So sichern Sie Ihr WordPress-Blog

Das Sichern Ihres WordPress-Blogs ist ein wesentlicher Schritt, den Sie nach der Einrichtung auf Ihrem Server tun müssen. Es sollte keinen Grund geben, Ihr WordPress für Hacker offen zu lassen, damit diese Ihre Informationen stehlen oder Ihre Daten zerstören können. Wenn Sie ein paar Stunden damit verbringen, WordPress zu sichern, sparen Sie unzählige Stunden bei der Bewältigung ständiger Angriffe. Dieser Leitfaden zeigt mehrere Möglichkeiten, WordPress zu sichern, um Ihre Daten und Informationen zu schützen.

Auch hilfreich: Sie können ein kostenloses SSL-Zertifikat für Ihre WordPress-Website erhalten, um Besucher Ihrer Website zu schützen.

1. Verwenden Sie ein All-in-One-Sicherheits-Plugin

Der Einfachheit halber beginnen Sie mit einem WordPress-Sicherheits-Plugin, das mehrere Aufgaben an einem einzigen Ort erledigt. Eine der besten Optionen ist All-In-One Security (AIOS) . Mit einer beeindruckenden 5-Sterne-Bewertung bei mehr als einer Million Installationen lohnt es sich, es Ihrer Website hinzuzufügen. Außerdem sind viele der Funktionen völlig kostenlos.

Das Plugin macht Folgendes:

• Stoppt Brute-Force-Angriffe
• Ermöglicht die Zwei-Faktor-Authentifizierung
• Versteckt Ihre Anmeldeseite vor Bots
• Erzwingt die Abmeldung von Benutzern, die gerne ständig angemeldet bleiben
• Hilft, die Passwortstärke zu verbessern
• Verbessert WordPress Salts (Teil des Hash-Prozesses zum Verschlüsseln von Passwörtern) durch das Hinzufügen von 64 neuen Zeichen, die sich wöchentlich ändern
• Fügt Firewall-Schutz hinzu
• Beinhaltet Malware-Schutz (nur Premium)
• Reduziert Spam-Kommentare

Dies ist nur ein kleiner Teil dessen, was im Lieferumfang enthalten ist. Die Einrichtung kann eine Weile dauern, aber die Verwaltung eines Plugins ist besser als die Verwaltung mehrerer.

2. Stoppen Sie Brute-Force-Angriffe

Hacker können Ihr Login-Passwort und Ihre Anmeldedaten mithilfe von Brute-Force-Angriffen leicht knacken. Um dies zu verhindern, installieren Sie das Plugin „Login Lockdown“ . Dieses Plugin zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen WordPress-Anmeldeversuchs auf. Sobald eine bestimmte Anzahl fehlgeschlagener Versuche erkannt wird, wird die Anmeldefunktion für alle Anfragen aus diesem Bereich deaktiviert.

Außerdem werden zwei weitere praktische Funktionen hinzugefügt: Zwei-Faktor-Authentifizierung und CAPTCHA. Dadurch werden auch Brute-Force-Angriffe drastisch reduziert.

3. Verwenden Sie ein sicheres Passwort

Stellen Sie sicher, dass Sie ein sicheres Passwort verwenden, das für andere schwer zu erraten ist. Verwenden Sie eine Kombination aus Ziffern, Sonderzeichen und Groß-/Kleinbuchstaben, um Ihr Passwort zu bilden. Sie können auch den Passwortprüfer auf WordPress 2.5 und höher verwenden, um die Stärke Ihres Passworts zu überprüfen.

Eine weitere Möglichkeit ist die Verwendung eines Passwort-Managers zur Generierung eines völlig zufälligen und sicheren Passworts. Auch wenn Sie Ihre Passwörter nicht speichern, sind dies dennoch großartige Tools zum Generieren einzigartiger Passwörter für Ihre Website.

4. Schützen Sie Ihren WP-Admin-Ordner

Ihr „wp-admin“-Ordner enthält alle wichtigen Informationen zu Ihrer Website und ist der letzte Ort, an dem Sie anderen Zugriff gewähren möchten. Der einfachste Weg, es zu schützen, besteht darin, ein zusätzliches Passwort hinzuzufügen. wp-adminSelbst wenn ein Hacker mit den Anmeldeinformationen eines Benutzers auf Ihre Website gelangt, muss er dennoch die Anmeldeinformationen Ihres Ordners herausfinden . Zu diesem Zeitpunkt wissen Sie möglicherweise bereits von der Sicherheitsverletzung und können das Passwort des gehackten Benutzers und Ihr wp-admin-Passwort für zusätzliche Sicherheit ändern.

Dafür gibt es mehrere Möglichkeiten. Das erste hängt von Ihrem Webhost ab. Viele bieten cPanel an. Die Schritte können je nach Host leicht variieren.

• Melden Sie sich im cPanel-Bereich Ihrer Website an. Anweisungen hierzu erhalten Sie von Ihrem Webhoster.
• Scrollen Sie nach unten zu „Sicherheit“ und wählen Sie „Verzeichnisse mit Passwort schützen“.

• Wählen Sie „Verzeichnis-Datenschutz“.

• Wählen Sie das Verzeichnis aus, das Sie mit einem Passwort schützen möchten, und befolgen Sie die Anweisungen. Normalerweise gibt es ein Tutorial, das näher darauf eingeht, wie man Verzeichnisse mit dieser Methode am besten schützt.

Die zweite Methode ist manuell und wird normalerweise nicht empfohlen, denn wenn Sie sie nicht richtig machen, könnten Sie am Ende von Ihrer Website ausgeschlossen werden.

• Erstellen Sie mit Ihrem bevorzugten Texteditor eine Textdatei und nennen Sie sie „.htaccess“.
• Fügen Sie der Datei Folgendes hinzu, ändern Sie jedoch den AuthUserFile-Pfad in den Pfad, in den Sie die Kennwortdatei hochladen (im nächsten Schritt), und ändern Sie „IhrBenutzername“ in Ihren Benutzernamen.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• Erstellen Sie eine weitere Textdatei mit dem Namen „.htpasswd“.
• Verwenden Sie einen htpasswd-Generator, um den Dateiinhalt zu generieren. Hosting Canada , web2generators und AskApache verfügen alle über benutzerfreundliche Generatoren. Nachdem Sie den Generator ausgefüllt haben, kopieren Sie den Text, den Sie erhalten, in den. htpasswd-Datei, die Sie erstellt haben.
• Kopieren Sie beide Dateien in Ihren wp-admin-Ordner und schon sind Sie fertig.

5. Entfernen Sie die WordPress-Versionsinformationen

Viele WordPress-Themes enthalten die WordPress-Versionsinformationen im Meta-Tag. Hacker können an diese Informationen schnell gelangen und gezielte Angriffe planen, die auf die Sicherheitslücke dieser Version abzielen.

So entfernen Sie die WordPress-Versionsinformationen:

• Melden Sie sich bei Ihrem WordPress-Dashboard an.
• Gehen Sie zu „Design -> Theme-Editor“.
• Suchen Sie rechts nach Ihrer „Header“-Datei.
• Suchen Sie nach der folgenden Codezeile:

<meta name="generator"content="WordPress versionnumber"/>

• Löschen Sie diese Zeile und klicken Sie auf „Datei aktualisieren“.

Sie können diese Informationen auch mit einem WordPress-Sicherheits-Plugin wie Sucuri Security verbergen.

6. Verstecken Sie Ihren Plugins-Ordner

Wenn Sie die URL Ihrer Website aufrufen: https://yourwebsite.com/wp-content/plugins und die gesamte Liste der von Ihnen verwendeten Plugins sehen, ist Ihre WordPress-Site nicht sehr sicher. Sie können diese Seite ganz einfach ausblenden, indem Sie eine leere „index.html“ in das Plugin-Verzeichnis hochladen.

• Öffnen Sie Ihren Texteditor. Speichern Sie das leere Dokument als „index.html“.
• Laden Sie die „index.html“ mit einem FTP-Programm in den Ordner „/wp-content/plugins“ hoch.

Auch hilfreich: Verwenden Sie diese WordPress-Statistik-Plugins, um Ihre Website zu messen.

7. Ändern Sie Ihren Anmeldenamen

Der Standardbenutzername ist „admin“. Eine einfache Möglichkeit, WordPress zu sichern, besteht darin, dies zu ändern. Andernfalls kennen Hacker bereits die Hälfte Ihrer Anmeldeinformationen.

• Melden Sie sich bei Ihrem WordPress-Dashboard an und wählen Sie „Benutzer“.
• Wählen Sie „Neuer Benutzer“.

• Legen Sie die Rolle auf „Administrator“ fest und senden Sie eine Einladung an das gewünschte E-Mail-Konto. Sobald die Einladung angenommen wurde, können Sie sich anmelden, ein Passwort erstellen und zum neuen Administratorkonto werden.

• Sobald der neue Benutzer eingerichtet ist, kehren Sie zu „Benutzer“ zurück.
• Suchen Sie das „admin“-Konto und löschen Sie es.
• Wählen Sie „Alle Beiträge und Links zuordnen“ und wählen Sie Ihren Benutzernamen aus.
• Klicken Sie auf „Löschen bestätigen“.

8. Aktualisieren Sie auf die neuesten Versionen

WordPress erhält zusammen mit Themes und Plugins regelmäßige Updates. Dadurch werden neue Funktionen hinzugefügt, Fehler behoben und Sicherheitslücken behoben. Der letzte Teil ist der wichtigste. Wenn Hacker bemerken, dass Sie eine ältere Version mit Sicherheitslücken haben, nutzen sie die Öffnung sofort aus.

Planen Sie jeden Monat einen Tag ein, um Updates durchzuführen. Auch wenn Sie möglicherweise nicht für alles neue Updates haben, führen Sie Aktualisierungen für das durch, was verfügbar ist. Dazu gehört Ihre WordPress-Kerninstallation. Es ist eine einfache, aber äußerst effektive Möglichkeit, WordPress zu sichern.

Bevor Sie größere Aktualisierungen durchführen, erstellen Sie für alle Fälle eine vollständige Sicherung Ihrer Website.

9. Führen Sie regelmäßige Sicherheitsscans durch

Jede WordPress-Installation benötigt ein Sicherheits-Plugin. All-In-One Security (AIOS) und Sucuri Security, die wir bereits erwähnt haben, sind großartige Optionen. Sie können auch Folgendes versuchen:

• Wordfence-Sicherheit
• iThemes-Sicherheit
• Jetpack Protect
• SecuPress kostenlos

10. Sichern Sie Ihre WordPress-Site

Egal wie sicher Ihre Website ist, Sie möchten sich dennoch auf das Schlimmste vorbereiten. Installieren Sie ein WordPress-Backup-Plugin und planen Sie, dass es Ihre Datenbank täglich sichert.

Sie haben die Wahl zwischen einer Vielzahl, aber einige der besten Optionen sind:

• Jetpack VaultPress Backup
• UpdraftPlus
• BackupBuddy
• BlogVault
• All-In-One-WP-Migration

11. Definieren Sie Benutzerrechte

Wenn Ihr Blog mehr als einen Autor hat, können Sie das Plugin „Benutzerrollen-Editor“ installieren , um die Funktionen für jede Benutzergruppe zu definieren. Dies gibt Ihnen als Blog-Eigentümer die Möglichkeit zu steuern, was Benutzer im Blog tun können und was nicht.

12. Upgrade auf SSL

Wenn Sie kein SSL-Zertifikat haben, ist es jetzt an der Zeit, sich eines zu besorgen. Secure Sockets Layer (SSL) ist ein Protokoll, das verschlüsselt, was zwischen Benutzern und Websites gesendet wird. Viele Webhoster bieten kostenlose oder kostengünstige SSL-Zertifikate an, die unglaublich einfach zu installieren sind. Diese sind besonders wichtig, wenn sich Benutzer auf Ihrer Website anmelden oder Einkäufe tätigen. Außerdem bevorzugt Google Websites mit SSL-Zertifikaten.

• Bequemer SSL-Shop
• GlobalSign
• DigiCert
• Der SSL-Store

13. Deaktivieren Sie die Dateibearbeitung

Sie können Ihren Plugin- und Theme-Code direkt im Admin-Bereich Ihrer Website bearbeiten. Stellen Sie sich vor, jemand anderes würde ohne Ihre Erlaubnis anfangen, am Code herumzubasteln. Um böse Überraschungen zu vermeiden, deaktivieren Sie die Dateibearbeitung.

Sie können zwar ein Plugin wie Sucuri verwenden, aber auch ein paar Codezeilen zu Ihrer „wp-config.php“-Datei hinzufügen.

• Suchen Sie die Datei „wp-config.php“ im Stammordner Ihrer Site. Sie können jeden beliebigen FTP-Client verwenden, um auf Ihre Dateien zuzugreifen.
• Laden Sie die Datei herunter und öffnen Sie sie in Ihrem bevorzugten Texteditor, z. B. Notepad.
• Fügen Sie dem Code Folgendes hinzu:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• Ersetzen Sie die vorhandene Datei „wp-config.php“ durch die neue Version, um die Dateibearbeitung zu deaktivieren.

Auch hilfreich: Wenn Sie viele Medien zu Ihrer Website hinzufügen, beachten Sie diese Tipps zur WordPress-Bildoptimierung .

14. Verwenden Sie die Zwei-Faktor-Authentifizierung

Selbst wenn Hacker Zugriff auf die Anmeldeinformationen eines Benutzers erhalten, bedeutet die Zwei-Faktor-Authentifizierung (2FA), dass der Hacker weiterhin Zugriff auf ein anderes Passwort benötigt. In diesem Fall würde normalerweise ein Code an das Telefon des Benutzers gesendet. Sie können Sicherheits-Plugins wie die oben in diesem Beitrag erwähnten oder ein spezielles 2FA-Plugin wie miniOrange Google Authenticator oder WP 2FA verwenden .

Bildnachweis: Unsplash . Screenshots von Crystal Crowder.