Bei der Absicherung von einer Website geht es nicht nur darum, bestehende Risiken zu eliminieren. Aber auch die Risiken, die sich in der Zukunft entwickeln können, sollen reduziert werden. Mit diesem Leitfaden sicherst du deine Webseite weiter gegen aktuelle und zukünftige Risiken ab.
Warum ist die WordPress Sicherheit wichtig?
Der Angriff auf eine Homepage durch Hacker und ähnliche Personen schadet in erster Linie dem Ruf deiner Webseite. Sie schädigen nicht nur dem Ruf, sondern können die Informationen der Benutzer stehlen, verwenden und dir beispielsweise Malware senden. Im schlimmsten Fall befindest du dich plötzlich in einer Situation, in der du Hackern ein Lösegeld zahlen sollst.
Neben moralischen Verlusten wie dem Vertrauen der Benutzer und dem Ruf der Website kann diese Art von Hacking dich auch finanziell treffen. Stelle dir vor, eine E-Commerce-Site wurde gehackt und kann nicht mehr funktionieren, was schnell mit Umsatzeinbußen daherkommt! Aus diesem Grund sollten Besitzer von E-Commerce- oder Business-Websites ihre Websites mit der gleichen Hingabe schützen wie ihre Geschäfte, genauso wie sie ihre Geschäfte vor Raubüberfällen schützen. Im März 2019 gab Google an, mehr als 50 Millionen Nutzer gewarnt zu haben, dass die von ihnen besuchte Website bösartig und zum Datendiebstahl geeignet sein könnte.
WordPress (WP) beherbergt viele Themes und Plugins zum Homepage Design. Diese Plugins und Themes werden auch von Drittanbieter-Entwicklern unterstützt und auf dem neuesten Stand gehalten – gerade für innovativen Webdesign bei Neukunden. Deshalb solltest du auf Theme- und Plugin-Updates sowie WordPress-Updates achten. Als Grundgedanke ist es für die Stabilität, Zukunft und Sicherheit deiner Website sehr wichtig, auf dem neuesten Stand zu bleiben.
1. Stärkere Passwörter und Benutzerberechtigungen
Die häufigsten WordPress-Hacking-Versuche erfolgen normalerweise über gestohlene Passwörter. Der logischste und einfachste Schritt, dies zu verhindern, wäre die Verwendung stärkerer Passwörter. Du solltest starke Passwörter nicht nur für das WordPress-Anmeldefenster verwenden, sondern auch für FTP-Konten, die E-Mail-Adresse deiner Site und die E-Mail-Adresse deines Hosting-Kontos. Kurz gesagt, starke Passwörter stärken deine Sicherheit in jedem Konto.
Anfänger vermeiden die Verwendung starker Passwörter, da sie schwer zu merken sind. Wenn du einen solchen Gedanken hast, kannst du Anwendungen zur Kennwortverwaltung, wie z.B. EnPass, 1password oder Password Manager by Nordpass verwenden und alle deine Kennwörter in einem einzigen Bedienfeld verwalten.
Abgesehen von Passwörtern besteht eine weitere Möglichkeit, das Risiko zu verringern, darin, Personen, denen du nicht vertraust, den Zugriff auf dein WordPress-Dashboard zu verweigern. Wenn du eine soziale Site hast, hast du Dutzende von Benutzern und Autoren. Stelle immer sicher, dass die Berechtigungen dieser Personen richtig eingestellt sind. Du möchtest sicher einem Autor, den du nicht kennst, keine Administratorrechte erteilen.
2. Hosting-Rolle in der WordPress-Sicherheit
Dein Hosting-Provider ist der Grundstein für die WordPress-Sicherheit. Zwar kann man in WordPress gewisse Eingriffe vornehmen, diese werden aber doch alle auf einem Server gehostet. Um ein Beispiel zu nennen: Es spielt keine Rolle, wie viele Stockwerke du erklimmst, nachdem das Fundament – im übertragenen Sinne das CMS – nicht fest ist, wenn auf deinen Server zugegriffen wird, bist du in ernsthaften Schwierigkeiten. Einige Hosting-Provider treffen zusätzliche Vorkehrungen auf Servern für die Sicherheit ihrer Kunden. Lass uns in Form einiger Elemente auflisten, was diese Provider tun:
- sie überwachen ständig Netzwerke auf verdächtige Aktivitäten
(fast alle Hochsicherheits-Hosting-Unternehmen verfügen über Tools, um groß angelegte DDOS-Angriffe zu verhindern) - sie halten deine gesamte Software auf dem neuesten Stand, um zu verhindern, dass Hacker eine alte Computer- oder Server-Schwachstelle ausnutzen, um dein System zu infiltrieren.
- sie haben einen Plan zur Hand, um Ihre Daten im unwahrscheinlichen Fall eines Notfalls wiederherzustellen
Bei den meisten Anbietern, teilst du deinen Server mit ganz vielen anderen Hosting Kunden. Hacker können dies ausnutzen und deine Webseite über die benachbarte Site infiltrieren. Aus diesem Grund erhöht ein Upgrade auf einen Plan, bei dem du deine Serverinformationen nicht mit anderen Sites (möglicherweise teurer) teilst, deine Sicherheit enorm.
Wir wissen, dass Neulinge die Sicherheit in WordPress auf die leichte Schulter nehmen. Wenn sie kein technisches Wissen haben, wird der Job wirklich gruselig, aber wir haben gute Nachrichten für dich: Du musst nur wissen, wie man diese Anleitung anklickt und liest, um diese Anleitung anzuwenden – du benötigst keine technischen Kenntnisse!
3. Installiere ein WordPress-Backup-Plugin
Backups sind deine erste Verteidigung gegen Hackerangriffe. Denke immer daran, dass du keine 100%ige Sicherheit erreichen kannst – egal wie viele Anpassungen du auch vornimmst. In dieser Zeit, in der sogar Regierungsseiten gehackt werden können, kannst du für alle Fälle Vorkehrungen treffen, indem du ein Backup der Website zur Hand hast.
Für Backups, die deine Site in einer möglichen schlechten Situation wiederherstellen, ist es möglich, viele kostenlose Plugins in WP zu finden. Hier solltest du jedoch aufpassen, dass du das Backup nicht auf deinen Server hochlädst. Wenn du es auf deinen Server hochlädst, riskierst du, dass das Site-Backup zusammen mit deiner Site gehackt werden kann.
Du kannst deine Backup-Einstellungen abhängig davon vornehmen, wie oft du deine Site aktualisierst. Glücklicherweise kannst du dies problemlos mit Plugins wie VaultPress oder UpdraftPlus tun. Beide sind zuverlässig und erfordern keine technischen Kenntnisse. Besonders das UpdraftPlus-Plugin wird deine Arbeit für die Sicherung erledigen.
4. Überwachung des Sicherheitsstatus
All diese Dinge, die wir erwähnt haben, und ihre Varianten können vom guten kostenlosen WordPress-Sicherheits-Plugins übernommen werden. Nachdem du das meist kostenlose Security-Plugin auf deiner Site installiert hast, musst du in Deinem WordPress-Panel zum Menü gehen. Als erstes wirst du aufgefordert, einen kostenlosen API-Schlüssel zu generieren. Dieser Prozess ermöglicht Audit-Protokollierung, Integritätsprüfung, E-Mail-Benachrichtigungen und andere wichtige Funktionen.
Die Einstellungen, die du unter dem Reiter „Härten“ vornimmst, sind für viele Standorte ausreichend. Wir möchten, dass du nur die Einstellung „E-Mail-Benachrichtigungen“ bearbeitest. Standardeinstellungen für E-Mail-Benachrichtigungen können dein Postfach mit nutzlosen Informationen füllen und dich verwirren. Du kannst dem Pfad „Einstellungen/Benachrichtigungen“ folgen, um E-Mails nur bei wichtigen Ereignissen wie Änderungen an Plugins oder Registrierung neuer Benutzer zu erhalten.
Quelle: Unsplash / Stephen Phillips
5. WordPress-Sicherheits-Plugin Warnungen beachten
Das WordPress-Plugin ist in der Regel ein sehr hochwertiges Plugin. Aus diesem Grund empfehlen wir dir, sich alle Registerkarten anzusehen, um auf Daten wie „Malware-Scan, Audit-Logs, fehlgeschlagene Anmeldeversuche“ zuzugreifen.
6. Verwenden einer Firewall
Der einfachste Weg, deine WordPress-Sicherheit zu gewährleisten und deine Site zu schützen, besteht darin, eine Firewall auf deiner Site zu installieren.
Die Firewall einer Website blockiert jeglichen bösartigen Datenverkehr, bevor er deine Website erreicht. Die DNS-Firewall leitet deinen Site-Datenverkehr über Proxy-Cloud-Server weiter. Dadurch kann nur echter Verkehr auf deine Website gelangen.
Firewall auf Anwendungsebene: Diese Firewall untersucht den Datenverkehr zu deiner Site, bevor WordPress-Skripte geladen werden. Obwohl es funktioniert, ist es bei der Reduzierung der Serverlast nicht so effektiv wie die „DNS-Level-Firewall“.
7. Benutze SSL auf deiner Site
SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen deiner Site und dem Benutzer verschlüsselt. Das SSL-Zertifikat erschwert es jemandem von deiner Site, Daten zu stehlen.
Wenn du SSL auf deiner Site aktivierst, wird deine Site im Browser als „https“ anstelle von „http“ angezeigt und du siehst ein Schloss neben der Adresse deiner Website in der Adressleiste.
8. Ändern des standardmäßigen ‚admin‘-Benutzernamens
In der Vergangenheit war der WordPress-Standardbenutzername „admin“. Da der Benutzername die Hälfte der Anmeldeinformationen ausmacht, könnten Hacker viele Websites leicht angreifen. Die gute Nachricht ist, dass WP dies jetzt geändert hat und du bei der Installation von WP einen Benutzernamen wählen musst. Einige Software zur „Ein-Klick-WordPress-Installation“ setzt den Standardbenutzernamen jedoch auf „admin“. Ändere diese kinderleichte Einstellung und deine Website ist schon um einiges sicherer.
9. Ändere den Link zur Backend Anmeldung
Der WordPress-Adminbereich bzw. die Loginmaske ist standardmäßig unter www.meinewebseite.de/wp-admin oder www.meineseite.de/wp-admin.php erreichbar. Um diesen Zugang zu schützen, kannst du ihn einfach mit dem Plugin WPS Hide Login umbenennen. So wird er dann beispielsweise unter www.meinewebseite.de/anmeldung erreichbar sein.
10. Anmeldeversuche begrenzen
Standardmäßig erlaubt WP seinen Benutzern, sich so oft anzumelden, wie sie möchten. Dadurch wird deine Website anfällig für Hacker, die versuchen, dein Passwort zu knacken, indem sie verschiedene Kombinationen ausprobieren.
Was du hier tun solltest, ist, Anmeldeversuche zu begrenzen. Dies wird automatisch erledigt, wenn du die zuvor im Artikel erwähnte Firewall hast.
Wenn du keine Firewall hast, solltest du das Plugin „Login LockDown“ über WP installieren und aktivieren. Nachdem du das Plugin aktiviert hast, kannst du die Plugin-Einstellungen anpassen, indem du auf Einstellungen/Login/LockDown gehst.