemeldeten Benutzern in WordPress ist äußerst einfach. Alles was Sie brauchen, um ein Plugin zu installieren.

Laden Sie zunächst das herunter und installieren Sie es Inaktive Abmeldung WordPress-Plugin. Dann aktivieren Sie es und gehen Sie zu die Einstellungen> Inaktive Abmeldung um das Plugin zu konfigurieren.

Inaktive Abmelde-Plugin-Einstellungen

In den Einstellungen können Sie das Leerlaufzeitlimit ändern. Nach dieser Zeit werden alle Benutzer auf Ihrer Website automatisch abgemeldet.

Sie können auch die Meldung für das Leerlaufzeitlimit ändern und bei Bedarf andere Einstellungen ändern.

Wenn Sie fertig sind, klicken Sie auf Änderungen speichern um die Einstellungen zu speichern.

Ausführliche Anweisungen finden Sie in unserer Anleitung zum automatischen Abmelden nicht genutzter Benutzer in WordPress

Zurück nach oben

11. Fügen Sie der WordPress-Anmeldeseite Sicherheitsfragen hinzu

Durch Hinzufügen von Sicherheitsfragen zu Ihrer WordPress-Anmeldeseite schützen Sie nicht nur Ihre WordPress-Anmeldeseite, sondern erhöhen auch die Sicherheit von WordPress.

Die Sicherheitsfrage fügt eine zusätzliche Sicherheitsebene hinzu, um Ihre Identität beim Anmelden weiter zu authentifizieren. Dies ist sehr nützlich, wenn Sie ein WordPress-Blog mit mehreren Autoren betreiben.

Wenn eines Ihrer Benutzer oder Ihr Passwort gestohlen wurde, kann eine Sicherheitsfrage das Leben retten.

Da Benutzername und Passwort leicht gehackt werden können, ist es nahezu unmöglich, die richtige Sicherheitsfrage und -antwort zu wählen. Auf diese Weise können Sie Ihre WordPress-Anmeldeseite vor Hackern und Brute-Force-Angriffen schützen.

Installieren Sie das, um Sicherheitsfragen auf der WordPress-Anmeldeseite hinzuzufügen WP Sicherheitsfrage Plugin.

Einstellungen für WP-Sicherheitsfragen

Nach der Aktivierung gehen Sie zu WP Sicherheitsfragen > Plugin-Einstellungen um das Plugin zu konfigurieren.

Standardmäßig wurden dem Plugin viele häufig gestellte Fragen hinzugefügt. Sie können jedoch Sicherheitsfragen zur Liste hinzufügen oder daraus entfernen.

Unten können Sie die Sicherheitsfrage auf der Anmeldeseite, der Registrierungsseite und der Seite zum Vergessen des Passworts aktivieren. Vergessen Sie nach der Konfiguration des Plugins nicht, auf zu klicken Einstellung sichern.

Hinweis: Nur neue Benutzer können ihre Sicherheitsfragen und -antworten während der Registrierung festlegen. Registrierte Benutzer müssen daher ihre eigenen Sicherheitsfragen und -antworten manuell festlegen. Sie können auch eine Sicherheitsfrage festlegen und diese beantworten. Dies kann von der erfolgen Benutzerprofil Seite.

Fügen Sie häufig WP-Sicherheitsfragen hinzu

Ausführliche Anweisungen finden Sie in unserer Anleitung zum Hinzufügen von Sicherheitsfragen zur WordPress-Anmeldeseite

Zurück nach oben

12. Ändern Sie den Standardbenutzernamen “Admin”

Nach der Installation von WordPress können Sie Ihr Passwort beliebig oft ändern. Aber können Sie Ihren Benutzernamen ändern, sobald er festgelegt ist? Kein Recht?

Standardmäßig erlaubt WordPress Benutzern nicht, den Benutzernamen zu ändern. Aber warum sollten Sie es ändern??

Wenn Sie einen sehr gebräuchlichen Benutzernamen wie “admin” verwenden, können Hacker mithilfe Ihres Benutzernamens Brute-Force-Attach ausführen.

Aber keine Panik. Es gibt verschiedene Möglichkeiten, wie Sie WordPress einfach ändern können.

Um den Prozess zu vereinfachen, verwenden wir jedoch ein Plugin. Laden Sie zunächst das herunter und installieren Sie es Benutzername ändern Plugin. Dann geh zu Benutzer> Dein Profil und finden Sie die Option Benutzername. Dort finden Sie die Option „Benutzername ändern“.

Ändern Sie den WordPress-Benutzernamen

Klicke auf Benutzernamen ändern Klicken Sie auf die Schaltfläche und geben Sie Ihren neuen Benutzernamen ein. Wenn Sie fertig sind, klicken Sie auf Profil aktualisieren.

Wenn Sie Ihren Benutzernamen manuell (ohne Plugin) ändern möchten, lesen Sie in Artikel 3 verschiedene Möglichkeiten, den WordPress-Benutzernamen zu ändern.

Zurück nach oben

13. Weisen Sie Benutzer der niedrigstmöglichen Rolle zu

Wenn Sie eine WordPress-Site mit mehreren Autoren ausführen, müssen Sie vorsichtig sein, bevor Sie einem Benutzer eine Rolle zuweisen.

Oftmals weisen WordPress-Site-Besitzer neuen Benutzern eine höhere Benutzerrolle zu. Auf diese Weise gewähren Sie Benutzern alle Berechtigungen, sodass jeder Benutzer jede Aufgabe ausführen kann, die er möchte.

Wenn Sie beispielsweise nicht wissen, was eine Editor-Benutzerrolle leisten kann, und Sie die Rolle einem regulären Benutzer zuweisen, kann der Benutzer alle Ihre Beiträge löschen, Links bearbeiten, Spam-Beiträge erstellen und schädliche Links zu Ihrem Blog hinzufügen Beiträge. Auf diese Weise kann ein Benutzer Ihre Website leicht ruinieren.

Standardmäßig verfügt WordPress über 5 verschiedene Benutzerrollen.

  • Administrator
  • Editor
  • Autor
  • Mitwirkender
  • Teilnehmer
  1. Administrator: Administratoren sind die mächtigste Benutzerrolle in einer WordPress-Site. Sie können ein Benutzerkonto erstellen, bearbeiten und löschen, jede Aufgabe im gesamten WordPress-Administrationsbereich ausführen, den gesamten Inhaltsbereich kontrollieren und auch Kommentare moderieren. 
  2. Editor: Benutzer mit der Editor-Rolle haben die volle Kontrolle über den gesamten Inhalt. Sie können alle Beiträge erstellen, bearbeiten und löschen, einschließlich der von anderen Benutzern erstellten Beiträge. Sie können auch Kommentare moderieren und Links ändern.
  3. Autor: Autoren können nur ihre eigenen Beiträge veröffentlichen, bearbeiten oder löschen. Sie können Mediendateien hochladen, um sie in ihren Posts zu verwenden. Sie können die Kommentare anzeigen, aber keine Kommentare genehmigen oder löschen.
  4. Mitwirkender: Benutzer mit der Rolle “Mitwirkender” können nur ihren eigenen unveröffentlichten Beitrag schreiben, bearbeiten oder löschen, aber keinen eigenen Beitrag veröffentlichen.
  5. Teilnehmer: Abonnenten können nur ihre Kontoinformationen einschließlich des Kennworts bearbeiten, haben jedoch keinen Zugriff auf den Inhalt oder die Websiteeinstellungen. Sie haben die niedrigsten Fähigkeiten in einer WordPress-Site.

Wenn Sie die WordPress-Benutzerrollen verstehen, können Sie sie problemlos und ohne Risiko verwalten.

Wir empfehlen außerdem, die Standardrolle “Neuer Benutzer” als Abonnent festzulegen. Gehe zu den Einstellungen> Allgemeine Einstellungen und aus ihrem Set Neue Benutzerstandardrolle – – Teilnehmer und klicken Sie auf Änderungen speichern.

WordPress New User Standardrolle

Weitere Informationen finden Sie im Anfängerhandbuch zu WordPress-Benutzerrollen und -Funktionen

Zurück nach oben

14. Überwachen Sie Dateiänderungen und Benutzeraktivitäten

Eine weitere clevere Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, Benutzeraktivitäten und Dateiänderungen zu überwachen. 

Wenn Sie eine WordPress-Site für mehrere Benutzer ausführen, sollten Sie das Benutzerverhalten verfolgen, um besser zu verstehen, welche Aktivitäten auf Ihrer WordPress-Site stattfinden.

Wer weiß, ob ein Benutzer verdächtige Arbeit leistet oder versucht, Ihre Website zu hacken? Wie kannst du das wissen??

Die einzige Möglichkeit, Benutzeraktivitäten und Dateiänderungen zu verfolgen, ist die Verwendung eines WordPress-Plugins für Benutzeraktivitäten. Mithilfe eines Benutzeraktivitäts-Plugins in WordPress können Sie:

  • Sehen Sie in Echtzeit, wer angemeldet ist und was sie tun
  • wenn sich ein Benutzer anmeldet und abmeldet
  • Wie oft hat ein Benutzer versucht, sich anzumelden, ist jedoch fehlgeschlagen?

Wenn ein Editor ohne Ihre Erlaubnis Änderungen an einem Beitrag oder einer Seite vorgenommen hat, können Sie diese leicht herausfinden und zurücksetzen. Das Gute an einem Benutzeraktivitäts-Plugin ist, dass es Ihnen sofort eine E-Mail-Benachrichtigung sendet, wenn etwas schief geht.

WP Security Audit Log ist das beste Plugin, um Benutzeraktivitäten und Dateiänderungen in Echtzeit zu überwachen. Hier ist ein Screenshot unten, wie das Plugin funktioniert.

WordPress Audit Log Viewer

Lesen Sie auch die 5 besten Plugins zur Überwachung der Benutzeraktivität in WordPress (alternative Plugins).

Zurück nach oben

15. Implementieren Sie SSL und HTTPS

WordPress-Sicherheit kann ohne SSL-Zertifikat nicht verbessert werden. Ein SSL (Secure Socket Layer) ist das Rückgrat der Website-Sicherheit.

SSL ist eine Standardsicherheitstechnologie, die in einer Online-Kommunikation wie einer Online-Transaktion verschlüsselte Verbindungen zwischen einem Server und einem Webbrowser erstellt. Alle vertraulichen Daten wie Passwörter, Kreditkartendaten usw. werden über verschlüsselte Links übertragen.

Wenn Sie ein Online-Geschäft oder ein Blog betreiben, in dem Sie Zahlungen akzeptieren, ist ein SSL-Zertifikat ein Muss. Dadurch werden die Daten Ihrer Kunden vor Hackern geschützt. Für Online-Shops oder WooCommerce-Websites kosten die Kosten für SSL-Zertifikate zwischen 20 und 170 US-Dollar.

Wenn Sie ein WordPress-Blog betreiben, benötigen Sie kein kostenpflichtiges SSL-Zertifikat. Wenn Sie cPanel-Hosting wie SiteGround, WPEngine verwenden, können Sie das SSL-Zertifikat mit nur einem Klick kostenlos installieren.

Melden Sie sich zunächst bei Ihrem Hosting-cPanel-Konto an und navigieren Sie zu Sicherheit.  (Hier ist ein Screenshot von SiteGround, das cPanel hostet.)

SG SSL

Gehe zum SSL / TLS Manager und klicken Sie auf Installieren Sie das SSL-Zertifikat. Wählen Sie auf der Seite Ihre Domain aus und klicken Sie auf Automatisches Ausfüllen nach Domain. Der Vorgang erfolgt automatisch, sodass Sie nichts bearbeiten oder ändern müssen.

Site Ground Installieren Sie das SSL-Zertifikat

Klicken Sie nun auf die Zertifikat installieren Schaltfläche, um den Einrichtungsvorgang abzuschließen.

Melden Sie sich anschließend bei Ihrem WordPress-Administrator-Dashboard an, um die URL Ihrer Website zu ändern. Gehe zu die Einstellungen> Allgemeines und fügen Sie vor Ihrer Site-URL das HTTP durch HTTPS ersetzen. Hier ist ein Screenshot unten.

WP HTTPS

Nach der Aktualisierung klicken Sie auf Änderungen speichern.

So leiten Sie HTTP in WordPress zu HTTPS um

Wenn Sie das SSL-Zertifikat ordnungsgemäß installiert haben, kann auf Ihre Site mit HTTPS zugegriffen werden.

Wenn jedoch nur Ihr Website-Name (d. H. Domain.com) in die Adressleiste des Browsers eingegeben wird, wird auf der Website möglicherweise die Meldung “Verbindung ist nicht sicher” angezeigt. Das bedeutet, dass Ihre Site über HTTP zugänglich ist.

Um das Problem zu beheben, müssen Sie HTTPS in WordPress erzwingen, damit Ihre Site nur mit HTTPS geladen wird. Sie können HTTPS in WordPress einfach erzwingen.

Melden Sie sich zuerst bei Ihrem Hosting-cPanel an und gehen Sie zum Stammordner Ihrer Website und suchen Sie .htaccess Datei. Bearbeiten Sie die .htaccess-Datei und fügen Sie am Ende den folgenden Code hinzu.

RewriteEngine On
RewriteCond% {HTTPS} aus
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Speichern Sie die Datei und Sie sind fertig. Jetzt ist Ihre Website nur mit HTTPS zugänglich.

Wenn Ihr Webhosting-Anbieter kein kostenloses SSL-Zertifikat bereitstellt, können Sie ein SSL-Zertifikat manuell installieren. Hier ist die Anleitung zum Installieren des kostenlosen SSL-Zertifikats.

Zurück nach oben

16. Löschen Sie nicht verwendete Designs und Plugins

Wenn es darum geht, die Sicherheit von WordPress zu verbessern, sollten wir keinen kleinen Schritt ignorieren, der Ihre Website anfällig machen kann. 

Meistens installieren WordPress-Site-Besitzer verschiedene Themes und Plugins, um zu testen, welches Theme auf ihrer Site besser aussieht oder welches Plugin mehr Funktionen bietet. Das ist ok. Wenn Sie jedoch diese nicht verwendeten Themen und Plugins beibehalten, ist Ihre Website anfällig.

Da viele WordPress-Themes und -Plugins regelmäßig aktualisiert werden müssen, wie Sie sie verwenden. Wenn Sie sie nicht aktualisieren, werden sie anfällig und Hacker können Ihre Website mithilfe der anfälligen Themen und Plugins problemlos ausnutzen. Außerdem verlangsamt das Beibehalten so vieler Themen und Plugins die WordPress-Site.

Sie sollten daher immer nicht verwendete Themen und Plugins löschen, um die Leistung der Website und die Sicherheit von WordPress zu verbessern.

Um ein nicht verwendetes Plugin zu löschen, gehen Sie zu Plugins> Installierte Plugins. Suchen Sie dann das Plugin, das Sie nicht mehr benötigen. Deaktivieren Sie zunächst das Plugin und klicken Sie auf Löschen.

WordPress Plugin löschen

Um ein Thema zu löschen, gehen Sie ebenfalls zu Aussehen> Themen und klicken Sie auf Themendetails. Klicken Sie dann unten rechts auf Löschen.

Thema löschen

Zurück nach oben

17. Deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard

Standardmäßig können Benutzer mit WordPress Theme- und Plugin-Dateien direkt über das WordPress-Dashboard bearbeiten. Dies ist eine nützliche Option für Benutzer, die häufig das Thema und die Plugin-Datei bearbeiten müssen.

WordPress Theme Editor

Das Aktivieren dieser Funktion kann jedoch ein ernstes Sicherheitsproblem darstellen. Wenn Hacker auf Ihre Website zugreifen, hinterlassen sie normalerweise ihren Fußabdruck, indem sie schädlichen Code in Website-Dateien einfügen. Wenn Ihre WordPress-Dateibearbeitungsfunktion aktiviert ist, können Hacker leicht schädlichen Code in Ihr Thema oder Ihre Plugin-Datei einfügen, der Ihnen unbekannt ist.

Um die Sicherheit von WordPress zu verbessern, müssen Sie die Dateibearbeitungsfunktion in Ihrem WordPress-Dashboard deaktivieren. Das Deaktivieren des WordPress-Themas und des Plugin-Editors in WordPress ist sehr einfach.

Zunächst müssen Sie sich bei Ihrem Hosting-cPanel-Konto anmelden und in den Stammordner Ihrer WordPress-Site wechseln. Von dort finden Sie die wp-config.php. Klicken Sie auf Bearbeiten und fügen Sie am Ende den folgenden Code hinzu.

define (‘DISALLOW_FILE_EDIT’, true);

Speichern Sie nun die Datei und aktualisieren Sie Ihr WordPress-Dashboard. Sie werden sehen, dass die Design- und Plugin-Editor-Option weg ist. Mit diesem kleinen Trick können Sie die Sicherheit von WordPress auf einfache Weise verbessern.

Lesen Sie die ausführliche Anleitung zum Deaktivieren des Theme- und Plugin-Editors in WordPress

Zurück nach oben

18. Passwort Schützen Sie die WordPress-Anmeldeseite

Eine weitere großartige Möglichkeit, die Sicherheit von WordPress zu verbessern, ist der Passwortschutz für die WordPress-Anmeldeseite.

Durch das Kennwort, das Ihre WordPress-Anmeldeseite (/wp-login.php) oder die Administrationsseite (https://cdn.wpmyweb.com/wp-admin) schützt, können Sie verhindern, dass Hacker auf Ihre Anmeldeseite zugreifen, da für den Zugriff auf die Seite ein Kennwort erforderlich ist Loginseite. Popup-Fenster Authentifizierung erforderlichSobald diese Funktion aktiviert ist, fordert Ihre Site alle Benutzer auf, mit einem Benutzernamen und einem Kennwortfenster auf die Anmeldeseite zuzugreifen. Kurz gesagt, alle Benutzer müssen sich zweimal mit einem anderen Benutzernamen und Passwort anmelden, bevor sie auf Ihr WordPress-Administrator-Dashboard zugreifen können.

Auf diese Weise können Sie Ihre WordPress-Sicherheit stärken und Ihrer Anmeldeseite eine zusätzliche Sicherheitsebene hinzufügen.

Lesen Sie unsere ausführliche Anleitung zum Passwortschutz der WordPress-Anmeldeseite.

Zurück nach oben

19. Deaktivieren Sie das Durchsuchen von Verzeichnissen in WordPress

Standardmäßig ermöglichen die meisten Webserver wie Apache, NGINX und LiteSpeed ​​jedem Benutzer das Durchsuchen der Verzeichnisse, die WordPress-Dateien und -Ordner enthalten. Sie können auch sehen, welches Thema und welche Plugins Sie verwenden, und mehr über Ihre Website-Struktur erfahren.

Indexseite einer WordPress-Site

Diese Informationen können Ihre WordPress-Site anfällig machen und einem Hacker helfen, wenn Sie versuchen, Ihre Site zu gefährden.

Um die Sicherheit von WordPress zu verbessern, empfehlen wir Ihnen, diese Option zu deaktivieren. Um das Durchsuchen von Verzeichnissen in WordPress zu deaktivieren, fügen Sie einfach die folgende Zeile zu Ihrem hinzu .htacces Datei.

Optionen Alle -Indexe

Ausführliche Anweisungen finden Sie in unserer Anleitung zum Deaktivieren des Verzeichnis-Browsings in WordPress

Zurück nach oben

20. Entfernen Sie Ihre WordPress-Version

Standardmäßig fügt WordPress automatisch Meta-Tags an verschiedenen Stellen hinzu, die die von Ihnen verwendete WordPress-Version anzeigen.

Hier ist die Sache: Wenn Hacker wissen, dass Sie eine veraltete WordPress-Version ausführen, können sie Ihre Website durch die bekannten Schwachstellen ausnutzen, die in der älteren WordPress-Version vorhanden sind.

Es ist also besser, wenn Sie Ihre WordPress-Version entfernen, um die WordPress-Sicherheit zu verbessern. Es gibt mehrere Stellen, an denen WordPress die Meta-Tags hinzufügt, z. B. im WordPress-Dashboard, in der Kopfzeile, in Stil und Javascript sowie im RSS-Feed.

Entfernen der WordPress-Version aus dem Header und RSS

Um die Version aus dem Header und RSS zu entfernen, fügen Sie die folgende Zeile am Ende Ihres hinzu functions.php Datei.

Funktion remove_wordpress_version () {
Rückkehr ”;
}}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Entfernen der WordPress-Versionsnummer aus Skripten und CSS

Um die WordPress-Version aus dem CSS und den Skripten zu entfernen, fügen Sie am Ende Ihres Textes die folgende Zeile hinzu functions.php Datei.

// Wählen Sie die Versionsnummer aus Skripten und Stilen aus
Funktion remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
return $ src;
}}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Speichern Sie anschließend die Datei functions.php.

Das ist es. Mit diesem einfachen Trick können Sie sicher Ihre WordPress-Sicherheit verbessern. Wir empfehlen Ihnen jedoch immer, Ihre WordPress-Version sowie das Thema und die Plugins regelmäßig zu aktualisieren.

Ausführliche Anweisungen finden Sie in unserer Anleitung zum Ausblenden oder Entfernen der WordPress-Version

Zurück nach oben

21. Ändern Sie das Präfix der WordPress-Datenbanktabelle

Während der Installation von WordPress werden Sie gefragt, ob Sie ein anderes Datenbankpräfix verwenden möchten. Normalerweise überspringen wir diesen Schritt, sodass WordPress automatisch verwendet wird (WP_) als Standardpräfix für Datenbanktabellen. Wir empfehlen Ihnen, etwas Starkes und Einzigartiges zu ändern.

Die Verwendung des Standardpräfixes (WP_) macht Ihre WordPress-Datenbank anfällig für SQL-Injection-Angriffe. Solche Angriffe können verhindert werden, indem das Datenbankpräfix (WP_) in etwas Einzigartiges geändert wird.

Nach der Installation von WordPress können Sie das Standardpräfix der Datenbanktabelle einfach mithilfe von Plugins oder manuell ändern. Mit Plugins wie BackupBuddy und Brozzme DB Prefix können Sie das Tabellenpräfix mit nur einem Klick ändern.

Für das Tutorial zeige ich, wie man es mit dem Brozzme DB Prefix Plugin ändert.

Hinweis: Bevor Sie etwas mit Ihrer Datenbank tun, stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer Site und Datenbank erstellen. Falls etwas schief geht, können Sie Ihre Site wiederherstellen.

Zuerst installieren und aktivieren Brozzme DB Präfix Plugin. Gehen Sie in Ihrem WordPress-Dashboard zu Werkzeuge> DB-Präfix und geben Sie einen neuen eindeutigen Namen für das Datenbankpräfix ein.

Brozzme DB Präfix

Sobald Sie Ihr neues Präfix eingegeben haben, klicken Sie auf DB-Präfix ändern.

Lesen Sie für den manuellen Prozess weiter, wie Sie das Präfix der Datenbanktabelle mit phpMyAdmin ändern

Zurück nach oben

22. Verwenden Sie nur vertrauenswürdige WordPress-Plugins

WordPress enthält mehr als 48.000 Plugins. Das bedeutet nicht, dass alle Plugins nützlich und sicher sind.

Da es in der WordPress-Plugin-Galerie viele Plugins gibt, die seit langem nicht mehr aktualisiert werden und normalerweise anfällig werden. Außerdem würden Sie keine Unterstützung erhalten, wenn das Plugin Ihre Website beschädigt.

Bevor Sie ein kostenloses Plugin verwenden, müssen Sie zwei wichtige Dinge überprüfen,

  • Überprüfen Sie, wann das Plugin zuletzt aktualisiert wurde: Wenn das Plugin nicht häufig aktualisiert wird oder vom Plugin-Entwickler nicht mehr gewartet wird, sollten Sie das Plugin vermeiden.

Veraltete WordPress Plugin Version

  • Überprüfen Sie, ob das Plugin maximal positive Bewertungen hat: Als nächstes müssen Sie überprüfen, ob das Plugin maximale positive oder negative Bewertungen hat. Wenn das Plugin maximal negative Bewertungen hat, sollten Sie es nicht verwenden.

WordPress Low Rated Plugin

Sie können auch auf der Seite “Bewertungen und Support” des Plugins nachsehen, was andere Benutzer über das Plugin sagen.

Aber mach dir keine Sorgen. Es gibt viele ähnliche Plugins, die Sie in der WordPress-Plugin-Galerie finden können.

Wenn Sie ein Premium-Plugin verwenden möchten, müssen Sie sich darüber keine Sorgen machen. Premium-Plugins werden regelmäßig aktualisiert und Sie erhalten rund um die Uhr Unterstützung vom Plugin-Entwickler.

Zurück nach oben

23. Deaktivieren Sie die PHP-Fehlerberichterstattung

Eine weitere großartige Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, den PHP-Fehlerbericht in WordPress zu deaktivieren. Wenn Sie ein veraltetes Plugin oder Theme installieren, wird häufig die PHP-Fehlerwarnung angezeigt.

WordPress PHP FehlerwarnungEs kann jedoch dazu führen, dass Ihre Site anfällig wird, wenn Hacker es erhalten, da es den Code und den Speicherort der Datei anzeigt. Um das Risiko zu minimieren, können Sie die PHP-Fehlerberichterstattung in WordPress deaktivieren.

Das Deaktivieren der PHP-Fehlerwarnung in WordPress ist sehr einfach. Bearbeiten Sie zuerst Ihre wp-config.php Datei und finden Sie die Zeile, die diesen Code hat:

define (‘WP_DEBUG’, false);

Möglicherweise sehen Sie “wahr” anstelle von “falsch”. Ersetzen Sie nun die Zeile durch den folgenden Code.

ini_set (“display_errors”, “Off”);
ini_set (‘error_reporting’, E_ALL);
define (‘WP_DEBUG’, false);
define (“WP_DEBUG_DISPLAY”, false);

Speichern Sie die Datei und Sie sind fertig.

Wir empfehlen Ihnen außerdem, aktuelle und gut bewertete Plugins zu verwenden, um solche Probleme zu vermeiden.

Zurück nach oben

24. Fügen Sie WordPress sichere HTTP-Header hinzu

Eine weitere großartige Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, Ihrer WordPress-Site sichere HTTP-Header hinzuzufügen.

Wenn jemand auf Ihre Website zugreift, sendet der Browser eine Anfrage an Ihren Webserver. Anschließend antwortet der Webserver mit den Anforderungen zusammen mit den HTTP-Headern. Diese HTTP-Header übergeben Informationen wie Inhaltscodierung, Cache-Steuerung, Inhaltstyp, Verbindung usw..

Durch Hinzufügen sicherer HTTP-Antwortheader können Sie Ihre WordPress-Sicherheit verbessern und außerdem Angriffe und Sicherheitslücken abschwächen.

Hier sind die folgenden HTTP-Header:

  • HTTP Strict Transport Security (HSTS): HTTP Strict Transport Security (HSTS) erzwingt, dass der Webbrowser nur sichere Verbindungen (HTTPS) verwendet, wenn er mit einer Website kommuniziert. Dies verhindert SSL-Protokoll-Hacks, Cookie-Hijacking, SSL-Stripping usw..
  • X-Frame-Optionen: Die X-Frame-Optionen sind eine Art HTTP-Header, der angibt, ob ein Browser eine Website in einem Frame rendern darf oder nicht. Dies verhindert Clickjacking-Angriffe und stellt sicher, dass Ihre Website nicht in andere Websites eingebettet ist .
  • X-XSS-Schutz: Der X-XSS-Schutz ist eine integrierte Funktion des Internet Explorers, der Browser Google Chrome, Firefox und Safari, die das Laden der Seiten verhindert, wenn aus einer Benutzereingabe ein schädliches Skript eingefügt wurde.
  • X-Content-Type-Optionen: X-Content-Type-Options ist eine Art HTTP-Antwortheader mit dem Wert nosniff, der verhindert, dass Webbrowser eine Antwort des deklarierten Inhaltstyps MIME-schnüffeln.
  • Referrer-Policy: Die Referrer-Richtlinie ist ein HTTP-Antwortheader, der domänenübergreifende Referrer-Leckagen verhindert.

Um sichere HTTP-Header in WordPress hinzuzufügen, fügen Sie einfach die folgenden Codezeilen zu Ihrem hinzu .htaccess Datei.

Header-Set Strict-Transport-Security "maximales Alter = 31536000" env = HTTPS
Header hängen immer X-Frame-Optionen SAMEORIGIN an
Header-Set X-XSS-Schutz "1; mode = block"
Header-Set X-Content-Type-Options nosniff
Header Referrer-Policy: Kein Referrer beim Downgrade

Überprüfung der Sicherheitskopfzeilen

Jetzt geh zu securityheaders.com um zu überprüfen, ob die Codes funktionieren oder nicht. Wir haben keine “Inhaltssicherheitsrichtlinie” hinzugefügt, da dies Ihre Website beschädigen kann. Es reicht jedoch aus, um Ihre WordPress-Site sicher zu machen.

Zurück nach oben

Fazit

Es gibt viele Möglichkeiten, wie Sie härten können WordPress-Sicherheit Zum Beispiel: Verwenden eines verwalteten WordPress-Hostings, Verwenden sicherer Kennwörter für Konten, Überwachen von Benutzeraktivitäten, Verwenden eines WordPress-Sicherheits-Plugins, Implementieren von SSL und HTTPS und vieles mehr.

Harding WordPress-Sicherheit ist kein Hexenwerk. Sie können Ihre WordPress-Site einfach sichern, indem Sie die in diesem Artikel beschriebenen Best Practices für die WordPress-Sicherheit implementieren. Durch die Implementierung sichern Sie nicht nur Ihre WordPress-Site, sondern verhindern auch, dass Hacker auf Ihre Site zugreifen.

Sobald Sie fertig sind, müssen Sie sich keine Sorgen mehr um Ihre WordPress-Sicherheit machen. Darüber hinaus können Sie produktiver und stressfreier sein.

Jetzt bist du dran. Lesen Sie den Artikel sorgfältig durch und implementieren Sie sie auf Ihrer Website. Sie werden froh sein, dass Sie es getan haben. ��

Haben wir wichtige WordPress-Sicherheitstipps verpasst, die hier erwähnt werden sollen? Fühlen Sie sich frei, uns im Kommentarbereich zu informieren.

WordPress-Sicherheits-Infografik

WordPress-Sicherheit-Infografik-Klein

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map