So härten Sie WordPress ab: Eine 18-Schritte-Anleitung mit wichtigen Tools
Veröffentlicht: 2024-08-01WordPress-Websites können angreifbar werden, wenn sie nicht gut gepflegt werden. Ein paar übersprungene Updates oder ein fehlerhaftes Plugin, und Ihre Website ist gefährdet. Angreifer können auch über die Anmeldeseite eindringen, wenn diese nicht ordnungsgemäß gesichert ist, oder Ihre Website durch DDoS-Angriffe (Distributed Denial of Service) lahmlegen.
Zu viel Düsternis und Untergang?
Glücklicherweise können diese Angriffe leicht verhindert werden, wenn Sie die notwendigen Schritte unternehmen, um WordPress zu härten. Das Content-Management-System (CMS) gibt Ihnen die volle Kontrolle über die Einstellungen Ihrer Website, was bedeutet, dass Sie Strategien implementieren können, um sie vor verschiedenen Arten von Angriffen zu schützen.
In diesem Artikel bieten wir Ihnen einen vollständigen Kurs zur WordPress-Sicherheit. Wir besprechen, welche Tools Sie verwenden sollten, gehen 18 Schritte zur Absicherung von WordPress durch und zeigen Ihnen, wie Jetpack Security Ihnen dabei helfen kann, Ihre Website mit einem einzigen Plugin zu schützen. Lasst uns anfangen!
Wie wichtig es ist, Ihre WordPress-Site zu härten
Cyberangreifer neigen dazu, das Internet nach Websites zu durchsuchen, die Schwachstellen aufweisen, die sie ausnutzen können. Auch wenn Ihre Website relativ neu ist, können Angreifer sie dennoch zum Ziel haben, um Malware zu verbreiten oder Daten zu stehlen.
Deshalb ist die Sicherheit von WordPress für alle Websites von entscheidender Bedeutung. Zum Zeitpunkt des Schreibens dieses Artikels gibt es über 50.000 dokumentierte WordPress-Schwachstellen. Dazu gehören über 7.800 bekannte anfällige Plugins und etwa 670 Themes.
Aufgrund der wachsenden Beliebtheit von WordPress und der großen Anzahl neuer Plugins und Themes auf dem Markt nehmen die Sicherheitslücken von Jahr zu Jahr zu.
Wenn Ihre Website gezielt angegriffen wird, verlieren Sie möglicherweise den Zugriff darauf und Ihre Daten können gefährdet sein. Je nachdem, wie schwerwiegend der Verstoß ist, kann die Reparatur Ihrer Website eine Weile dauern, was zu vielen verlorenen Conversions führen kann. Wenn Sie außerdem ein größeres Online-Unternehmen betreiben, kann es zu erheblichen finanziellen Verlusten führen, Opfer einer Cyberkriminalität zu werden.
Die gute Nachricht ist, dass Sie viel tun können, um Ihre WordPress-Website zu schützen. Aber um die Sicherheit zu gewährleisten, müssen Sie proaktiv sein.
Unverzichtbare Tools zum Härten Ihrer WordPress-Site
In diesem Handbuch beziehen wir uns auf verschiedene Sicherheitstools, die Sie verwenden können. Diese helfen Ihnen bei der Umsetzung von Maßnahmen zur Absicherung Ihrer WordPress-Site. Werfen wir einen Blick darauf, was sie sind.
1. Ein Schwachstellenscanner
Ein Schwachstellenscanner ist eine Software, die Ihre Website nach Sicherheitsproblemen durchsucht. Im Fall von WordPress durchsucht ein Scanner die Dateien, Plugins und Themes Ihrer Website, um nach potenziellen Schutzlücken zu suchen, die Angreifer ausnutzen können.
Der Scanner vergleicht die gefundenen Daten mit einer Schwachstellendatenbank wie WPScan. Dies ist die größte Datenbank bekannter WordPress-Sicherheitslücken, die kontinuierlich aktualisiert wird.
Jetpack Protect ist eine Top-Option, wenn es darum geht, Ihre Website auf Schwachstellen zu scannen. Mit dem Plugin können Sie die WPScan-Datenbank nutzen, indem Sie automatische Scans auf Ihrer Website durchführen.
Wenn Jetpack eine Schwachstelle erkennt, benachrichtigt es Sie und zeigt Ihnen, wie Sie das Problem beheben können. In den meisten Fällen erfordert dies das Löschen oder Aktualisieren der anfälligen Plugins oder Themes.
2. Ein Malware-Scanner
Ein Malware-Scanner funktioniert ähnlich wie ein Schwachstellenscanner. In diesem Fall konzentriert sich die Software darauf, infizierte Dateien zu finden und Ihnen dabei zu helfen, sie entweder unter Quarantäne zu stellen oder zu löschen, damit Sie Ihre Website von Malware befreien können.
In den meisten Fällen arbeiten Schwachstellen- und Malware-Scanner Hand in Hand. WPScan kann Ihnen beispielsweise dabei helfen, sowohl Schwachstellen als auch Malware auf Ihrer WordPress-Website zu identifizieren.
Wenn Sie Jetpack verwenden und Zugriff auf den Sicherheitsplan haben (oder Protect auf Premium upgraden), scannt das Plugin Ihre Website auf Malware und Schwachstellen. Wenn auf Ihrer Website ein Fehler festgestellt wird, bietet Ihnen das Plugin Optionen zur Behebung dieser Probleme, oft mit nur ein oder zwei Klicks.
3. Eine Web Application Firewall (WAF)
Sie kennen wahrscheinlich das Konzept einer Firewall. Dabei handelt es sich um ein Programm, das den eingehenden oder ausgehenden Datenverkehr von einem Server oder Computer blockiert.
Eine Web Application Firewall (WAF) funktioniert ähnlich. Es soll Ihnen dabei helfen, eingehenden bösartigen Datenverkehr zu blockieren oder zu verhindern, dass Malware auf Ihrer Website Informationen sendet.
Die meisten WAFs sind mit Regeln dafür vorkonfiguriert, welche Art von Verbindungen blockiert werden sollen. Abhängig von ihren Einstellungen können sie sogar bekannte schädliche IP-Adressen identifizieren.
Jetpack Protect enthält eine WAF mit einfachen Konfigurationseinstellungen. Sie können die WAF so einstellen, dass sie automatische Regeln verwendet, die von Sicherheitsexperten bei Jetpack bereitgestellt und regelmäßig aktualisiert werden. Diese automatischen Regeln dienen dazu, Exploits mit hohem Schweregrad zu blockieren, sodass die WAF-Regel Ihre Website möglicherweise auch dann schützen kann, wenn in einer Erweiterung eine Schwachstelle vorliegt.
Mit dem Plugin können Sie auch bestimmte IP-Adressen auf eine Zulassungs- oder Sperrliste setzen. Dies kann nützlich sein, wenn Sie den Zugriff auf das Dashboard einschränken möchten.
4. Eine Offsite-Backup-Lösung
Backup-Tools erstellen Kopien Ihrer Website und stellen diese bei Bedarf wieder her. Die Idee hinter Backups besteht darin, dass Sie immer über eine aktuelle Kopie Ihrer Website verfügen, falls es zu Fehlfunktionen kommt oder Sie mit einem Sicherheitsproblem konfrontiert werden, das Sie nicht einfach beheben können.
Für zusätzliche Sicherheit wird empfohlen, Backups sowohl auf Ihrer Site als auch außerhalb Ihrer Site zu speichern, für den Fall, dass eine davon ausfällt. Auf diese Weise gehen die Daten Ihrer Website nie wirklich verloren.
Während Sie Ihre Website manuell sichern können, können Sie mit einem speziellen Plugin wie Jetpack VaultPress Backup beruhigt sein und den gesamten Prozess automatisieren.
Dieses Plugin erstellt Echtzeit-Backups Ihrer Website und speichert diese bis zu 30 Tage lang extern. All dies geschieht automatisch, Sie können jedoch auf Wunsch auch Ihre eigenen manuellen Backups erstellen.
Jetpack speichert alle Änderungen, die Sie an Ihrer Website vornehmen, sobald diese vorgenommen werden. Dadurch wird das Risiko eines teilweisen Datenverlusts eliminiert, wenn Sie eine aktuelle Sicherung wiederherstellen müssen. Gehen Sie einfach zum Aktivitätsprotokoll und wählen Sie das Datum und die Uhrzeit für die Wiederherstellung aus. Jetpack beginnt dann sofort mit der Wiederherstellung Ihrer Website (auch wenn diese vollständig offline ist).
Apropos Aktivitätsprotokoll …
5. Ein Aktivitätsprotokoll zur Überwachung von Site-Änderungen
Ein Aktivitätsprotokoll ist ein Tool, das Ihnen eine Aufschlüsselung der Ereignisse auf Ihrer Website liefert. Sie können diese Protokolle verwenden, um verschiedene Arten von Aktivitäten zu überwachen, einschließlich Anmeldungen, Plugin-Installationen, Beitrags-Uploads und sogar Änderungen in der Konfiguration Ihrer Site.
Die Bedeutung eines Aktivitätsprotokolls kann nicht genug betont werden. Wenn Sie mit anderen zusammenarbeiten, um eine Website zu betreiben, erhalten Sie mit diesem Tool Einblick in die Aktivitäten aller anderen.
Sie können ein Aktivitätsprotokoll auch zur Behebung von Problemen verwenden. Wenn Ihr Schwachstellenscanner beispielsweise plötzlich ein Problem mit einem Plugin erkennt, können Sie in den Protokollen nachsehen, wann und von wem das Plugin installiert wurde.
Jetpack beinhaltet ein Aktivitätsprotokoll mit einem kostenlosen WordPress.com-Konto, in dem Sie die letzten 20 Ereignisse auf Ihrer Website sehen können. Mit einer Premium-Lizenz erhalten Sie Zugriff auf Veranstaltungen der letzten 30 Tage
So härten Sie Ihre WordPress-Site in 18 Schritten
Abgesehen von den Tools, die wir im vorherigen Abschnitt behandelt haben, müssen Sie auch Schritte unternehmen, um WordPress zu härten. Hier sind die wichtigsten Sicherheitsmaßnahmen für Ihre Website.
1. Sichern Sie Ihre Website
Backups sind vielleicht der wichtigste Teil einer umfassenden Sicherheitsstrategie. Wenn Ihre Website jederzeit angegriffen oder von Malware infiziert wird, haben Sie immer aktuelle Backups, sodass Sie Ihre Inhalte jederzeit wiederherstellen können.
Idealerweise verwenden Sie ein Plugin, das Backups automatisiert. Dadurch entfällt das Risiko, dass Sie vergessen, ein Backup durchzuführen, nachdem Sie wesentliche Änderungen an Ihrer Website vorgenommen haben.
Wie bereits erwähnt, ist Jetpack VaultPress Backup eine leistungsstarke Backup-Lösung, die einzeln oder in einem qualifizierenden Plan wie Jetpack Security enthalten ist. Es verwendet ein Echtzeit-Backup-System. Dies bedeutet, dass jede Änderung an Ihrer Website gespeichert wird, sodass jede neue Änderung sofort geschützt ist.
Dieses System ist geplanten Backups vorzuziehen. Bei Letzterem besteht die Gefahr eines Datenverlusts, wenn der letzte Wiederherstellungspunkt zu weit zurückliegt. Dies ist kein Problem, wenn Sie VaultPress Backup verwenden.
2. Installieren Sie ein All-in-One-Sicherheits-Plugin
Es stehen viele WordPress-Sicherheits-Plugins zur Auswahl. Einige Tools sind für bestimmte Zwecke konzipiert, z. B. die Aktivierung einer WAF oder der Zwei-Faktor-Authentifizierung (2FA). Andere verfolgen einen ganzheitlicheren Ansatz und kombinieren mehrere Funktionen, um Ihre Website zu schützen.
Die Idee hinter All-in-One-Sicherheits-Plugins besteht darin, die Anzahl der Tools von Drittanbietern, die Sie auf Ihrer Website einrichten müssen, zu minimieren und gleichzeitig Zugriff auf so viele Funktionen wie möglich zu erhalten.
Jetpack bietet eine breite Palette an Sicherheitsfunktionen. Wenn Sie sich für das kostenlose Plugin entscheiden, erhalten Sie Zugriff auf ein Aktivitätsprotokoll, WAF-Funktionalität, eine sichere Authentifizierungsoption und mehr.
Sie können den Umfang der Sicherheitsfunktionen des Plugins erweitern, indem Sie sich für den Jetpack-Sicherheitsplan anmelden. Mit diesem Plan erhalten Sie Zugriff auf eine Backup-Lösung, automatisierte Malware-Scans mit Ein-Klick-Fixes, Spam-Schutz und mehr.
Preislich gesehen bietet Jetpack Security eine der umfassendsten Sicherheitslösungen für WordPress-Benutzer. Und wenn Sie möchten, können Sie jederzeit das kostenlose Plugin verwenden und auf die Premium-Version aktualisieren, sobald Sie damit vertraut sind.
3. Aktualisieren Sie den WordPress-Kern
Das Aktualisieren von WordPress auf die neueste Version ist eines der wichtigsten Dinge, die Sie tun können, um die Sicherheit Ihrer Website zu verbessern. Das liegt daran, dass neuere Versionen in der Regel Sicherheitskorrekturen und Verbesserungen enthalten. Darüber hinaus veröffentlichen die Entwickler der Software häufig Patches, um dringende Schwachstellen zu beheben.
Auch die Verwendung veralteter WordPress-Versionen kann zu Kompatibilitätsproblemen mit Plugins und Themes führen. Dies kann dazu führen, dass wichtige Elemente Ihrer Website nicht mehr funktionieren.
Es ist einfach, WordPress auf dem neuesten Stand zu halten. Wenn Sie auf das Dashboard zugreifen, teilt Ihnen WordPress mit, ob Updates verfügbar sind. Sie können WordPress aktualisieren, indem Sie auf Dashboard → Updates klicken.
Beachten Sie, dass die Aktualisierung von WordPress zu Kompatibilitätsproblemen führen kann, wenn Ihre Plugins oder Themes die neuere Version nicht unterstützen. Um dies zu beheben, sollten Sie vor größeren Updates ein Backup Ihrer Website erstellen.
Wenn Sie VaultPress Backup verwenden, ist dies nicht erforderlich. Das Plugin sichert Ihre Site in Echtzeit, sodass Ihnen vor dem Update ein Wiederherstellungspunkt zur Verfügung steht, falls Sie Ihre Site wiederherstellen müssen.
4. Entfernen Sie nicht verwendete Plugins und Themes
Wenn Ihre Website wächst, benötigen Sie möglicherweise neue Plugins und können sogar zu einem anderen Thema wechseln. Dies kann zu weiteren Schwachstellen auf Ihrer Website führen. Als Faustregel gilt: Es ist ratsam, alle Plugins oder Themes zu entfernen, die Sie nicht mehr benötigen.
Der Vorgang ist einfach.
Gehen Sie im Dashboard zu Ihrer Plugin- oder Themes-Seite. Deaktivieren und löschen Sie dann alle Dateien, die Sie nicht mehr verwenden.
Wenn Sie sich entscheiden, einige dieser Plugins zu einem späteren Zeitpunkt erneut zu installieren, ist das kein Problem. Die Installation und Aktivierung dauert nur wenige Minuten. Möglicherweise müssen Sie ihre Einstellungen jedoch erneut konfigurieren.
5. Aktualisieren Sie alle verbleibenden Plugins und Themes
Nachdem Sie Ihre Liste der Plugins und Themes bereinigt haben, möchten Sie prüfen, ob für die verbleibenden Elemente Ihrer Website Aktualisierungen erforderlich sind. Plugin- und Theme-Updates können im Hinblick auf die Sicherheit genauso wichtig sein wie WordPress-Core-Updates, da sie zu den häufigsten Angriffsvektoren gehören.
WordPress benachrichtigt Sie über alle verfügbaren Plugin- und Theme-Updates, wenn Sie auf das Dashboard zugreifen. Idealerweise aktualisieren Sie die Komponenten Ihrer Site, sobald neue Versionen verfügbar sind.
Sie können dies über die Plugin- und Theme-Seiten im Dashboard tun.
Wenn Sie zu beschäftigt sind, um Ihre Website jeden Tag zu überprüfen, können Sie automatische Updates für jedes Plugin aktivieren. Dies ist eine einfache Maßnahme, aber sie kann das Risiko von Schwachstellen auf Ihrer Website drastisch minimieren.
6. Setzen Sie eine sichere Passwortrichtlinie durch
Sehr oft werden Website-Verstöße nicht durch WordPress-Schwachstellen, sondern durch menschliches Versagen verursacht. Viele Menschen verwenden schwache Anmeldeinformationen, um sich auf ihren Websites anzumelden, was Hackern den Zugriff auf das Dashboard erleichtert.
Der beste Weg, dies zu vermeiden, besteht darin, eine sichere Passwortrichtlinie durchzusetzen. Wenn Sie ein Konto auf Ihrer WordPress-Website registrieren, wird ein sicheres Passwort für Sie generiert.
Wenn Sie Jetpack verwenden, haben Sie außerdem Zugriff auf die Zwei-Faktor-Authentifizierung (2FA), mit der Sie die Anmeldeseite weiter schützen können.
Dies kann sehr nützlich sein, wenn Sie mehrere Benutzer auf Ihrer Website haben (z. B. Autoren und Shop-Manager). Selbst wenn Ihre Benutzer schwache Passwörter verwenden, können Sie Ihre Website mit 2FA vor Angreifern mit Zugriff auf diese Anmeldeinformationen schützen (mehr dazu später).
7. Begrenzen Sie Anmeldeversuche
Wenn sich jemand nicht an seine Anmeldedaten erinnern kann, probiert er im Allgemeinen ein paar andere Anmeldedaten aus und fordert dann eine Passwortzurücksetzung an.
Wenn Sie (anhand der Aktivitätsprotokolle) feststellen, dass eine Person eine große Anzahl von Benutzernamen- und Passwortkombinationen ausprobiert, haben Sie es wahrscheinlich mit einem Angriff zu tun. Aus diesem Grund ist es sinnvoll, die Anzahl der Anmeldeversuche eines Benutzers innerhalb eines bestimmten Zeitraums zu begrenzen.
Dies ist eine Funktion, die in Jetpack verfügbar ist. Das Plugin bietet einen Brute-Force-Schutz, der bekannte bösartige IP-Adressen erkennen und sie daran hindern kann, sich anzumelden.
Der Brute-Force-Schutz ist bei Jetpack standardmäßig aktiv. Sie können die Konfiguration überprüfen, indem Sie zu Jetpack → Einstellungen gehen. Hier können Sie auch erlaubte IP-Adressen hinzufügen, damit Jetpack Sie nicht versehentlich daran hindert, auf die Anmeldeseite zuzugreifen.
8. Verstärken Sie die Anmeldesicherheit mit 2FA
Eine aktuelle Umfrage zeigt, dass über 40 Prozent der Entwickler die Implementierung von 2FA als ihre oberste Priorität betrachten. Diese Maßnahme minimiert das Risiko, dass Angreifer mit gestohlenen Zugangsdaten Zugriff auf Ihre Website erhalten.
Die Zwei-Faktor-Authentifizierung ist eine wichtige Sicherheitsfunktion, da viele Benutzer schwache Passwörter haben oder ihre Anmeldeinformationen auf verschiedenen Websites wiederverwenden. Bei 2FA verlangen Sie von diesen Benutzern, dass sie eine andere Form der Authentifizierung bereitstellen.
Wie bereits erwähnt, ermöglicht Ihnen Jetpack die Verwendung von 2FA für Ihre WordPress-Website. Dafür müssen Benutzer ein WordPress.com-Konto einrichten. Mit diesem Konto können sie sich dann bei anderen WordPress-Websites anmelden, auch bei solchen, die die Open-Source-Version von WordPress verwenden.
2FA ist mit der kostenlosen Version von Jetpack verfügbar. Die Funktion kann ein- oder ausgeschaltet werden, und Sie müssen nicht an erweiterten Einstellungen herumbasteln, um sie zu konfigurieren, da sie auf WordPress.com basiert.
9. Entfernen Sie nicht verwendete Benutzerkonten
Inaktive Benutzerkonten können ein Sicherheitsrisiko für Ihre Website darstellen, insbesondere wenn sie über Berechtigungen auf hoher Ebene verfügen (mehr dazu im nächsten Abschnitt). Diese Konten bieten zusätzliche Möglichkeiten für Sicherheitsverletzungen, da ihre Anmeldeinformationen möglicherweise kompromittiert und im Internet weitergegeben werden.
Aus diesem Grund löschen viele Websites Ihr Konto automatisch, wenn es längere Zeit inaktiv ist (natürlich nach einer Warnung). WordPress gibt Ihnen die volle Kontrolle über Ihre Benutzerliste, was bedeutet, dass Sie Benutzer nach Belieben hinzufügen oder löschen können.
Das Löschen von Benutzern ist ein einfacher Vorgang. Gehen Sie zu Benutzer → Alle Benutzer , Suchen Sie das Konto und wählen Sie die Option „Löschen“ . WordPress wird Sie um eine Bestätigung bitten, aber der Benutzer selbst muss der Löschung des Kontos nicht zustimmen.
Möglicherweise möchten Sie Benutzer kontaktieren, bevor Sie deren Konten löschen. Wenn ein Konto jedoch jahrelang inaktiv war, sollte es wahrscheinlich entfernt werden.
10. Weisen Sie den verbleibenden Benutzern die richtige Rolle zu
Nachdem Sie die Benutzerliste bereinigt haben, sollte Ihr nächster Schritt darin bestehen, die Berechtigungen für die verbleibenden Benutzer zu überprüfen. WordPress verwendet ein einfaches Rollensystem, wobei jede Rolle über einen vorgegebenen Satz an Berechtigungen verfügt.
Die einzige Benutzerrolle mit vollem Zugriff auf alle WordPress-Einstellungen ist der Administrator. Aus Sicherheitsgründen sollte es nur einen Administrator geben. Zu den weiteren WordPress-Rollen gehören Autoren, Redakteure, Mitwirkende und Abonnenten.
Einige Plugins fügen auch neue Benutzerrollen mit aktualisierten Berechtigungen hinzu.
Jede Rolle verfügt über Berechtigungen, die es Benutzern ermöglichen, bestimmte Aufgaben auszuführen. Autoren können beispielsweise ihre eigenen Beiträge veröffentlichen und bearbeiten, nicht jedoch die von anderen Benutzern erstellten.
Im Idealfall sollte kein Benutzer eine Rolle haben, die ihm mehr Berechtigungen gewährt, als er benötigt. Die Zuweisung falscher Rollen kann zu Sicherheitsproblemen führen, da Benutzer möglicherweise WordPress-Einstellungen ändern, die sie nicht ändern sollten.
Es ist wichtig, die Benutzerliste regelmäßig zu überprüfen, um sicherzustellen, dass jedem die richtigen Rollen zugewiesen sind. Diese einfache Vorgehensweise hilft Ihnen, Sicherheitsprobleme zu minimieren, die durch Teammitglieder mit falschen Berechtigungen verursacht werden.
11. Benennen Sie das Standardkonto „admin“ um
Das WordPress-Administratorkonto ist das Kronjuwel für Angreifer. Wenn sie Zugriff darauf erhalten, können sie auf Ihrer Website alles tun, was sie wollen, einschließlich Daten stehlen und Malware einschleusen.
Standardmäßig verwendet WordPress den Admin- Benutzernamen für das Administratorkonto. Sie können dies während der Kontoerstellung ändern, danach jedoch nicht mehr.
Wenn Sie den Admin- Benutzernamen verwenden, ist das für die meisten Angreifer leicht zu erraten, was bedeutet, dass sie nur Ihr Passwort erfahren müssen. WordPress ermöglicht es Ihnen nicht, bestehende Benutzernamen zu ändern, auch nicht als Administrator.
Um dies zu umgehen, können Sie ein neues Administratorkonto mit einem stärkeren Benutzernamen erstellen und dann das erste löschen. Beachten Sie, dass Sie dies nur tun können, wenn Sie der Administrator sind.
12. Ändern Sie das Standarddatenbankpräfix
Standardmäßig verwendet WordPress das Präfix wp_ für Site-Datenbanken. Dadurch ist es relativ einfach, den Datenbanknamen zu erraten, was wiederum Angreifern dabei helfen kann, eine Verbindung zu ihr herzustellen.
Sie können das Risiko verringern, dass automatisierte SQL-Injection-Tools die Datenbank identifizieren, indem Sie dieses Präfix ändern. Idealerweise tun Sie dies während des Einrichtungsvorgangs. Der WordPress-Setup-Assistent fragt Sie, welches Datenbankpräfix Sie verwenden möchten, bevor Sie Ihre Website einrichten.
Wenn Ihre Site bereits online ist, müssen Sie die Datei wp-config.php ändern, um das Datenbankpräfix zu ändern. Stellen Sie über das Dateiübertragungsprotokoll (FTP) eine Verbindung zur Website her und suchen Sie im WordPress- Stammverzeichnis nach der Datei wp-config.php .
Bearbeiten Sie die Datei und suchen Sie nach der Zeile mit der Aufschrift $table_prefix = 'wp_';. Fahren Sie fort und ersetzen Sie den wp_- Wert durch das Präfix, das Sie verwenden möchten. Ihr FTP-Client sollte die Änderungen hochladen, wenn Sie die Datei speichern und schließen.
Greifen Sie nun mit phpMyAdmin auf die Datenbank zu. Wählen Sie Ihre Datenbank aus und verwenden Sie SQL Klicken Sie oben auf dem Bildschirm auf die Registerkarte, um die folgende Abfrage für jede Tabelle in der Datenbank auszuführen:
RENAME table wp_xxxx TO otherprefix_xxxx;
So sollte diese Abfrage im wirklichen Leben aussehen:
Da es sich hierbei um einen äußerst sensiblen Vorgang handelt, sollten Sie sicherstellen, dass Sie über eine vollständige Sicherung der Site (einschließlich der Datenbank) verfügen, bevor Sie versuchen, Präfixe zu ändern.
Stellen Sie nach Abschluss des Vorgangs sicher, dass Ihre Website ordnungsgemäß funktioniert. Wenn Fehler auftreten, haben Sie möglicherweise vergessen, eine der Datenbanktabellen umzubenennen, oder die falsche Abfrage ausgeführt.
Wir bewachen Ihre Website. Sie leiten Ihr Unternehmen.
Jetpack Security bietet benutzerfreundliche, umfassende WordPress-Site-Sicherheit, einschließlich Echtzeit-Backups, einer Webanwendungs-Firewall, Malware-Scans und Spam-Schutz.
Sichern Sie Ihre Website13. Verstecken Sie /wp-admin und /wp-login.php
Sie kennen wahrscheinlich beide URL-Suffixe. Sie werden verwendet, um sich bei WordPress anzumelden und auf das Dashboard zuzugreifen. Sie sind leicht zu merken, können Hackern jedoch den Zugriff auf Ihre Website erleichtern.
Aus Sicherheitsgründen ist es sinnvoller, für beide URLs ein unterschiedliches Suffix zu verwenden. Um zu beginnen, können Sie sich dieses Tutorial zum Ändern der WordPress-Anmelde-URL ansehen. Dazu gehören Anweisungen zum manuellen Ändern von wp-login und wp-admin.php sowie mithilfe von Plugins.
14. Installieren Sie ein SSL-Zertifikat zur Datenverschlüsselung
Heutzutage gibt es für Websites keinen Grund, keine SSL-Zertifikate (Secure Sockets Layer) zu verwenden. Diese Zertifikate bestätigen die Legitimität Ihrer Website und ermöglichen Ihnen die Verwendung des HTTPS-Protokolls zum Senden und Empfangen verschlüsselter Daten.
Einige Browser warnen Benutzer, wenn ihre Verbindung zu einer Website nicht sicher ist oder wenn sie über ein ungültiges oder abgelaufenes SSL-Zertifikat verfügt.
Sie können dieser Anleitung folgen, um ein kostenloses SSL-Zertifikat für Ihre Website zu erhalten und es zu installieren. Sie können auch einen der von Jetpack empfohlenen Webhosts verwenden, die alle kostenlose SSL-Zertifikate mit automatischer Einrichtung anbieten.
15. Beschränken Sie den FTP-Zugriff nach IP-Adresse
Standardmäßig kann jeder, der Zugriff auf die FTP-Anmeldeinformationen Ihrer Website hat, über dieses Protokoll eine Verbindung zu dieser herstellen. Das bedeutet, dass Angreifer, sollten sie an Ihre Anmeldedaten gelangen, fast jeden Aspekt Ihrer Website ändern können.
Einige Webhoster bieten Ihnen erweiterte FTP-Sicherheitsmaßnahmen, wie z. B. die Beschränkung des Zugriffs nach IP-Adresse. Dadurch können Sie auswählen, welche Adressen über FTP eine Verbindung zu Ihrer Website herstellen können.
Nur der Administrator und andere Teammitglieder, die Zugriff per FTP benötigen, sollten über die erforderlichen Berechtigungen verfügen. Dies kann dazu beitragen, Sicherheitsvorfälle zu minimieren und Ihnen dabei zu helfen, herauszufinden, wer Änderungen an wichtigen Dateien vorgenommen hat, wenn Probleme mit WordPress auftreten.
Idealerweise verwenden Sie überhaupt kein FTP und wählen stattdessen SFTP oder SSH für den Zugriff auf Ihren Server.
Dieser Vorgang variiert je nach Webhost. Wenn Sie nicht sicher sind, ob Ihr Hosting-Anbieter es Ihnen ermöglicht, den FTP-Zugriff anhand der IP-Adresse einzuschränken, können Sie dessen Dokumentation überprüfen.
16. Sichere Datei- und Verzeichnisberechtigungen
UNIX-basierte Systeme verwenden Berechtigungsregeln basierend auf Zahlensätzen. Einzelne Dateien und Verzeichnisse können über unterschiedliche Berechtigungssätze verfügen, die regeln, wer auf sie zugreifen, sie bearbeiten und ausführen kann.
Weitere Informationen zur Funktionsweise von UNIX-Berechtigungen finden Sie im WordPress-Entwicklerhandbuch.
Zunächst ist es wichtig zu beachten, dass es ideale Berechtigungsstufen für WordPress-Websites und deren Dateisysteme gibt.
Diese sind:
- 644 oder 640 für Dateien. Der erste Zahlensatz gewährt dem Eigentümer vollständigen Lese- und Schreibzugriff auf die Datei, während andere Benutzer in der Gruppe nur Lesezugriff haben. Der zweite Satz von Berechtigungen bietet Benutzern keinen Lesezugriff.
- 755 oder 750 für Verzeichnisse. Dieser Satz von Berechtigungen funktioniert auf die gleiche Weise wie das letzte Beispiel, jedoch mit Verzeichnissen. 755 gewährt dem Eigentümer vollständigen Lese- und Schreibzugriff, während andere Mitglieder der Gruppe Lesezugriff haben.
Sie können die Dateiberechtigungen für Ihr WordPress-Dateisystem per FTP ändern. Klicken Sie dazu mit der rechten Maustaste auf eine Datei oder ein Verzeichnis und wählen Sie die Option Dateiberechtigungen (dies kann je nach verwendetem FTP-Client variieren).
Bei einigen FTP-Clients können Sie Dateiberechtigungen festlegen, indem Sie bestimmte Kontrollkästchen aktivieren und das Zahlensystem verwenden. Sie können frei wählen, welche Option Sie bevorzugen.
17. Dateibearbeitung verbieten
WordPress enthält standardmäßig Theme- und Plugin-Dateieditoren, obwohl einige Webhoster diese standardmäßig deaktivieren. Dabei handelt es sich um einfache Texteditoren, die Sie über das Dashboard verwenden können, um Änderungen am Code für die Plugins und Themes auf Ihrer Website vorzunehmen.
Das Aktivieren der Dateibearbeitung über das Dashboard stellt ein Sicherheitsrisiko dar. Dies bedeutet, dass Angreifer, wenn sie Zugriff auf das Dashboard erhalten, den Code der Site direkt ändern können, ohne FTP-Anmeldeinformationen oder Zugriff auf das Hosting-Panel zu benötigen.
Wenn Ihr Webhost Ihnen die Dateibearbeitung in WordPress ermöglicht, können Sie diese Option manuell deaktivieren, indem Sie die Datei wp-config.php ändern. Öffnen Sie die Datei und fügen Sie die folgende Codezeile am Ende vor der Zeile mit der Aufschrift /* hinzu. Das ist alles, hören Sie mit der Bearbeitung auf! Viel Spaß beim Bloggen. */ :
define('DISALLOW_FILE_EDIT', true);
Stellen Sie sicher, dass der Wert auf „true“ gesetzt ist, speichern Sie dann die Änderungen in wp-config.php und schließen Sie es. Wenn Sie jetzt das Dashboard überprüfen, sollten die Theme- und Plugin-Editoren dort nicht mehr auftauchen.
18. Sichern Sie Ihre wp-config.php- Datei
Wie Sie in diesem WordPress-Härtungsleitfaden gesehen haben, ist die Datei wp-config.php aus Sicherheitsgründen von entscheidender Bedeutung. Sie können den Code der Datei ändern, um den Schutz Ihrer Website zu erhöhen. Daher ist es wichtig, dass niemand anderes Zugriff darauf hat.
Wir haben bereits nach einer Möglichkeit gesucht, Ihre Datei wp-config.php vor unbefugtem Zugriff zu schützen. Dabei geht es vor allem darum, die Personen einzuschränken, die über FTP eine Verbindung zu Ihrer Website herstellen können. Idealerweise verfügen Sie nur über eine oder eine begrenzte Anzahl von IP-Adressen, die für die Verbindung über FTP autorisiert sind, um das Risiko zu verringern.
Die zweite Sicherheitsmaßnahme, die Sie ergreifen können, besteht darin, sicherzustellen, dass die richtigen Dateiberechtigungen vorhanden sind. Während die empfohlenen Berechtigungsstufen für andere Dateien entweder 644 oder 640 sind, sollte die Datei wp-config.php entweder auf 440 oder 400 eingestellt werden. Diese Berechtigungsstufen bedeuten, dass andere Benutzer außer dem Administrator nicht einmal Lesezugriff erhalten können zur Datei.
Die Bedeutung von Backups für die Notfallwiederherstellung
Die Automatisierung von Backups ist möglicherweise die wichtigste Sicherheitsmaßnahme. Mit einem aktuellen externen Backup können Sie Ihre Website jederzeit wiederherstellen, falls etwas schief geht.
Wenn Sie VaultPress Backup verwenden, müssen Sie sich nicht um die manuelle Erstellung von Backups kümmern. Sie können die verfügbaren Backups überprüfen, indem Sie zu Jetpack → VaultPress Backup gehen und auf klicken Sehen Sie sich Ihre Backups in der Cloud- Schaltfläche an.
Dadurch werden Ihnen alle verfügbaren Backups angezeigt und Sie haben die Möglichkeit, jedes davon mit einem einzigen Klick wiederherzustellen. VaultPress Backup erstellt jedes Mal, wenn Sie Änderungen daran vornehmen, Echtzeitkopien Ihrer Website, sodass Sie immer über aktuelle Backups verfügen.
Wie Jetpack Security mit Backups umgeht, damit Sie beruhigt sein können
Schauen wir uns genauer an, wie Jetpack Security mit Backups umgeht. Beachten Sie, dass die folgenden Funktionen nur mit Premium-Plänen wie Jetpack Security, Jetpack Complete oder VaultPress Backup verfügbar sind.
1. Echtzeit-Backups
Bei den meisten Backup-Lösungen müssen Sie Backups entweder manuell erstellen oder diese nach einem Zeitplan für Sie erstellen. Beispielsweise haben Sie möglicherweise die Möglichkeit, tägliche, wöchentliche oder monatliche Backups zu erstellen.
Tägliche Backups sind ein guter Anfang, aber selbst dann besteht das Risiko, dass wichtige Daten verloren gehen, wenn Sie Ihre Website wiederherstellen müssen. Wenn Sie nach dieser täglichen Sicherung und vor der nächsten Änderungen an der Site vorgenommen haben, müssen Sie diese erneut implementieren.
VaultPress Backup löst dieses Problem, indem es in Echtzeit Kopien Ihrer Website erstellt. Wenn Sie Änderungen vornehmen, sichert das Plugin die Daten und es steht Ihnen ein neuer Wiederherstellungspunkt zur Verfügung. Das bedeutet, dass Sie kein Risiko eines Datenverlusts eingehen.
2. Extrem sichere Offsite-Speicherung
Bei den meisten Backup-Lösungen kann die Speicherung ein Problem darstellen. Sie können Kopien Ihrer Site auf dem Server, lokal oder sogar über Cloud-Speicher speichern. Aus Sicherheitsgründen sind Offsite-Lösungen besser, da Sie bei einem Serverausfall weiterhin darauf zugreifen können.
VaultPress Backup bietet eine eigene Offsite-Speicherlösung. Sie müssen das Plugin nicht für die Zusammenarbeit mit Cloud-Speicheranbietern konfigurieren, da Sie Zugriff auf den Jetpack-Speicher erhalten.
Das Plugin speichert die Backups der letzten 30 Tage automatisch extern. Sie können jederzeit eines dieser Backups auswählen und wiederherstellen.
3. Wiederherstellungen mit einem Klick
Mit VaultPress Backup können Sie Ihre Website ganz einfach wiederherstellen. Sie müssen lediglich das Backup auswählen, das Sie wiederherstellen möchten, und Ihre Auswahl bestätigen. Den Rest erledigt das Plugin.
Wenn Sie erneut auf Ihre Website zugreifen, sehen Sie die Version, die Sie mit VaultPress Backup wiederhergestellt haben. Von diesem Zeitpunkt an können Sie weiterhin Änderungen an der Site vornehmen.
Häufig gestellte Fragen
Wenn Sie noch Fragen zum Schutz Ihrer WordPress-Website oder VaultPress Backup haben, finden Sie in diesem Abschnitt Antworten darauf.
Was ist WordPress-Hardening und warum ist es wichtig?
Unter „Härten von WordPress“ versteht man den Prozess zur Erhöhung der Sicherheit Ihrer Website. Dadurch wird es für Angreifer schwieriger, auf die Website zuzugreifen.
Was sind die häufigsten Bedrohungen für WordPress-Sites?
Die meisten WordPress-Schwachstellen entstehen durch veraltete Plugins, Themes und den WordPress-Kern. Veraltete Software weist mit größerer Wahrscheinlichkeit Schwachstellen auf, die Angreifer ausnutzen können, um auf Ihre Website zuzugreifen oder die Kontrolle über sie zu erlangen.
Wie kann ich meine WordPress-Site auf Sicherheitslücken überwachen?
Der einfachste Weg, Ihre Website auf Schwachstellen zu überwachen, ist die Verwendung eines Sicherheitsscanners. Jetpack Security nutzt WPScan, um Ihre Website auf bekannte WordPress-Schwachstellen zu überprüfen.
Darüber hinaus kann Ihnen Jetpack dabei helfen, alle Sicherheitsprobleme zu beheben, die das Plugin bei Scans findet.
Worauf sollte ich bei einem WordPress-Sicherheits-Plugin achten?
Die besten WordPress-Sicherheits-Plugins bieten eine Reihe von Funktionen, die zum Schutz Ihrer Website beitragen und gleichzeitig den Bedarf an anderen Tools von Drittanbietern minimieren. Sie können Jetpack mit dem Jetpack-Sicherheitsplan verwenden, um Zugriff auf Funktionen wie Echtzeit-Backups, eine WAF, Spam-Schutz, 2FA-Implementierung und mehr zu erhalten.
Wie viele Websites vertrauen Jetpack hinsichtlich ihrer Website-Sicherheit?
Jetpack ist aufgrund seiner zahlreichen Sicherheits- und Leistungsoptimierungsfunktionen eines der beliebtesten WordPress-Plugins auf dem Markt. Über fünf Millionen Websites verwenden Jetpack, daher ist es eine gute Wahl sowohl für neue als auch für erfahrene WordPress-Benutzer.
Kann Jetpack Security auch bei Spam-Kommentaren und Formularübermittlungen helfen?
Jetpack Security umfasst Spam-Schutzfunktionen, die Spam-Kommentare basierend auf fortschrittlichen Algorithmen und Daten automatisch blockieren oder filtern. Sie können auch markierte Kommentare überprüfen, um sicherzustellen, dass keine Fehlalarme vorliegen.
Wo kann ich mehr über Jetpack Security erfahren?
Wenn Sie mehr über Jetpack Security erfahren möchten, können Sie die Homepage des Plans besuchen. Dort finden Sie weitere Informationen zu den Funktionen und können sich für einen Plan anmelden.
Schützen Sie Ihre Website mit Jetpack Security
Es gibt viele Möglichkeiten, Ihre WordPress-Website zu härten. Einige davon umfassen die Implementierung von Sicherheitsmaßnahmen wie das Ändern der Standard-Anmelde- und Dashboard-URLs, das Sichern Ihrer wp-config.php- Datei und mehr. In den meisten Fällen ist die Verwendung eines All-in-one-Sicherheits-Plugins jedoch die wirksamste Maßnahme zum Schutz Ihrer Website.
Jetpack Security ist eine leistungsstarke Lösung. Es ermöglicht Ihnen, Ihre Anmeldeseite zu schützen und Ihre Website gegen DDOS -Angriffe zu verteidigen. Es bietet auch Echtzeit-Backups, Spamschutz und vieles mehr.
Wenn Sie sich nicht sicher sind, wo Sie anfangen sollen, wenn es darum geht, WordPress zu härten, sehen Sie sich Jetpack Security an. Sie können sich für einen Plan anmelden und Ihre Website sofort schützen!