Wenn Ihre Website schon einmal von Bots, Hackern oder anderen betrügerischen Elementen angegriffen wurde, wissen Sie, dass die Wiederherstellung zum Albtraum werden kann. Mit der zunehmenden Popularität von WordPress ist es bei Hackern immer mehr zu einem Ziel geworden, da die Auszahlungen höher sein können. Es gibt zwar keine narrensichere Sicherheit, aber es gibt viele kleine und große Dinge, die wir tun können, um einige häufige WordPress-Sicherheitsfehler zu vermeiden und es für die Bots schwieriger zu machen, auf unsere Websites zu gelangen und Chaos zu verursachen.
In diesem Beitrag schauen wir uns die häufigsten Sicherheitsfehler auf WordPress-Websites an. Wir werden auch herausfinden, was wir tun können, um unsere Anfälligkeit für Sicherheitsbedrohungen zu minimieren.
Fehler Nr. 1: WordPress nicht aktualisieren
WordPress hat eine großartige Community, die auf Sicherheitsprobleme aufmerksam ist, und das Team von WordPress-Problemen aktualisiert regelmäßig, um Sicherheitsbedrohungen zu beheben. Aber es liegt an uns, diese Updates auf unserer WordPress-Installation durchzuführen und eventuelle Sicherheitslücken zu schließen. Größere Updates des WordPress-Kerns erfolgen automatisch, aber bei kleineren Updates sowie bei Updates von Themes und Plugins müssen Sie auf die Benachrichtigungen achten, die auf Ihrem Dashboard angezeigt werden.
Das Aktualisieren von WordPress ist oft ein reibungsloser Prozess, der nur einen Klick erfordert, aber manchmal kann es zu Inkompatibilitätsproblemen kommen, die Ihre Website beschädigen. In dieser Kurzanleitung zum Aktualisieren von WordPress erfahren Sie mehr über das Aktualisieren von WordPress.
Fehler #2: Keine hochwertigen Themes und Plugins kaufen
Schlecht codierte Themes und Plugins stellen ein Sicherheitsrisiko auf Ihrer Website dar. Sie können nicht nur Ihre Website verlangsamen, sie können auch mit der von Ihnen verwendeten WordPress-Version oder miteinander inkompatibel sein. Darüber hinaus können sie als Einstiegspunkt für bösartige Software dienen.
Die hier zu treffende Vorsichtsmaßnahme besteht darin, Themes und Plugins nur von hochwertigen Quellen zu kaufen. Es gibt viele gute Themes und Plugins, die kostenlos in WordPress verfügbar sind. Wenn Sie sich für ein Premium-Theme oder Plugin entscheiden, suchen Sie nach Themeforest oder CodeCanyon und anderen renommierten Themenhäusern wie Themelocal.
Wählen Sie diejenigen aus, die besser bewertet sind, und genießen Sie eine größere Anzahl von Downloads. Lesen Sie Bewertungen zu den Themen und Plugins und sehen Sie sich an, was andere langfristige, echte Benutzer über sie sagen. Gehen Sie das Changelog durch, um zu sehen, ob es regelmäßige Updates gibt. Schreiben Sie den Autoren, um zu erfahren, ob dieses Thema oder Plugin für Sie geeignet ist, bevor Sie einen Kauf tätigen. Und um alle praktischen Bedenken auszuräumen, können Sie es auf einer Testseite ausführen, wenn dies möglich ist.
Fehler #3: Themes & Plugins nicht aktualisieren
Genau wie WordPress sollten Ihre Themes und Plugins regelmäßige Updates für Bugfixes und Sicherheitspatches erhalten. Es ist Ihre Aufgabe, diese Updates zu testen und sie dann zu installieren, um Ihre WordPress-Website sicher zu halten.
Notiz: Einer der häufigsten Gründe, warum Leute ihre Themes veraltet erscheinen lassen, ist benutzerdefinierter Code. Aus diesem Grund ist die Verwendung von Child-Themes wichtig. Wenn Sie Änderungen an Ihren Designdateien vornehmen möchten, denken Sie daran, ein untergeordnetes Design zu verwenden, damit Sie Ihr Kerndesign in Zukunft sicher aktualisieren können.
Fehler Nr. 4: Mangelnde Sicherheit auf der Anmeldeseite
Die Login-Seite ist der Ort, von dem aus autorisierte Benutzer die Website betreten. Aber auch viele unerwünschte Schurkennutzer können sich über die Login-Seite geschickt in unsere Webseiten einfinden und sich sogar Admin-Rechte erwerben. Um dies zu verhindern, müssen wir die Sicherheit auf der Anmeldeseite erhöhen. Wirklich, es ist nicht schwer, dies zu tun, und es gibt viele einfache Optimierungen, die Sie ausführen können, um Unfug direkt vor Ihrer Haustür zu stoppen.
Sie können den Benutzernamen des häufig verwendeten ‚Admin‘ ändern und sichere Passwörter erzwingen. Oder begrenzen Sie die Anzahl der Anmeldeversuche – dies ist besonders effektiv, um Brute-Force-Angriffe zu stoppen. Eine andere einfach anzuwendende Schutzmethode ist die Zwei-Faktor-Authentifizierung. Und mit Google drängt auf die Verwendung von SSL, möchten Sie vielleicht einen Schritt voraus sein und es früher oder später auf Ihre Website anwenden. Sie sehen also, die Anmeldeseite ist ein guter Ausgangspunkt, um die Sicherheit Ihrer Website zu verbessern.
Fehler Nr. 5: Unsachgemäße Verwendung von Benutzerrollen
WordPress hat viele Benutzerrollen – Administrator, Editor, Autor, Mitwirkender und Abonnent. Nicht alle von ihnen müssen die gleichen Berechtigungen auf Ihrer Website haben. Achten Sie beim Hinzufügen von Benutzern zu Ihrer Site auf die Berechtigungen, die Sie ihnen im Back-End gewähren. Erlauben Sie ihnen nur so viel Privilegien, wie es für die Erfüllung ihrer Rollen auf der Website erforderlich ist.
Allen Benutzern uneingeschränkten Zugriff zu gewähren, kann Hackern den Einbruch erleichtern.
Es ist wirklich nicht erforderlich, Abonnenten Zugriff auf das Backend zu gewähren, wenn sie nur Inhalte lesen müssen. Zugriff auf Editorebene sollte nur vertrauenswürdigen Benutzern gewährt werden, und Zugriff auf Administratorebene kann, wenn überhaupt, sehr sparsam gewährt werden. Benutzern eingeschränkte Berechtigungen zu gewähren und sie zur Verwendung starker Passwörter zu zwingen, kann den Zugriff auf das Backend weitgehend kontrollieren.
Fehler #6: Nicht verwendete Themes und Plugins nicht löschen
Im Laufe der Zeit fügen wir unserem WordPress bei Bedarf Plugins und Themes hinzu. Aber sobald wir keine Verwendung mehr für sie haben, vergessen wir, sie von unserer Seite zu löschen. Es reicht nicht aus, Themes und Plugins einfach zu deaktivieren, Sie müssen diejenigen löschen, die Sie nicht verwenden möchten. Dieser einfache Schritt kann Ihre Malware-Anfälligkeit reduzieren. Inaktive Plugins verbrauchen weder RAM noch Bandbreite oder PHP, belegen aber Serverplatz. Dies kann nicht nur Ihre Website verlangsamen, sondern auch verwendet werden, um bösartigen Code auf Ihrer Website auszuführen.
Bevor Sie Ihrer Website ein Plugin hinzufügen, prüfen Sie, ob WordPress die jeweilige Funktion nativ verarbeiten kann. Oder das von Ihnen verwendete Theme oder Ihr Host deckt möglicherweise die Funktionen ab, die Sie benötigen. Wenn Sie also ein Plugin für diese Funktionen auf Ihrer Website haben, möchten Sie es möglicherweise löschen.
Jetzt, wo Sie ungenutzte Plugins bereinigen, können Sie genauso gut den ganzen Weg gehen und die Medienbibliothek, den Uploads-Ordner und den Includes-Ordner bereinigen. Dies sind alternative Einstiegspunkte für Malware, die in Ihre Site eindringt, um sich später selbst auszuführen. Indem Sie diese Ordner verkleinern, reduzieren Sie die Zugriffspunkte für Malware und Hacker.
Fehler #7: Keinen sicheren Host auswählen
Hacker zielen oft nicht auf Ihre Website ab, sondern auf eine andere Website, die den Serverraum mit Ihnen teilt. Sie sind nur ein zufälliges Opfer. In einem Shared-Hosting-Szenario kann eine kompromittierte Website alle Websites auf einem Server lahmlegen. Daher ist es wichtig, Ihren Webhost mit großer Sorgfalt auszuwählen. Wie wir auf unseren Blog-Seiten wiederholt gesagt haben, erhalten Sie beim Hosting nur das, wofür Sie bezahlen. Günstige Hosting-Optionen gehen fast immer Kompromisse bei der Sicherheit ein und ihre Server sind anfälliger für Sicherheitsangriffe. Darüber hinaus werden Sie oft feststellen, dass der Support nicht zufriedenstellend ist, wenn Ihre Website angegriffen wird.
Es lohnt sich wirklich, gutes Geld für hochwertiges Hosting zu investieren. Es wird Ihnen auf der ganzen Linie eine Menge Kopfschmerzen ersparen, insbesondere wenn Ihr Unternehmen stark mit Ihrer Website verknüpft ist. Benötigen Sie Hilfe bei der Auswahl eines Hosts? Gehen Sie zu unserer Liste der empfohlenen Hosting-Optionen.
Fehler Nr. 8: Nicht nach Malware suchen
Malware kann auf Ihre Website gelangen, ohne dass Sie es bemerken. Es kann verborgen bleiben und viele Dinge ohne Ihr Wissen tun, z. B. Ihre Besucher verfolgen, auf sensible Informationen wie Kreditkartendaten zugreifen oder Backlinks zu anderen Websites hinzufügen. Wenn auf Ihrer Website Malware lauert, beginnt Google, Suchmaschinen abzulehnen, um zu verhindern, dass andere Websites infiziert werden. Dies kann zu einem Rückgang des Traffics auf Ihrer Website führen.
Es gibt viele Plugins und Dienste, die Ihre Website auf Malware scannen und viele davon entfernen können. Sie müssen lediglich die Website von Diensten wie Sucuri SiteCheck-Scanner und geben Sie die URL Ihrer Website ein. Es wird ein Bericht erstellt, der die erkannte Malware sowie Empfehlungen zum Umgang damit anzeigt. Oder Sie können ein Plugin hinzufügen und einen Scan ausführen. Wenn Sie möchten, können Sie das Plugin nach der Verwendung löschen und neu installieren, wenn Sie erneut einen Scan durchführen möchten.
Fehler Nr. 9: Kein Sicherheits-Plugin installieren
Eine der einfachsten Möglichkeiten, die Sicherheit Ihrer Website zu verbessern, besteht darin, ein Sicherheits-Plugin hinzuzufügen. Diese Plugins können viele Sicherheitsprobleme lösen, wie das Erzwingen starker Passwörter, das Einrichten von Firewalls, den Schutz vor Brute-Force-Angriffen und mehr. Es gibt viele kostenlose Plugins wie iThemes Security und viele Premium-Sicherheits-Plugins, und es ist am besten, wenn Sie frühestens eines installieren und aktivieren. Es gibt auch viele Website-Sicherheitsdienste wie Sucuri, die anbieten, die Sicherheit Ihrer WordPress-Website zu verwalten.
Fehler Nr. 10: Keine Website-Backups aufbewahren
Sie könnten meinen, dass Ihre Website jetzt vor den bösen Jungs sicher ist, nachdem Sie all dies getan haben. Es tut uns leid, Sie enttäuschen zu müssen, aber Hacker verfeinern ihre Methoden und es tauchen ständig neue Bedrohungen auf. Daher können Sie als Sicherheitsnetz ein Plugin zum Backup verwenden und in regelmäßigen Abständen ein sicheres Backup Ihrer Site erstellen und an einem sicheren Ort aufbewahren.
Es reicht nicht, nur ein Backup der Datenbank durchzuführen, es ist ein vollständiges Backup der Website notwendig. Dazu gehören die Themes, Plugins, der Ordner wp-content sowie wichtige WordPress-Konfigurationsdateien wie wp-config.php und .htaccess-Dateien. Verwenden Sie hochwertige Plugins wie BackupBuddy oder TresorPresse und aktualisieren Sie diese regelmäßig. Bewahren Sie außerdem mehrere Sicherungskopien auf, auf die Sie an verschiedenen Offsite- und Offline-Standorten zurückgreifen können.
Zusamenfassend
Bei der Website-Sicherheit geht es nicht immer um hohe Mauern und Zäune, noch handelt es sich um eine einmalige Lösung. Es geht mehr darum, den Unruhestiftern einen Schritt voraus zu sein. Es gibt viele kleine und einfache Schritte, die Sie ergreifen können, um eine Website sicher und geschützt zu halten. Es ist wichtig, Ihre Abwehrmaßnahmen zu überprüfen, um sicherzustellen, dass sie den Anforderungen Ihrer Website entsprechen, und Sicherheitspraktiken zu entwickeln, die deren Sicherheit gewährleisten.
