WordPress-Sicherheit ist derzeit ein heißes Thema in der Blogosphäre. Die jüngsten Botnet-Angriffe auf eine große Anzahl von WordPress-Sites haben einige Leute dazu gebracht, ihre wertvollen Daten wiederherzustellen, und Sie sollten schnell handeln, um Ihre WordPress-Sicherheit zu stärken.
Dann gibt es diejenigen, die vorausgedacht und gehandelt haben, bevor es nötig war. Die Chancen stehen gut, dass sie keinerlei Probleme hatten, weil sie sich selbst zu einem harten Ziel gemacht haben.
Tatsache ist: Es gibt zwar keine 100% sichere Site, aber man kann die Wahrscheinlichkeit, gehackt zu werden, viel kleiner machen, indem man ein wenig Zeit darauf verwendet, Ihre Site sicherer zu machen als 99% der anderen da draußen. Vor diesem Hintergrund werde ich Sie in diesem Beitrag durch einen einfachen fünfstufigen Prozess führen, der Ihre Website von einem weichen Ziel zu einem wirklich harten Cookie macht.
Schritt 1: Alles aktualisieren
Veraltete Elemente auf Ihrer Website stellen potenzielle Sicherheitsrisiken dar, da sie von Hackern verwendet werden können, um sich in das Backend Ihrer Website einzuschleichen. Deshalb ist es so wichtig, alles auf dem neuesten Stand zu halten.
Und wenn ich alles sage, ich bedeuten alles:
- Der WordPress-Kern
- Themen
- Plugins
Deaktivierte Themes und Plugins sollten ebenfalls auf dem neuesten Stand gehalten werden – ihre bloße Präsenz auf deiner Seite macht sie zu einem potentiellen Sicherheitsrisiko, daher solltest du sie auf dem neuesten Stand halten, um deine WordPress-Sicherheit zu stärken.
Loggen Sie sich nicht oft ein? Keine Sorge – Sie können ein Plugin wie das verwenden Einfacher Update-Manager um automatische Updates für deinen WordPress-Kern, dein Theme und deine Plugins zu aktivieren. Es gibt auch unzählige integrierte erweiterte Einstellungen, um Ihre Updates anzupassen, und Protokolle, um anzuzeigen, was wann aktualisiert wurde.
Viele Leute werden so weit kommen und dann aufhören, aber es gibt tatsächlich einen weiteren Schritt, den Sie unternehmen sollten: Sie sollten sehr ernsthaft erwägen, alle Themen und Plugins auf Ihrer Website zu entfernen, die nicht kürzlich aktualisiert wurden. Mit Plugin Last Updated können Sie ganz einfach überwachen, wann Plugins zuletzt aktualisiert wurden. Dadurch wird das Datum der letzten Aktualisierung zu Ihrer Plugin-Liste im Backend hinzugefügt (die wohl standardmäßig angezeigt werden sollte).
Generell würde ich sagen, dass jedes Plugin, das innerhalb der letzten zwölf Monate nicht aktualisiert wurde, zum Löschen in Betracht gezogen werden sollte.
Schritt 2: Sichern Sie alles (und regelmäßig)
Ich weiß, dass es ein offensichtlicher Vorschlag ist, aber es wäre nachlässig von mir, keine WordPress-Backups hinzuzufügen. Die einfache Tatsache ist, dass nur wenige Dinge (wenn überhaupt) wichtiger für die Sicherheit Ihrer Website sind.
Wenn Ihre Website einem wirklich destruktiven Hack ausgesetzt ist (das heißt, immer möglich), ist Ihre letzte Verteidigungslinie eine aktuelle Sicherung. Das bedeutet, dass Sie auch im schlimmsten Fall auf etwas zurückgreifen können. wenn du nicht Machen Sie regelmäßig Backups, dann sind Sie, um es ganz offen zu sagen, am Arsch.
Es gibt eine enorme Anzahl von Backup-Lösungen, aber mein erster Vorschlag wäre, einen Hosting-Provider zu wählen, der automatische Backups in seinen Dienst einschließt. Wenn Sie Opfer eines Hacking-Versuchs werden, der Ihre Site beschädigt, sollten Sie feststellen, dass Ihr Provider die Site schnell in ihrem früheren Glanz wiederherstellt.
Darüber hinaus sind die Crème-of-the-Crop-Optionen TresorPresse und BackupBuddy. Sie kosten Geld, aber mein Rat ist zu noch nie Sparen Sie an Ihrer Backup-Lösung. Persönlich bin ich ein VaultPress-Benutzer (wie auch Themelocal) – sie bieten eine umfassende Backup-Lösung sowie zusätzliche Sicherheitsfunktionen.
Schritt 3: Ändern Sie Ihren Standardbenutzernamen
Wenn Sie immer noch das Standardprofil „admin“ verwenden, das mit Ihrer WordPress-Installation geliefert wurde, ist es jetzt an der Zeit, dies zu ändern.
Wieso den? Denn der erste Schritt für jeden Brute-Force-Anmeldeversuch besteht darin, sich mit dem Benutzernamen „admin“ anzumelden und dann eine enorme Anzahl von Passwortversuchen durchzuführen, um Zugang zu erhalten. Wenn Sie einen eindeutigeren Benutzernamen erstellen, stoppen Sie diesen Hacking-Versuch.
Das Wechseln von Profilen und allem, was möglicherweise damit verbunden ist (die Übertragung des Eigentums an Beiträgen usw.), kann eine ziemlich entmutigende Aufgabe sein, aber es ist ein wichtiger Schritt zur Sicherung Ihrer Website und viel einfacher, als es sich anhört. Schauen Sie auf YouTube nach Tutorials, wenn Sie zusätzliche Anleitungen benötigen.
Schritt 4: Erstellen Sie ein eindeutiges starkes Passwort (und ändern Sie es regelmäßig)
Die meisten Leute sind heutzutage versiert genug, um zu wissen, dass ihr Passwort nicht „Passwort“ sein sollte. Was sie dürfen nicht wissen ist, dass Brute-Force-Hacking-Versuche eine erstaunliche Anzahl von Passwortkombinationen versuchen, um auf Websites zuzugreifen. Wenn Ihr Passwort Sinn macht oder in irgendeiner Weise vorhersehbar ist (zB aus erkennbaren Wörtern oder Zahlenmustern besteht), dann ist Ihre Seite gefährdet.
In Wirklichkeit gibt es drei goldene Regeln für die Best-Practice-Passwortgenerierung:
- Es muss sein wirklich zufällig und einzigartig
- Es darf nur einmal verwendet werden (dh nicht über mehrere Sites hinweg)
- Es muss periodisch geändert werden (z. B. einmal pro Monat)
Wenn Sie diese drei Regeln befolgen, wird Ihre Website viel sicherer. Um wirklich zufällige Passwörter zu generieren, können Sie einen kostenlosen Online-Generator verwenden, wie ich Ihnen empfehle, sich für ein kostenloses Konto mit anzumelden LastPass und verwenden Sie diesen Dienst, um (a) alle Ihre Passwörter zu generieren und (b) zu speichern.
Schritt 5: Plugin-Schutz installieren
Es gibt eine große Anzahl von Plugins, die behaupten, die Sicherheit Ihrer Website zu erhöhen. Die bloße Auswahl kann überwältigend sein, aber ich werde die Spreu durchschneiden und das meiner Meinung nach einfachste und effektivste Plugin für Sie empfehlen.
Dieses Plugin ist Wortzaun: ein beliebtes und hoch bewertetes kostenloses Plugin. Es enthält eine Vielzahl von Sicherheitsfunktionen, einschließlich (aber nicht beschränkt auf):
- Eine Firewall
- Schutz vor bösartigem IP
- Backdoor-Scans
- Malware-Scans
- Verbesserte Anmeldesicherheit
Obwohl Wordfence ein Freemium-Modell ist und eine kostenpflichtige Version mit mehr Optionen hat, kostet dich das Plugin selbst und der Basisdienst nichts. Die Installation auf Ihrer Website ist ein Kinderspiel.
In Wirklichkeit kratze ich hier nur an der Oberfläche. Obwohl die oben genannten Sicherheitsmaßnahmen dazu beitragen, Ihre WordPress-Sicherheit gegenüber der überwiegenden Mehrheit anderer zu stärken, gibt es immer mehr, was Sie tun können und immer eine Chance, dass Sie trotzdem gehackt werden könnten.
In diesem Beitrag habe ich einfache Möglichkeiten behandelt, Ihre WordPress-Sicherheit zu verbessern. Wenn Sie sie alle implementiert haben und immer noch Appetit auf mehr haben, würde ich Ihnen raten, zuerst die offizielle WordPress-Sicherheitsseite auf der Website zu besuchen WordPress.org-Codex.
Jetzt sind Sie an der Reihe – ich würde gerne wissen, welche einfachen Empfehlungen Sie haben, um Ihre WordPress-Sicherheit zu stärken. Es können einfache Tipps und Tricks, Plugin-Vorschläge oder sogar ein empfohlener Premium-Dienst wie der oben genannte VaultPress sein. Feuer weg im Kommentarbereich!