Dieser Artikel wurde ursprünglich im Februar 2014 geschrieben und wird regelmäßig aktualisiert, wenn sich die Taktik ändert.
Tipp:Wenn Ihre Website derzeit gehackt wird, ist dies nicht die gewünschte Anleitung. Sehen Sie sich unseren Leitfaden zum Bereinigen einer gehackten WordPress-Seite an. Dann komm hierher zurück, um es nach zu härten Die Website wurde bereinigt.
Wie und warum werden Websites unkenntlich gemacht, gehackt oder beschädigt?
Die meisten Websites sind durch bekannte Schwachstellen gefährdet in veralteten webbasierten Skripten und Anwendungen . Einfach ausgedrückt bedeutet dies, dass Ihre Website gefährdet sein könnte, wenn Sie veraltete Versionen gängiger Software wie Message Boards, Blogging-Software oder Content-Management-Systeme verwenden. Andere Wege, auf denen eine Website häufig kompromittiert wird, sind unsichere oder gestohlene Passwörter und falsche Dateiberechtigungen.
Warum sollte jemand meine Website hacken wollen? Ich speichere keine persönlichen oder finanziellen Informationen auf meiner Website, also sollte ich mir darüber keine Sorgen machen, oder? Viele Menschen haben das Gefühl, dass sie sich keine Sorgen um ihre Sicherheit machen müssen, weil sie glauben, dass niemand ihre Website kompromittieren möchte. Hör auf .
Obwohl sie möglicherweise keine der Informationen auf Ihrer Website wünschen, wird Ihre Website die meiste Zeit dazu verwendet, Viren und Spyware zu verbreiten oder Ihre Besucher dazu zu verleiten, mit ihnen Websites zu besuchen. Die meisten kompromittierten Websites, die wir sehen, haben bösartigen Code in die Dateien eingeschleust, um genau dies zu tun.
Sicherheits-Plugins und -Tools
Seien Sie vorsichtig mit WordPress-Sicherheits-Plugins und -Tools. Die meisten von ihnen neigen dazu, sich entweder darauf zu konzentrieren, weiteren Schaden nach zu verhindern Jemand hat sich bereits in Ihre Website gehackt oder Dinge wie Ihre WordPress-Anmeldeseite versteckt (was so ist, als würde man ein Blatt über Ihre Tür werfen und hoffen, dass es niemand bemerkt), anstatt tatsächlich Eindringlinge zu verhindern.
Nachdem sich jemand Zugang verschafft hat, ist es außerordentlich schwierig festzustellen, was er getan hat, daher ist es wesentlich wichtiger, ihn von vornherein zu blockieren. Unsere Tipps konzentrieren sich daher auf die Art von Änderungen, die Sie an Ihrer Website vornehmen können, um Eindringlinge zu verhindern .
Sie denken vielleicht "aber vermissen Sie nicht Dutzende anderer Sicherheitspraktiken?!" Vielleicht haben Sie in anderen Blogs oder von anderen Hosting-Anbietern oder WordPress-Experten darüber gelesen. Es gibt eine Reihe von Artikeln mit über 50 Sicherheitsverbesserungen, die Sie an WordPress vornehmen können. Unserer Meinung nach ist alles, was über das hinausgeht, was Sie unten sehen, übertrieben. Die Mehrheit dieser über 50 Optimierungen soll verhindern, dass automatisierte Tools nach Schaden anrichten sie haben bereits Administratorzugriff auf Ihre Website erhalten. Wenn Sie jeden Schritt dieser Anleitung befolgen, werden Sie stattdessen einen Weg einschlagen, um den Zugriff auf Ihre WordPress-Website von vornherein zu verhindern.
10 Möglichkeiten, Ihre Website zu stärken
Tipp Nr. 1 :Machen Sie regelmäßig Backups! (Wenn Sie bei uns hosten, erfahren Sie hier, wie Sie Backups automatisieren.) Wenn Sie ein Backup haben, ist das Wiederherstellen eines Backups um Größenordnungen schneller und einfacher als das Bereinigen einer gehackten WordPress-Site.
1. Installieren Sie ein Plugin zur Begrenzung der Anmeldeversuche
Hinweis:Dies ist optional, wenn Sie bei uns hosten. Den Grund dafür finden Sie in der Box unten.
Mit diesem Plugin können Sie die Anzahl erfolgloser Anmeldeversuche für Ihr WordPress-Dashboard begrenzen. Dies schützt vor Personen, die versuchen, sich immer wieder mit zufälligen Passwörtern auf Ihrer Website anzumelden, um das System „brutal zu erzwingen“. Sie können das Plugin hier herunterladen, wodurch das Limit auf 3 Versuche festgelegt wird.
Wenn Sie unser Ein-Klick-Installationsprogramm für Webanwendungen verwendet haben, sollte dieses Plugin standardmäßig installiert werden. Wenn dies nicht der Fall ist, können Sie es über den obigen Link installieren.
Wussten Sie, dass unser WordPress-Hosting mit Tools auf Serverebene ausgestattet ist, um automatisch mehrere Anmeldeversuche von derselben IP zu erkennen und die bösartigen IP-Adressen zu sperren? Es schadet nicht, ein Plugin zu installieren, aber mit unserem Hosting ist es nicht mehr erforderlich!
2. Admin-Benutzer:Verwenden Sie sichere Passwörter und prüfen Sie sie
Verwenden Sie niemals ein „vorübergehendes“ Passwort, das Sie später wieder ändern möchten – es ist zu leicht, die Anpassung zu vergessen. Wenn Sie Ihr Passwort in WordPress unter Benutzer ändern, wird standardmäßig ein automatisch generiertes sicheres Passwort bereitgestellt. Bitte verwenden Sie das, was es bietet, und versuchen Sie nicht, eines Ihrer eigenen zu verwenden, das wahrscheinlich schwächer sein wird.
Wenn Sie Probleme haben, lange Passwörter zu behalten/zu merken, machen wir Ihnen keine Vorwürfe:Verwenden Sie einen Passwort-Manager wie LastPass oder 1Password, der alle Ihre zufällig generierten Passwörter für Sie im Auge behält und sie alle mit einem starken Master-Passwort sperrt. P> 
Es wird auch empfohlen, Ihre Admin-Benutzer alle paar Monate zu überprüfen, indem Sie Admin-Benutzer löschen, die Sie nicht benötigen. Legen Sie eine Aufgabe in Ihrer To-Do-Listen-Software Ihrer Wahl fest, um dies vierteljährlich zu tun.
3. Aktualisieren Sie Ihre Software immer
Hinweis:Updates sind zu 100 % automatisiert, wenn Sie Ihre WordPress-Website bei uns hosten, sicherstellen, dass alle Premium-Plug-ins oder Themes ihre Lizenzen aktiviert haben und automatische Updates in 1-Click-Web-Apps aktiviert sind.
Dies umfasst die WordPress-Kernsoftware, alle Plugins und alle Themes, die Sie installiert haben. Dieser Schritt in Kombination mit sicheren Passwörtern sind die zwei wichtigsten Schritte . WordPress- und Plugin- und Theme-Entwickler veröffentlichen Updates, um sowohl Funktionen hinzuzufügen als auch Sicherheitslücken zu beheben. Es ist wichtig, dass Sie Ihre Software aktualisieren, sobald eine neue Version verfügbar ist.
Wenn Sie kommerzielle Plugins oder Designs verwenden, befolgen Sie deren Anweisungen, um einen Lizenzschlüssel zu speichern zu den Einstellungen des Plugins, um die automatische Aktualisierung zu aktivieren. Dies ist eine Option für die meisten kommerziellen Plugins wie BeaverBuilder, Gravity Forms und WooCommerce-Erweiterungen.
Wenn Ihr kommerzielles Design oder Plugin kein automatisches Update unterstützt, müssen Sie eine wiederkehrende Aufgabe zu Ihrer To-Do-Listen-Software Ihrer Wahl hinzufügen, um regelmäßig nach Updates zu suchen und diese manuell zu installieren. Wenn wir auf solche Plugins stoßen, fügen wir als Entwickler eine automatische Aktualisierung hinzu, und wenn sie dies nicht beabsichtigen, finden wir eine Alternative. Dies liegt daran, dass es die Zeit nicht wert ist, den Überblick über manuelle Plugin- oder Design-Updates zu behalten.
4. Alte Software löschen
Wenn Sie mehrere Versionen von WordPress auf Ihrer Website (oder einer anderen Software) installiert haben und eine davon nicht mehr verwenden, müssen Sie trotzdem sicherstellen, dass sie auf dem neuesten Stand ist, oder sie vollständig entfernen. Veraltete und vergessene Softwareinstallationen sind eine sehr häufige Methode, mit der automatisierte Hacking-Tools Zugriff auf Ihre Website erhalten.
Gleiches gilt für installierte Plugins und Themes. Wenn Sie sie nicht verwenden, entfernen Sie sie!
5. HTTPS aktivieren und erzwingen
Die Verwendung von HTTPS anstelle des unsicheren HTTP ist heutzutage einfach!
- Klicken Sie hier, um zu erfahren, wie Sie ein Let’s Encrypt-Zertifikat auf Ihrer Domain installieren
- Folgen Sie unserer Anleitung, um zu erfahren, wie Sie HTTPS auf Ihrer gesamten Website erzwingen können.
Jetzt sind alle Anmeldungen bei WordPress vollständig Ende-zu-Ende gesichert. Es können keine Passwörter über die Leitung erschnüffelt werden!
6. Verwenden Sie ein Sicherheits-Plugin wie WordFence oder Sucuri
Dazu gibt es ein paar Dinge zu beachten:
- Wenn Sie bei uns gehostet werden, ist dies kein wesentliches Tool. Wir verwenden eine Kombination aus Firewalls, die fast alle Arten von Eindringversuchen wie WordFence blockieren, von Brute-Force-Angriffen bis hin zur Untersuchung von Sicherheitslücken.
- Viele Sicherheits-Plug-ins sind eine Täuschung, die nur Empfehlungen gibt und Ihre Website nicht aktiv schützt. Wir finden, dass WordFence das Beste von allen ist, gefolgt von Sucuri an zweiter Stelle.
- WordFence ist auch praktisch, wenn Sie eine gehackte Website bereinigen, da es dazu neigt, die meisten zu finden infizierte Dateien und säubern Sie sie automatisch.
- Wenn Sie sich auf einem VPS befinden, schadet es nicht, wöchentliche WordFence-Scans zu aktivieren. Wenn Sie Shared Hosting verwenden, kann die Aktivierung dieser Scans unnötig Ressourcen verbrauchen, insbesondere wenn Sie alles andere auf dieser Liste implementieren und bei uns hosten.
Hinweis:Wir haben viele getestet dieser Werkzeuge, um zu diesen Schlussfolgerungen zu kommen. Wir haben sogar einige sogenannte Sicherheits-Plug-ins gesehen, die zuvor auf gehackten Websites installiert wurden – sie haben viel Gutes bewirkt!
7. Verweigern Sie jedem außer sich selbst den Zugriff auf die Anmeldung
Dieser Schritt ist nicht unbedingt erforderlich, wenn Sie bereits sehr sichere Passwörter für alle Ihre Benutzer auf Administratorebene haben, aber es schadet nicht, ihn anzuwenden, wenn Sie gerne einen Alufolienhut tragen.
Lies unseren Leitfaden, um zu erfahren, wie du deinen wp-admin-Ordner mit HTTP-Authentifizierung mit einem Passwort schützen kannst. Wenn du der Anleitung folgst, ist der zu betretende Ordner der wp-admin-Ordner.
Sobald Sie fertig sind, haben Sie zwei Ebenen der Passworteingabe bevor Sie den Admin, HTTP Auth und Ihr Standard-WordPress-Admin-Login erreichen. Stellen Sie sicher, dass die Passwörter unterschiedlich sind; Wenn sie gleich sind, wird ein Bot, der versucht, sie zu erraten, keine Probleme haben, nachdem er die erste Schicht durchlaufen hat.
8. Führen Sie, wann immer möglich, das neueste PHP im Fast-CGI- oder FPM-Modus aus.
Wenn Sie ein aktuelles Control Panel verwenden, können Sie zwischen PHP by FastCGI oder Apache PHP wählen. Wählen Sie nach Möglichkeit die Methode FastCGI oder FPM.
In WordPress gibt es viele Themes und Plugins, die glauben, dass sie globale Zugriffsberechtigungen für 777 benötigen, um ordnungsgemäß in die Ordner zu schreiben und Inhalte hochzuladen. Sie liegen in den meisten Fällen falsch. „777“ bedeutet, dass jeder, der auf diesem Server gehostet wird, alle Dateien mit diesen Berechtigungen lesen, schreiben und ausführen kann.
Dies ist ein großes Sicherheitsrisiko und ein großes Problem, wenn Sie sich in einer gemeinsam genutzten Webhosting-Umgebung befinden. Wenn eine andere Website auf demselben Server kompromittiert wird, kann sie auf alle Ihre Dateien und Ordner zugreifen, die über die Berechtigung 777 verfügen.
Die Verwendung des FastCGI- oder FPM-Modus erzwingt die Ausführung von PHP unter Ihrem Benutzernamen und vermeidet diese Probleme vollständig und funktioniert hervorragend mit standardmäßigen Datei- und Ordnerberechtigungen. Wenn Sie bei uns hosten, ist der FPM- oder FastCGI-Modus die Standardeinstellung für Ihre Website.
Stellen Sie sicher, dass Sie die neueste Version von PHP ausführen. Nur die neuesten Hauptversionen werden regelmäßig von den PHP-Entwicklern unterstützt, sodass die Ausführung älterer Versionen wie 7.0 oder älter (Stand Dezember 2019) Sicherheitsrisiken für Ihre Website darstellen könnte.
9. Speichern Sie Ihre Passwörter niemals auf Ihrem Computer, es sei denn, sie sind verschlüsselt
Viele Programme auf Ihrem Computer speichern Ihre Passwörter tatsächlich im Klartext. Das bedeutet, wenn Sie einen Virus oder eine bestimmte Spyware auf Ihrem Computer haben, kann dieser möglicherweise auf die FTP- oder webbasierten Anmeldeinformationen für Ihre WordPress- oder Website-Installation zugreifen.
Wenn Sie Ihre Passwörter in Ihren Anwendungen speichern möchten, überprüfen Sie unbedingt, ob sie verschlüsselt oder im Klartext gespeichert sind. Beispielsweise verfügt jede Anwendung, die Passwörter mit Apples Schlüsselbundsystem speichert, über einen vollständig gesicherten Passwortspeicher. Leider ist FileZilla nicht eine dieser Apps, daher könnte das Speichern Ihres Passworts im Site-Manager-Tool von FileZilla problematisch sein, wenn Ihr Computer jemals mit einem Virus infiziert ist, der weiß, dass er nach FileZilla-Datendateien sucht.
10. Stellen Sie sicher, dass Sie immer Anti-Malware-Software auf Ihrem Computer ausführen
Obwohl dies selbstverständlich sein sollte, ist es sehr üblich, dass die Leute keines von beiden ausführen. Es spielt keine Rolle, wie sicher Ihre Website oder der Server ist, wenn die Leute Ihre Passwörter von Ihrem PC abrufen können .
Wenn Sie diese Tipps befolgen, gibt es nur noch zwei Methoden, mit denen Sie Ihre Website hacken können:
- Zero-Day-Sicherheitslücken, die unmöglich vorherzusagen oder zu schützen sind, obwohl die beste Antwort darauf schnell ist Updates, die unser 1-Klick-Dienstprogramm für Web-Apps für Sie übernimmt.
- Social Engineering, bei dem Sie jemand dazu verleitet, Ihr Passwort preiszugeben. Um dies zu verhindern, seien Sie einfach wachsam und geben Sie Ihr Passwort nicht weiter.