22 Tipps, um zu verhindern, dass Ihr Wordpress-Blog gehackt wird

So vermeiden Sie, dass Ihre WordPress-Website gehackt wird

Unabhängig davon, ob Sie jetzt Sicherheitsmaßnahmen auf Ihrer Website oder Ihrem Blog verwenden oder nicht, Tatsache ist…

Vernünftige Blogger nehmen die Website-Sicherheit ernst und tun alles, um zu verhindern, dass ihr WordPress-Blog gehackt wird.

Online-Sicherheit ist ein sehr reales Problem.

Viele Leute vergessen, Plugins zu aktualisieren und verwenden nicht die neueste Version von WordPress. Wenn Sie dies nicht tun, kann dies eine Katastrophe bedeuten, wenn Sie keine Schritte unternommen haben, um zu verhindern, dass Ihr Blog gehackt wird.

Der Verlust des Inhalts Ihres Blogs oder Ihrer Website kann ein Unternehmen, den Ruf oder einfach die Online-Präsenz zerstören, die Sie zu vergrößern versucht haben. Stellen Sie sich vor, Sie hätten einen Blog mit Hunderten von Beiträgen, Kommentaren und sogar Affiliate-Links, nur um am nächsten Tag festzustellen, dass er zerstört wurde! Kein schönes Gefühl. Es gibt jedoch Möglichkeiten, die Sicherheit Ihrer Website stärker als besser zu machen.

Sie können Plugins hinzufügen, das Framework Ihres Blogs aktualisieren, im Grunde gibt es viele Möglichkeiten, Ihr Blog oder Ihre Website sicher zu machen. Um Ihnen zu helfen, habe ich diesen kurzen, aber informativen Artikel geschrieben. Ich hoffe es hilft einigen von euch weiter.

Dieser Beitrag wurde natürlich von mir selbst zusammengestellt, aber auch von meinem genialen Blogger-Freund Julius, der And Break leitet! In seinem Blog findest du meine tollen Tipps.

So verhindern Sie, dass Ihre WordPress-Site gehackt wird

Sichern Sie Ihr Blog

Bevor Sie Änderungen an Ihrem Blog vornehmen, sollten Sie Ihr Blog unbedingt sichern. Das Problem bei den meisten kostenlosen Plugins ist, dass sie nicht alle Ihre Daten sichern. Wenn beispielsweise Ihr WordPress-Blog gelöscht wird und Sie das Backup von einem kostenlosen Plugin wiederherstellen, haben Sie dennoch viele Ihrer Daten wie die Bilder verloren, da sie mit diesen Plugins nicht gesichert werden. Aus diesem Grund würde ich die Verwendung von Backup Buddy empfehlen, das Ihren gesamten WordPress-Blog sichert und zu einem späteren Zeitpunkt problemlos wiederherstellen kann.

Wenn Sie Bedenken haben, ob Ihr Blog gehackt werden könnte, werfen Sie unbedingt einen Blick auf Backup Buddy.

Verwenden Sie sichere Passwörter

Starke Passwörter sind für hochprivilegierte Benutzer wie Administratoren unerlässlich. Ohne sie ist Ihr Blog anfällig für Brute-Force-Angriffe. Im Wesentlichen sind dies Angriffe, bei denen der Angreifer versucht, das Passwort zu erraten, indem er viele Passwörter – Benutzerkombinationen durchgeht. Wenn Sie sichere Passwörter verwenden, werden die Chancen für erfolgreiche Brute-Force-Angriffe extrem gering.

Hier sind einige Tipps, was sichere Passwörter beinhalten sollten:

• Verwenden Sie mindestens 1-2 Zahlen Verwenden Sie Groß- und Kleinbuchstaben
• Verwenden Sie Sonderzeichen wie !@#…

Sie sollten auch keine Passwörter wie Ihr Geburtsdatum oder Ihre Hobbies verwenden. Diese Art von Passwörtern ist sehr unsicher, da Hacker persönliche Informationen leicht finden können.

Ein weiterer wichtiger Schritt, den Sie unternehmen müssen, ist, viele verschiedene Passwörter zu haben. Es ist schön, nur ein einziges Passwort zu haben und damit auf alles zuzugreifen, aber stellen Sie sich vor, was passiert, wenn jemand dieses Passwort kennt. Er kann grundsätzlich auf alle Ihre Konten zugreifen.

Verwenden Sie deshalb viele verschiedene Passwörter.

Bleiben Sie mit Patches und Updates auf dem Laufenden

Dies ist ein weiterer wichtiger Schritt zur Sicherung Ihres Blogs. Patches und Updates werden erstellt, um Sicherheitslücken zu beheben und die Funktionalität der Software zu erweitern. Es gibt keinen Grund, sie nicht zu installieren.

Grundsätzlich solltest du dich auch über Änderungen in WordPress und Schwachstellen im Allgemeinen auf dem Laufenden halten. Ich rate Ihnen daher, diesen beiden Feeds zu folgen:

• WordPress-Entwicklung
• BlogSecurity.net

Der erste ist der WordPress-Entwicklungsfeed, in dem neue Versionen und die neuesten Updates für WordPress veröffentlicht werden. Der andere ist der Feed von BlogSecurity.net. Diese Leute posten oft Schwachstellen, die in WordPress-Plugins oder in WordPress selbst vorhanden sind.

Verwenden Sie SSH statt FTP

FTP ist im Allgemeinen nicht so sicher, wie die Leute denken. Ihre FTP-Anmeldeinformationen sind normalerweise nicht verschlüsselt und leicht zu erfassen.

Eine sehr sichere Alternative zu FTP ist SSH. SSH verwendet einen unkomplizierten Algorithmus, um alle gesendeten Daten, einschließlich Dateien, zu verschlüsseln. Lesen Sie diese Geschichte und vielleicht ändern Sie Ihre Meinung über die Verwendung von FTP zum Hochladen!

Verwenden Sie unterstützte WordPress-Designs

Die meisten Leute denken, dass WordPress-Themes selbst kein Sicherheitsrisiko darstellen, aber einige tun es. Themes können ein Sicherheitsrisiko darstellen, da nicht jeder Webentwickler weiß, wie man sicheren Code schreibt.

Aus diesem Grund ist es gut, bei einem Thema zu bleiben, das von Zeit zu Zeit unterstützt und aktualisiert wird. Unterstützte WordPress-Themes sind im Allgemeinen für etwas Geld erhältlich, aber Vorsicht ist besser als Nachsicht. Diese kostenpflichtigen Themen werden als Premium-Themen bezeichnet. Solche Themes werden von Webseiten wie Woo Themes oder Thesis angeboten.

Ein weiterer Vorteil professioneller Vorlagen besteht darin, dass Sie bei Problemen eine Anlaufstelle haben, an die Sie sich wenden können.

Plugins nach dem Download auf Viren scannen

Heute können Sie Plugins so einfach herunterladen und innerhalb von Sekunden in Ihrem Blog installieren. Aber Sie müssen vorsichtig sein, welche Art von Erweiterungen Sie herunterladen. Plugins können bösartigen Code enthalten. Aus diesem Grund ist es sinnvoll, direkt nach dem Herunterladen nach Malware zu suchen.

Dies ist insbesondere bei Plugins erforderlich, die Sie an anderen Stellen als dem WordPress-Plugin-Verzeichnis heruntergeladen haben.

Verwenden Sie für diese Aufgabe am besten eine Antivirensoftware. Neuere Betriebssysteme suchen nach dem Herunterladen von Dateien automatisch nach Viren. Wenn Sie ein altes Betriebssystem verwenden, würde ich empfehlen, Ihr Download-Verzeichnis vielleicht einmal pro Woche oder direkt nach dem Herunterladen neuer Dateien zu scannen.

Ändern Sie das Präfix der Datenbanktabelle

Um Ihre Datenbank sicherer zu machen, sollten Sie Ihr Datenbanktabellenpräfix ändern. Das Standardpräfix ist wp_ und sollte in etwas anderes geändert werden, etwas komplizierteres und schwerer zu erratendes wie 5rt30k_ .

Hier ist WP Security Scan nützlich, da es dies für Sie erledigt. Sie sollten das Plugin WP Security trotzdem installieren, da es Ihnen potenzielle Sicherheitsrisiken in Ihrem Blog aufzeigt.

Beschränken Sie den Zugriff auf das Wp-Content-Verzeichnis

Wp-content ist ein wichtiges Wordpress-Verzeichnis. Benutzer sollten innerhalb dieses Verzeichnisses nur auf bestimmte Dateitypen zugreifen können. Zu diesen Dateitypen gehören Bilder ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) und XML ( .xml ).

Daher ist es sinnvoll, den Zugriff auf alle anderen Arten von Daten zu untersagen. Der folgende Code ermöglicht den Zugriff auf Bilder, Javascript-, CSS- und XML-Dateien, jedoch keinen Zugriff auf andere Daten. Der folgende Code sollte in die .htaccess -Datei im wp-content- Ordner eingefügt werden.

Befehl verweigern, zulassen
Abgelehnt von allen
<Dateien ~ „.(xml|css|jpe?g|png|gif|js)$“>
Von allen zulassen
</Dateien>

Das ist alles, was Sie tun müssen.

Sichere wp-config.php

Wp-config.php ist eine sehr wichtige Datei, da sie alle Zugangsinformationen und Schlüssel enthält, die für die Sicherung Ihres Blogs unerlässlich sind. Wir können die Datei sichern, indem wir diese Zeilen zur .htaccess -Datei im WordPress-Stammverzeichnis hinzufügen (wo sich die wp-config- Datei befindet):

# wp-config.php schützen
<Dateien wp-config.php>
Befehl verweigern, zulassen
Abgelehnt von allen
</Dateien>

Dieser Code verweigert jedem den Zugriff auf die Datei wp-config.php .

Keine Verzeichnissuche

Eine weitere wichtige Änderung in Bezug auf die WordPress-Sicherheit besteht darin, Personen das Durchsuchen der Verzeichnisstruktur Ihrer Website zu verbieten. Wenn Sie sehen möchten, wie das aussieht, geben Sie einfach „Index von“ in Google ein und Google listet alle Websites auf, die das Durchsuchen von Verzeichnissen ermöglichen.

Um dieses Verhalten zu stoppen, müssen Sie lediglich die Codezeile von unten in Ihre .htaccess -Datei im Stammverzeichnis von WordPress einfügen.

Optionen Alle -Indizes

Dadurch wird das Verhalten ein für alle Mal gestoppt.

Verhindern Sie, dass Suchmaschinen den Admin-Bereich indizieren

Suchmaschinen-Crawler indexieren fast jeden Inhalt, solange ihnen gesagt wird, dies nicht zu tun. Die Indizierung Ihres Admin-Bereichs in Suchmaschinen kann eine große Sicherheitsbedrohung darstellen.

Daher ist es gut, Crawler einfach von allen WordPress-Verzeichnissen fernzuhalten. Der einfachste Weg, dies zu tun, besteht darin, eine robots.txt -Datei in Ihrem Stammverzeichnis zu erstellen. Fügen Sie dann den folgenden Code in die Datei ein:

Nicht zulassen: /wp-*

Sichern Sie Ihr Plugin-Verzeichnis

Die von Ihnen verwendeten Plugins können einem böswilligen Benutzer viel über Ihre Website verraten, daher ist es ratsam, sie zu verbergen.

Sie können die Plugins einfach ausblenden. Öffnen Sie zunächst einen Texteditor und erstellen Sie einfach eine leere Datei namens index.html . Dann lade diese Datei in dein Verzeichnis wp-content/plugins/ hoch.

Löschen Sie das Standard -Admin- Konto

Durch das Löschen des Admin- Kontos kommen böswillige Benutzer nicht so leicht an Ihren Benutzernamen. Da jede WordPress-Installation mit einem Administratorkonto geliefert wird, haben Hacker es leichter, in Ihr Konto einzudringen, da sie den Benutzernamen bereits kennen.

Sie können Ihr Administratorkonto nicht sofort löschen, wenn Sie kein neues Administratorkonto haben, gehen Sie also folgendermaßen vor:

1. Erstellen Sie ein neues Administratorkonto (mit einem Benutzernamen, der schwerer zu erraten ist)
2. Ausloggen
3. Melden Sie sich mit dem neuen Administratorkonto und Kennwort an
4. Löschen Sie das alte Konto

Ändern Sie die Standardzugriffsrechte für Benutzer

Die Standardzugriffsrechte sind ziemlich sicher, aber wenn Sie auf der sicheren Seite sein und mehr Kontrolle über die Rechte haben möchten, die jeder Benutzer in Ihrem Blog hat, dann ist dies unerlässlich.

Es ist ziemlich einfach, es einzurichten. Alles was du tun musst, ist:

1. Laden Sie das Role Manager-Plug-in herunter
2. Laden Sie es in Ihren WordPress-Blog hoch
3. Aktivieren Sie es

Gehen Sie dann zum Benutzerbereich Ihres Blogs. Dort können Sie das Role Manager Plugin nach Ihren Bedürfnissen einrichten.

Löschen Sie inaktive Benutzerkonten

Inaktive Benutzerkonten sind ärgerlich und zudem ein Sicherheitsrisiko. Einige Leute wählen schwache Passwörter, wenn sie sich für Ihren Blog anmelden. Wenn das Konto inaktiv ist, sich aber noch in Ihrem Blog befindet, könnten böswillige Benutzer dieses Konto verwenden, um Zugriff auf Ihr Blog zu erhalten.

Daher ist es am besten, inaktive Benutzerkonten in WordPress einfach zu löschen (obwohl Sie sicherstellen müssen, dass nichts kaputt geht). Gehen Sie dazu zu Ihrem WordPress-Dashboard und klicken Sie auf Benutzer . Dadurch gelangen Sie auf die Seite, auf der alle Benutzer aufgelistet werden.

Dann fahren Sie fort und löschen Sie diejenigen, von denen Sie wissen, dass sie inaktiv sind.

Füge WordPress-Authentifizierungsschlüssel zu wp-config.php hinzu

Das Hinzufügen von WordPress-Schlüsseln ist eine weitere wichtige Sicherheitsmaßnahme. Diese Schlüssel sollten zufällig sein und als Salze für WordPress-Cookies fungieren, wodurch eine bessere Verschlüsselung der Benutzerdaten sichergestellt wird.

Verwenden Sie den Wordpress Key Generator, um diese Schlüssel zu generieren, und ersetzen Sie einfach in der Datei wp-config.php die folgenden Zeilen durch die generierten:

define('AUTH_KEY', 'setzen Sie hier Ihren eindeutigen Ausdruck ein');
define('SECURE_AUTH_KEY', 'geben Sie hier Ihren eindeutigen Satz ein');
define('LOGGED_IN_KEY', 'geben Sie hier Ihren eindeutigen Satz ein');
define('NONCE_KEY', 'setzen Sie hier Ihren eindeutigen Satz ein');

Das ist eigentlich alles, was Sie tun müssen.

Verhindern Sie, dass das WordPress-Blog gehackt wird – Installieren Sie eine WordPress-Firewall

Es gibt ein Plugin namens WordPress Firewall 2, das Ihren Blog tatsächlich vor böswilligen Hackern schützt. Es warnt Sie, wenn jemand versucht, Ihren Blog zu hacken. Es wird natürlich auch den Versuch des Hackers blockieren.

Das Problem mit diesem Plugin ist, dass es seine Arbeit zu gut macht. Das bedeutet, dass es Sie normalerweise auch daran hindert, Änderungen an Ihrem Blog vorzunehmen. Wenn Sie Ihre WordPress-Designdatei bearbeiten und dann auf Speichern klicken, wird das Firewall-Plugin sie blockieren. Dies ist mir auch passiert, als ich das Smush.it-Plugin manuell verwendet habe.

Das ist extrem ärgerlich, aber zumindest zeigt es Ihnen, dass das Plugin tatsächlich funktioniert. Das Einzige, was Sie tun können, wenn Sie solche Dateien bearbeiten möchten, ist, das Plugin zu deaktivieren und später wieder zu aktivieren.

Löschen Sie die Wordpress-Versionszeichenfolge

<meta content=”Wordpress 2.5″ />

Die Versionszeichenfolge, die WordPress automatisch zu Ihrem Design hinzufügt, ist wichtig, da sie einem böswilligen Benutzer Informationen darüber gibt, ob ein Blog gepatcht ist oder nicht. Wenn es sich um eine veraltete Version handelt, wird der Angreifer sofort damit beginnen, nach Sicherheitslücken zu suchen, die über diese bestimmte WordPress-Version veröffentlicht wurden.

WordPress fügt diesen Versionsstring normalerweise automatisch zu deinem Theme hinzu. Die folgende Codezeile weist WordPress an, die Versionszeichenfolge nicht zu Ihrem Header hinzuzufügen. Alles, was Sie tun müssen, ist, den Code zu Ihrer Datei functions.php hinzuzufügen.

<?php remove_action('wp_head', 'wp_generator'); ?>

Werfen Sie nun einen Blick auf den Quellcode Ihrer Website. Wenn das Generator-Meta-Tag noch drin ist, sollten Sie überprüfen, ob Ihre header.php eine solche Zeile enthält:

<meta name=“generator“ content=“WordPress <?php bloginfo('version'); ?>” />

Wenn das der Fall ist, dann gehen Sie vor und löschen Sie es.

Verhindern Sie, dass WordPress-Blog gehackt wird – Verwenden Sie immer HTTPS, wenn Sie sich bei Ihrem Dashboard anmelden

HTTPS ist die sichere Version von HTTP. Bei der Verwendung von HTTPS werden Ihre Daten, also Passwörter und Benutzernamen, nicht im Klartext gesendet, sondern verschlüsselt. Dies erschwert es Personen, Ihr Passwort und Ihren Benutzernamen abzufangen und richtig zu entschlüsseln.

Wenn du beim Einloggen in dein WordPress-Dashboard HTTPS verwenden möchtest, kannst du einen der folgenden Codes verwenden und ihn zu wp-config.php hinzufügen .

define('FORCE_SSL_LOGIN', true);

Der obige Code zwingt WordPress, SSL zu verwenden, wenn Sie sich bei Ihrem Administrationsbereich anmelden, aber nur beim Anmelden. Er erzwingt nicht die Verwendung von SSL, während Sie Ihr Dashboard verwenden.

Anstatt dies manuell zu tun, können Sie auch einfach ein Plugin wie WordPress HTTPS (SSL) hinzufügen.

Um zu verhindern, dass das WordPress-Blog gehackt wird, blockieren Sie Zugriffsversuche auf das wp-admin-Verzeichnis

Der Ordner wp-admin ist eines der wichtigsten Verzeichnisse in deinem Blog. Sie können darüber auf Ihr Dashboard zugreifen. Das Blockieren anderer Personen am Zugriff auf dieses Verzeichnis ist ein wesentlicher Schritt zur Sicherung Ihres Blogs.

Sie können dies tun, indem Sie eine .htaccess -Datei im wp-admin- Verzeichnis erstellen. Fügen Sie den folgenden Code hinzu, aber ändern Sie die IP-Adressen in Ihre eigenen. Wenn Sie Ihre IP-Adresse nicht kennen, besuchen Sie einfach WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Zugriffskontrolle“
AuthType Basic
Befehl verweigern, zulassen
abgelehnt von allen
# Heim-IP-Adresse auf die weiße Liste setzen
ab 64.233.169.99 zulassen
# Arbeits-IP-Adresse auf Whitelist setzen
ab 69.147.114.210 zulassen
ab 199.239.136.200 zulassen

Es macht keinen Sinn, diesen Code zu verwenden, wenn Sie viele Leute haben, die an Ihrem Blog schreiben, besonders wenn sie sich ständig ändern. Das Problem ist, dass Sie immer IP-Adressen hinzufügen/löschen müssen, je nachdem, wer gerade Zugriff auf Ihr Blog benötigt.

Ein weiterer Nachteil ist, wenn Ihr Internetanbieter Ihnen eine dynamische IP-Adresse zuweist, was bedeutet, dass sich Ihre IP-Adresse ständig ändert. Wenn dies der Fall ist, fügen Sie den Code nicht zur .htaccess -Datei hinzu.

Um zu verhindern, dass das WordPress-Blog gehackt wird, beschränken Sie die Anzahl der fehlgeschlagenen WordPress-Anmeldeversuche

Die Beschränkung der Anzahl fehlgeschlagener Versuche hindert Benutzer daran, Brute-Force-Techniken auf Ihrem WordPress-Konto anzuwenden. Ein Brute-Force-Angriff ist ein Versuch, das Benutzerpasswort herauszufinden, indem jedes einzelne mögliche Passwort ausprobiert wird.

Als Gegenmaßnahme gibt es Plugins, die einen Benutzer automatisch für eine Stunde sperren, wenn er dreimal hintereinander das Passwort falsch eingegeben hat. Login Lockdown ist eines dieser WordPress-Plugins.

Dashboard-Anmeldefehler ausblenden

Ist Ihnen schon einmal aufgefallen, dass Sie beim Versuch, sich mit einem bestehenden Benutzernamen und einem falschen Passwort anzumelden, eine Meldung erhalten, die besagt : Fehler: Falsches Passwort . Wenn Sie sich mit einem nicht existierenden Benutzernamen und einem Passwort anmelden, erscheint eine andere Meldung mit der Meldung Error: Invalid Username .

Dies hilft böswilligen Benutzern herauszufinden, welche Art von Benutzernamen existieren.

Daher rate ich Ihnen, die folgende Zeile in Ihre Datei functions.php einzufügen:

add_filter('login_errors',create_function('$a', „return null;“));

Jedes Mal, wenn jetzt ein Fehler auftritt, erscheint eine Leerzeile. Versuch es.

Empfohlener Artikel: 10 Möglichkeiten zur Verbesserung der Blog-Sicherheit