Was würden Sie als Erstes tun, wenn Sie Ihre WordPress-Site sichern möchten? Finden Sie die fünf besten Sicherheits-Plugins heraus, überlegen Sie, wie günstig sie sind, und installieren Sie dann eines. Das ist erledigt, jetzt können Sie sich zurücklehnen und entspannen, oder? Falsch!
Die Verwendung eines Sicherheits-Plugins gewährleistet keine Sicherheit. Sicherheit ist keine absolute Sache und niemand kann absolute Sicherheit garantieren. Das Beste, was wir tun können, ist das Risiko eines Hacks zu reduzieren. Und entgegen der landläufigen Meinung muss der Website-Eigentümer an der Sicherheit der Website beteiligt werden. Zu wissen, was Sie tun sollten und was nicht, ist wichtig.
Es gibt zwar mehrere Anleitungen, was Sie tun sollten, um Ihre WordPress-Site sicher zu halten, aber wir bieten Ihnen eine Anleitung, was Sie stattdessen VERMEIDEN sollten. Sie werden feststellen, dass die Ratschläge hier im Widerspruch zur allgemeinen Meinung stehen. Aber aus unserer Erfahrung sind viele Ratschläge veraltet und vermitteln ein falsches Sicherheitsgefühl.
Wenn Sie das Thema WordPress-Sicherheit genauso nervt wie uns, schauen Sie sich das Folgende an.
1. Verwenden Sie nicht zu viele Sicherheits-Plugins
Angesichts der großen Auswahl an verfügbaren Plugins mit verschiedenen Funktionen ist es verlockend, mehr als ein WordPress-Sicherheits-Plugin zu verwenden. Ehrlich gesagt ist es ein Overkill. Es ist normal, sich Sorgen um die Sicherheit Ihrer Website zu machen, aber Sie müssen sich fragen, ob Sie wirklich mehr als ein Sicherheits-Plugin benötigen? Welche Funktionen sind für die Anforderungen Ihrer Website unerlässlich? Werden sich die Features gegenseitig auf die Zehen treten?
Zum Beispiel könnte ein Konflikt entstehen, wenn die Plugins damit beginnen, Dateien wie wp-config.php oder htaccess zu ändern. Plugins können leicht mit diesen Dateien herumspielen, aber sie ändern sie nicht einstimmig. Dies könnte zu Konflikten führen und Ihre Website verlangsamen.
Bei WordPress-Sites kann ab und zu etwas schief gehen. Jeder hasst den gefürchteten White Screen of Death. Mehrere Plugins zu haben, die sich stark auf Ihre Website auswirken, kann die Fehlersuche erschweren. Hätte es nur ein Plugin gegeben, wäre das Finden und Beheben der Fehlerursache einfacher und unkomplizierter gewesen.
2. DB-Präfix nicht ändern
Es gibt mehrere Möglichkeiten, wie eine WordPress-Site kompromittiert werden kann. Hacker können durch SQL-Injection-Angriffe auf die Datenbank einer Site zugreifen. Eine Schwachstelle in einem Plugin oder Theme kann verwendet werden, um in die Datenbank der Site einzudringen (aus diesem Grund empfehlen wir Ihnen, stattdessen a WordPress-Datenbank-Backup-Plugin um ähnliche Fallstricke zu vermeiden). Eine beliebte Methode, um Hacker daran zu hindern, tiefer in Ihre Site einzudringen, besteht darin, das standardmäßige Tabellenpräfix zu ändern. Wie Sie in der Abbildung unten sehen können, ist in WordPress das Standardtabellenpräfix „wp_“. WordPress ermöglicht es Ihnen, das Tabellenpräfix (z. B. ‚xzy_‘) zu ändern, um bestimmte Tabellen auszublenden.
Oberflächlich betrachtet sieht dies nach einer guten Idee aus. Wenn die Hacker den Tabellennamen nicht kennen, können sie die Daten daraus nicht abrufen. Dies ist jedoch eine falsche Argumentation. Sobald sich jemand in Ihre Datenbank gehackt hat, gibt es immer noch Möglichkeiten, die Tabellen herauszufinden. Daher ist es sinnlos, die Namen des Präfixes zu ändern. Darüber hinaus kann das Ändern des Standardpräfixes dazu führen, dass sich mehrere Plugins falsch verhalten.
Darüber hinaus ist das Ändern des Datenbankpräfixes Midflight schwierig zu implementieren und kann zum Absturz Ihrer Website führen. Dies liegt daran, dass auf jeder Ebene viele Änderungen vorgenommen werden müssen. Jeder Fehler im Prozess wird sich als katastrophal für Ihre Site erweisen.
3. Vermeiden Sie es, Ihre Anmeldeseite zu verstecken
Es gibt immer jemanden, der versucht, in Ihre Website einzudringen, indem er Ihr Passwort knackt. Bei Brute-Force-Angriffen versuchen Hacker, sich mit einer Kombination aus beliebten Benutzernamen und Passwörtern bei Ihrer Website anzumelden. Was also, wenn wir die Anmeldeseite ausblenden? Das wird zwei Fliegen mit einer Klappe schlagen, oder? Hacker könnten die Login-Seite nicht finden und die Belastung Ihres Servers wird reduziert.
WordPress hat eine Standard-Anmeldeseite. Die URL zur Seite sieht normalerweise so aus: example.com/wp-login.php. Eine bekannte Möglichkeit, Ihre Website vor Brute-Force-Angriffen zu schützen, besteht darin, die Standard-Anmeldeseite zu verbergen oder in etwas anderes wie example.com/mylogin.php zu ändern. Obwohl dies nach einem narrensicheren Plan klingt, lassen Sie uns herausfinden, wie effektiv die Methode ist, um Ihre WordPress-Site sicher zu halten.
Reduzierung der Serverlast
Nachdem Sie den Speicherort Ihrer Anmeldeseite ausgeblendet oder geändert haben, wird jedes Mal, wenn jemand versucht, sie zu öffnen, ein 404-Fehler angezeigt. Anmeldeversuche sind jedoch ein schwerer Prozess. Immer wenn die 404-Fehlerseite geladen wird, verbraucht sie viele Ihrer Serverressourcen. Und endet damit, dass Ihre Website verlangsamt wird. Daher ist die allgemeine Annahme, dass das Verbergen Ihrer Anmeldeseite die Last auf dem Server verringert, falsch.
Alternative URL nicht schwer zu erraten
Ein Teil des Erfolgs von WordPress als CMS ist auf Plugins zurückzuführen, die Änderungen an einer Website erleichtern. Es ist nicht verwunderlich, dass eine beliebte Methode zum Verbergen einer Anmeldeseite einer Site die Verwendung eines Plugins ist. Diese Plugins werden mit einer Reihe von alternativen Standard-Login-URLs wie xzy.com/wplogin.php usw. geliefert. Wir wurden geschult, nur mit Standardeinstellungen zu arbeiten. Sobald wir das Plugin installiert und unsere URL geändert haben, machen wir uns keine großen Gedanken mehr darüber. Aber es gibt nur so viele URLs, die ein Plugin anbieten kann. Es ist nicht allzu schwierig, diese voreingestellten Anmelde-URLs herauszufinden. Daher kann die Verwendung einer alternativen URL in den meisten Fällen wirkungslos sein.
Usability-Probleme
Das Schöne an WordPress ist, dass es einfach zu bedienen ist. Es ist eine bekannte Plattform. Bei einer Website mit einer Vielzahl von Benutzern kann das Ändern oder Ausblenden der Anmeldeseite zu bestimmten Problemen führen. Mehrmals sind wir in WordPress-Foren auf Beiträge gestoßen, in denen Benutzer aufgrund einer Änderung der Anmelde-URL von einer Site gesperrt wurden. In den meisten Fällen wurden die Änderungen über ein Plugin vorgenommen und die Benutzer wurden nicht auf die Situation aufmerksam gemacht, die Chaos verursachte.
4. IP-Adressen nicht manuell blockieren
Wenn auf Ihrer Website ein Sicherheits-Plugin installiert ist, werden Sie benachrichtigt, wenn jemand versucht, sich bei Ihrer Website anzumelden. Sie können die IP-Adresse, die diese bösartigen Anfragen sendet, leicht abrufen und blockiere sie mit der .htaccess-Datei. Es ist eine manuell intensive Arbeit und keine sehr bequeme Praxis.
Nicht benutzerfreundlich
Eine nicht technisch versierte Person, die versucht, die .htaccess-Dateien zu ändern, ist ein Rezept für eine Katastrophe. Ein Content-Management-System wie WordPress hat eine sehr strenge Formatierung. Selbst die Verwendung der beliebtesten Tools wie FTP/SFTP ist sehr riskant. Ein kleiner Fehler oder eine falsche Befehlsplatzierung kann zum Absturz der Site führen.
Zu viele IPs zum Blockieren
Um zu vermeiden, auf die schwarze Liste gesetzt zu werden, verwenden Hacker IP-Adressen aus der ganzen Welt. Zuvor haben wir über das manuelle Blockieren von IP-Adressen gesprochen, die ständig versuchen, in Ihre Website einzudringen. Die Arbeit (wie bereits erwähnt) erfordert viel Zeit und Mühe, ist aber nicht gerade eine sehr effiziente Zeitnutzung. Aber wenn Sie eines der besten WordPress-Sicherheits-Plugins verwenden, zum Beispiel Malcare, können Sie den Blockierungsprozess automatisieren. Solche Sicherheits-Plugins kümmern sich um alle WP-Sicherheitslücken.
5. Verstecken von WordPress
Es gibt eine allgemeine Annahme, dass das Verbergen Ihres CMS es Personen mit abscheulichen Absichten erschwert, in Ihre Website einzudringen. Was wäre, wenn wir die Tatsache verbergen könnten, dass Ihre Website auf WordPress läuft. Das würde Ihre Website vor Hackern schützen, die gängige Schwachstellen ausnutzen wollen. Eine einfache Möglichkeit, dies zu tun, ist die Verwendung eines Plugins (Sie haben es erraten). Aber die Methode schlägt fehl, wenn es den Hackern egal ist, auf welcher Plattform Ihre Website läuft. Außerdem gibt es eine Vielzahl von Möglichkeiten, um herauszufinden, ob eine Website auf WordPress läuft.
Neben der Verwendung eines Plugins kann man die Arbeit auch manuell erledigen. Aber es ist ein zeitaufwändiger Prozess. Ein einziges WordPress-Update kann Ihre gesamte Arbeit innerhalb weniger Sekunden rückgängig machen. Das heißt, Sie müssten entweder den Vorgang immer wieder wiederholen oder vor WP-Updates zurückschrecken. Das Überspringen von WordPress-Updates ist wie das Öffnen der Haustür für einen Hacker, der direkt in Ihr Zuhause kommt.
6. Passwortschutz von wp-admin funktioniert nicht
Die standardmäßige WordPress-Anmeldeseite (die so aussieht – example.com/wp-admin) ist ein Gateway zu Ihrer Website. Eine typische Anmeldeseite sieht wie in der Abbildung unten aus.
Hier müssen Sie Ihre Anmeldeinformationen verwenden, um auf das WordPress-Dashboard zuzugreifen. Der Passwortschutz der Anmeldeseite hilft, dieses Gateway zum Dashboard zu verbergen oder zu schützen. Es ist eine gute Idee, aber nicht ohne Schlupflöcher.

Bild mit freundlicher Genehmigung: LookLinux
Zunächst einmal ist es schwierig, das Passwort zu verwalten oder sogar zu ändern, wenn Sie es verlieren. Abgesehen davon, dass sie keine zusätzliche Sicherheit bieten, können sich solche Änderungen an Ihrer Site als sehr gefährlich erweisen. Wenn Sie beispielsweise die Admin-Seite mit einem Passwort schützen, können Anfragen wie /wp-admin/admin-ajax.php den Schutz nicht umgehen. Es gibt Plugins, die von der Ajax-Funktionalität Ihrer Site abhängig sein könnten. Und wenn sie nicht auf diese Funktionalität zugreifen können, verhalten sie sich schlecht. Daher kann dies dazu führen, dass die Website beschädigt wird.
Zu dir hinüber
Wenn Sie Fragen oder Vorschläge dazu haben, was Sie vermeiden müssen, um Ihre WordPress-Site abzusichern, lassen Sie es uns in den Kommentaren wissen.