Eines der wichtigsten Dinge, die Sie beim Erstellen einer WordPress-Site tun können, ist sicherzustellen, dass sie sicher ist. Während Sie die Site-Sicherheit nie bis zu 100 % erreichen können, können Sie mit Sicherheit 99 % erreichen, und Sie können dies erreichen, indem Sie – sowohl große als auch kleine – Maßnahmen ergreifen, die jeden Zugangspunkt Ihrer Site und seine Schwachstellen berücksichtigen.
Einige von Ihnen denken vielleicht bereits, dass Ihre Website ziemlich sicher ist. Und das ist großartig, aber warum nehmen Sie sich nicht ein paar Minuten Zeit und gehen diese Liste durch, die ich in Bezug auf die Sicherheit von WordPress-Sites zusammengestellt habe? Sie gehen mit einem Aktionsplan davon oder fühlen sich in Bezug auf Ihre bestehenden Maßnahmen sicherer – und beides ist gut.
Hier sind 10 Dinge, nach denen Sie suchen oder auf die Sie achten sollten, um sicherzustellen, dass Ihre Website so sicher wie möglich ist.
1. Beschränken Sie die Zugänglichkeit des Dashboards
Wenn jemand Zugriff auf Ihr WordPress-Dashboard hat, kann er neue Beiträge und Seiten hinzufügen, Dateien hochladen und Ihre Einstellungen ändern. Eine unerfahrene Person könnte einen Fehler machen, ohne es zu merken. Oder die Absicht könnte bösartiger sein. Unabhängig davon sollten Sie nur denjenigen Zugriff auf Ihr Dashboard gewähren, denen Sie vertrauen.
Sie können Ihre IP-Adresse auf die Whitelist setzen, um den Zugriff auf Ihr Dashboard für Personen, die nicht Ihre IP-Adresse haben, einzuschränken, was Hackerversuche erheblich reduzieren kann. Natürlich müssen Sie immer von derselben IP aus auf den Administrator Ihrer Site zugreifen.
Fügen Sie dazu eine neue .htaccess Datei an deine wp-admin Ordner und fügen Sie dann diesen Code hinzu:
order deny,
allow
allow from YOUR IP ADDRESS
deny from all
Und wenn Sie Ihr Theme und Ihre Plugins vor der Bearbeitung durch nicht autorisierte Benutzer schützen möchten, können Sie füge diesen Code hinzu zu deinem wp-config.php Datei:
define( 'DISALLOW_FILE_EDIT', true );
2. Blockieren des Durchsuchens von Verzeichnissen
Sie wissen wahrscheinlich bereits, dass Websites so eingerichtet sind, dass Dateien in Ordnern auf einem Server enthalten sind. Normalerweise kann jemand den Inhalt jedes Ordners oder Verzeichnisses durchsuchen, was Sie für böswillige Hacking-Versuche anfällig machen könnte. Sie können jedoch festlegen, dass der Inhalt bestimmter Ordner für die breite Öffentlichkeit nicht sichtbar ist. Dies ist eine Verschleierungstaktik und obwohl es Ihre Website nicht zu 100% sicher macht, gibt es Hackern weniger Informationen, mit denen sie arbeiten können, und Sie möchten weniger Informationen.
Um das Durchsuchen von Verzeichnissen zu blockieren, öffnen Sie Ihre .htaccess Datei erneut und fügen Sie ganz unten folgenden Code ein:
Options -Indexes
Das ist alles dazu!
3. Entfernen Sie die WordPress-Versionsinformationen
WordPress-Themes, die verwendet werden, um die von Ihnen verwendete WordPress-Versionsnummer automatisch im <Kopf> Tag der Website. WordPress selbst fügt diese Informationen jedoch jetzt selbst ein, und obwohl es für WordPress nützlich ist, bei der Analyse zu wissen, wer was verwendet, ist es ein Sicherheitsrisiko, diese Informationen so zu hinterlassen, dass sie jedem zur Verfügung stehen, der einen Blick auf Ihren Code wirft.
Wieso den? Denn die direkte Angabe der Versionsnummer macht einem Hacker die Arbeit leichter. Und Sie möchten die Arbeit eines Hackers nicht einfacher machen! Fügen Sie stattdessen einfach diesen Code in die Funktionen.php Datei für dein Theme:
function remove_wp_version() {
return '';
}
<span style="line-height: 1.8em;">add_filter( 'the_generator', 'remove_wp_version' );
Dadurch wird die Versionsnummer entfernt und Ihrer Site eine weitere Sicherheitsebene hinzugefügt.
4. Bewerten Sie Ihren Benutzernamen und Ihr Passwort
Sie haben diesen Rat immer wieder gehört, aber Sie müssen ihn wirklich, wirklich hören. Die Wahl eines schwierigen Benutzernamens und Passworts ist für die allgemeine Sicherheit Ihrer Site wichtig. Verwenden Sie zunächst niemals „admin“ als Benutzernamen. Da es der beliebteste Benutzername für WordPress ist, ist es so, als würde man Hackern die Hälfte Ihrer Daten geben.
Zweitens verwenden Sie für Ihr Passwort eine Reihe von Zahlen, Buchstaben und Symbolen. Machen Sie es einem Menschen im Grunde unmöglich, es zu erraten, und machen Sie es einer Maschine extrem schwer, es zu knacken.
5. Führen Sie regelmäßige Site-Backups durch
Viele Leute rollen mit den Augen, wenn sie hören, dass sie ihre Websites häufig sichern müssen. Nicht, weil sie nicht verstehen, dass es wichtig ist; vielmehr, weil der Gedanke, eine ganze Site zu sichern, anstrengend ist. Viele Leute wollen einfach nicht die Zeit und Mühe in das Projekt investieren.
Glücklicherweise können Backups heutzutage vollständig automatisiert werden und sind tatsächlich eine kluge Lösung, da sie im Voraus geplant werden können. Auf diese Weise werden Sie nie wieder vergessen, Ihre Site zu sichern. Die WordPress-Codex hat detaillierte Anweisungen, oder Sie können unsere Anleitung zum Sichern Ihrer WordPress-Site verwenden. Oder Sie entscheiden sich für eine Plugin-basierte Lösung (Backup Buddy und TresorPresse sind zwei Optionen, die wir hier bei Themelocal bereits verwendet haben).
6. Halten Sie Ihre Website auf dem neuesten Stand
Hacker entwickeln täglich neue Strategien, um Websites zu zerstören. Das Betreiben einer veralteten Version von WordPress macht also nur Ärger, zumal WordPress die Fehler und Sicherheitslücken in früheren Versionen veröffentlicht, sobald eine neue Version veröffentlicht wird, wie auf dem obigen Foto zu sehen ist. Stellen Sie immer sicher, dass auf Ihrer Site die neueste Version ausgeführt wird, um optimale Sicherheit zu gewährleisten.
7. Wählen Sie sichere Themes
Es ist auch wichtig, Themen auszuwählen, die einen guten Ruf haben. Diejenigen, die von weniger als seriösen Entwicklern erstellt wurden oder nicht über den saubersten Code verfügen, könnten Ihre Site nach der Installation für Sicherheitslücken öffnen. Lesen Sie die Rezensionen zu den Themen, bevor Sie sie installieren, und wenn Sie ein Premium-Theme kaufen, kaufen Sie immer eines von einer bekannten Website.
Installieren Sie ebenso immer Theme-Updates, wenn sie verfügbar sind. Das oben Gesagte über die Aktualisierung der WordPress-Kerndateien gilt auch hier.
8. Wählen Sie sichere Plugins
Was ich oben über Themes gesagt habe, gilt auch für Plugins. Obwohl der Rat für Plugins wahrscheinlich doppelt gilt, da sie manchmal Malware oder bösartigen Code enthalten können. Laden Sie keine Plugins von einem unbekannten Entwickler herunter und installieren Sie immer Updates, wenn diese verfügbar sind, um die Sicherheit der Site zu gewährleisten.
9. Schützen Sie Ihre Dateien
Eine der wichtigsten Dateien auf Ihrer gesamten WordPress-Site ist die wp-config.php Datei. Es speichert einen Ton von Daten über Ihre Site, enthält Details zu Ihrer Datenbank und die Einstellungen für die Site als Ganzes. Ein Hacker mit der richtigen Wissensdatenbank könnte allein mit den Informationen dieser Datei alles an Ihrer Site ändern. Wie Sie sich vorstellen können, ist es also wichtig, es zu schützen.
Zum Glück können Sie das mit einer relativ einfachen Lösung. Alles, was Sie tun müssen, ist das folgende Code-Snippet zu Ihrem .htaccess Datei direkt darunter, wo es heißt # ENDE WordPress:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
10. Wählen Sie den richtigen Hosting-Anbieter
Ein Großteil der Sicherheit Ihrer Website hängt von dem von Ihnen ausgewählten WordPress-Hosting-Anbieter ab. Obwohl ich Ihnen nicht sagen kann, welcher Host der beste ist – es gibt viel zu viele Variablen, die in diesem Artikel erörtert werden müssten –, kann ich Ihnen jedoch sagen, dass das Lesen von Rezensionen unerlässlich ist, um eine weise Entscheidung zu treffen. Stellen Sie sicher, dass Sie die Sicherheit, die Backup-Lösungen und den Servertyp eines Hosts bewerten, bevor Sie eine endgültige Entscheidung treffen.
Erinnern: Der von Ihnen ausgewählte Host spielt eine direkte Rolle dabei, wie schnell Ihre Site geladen wird, wie hoch ihre Betriebszeit ist und wie sicher Ihre öffentlichen und privaten Daten sind. Es ist keine Entscheidung, die man auf die leichte Schulter nimmt.
Abschluss
Diese Liste ist keineswegs vollständig, aber sie sollte Ihnen auf jeden Fall einen abgerundeten Ausgangspunkt geben, um potenzielle Sicherheitslücken zu identifizieren und Lösungen zum Schutz Ihrer Website vor Hackern zu finden. Sie können auch zur Kasse gehen und diesem folgen WordPress-Sicherheitsleitfaden für weitere einfache Tipps zur Sicherung Ihrer WordPress-Site. Es sollte auch den Vorteil haben, dass Sie ein bisschen mehr Ruhe haben. Schließlich ist es typisch, Hunderte von Stunden in die Entwicklung und Umsetzung einer Website zu investieren. Es zu schützen ist unabdingbar.
Welche Maßnahmen ergreifen Sie, um Ihre Website zu schützen? Gehen Sie lieber manuell vor oder nutzen Sie Plugin-basierte Lösungen? Lass es uns in den Kommentaren wissen!