WordPress ist eine sehr beliebte, vollständig Open-Source-Software. Das Tolle an der Sicherheit ist, dass es eine riesige Community gibt, die damit arbeitet, die Bugs und Sicherheitsrisiken schneller entdecken kann als mit einer eigenen CMS-Lösung. (Es ist schwer, Schwächen herauszufinden, wenn eine Möglichkeit besteht, die Schwäche tatsächlich auszunutzen, und eine große Benutzerbasis macht die Entdeckung viel wahrscheinlicher.)
Der Nachteil ist, dass Hacker mit schlechten Absichten genau wissen, wie Ihre Website aufgebaut ist. Sie haben bereits die „Blaupause“ für Ihre Site. Und wenn es irgendwelche Schwächen im Kern, in den Themes oder Plugins gibt, die Sie verwenden, können sie das erkennen, ohne jemals Zugriff auf das Backend Ihrer Site zu erhalten.
In diesem Beitrag zeige ich Ihnen, wie Sie 5 Sicherheitsbedrohungen beheben können, die in jeder Standardinstallation von WordPress vorhanden sind. (Wenn Sie bereits einige Vorsichtsmaßnahmen getroffen haben, stellen Sie möglicherweise fest, dass Sie bereits eine oder zwei behoben haben, aber es ist wichtig, alle fünf zu beheben, um das Risiko eines Hackerangriffs zu minimieren.)
Ihre Website zeigt, dass Sie WordPress verwenden, plus die Version
Die Standardversion von WordPress enthält Codezeilen, die verraten, dass Ihre Website mit WordPress erstellt wurde, bis hin zur Version für Leute, die wissen, wo sie suchen müssen. Je nach Thema kann es sogar auf jeder Seite Ihrer Website visuell dargestellt werden.
Der Grund, warum dies ein Sicherheitsrisiko sein könnte, ist, dass Leute Ihre Website aus keinem anderen Grund angreifen könnten, als dass sie auf WordPress basiert. Wenn jemand eine Sicherheitslücke im WordPress-Kern, einem Theme oder Plugin findet, findet er möglicherweise den Weg zu Ihrer Website, um diese auszunutzen. Wenn Sie dagegen erfolgreich versteckt hätten, dass Ihre Site mit WordPress erstellt wurde, würden Leute, die mit Bots oder Crawlern nach WordPress-Sites suchen, dazu verleitet, zu denken, dass Ihre Site kein brauchbares Ziel ist.
Wie man es repariert:
Um dies zu beheben, können Sie das Hide My WP Plugin verwenden. Mit diesem hilfreichen kleinen Plugin können Sie unnötigen Datenverkehr auf Ihrem Server vermeiden und sich gleichzeitig vor Angriffen schützen, die speziell auf WordPress-Sites abzielen.
Jeder weiß, wo sich Ihre Login-Seite/Ihr Admin-Bereich befindet
Wenn du immer noch zeigst, dass du WordPress verwendest (auch bekannt als, es nicht aktiv zu verbergen, indem du beispielsweise ein Plugin wie Hide My WP verwendest), wissen Leute mit schlechten Absichten bereits, wo sie einen Brute-Force-Angriff auf deine Website versuchen können.
Wie man es repariert:
Um diese Bedrohung zu beheben und die Wahrscheinlichkeit eines Hackerangriffs drastisch zu verringern und die Serverbelastung zu reduzieren, müssen wir böswillige Personen und Bots daran hindern, unsere Anmeldeseite zu erreichen.
Es gibt zwei Hauptmethoden, dies zu tun. Sie können entweder den physischen Standort Ihrer Anmeldeseite mithilfe eines Plugins (oder ein paar Codezeilen) ändern oder den Zugriff auf Ihre Anmeldeseite und den Admin-Bereich nach IP-Adressen einschränken. Sie können dies mit einem Plugin tun, das dieser speziellen Sache gewidmet ist, oder mit einem Sicherheits-Plugin wie Sucuri, Wortzaun, iThemes Security Pro oder All In One WP-Sicherheit & Firewall.
WordPress hat ein Standard-Tabellenpräfix, das jeder verwendet
Ein Tabellenpräfix ist das, was in Ihrer Datenbank vor den Tabellennamen steht. Anstelle von Benutzern mit dem Standard-WordPress-Präfix wäre es wp_users. Wenn Sie das Standard-Tabellenpräfix verwenden, erleichtert dies den Zugriff auf Ihre Site, indem mögliche Schwachstellen bei der SQL-Injektion ausgenutzt werden. Weil sie genau wissen, wo sie Informationen in Ihre Datenbank eingeben müssen, um dann auf Ihre Site zuzugreifen.
Ich habe tatsächlich eine meiner Websites aufgrund von SQL-Injection gehackt. Dies ist also eine sehr reale Bedrohung, gegen die Sie Gegenmaßnahmen ergreifen müssen.
Wie man es repariert:
Glücklicherweise ist es sehr einfach, diese Bedrohung zu entfernen. Wenn Sie WordPress bereits mit dem standardmäßigen wp_-Präfix installiert haben, können Sie es einfach mit einem Plugin wie Sucuri ändern. Zuerst müssen Sie Ihre Datenbank sichern, bevor Sie diese Option verwenden, da die Möglichkeit besteht, dass etwas schief geht. Sie können dies mit einem Klick auf eine Schaltfläche tun. Dann können Sie ein neues Präfix wählen oder Sucuri einfach das neue Präfix zufällig für Sie generieren lassen.
Hinweis: Wenn Sie WordPress zum ersten Mal installieren, können Sie dies in der Installationsoberfläche ändern.
WordPress-Theme- und Plugin-Dateien sind über das Dashboard bearbeitbar
Das Problem dabei ist, dass ein Hacker, der sich Zugang zu Ihrer Website verschafft, viel Schaden anrichten kann. Sie können dazu führen, dass Ihre Website andere mit Malware befällt (was dazu führen kann, dass Ihre Website auf die schwarze Liste von Google gesetzt und von Suchmaschinen deindexiert wird), Ihre Website verunstalten oder leicht Hintertüren öffnen.
Wie man es repariert:
Sie können entweder diese Codezeile zu Ihrer wp-config.php-Datei hinzufügen:
define( 'DISALLOW_FILE_EDIT', true );Oder verwenden Sie ein Sicherheits-Plugin, um dies für Sie zu tun (das im Grunde nur diese Codezeile für Sie einfügt). Das einzige Problem ist, dass es Plugins gibt, die es Leuten ermöglichen, diese Fähigkeit ein- und auszuschalten, so dass ein sehr engagierter Hacker in der Lage sein könnte, ein Plugin zu installieren, das Plugin zu aktivieren und dann ohne FTP-Zugriff Zugriff auf den Bearbeitungscode zu erhalten.
Wenn Sie extrem gründlich sein und sich davor schützen möchten, können Sie alle Plugin- und Theme-Updates/Installationen deaktivieren, indem Sie diese Codezeile zu wp-config.php hinzufügen:
define( 'DISALLOW_FILE_MODS', true );Dies würde jedoch natürlich bedeuten, dass Sie den Wert jedes Mal auf false ändern müssen, wenn Sie ein Plugin oder ein Design aktualisieren oder installieren möchten (wir empfehlen diese Option nicht wirklich, da es eine der besten Möglichkeiten ist, Designs und Plugins auf dem neuesten Stand zu halten um sicherzustellen, dass Ihre Website weniger anfällig ist).
WordPress hat sehr offene Firewall-Einstellungen, die es selbst bekannten bösartigen Bots ermöglichen können, Angriffe zu versuchen
Die Standard-Firewall-Einstellungen von WordPress sind eigentlich auf der liberalen Seite. Dies bedeutet, dass einige unerwünschte Bots und andere unerwünschte Besucher grünes Licht erhalten.
Wie man es repariert:
Sie können dies verbessern, indem Sie die grundlegenden 5G-Blacklist-Firewall-Regeln installieren, indem Sie sie entweder manuell in Ihre .htaccess-Datei kopieren (Sie finden sie hier) oder indem Sie . installieren dieses Plugin, oder verwenden Sie ein Sicherheits-Plugin, um die Regeln in Ihrem .htaccess besser zu optimieren.
Unbegrenzte WordPress-Anmeldeversuche
Während die Standardeinstellung tatsächlich unbegrenzte Anmeldeversuche ist, haben Sie sich möglicherweise dafür entschieden, Anmeldeversuche zu begrenzen, als Sie WordPress auf Ihrer Website installiert haben. Wenn Sie dies jedoch nicht getan haben, ist dies eine unglaublich einfache Lösung.
Wie man es repariert:
Installieren Sie einfach die Plugin Anmeldeversuche begrenzen. Wenn Sie WPEngine-Hosting verwenden, ist dies eine Funktion, die sie bereits für Sie integriert haben – kein Plugin erforderlich! Wenn Sie Ihren Login-Bereich bereits schützen, indem Sie nur Ihren eigenen IP-Adressen den Zugriff auf das Dashboard erlauben, müssen Sie dies nicht tun. Aber wenn Sie nur die Adresse Ihrer Anmeldeseite versteckt haben, ist dies ein schöner doppelter Schutz vor potenziellen Brute-Force-Angriffen.
Abschluss
Die Cyberkriminalität nimmt rasant zu und das Internet ist auf dem Weg, mehr Kriminelle zu beherbergen als „die reale Welt“. In einigen Ländern ist dies bereits geschehen. Und obwohl vieles davon Kreditkarten- und Bankbetrug ist, gibt es eine wachsende Zahl von Hackern da draußen, und als Website-Besitzer müssen wir uns und unsere Websites so gut wie möglich schützen.
Während eine Standardinstallation von WordPress einige Schwächen hat, liegt die Schönheit von WordPress wirklich in der Leichtigkeit, mit der Sie so ziemlich jedes Ihrer Probleme mit Ihrer Website lösen können, einschließlich der in diesem Beitrag erwähnten Sicherheitsbedrohungen. Abgesehen von einem eindeutigen Benutzernamen und einem starken Passwort können Sie durch die Installation eines Sicherheits-Plugins, das Bearbeiten einiger Einstellungen und das Einfügen von ein oder zwei Codezeilen das Risiko, dass Ihre Website gehackt oder mit Malware befallen wird, bereits erheblich reduzieren.
Haben Sie Maßnahmen ergriffen, um die Sicherheit Ihrer WordPress-Site zu verbessern? Welche Art? Wir würden uns über einige Ihrer Tipps und Tricks freuen! Bitte lass es uns in den Kommentaren wissen.
