Web-Sicherheit sollte für alle Websites ein bleibendes und kontinuierliches Anliegen sein. Egal welche Vorkehrungen Sie getroffen haben, es gibt immer Raum für Verbesserungen. Dies liegt daran, dass es keine narrensichere Sicherheit gibt. Hinzu kommt, dass Hacker rund um die Uhr auf der Jagd sind, und Sie müssen also ständig auf der Hut sein. Hosting, schwache Passwörter, ältere Versionen von WordPress oder dubiose Themes / Plugins sind die möglichen Einstiegspunkte für Bots, um in Ihre Site einzudringen.
Eine Möglichkeit, es Hackern zu erschweren, besteht darin, den Schutz Ihrer WordPress-Admin- oder Anmeldeseite zu erhöhen. Es ist das Tor zu Ihrer Website, und Sie können den größten Teil des Unfugs direkt vor der Haustür stoppen, indem Sie die Sicherheit auf dieser Seite erhöhen.
Einige Möglichkeiten, wie Sie Ihre Admin-Seite schützen können,
Benutzernamen ändern
Der Standardbenutzername in WordPress ist „Admin“ und Bots wissen dies. Wenn sie Ihr Passwort erraten können, haben Sie ihnen buchstäblich eine Einladung zum Betreten gegeben. Ändern Sie also Ihren Benutzernamen in einen einzigartigen und nicht zu erratenden Namen. Für den New York Soccer Club ist beispielsweise „NY Soccer“ kein passender Benutzername.
Sie können den Benutzernamen ändern, indem Sie diese einfachen Schritte ausführen:
- Melden Sie sich mit Ihrem bestehenden Admin-Benutzerkonto bei WordPress an.
- Fügen Sie einen neuen Benutzer hinzu, indem Sie auf klicken Benutzer > Neu hinzufügen.
- Wählen Sie „Administrator“ als Rolle für diesen neuen Benutzer. Wählen Sie hier einen eindeutigen Benutzernamen, da dieser neu hinzugefügte Benutzer der neue Admin-Benutzer wird.
- Melden Sie sich vom alten Benutzerkonto „Admin“ ab.
- Melden Sie sich erneut mit dem von Ihnen erstellten neuen eindeutigen Benutzernamen an.
- Löschen Sie den ursprünglichen Benutzer „Admin“. Sie müssen alle Ihre alten Beiträge vom alten „Admin“-Benutzer dem neuen Benutzer zuweisen.
Sie können den Benutzernamen auch ändern, indem Sie auf phpMyAdmin zugreifen. Informieren Sie sich unter SiteGround.
Sicheres Passwort
Das Ändern des Benutzernamens ist nur die Hälfte. Stärken Sie Ihr Passwort, damit Bots es nicht erraten können. Geburtstage, Haustiername, Lieblingssportler können alle richtig erraten werden. Brute-Force-Angriffe sind nur häufige und wiederholte Versuche, das Passwort durch Versuch und Irrtum zu erraten. Und sie werden erfolgreich sein, wenn das Passwort schwach ist. Daher sind starke Passwörter wichtig.
Ein starkes Passwort sollte idealerweise eine Kombination aus Zahlen und Buchstaben enthalten, sowohl in Groß- als auch in Kleinbuchstaben. Fügen Sie ein oder zwei Symbole wie ‚!‘ oder ‚@‘. WordPress bietet die Möglichkeit, ein starkes Passwort zu generieren, und Sie können das auch verwenden. Oder nehmen Sie die Hilfe von a Passwortgenerator. Überprüfen Sie, ob Ihr Passwort stark ist bei Wie sicher ist mein Passwort. Und ändern Sie regelmäßig das Passwort.
Fällt es Ihnen schwer, sich das Passwort zu merken? Schauen Sie sich Passwort-Manager an wie LastPass, DashLane, KeePass, 1Passwort und RoboForm. Ein Passwort-Manager speichert alle Ihre Passwörter in verschlüsselter Form und Sie können von jedem Gerät darauf zugreifen.
Wenn ich mich nicht für ein starkes Passwort eingesetzt habe, dieser Bericht von SplashData Die Auflistung der schlechtesten Passwörter des Jahres 2015 kann Sie vielleicht überzeugen.
Benutzerzugriff einschränken
Wenn Sie der einzige sind, der auf den Admin zugreift, ist dieser nicht für Sie geeignet. Wenn Sie jedoch mehreren Benutzern den Zugriff auf das Backend erlauben, sollten Sie ihre Berechtigungen genau kontrollieren. Erlauben Sie Zugang und Berechtigungen nur zu den Bereichen und in dem Umfang, der für die Erfüllung ihrer Aufgaben erforderlich ist.
Darüber hinaus sollten die Benutzer Ihrer Website auch dazu verpflichtet sein, sichere Passwörter zu verwenden. Um dies zu gewährleisten, können Sie die Starke Passwörter erzwingen Plugin. Dieses Plugin ermöglicht Benutzern den Zugriff auf die Site nur, wenn sie ein starkes Passwort für sich selbst eingerichtet haben. Oder Sie könnten sich die Login Security Solution ansehen, die auch die Passwortstärke überprüft und durchsetzt, ohne echte Benutzer zu stören.
Anmeldeversuche begrenzen
Bots erhalten Zugang zu Ihrer Site, indem sie verschiedene Kombinationen von Benutzername und Passwort ausprobieren. Es kann viele Versuche dauern, bis sie einbrechen können. Wenn wir die Anzahl der Versuche begrenzen, die von einer einzelnen IP aus gemacht werden können, können wir die Wahrscheinlichkeit, dass Bots Zugriff erhalten, drastisch reduzieren.
Es gibt spezielle Plugins, die diese Aufgabe ausführen können –
- Anmeldeversuche begrenzen – Begrenzt die Rate der Anmeldeversuche für jede IP. Es ist ein häufig verwendetes Plugin, auch wenn es schon lange nicht mehr aktualisiert wurde.
- Brute-Force-Anmeldeschutz – Schützt Ihre Website mit .htaccess vor Brute-Force-Angriffen.
- Jetpack-Schutz – Um WordPress-Websites vor Bot-Netz-Angriffen zu schützen.
Es ist auch erwähnenswert, dass einige Webhosts diese Funktion integriert anbieten. WP Engine hat dies beispielsweise bereits Anfang 2015 zu ihrer Hosting-Plattform hinzugefügt, um die von ihnen gehosteten Websites sicherer zu machen (zusätzlich zu ihrem kostenlosen SSL, Zwei-Faktor-Authentifizierung, automatisierten Backups, mehreren Firewalls, Malware-Scans und mehr).
Ändern Sie Ihre Login-URL
Die URL für die Anmeldung bei allen WordPress-Websites ist standardmäßig die Haupt-URL Ihrer Website, gefolgt von wp-login.php oder wp-admin – zum Beispiel, meinewebsite.com/wp-login.php. Hacker wissen das, und wenn Sie diese URL ändern können, erschweren Sie ihnen den Zugriff auf Ihre Website.
Sie können installieren WP-Admin schützen um die URL Ihres Admin-Panels zu ändern und die Standardlinks zu blockieren. Sie können es beliebig ändern, z meinewebsite.com/allow_admin_access. Bei einer Anfrage nach meinewebsite.com/wp-login.php oder meinewebsite.com/wp-admin, die Seite erreicht, wird sie auf die Startseite umgeleitet. Und nur die benutzerdefinierte URL wird zum Admin-Panel zugelassen.
Eine absolut zuverlässige Methode zum Schutz Ihrer Admin-Seite besteht darin, den Zugriff auf Ihre wp-admin und wp-login.php Seite. Dies kann jedoch nur verwendet werden, wenn Sie eine IP-Adresse verwenden, die sich nicht ändert. Andernfalls laufen Sie Gefahr, von Ihrer Website ausgesperrt zu werden. Wenn Sie mehrere IP-Adressen verfolgen können, können Sie diese Option trotzdem übernehmen.
Sie können auch den Zugriff auf Ihre wp-login.php Datei mit HTTP Basic Authentication. Dies ist eine externe Sicherheitsebene, die ein Benutzer passieren muss, um die Anmeldeseite zu erreichen. Sie müssen eine .htpasswd-Datei generieren, um alle autorisierten Benutzernamen und ihre jeweiligen verschlüsselten Passwörter aufzulisten. Ein Brute-Force-Angriff kann auch gegen die HTTP-Basisauthentifizierung gestartet werden, aber es wird für Hacker doppelt so viel Aufwand bedeuten, beide Ebenen zu knacken.
Fügen Sie SSL zu Ihrer Website hinzu
SSL ist eine Standard-Sicherheitstechnologie. HTTP ist das Hyper Text Transfer Protocol zur Übertragung von Daten zwischen einem Server und einem Browser. Die sichere Version von HTTP ist HTTPS, wobei das „S“ für Secure steht. Gemeinsam überprüfen sie die Identität der Website gegenüber dem Benutzer und versichern dem Benutzer die Vertraulichkeit zwischen der Website und dem Browser des Benutzers.
Sobald Sie SSL / HTTPS eingerichtet haben, verschlüsselt der Server die Daten und nur der Browser des Benutzers kann sie entschlüsseln. Für unerwünschte Dritte ergeben die Daten keinen Sinn und erscheinen nur als Zeichenfolge. Als Bonus finden Sie das Google bevorzugt HTTPS beim Ranking von Websites.
Der Erwerb eines SSL-Zertifikats ist möglicherweise nicht mehr optional, insbesondere wenn Sie den Chrome-Browser verwenden. Das liegt daran, dass Google auf dem besten Weg ist, alle Nicht-HTTPS-Sites als „nicht sicher“ zu markieren.
Heutzutage sind alle Nicht-HTTPS-Sites hinsichtlich der Angabe des SSL-Status einfach neutral, aber das wird sich im Januar 2017 ändern. Alle Websites, die Passwörter benötigen oder Kreditkarteninformationen sammeln, müssen sicher werden oder riskieren, von Google als nicht sicher eingestuft zu werden.
Es gibt viele Unternehmen wie Comodo, DigiCert, und SSL.com Zertifizierungsdienste anbieten. Zertifikate können ohne allzu hohe Kosten erworben werden von SSLMate und kostenlos von Lass uns verschlüsseln. Einige Hosting-Dienstleister bieten kostenloses SSL mit ihren Hosting-Paketen an. Weitere Informationen zum Installieren von SSL finden Sie in unserem HTTPS- und kostenlosen SSL-Leitfaden.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung ist eine der sichersten Möglichkeiten, Ihre Website vor Hackern zu schützen. Es funktioniert zusätzlich zu dem Standard-Benutzernamen / Passwort, das Sie bereits haben. Sobald Sie diese Zugangsdaten eingegeben haben, wird ein Code auf einem Gerät generiert, das Sie haben, oft Ihr Smartphone. Erst wenn dieser Code eingegeben wird, erhalten Sie Zugang zur Site.
Viele kostenlose und Premium-Plugins stehen zur Installation auf Ihrer Website zur Verfügung. Diese Sicherheitsmethode gibt es schon seit geraumer Zeit, wird nun aber zunehmend beim Zugriff auf Webseiten angewendet. Sie können mehr über die Zwei-Faktor-Authentifizierung in unserem früheren Beitrag lesen.
Sicherheits-Plugins
Viele Websites installieren Plugins, die sich umfassend um die WordPress-Sicherheit kümmern. Sie packen Firewall-Schutz, Malware-Scanning, Blacklisting und Whitelisting von IPs, Überwachung der Benutzeraktivität, Audit-Logging und allgemein die Rundum-Sicherheit. Es stehen sowohl kostenlose als auch Premium-Optionen zur Verfügung.
Einige Plugins mit Anmeldeschutz,
- Wortzaun – Erzwingt starke Passwörter und verhindert Brute-Force-Angriffe.
- iThemes – Bekämpft automatisierte Angriffe und begrenzt die Anzahl der Anmeldeversuche. Es implementiert auch strengere Benutzeranmeldeinformationen.
- All-in-One-Sicherheit und Firewall – Verhindert Brute-Force-Angriffe und ermöglicht das Blockieren auf IP-Ebene, wodurch ein Benutzer nach einem bestimmten Zeitraum gesperrt wird. Andere Login-Schutzfunktionen umfassen Login-Sperre und Whitelisting und Blacklisting von IP-Adressen.
- Kugelsichere Sicherheit – Login und Brute-Force-Schutz.
- McAfee Secure – Bietet mehrere Schutzebenen, einschließlich einer vertrauenswürdigen Site-Markierung, Malware-Scans und Identitätsschutz für E-Commerce-Shops (ein großer Vorteil).
Abschließende Gedanken
Die in diesem Beitrag aufgeführten Methoden sind meist einfache, aber sehr effektive Methoden, mit denen Sie Bots, Malware und Unruhestifter daran hindern können, in Ihre Website einzudringen. Sie können auch Captchas oder andere kleine Tests hinzufügen, um zu überprüfen, ob der Anmeldeversuch von einem Menschen erfolgt, und Bots zu verhindern. Wenn Sie weitere Tipps zur WordPress-Sicherheit benötigen, lesen Sie, was Freddy in diesem Beitrag zu sagen hat.
