WordPress-Sicherheitscheckliste für Website-Administratoren

Sicherheit

Fragen Sie sich, warum wir eine WordPress-Sicherheitscheckliste veröffentlicht haben, wenn andere Blogger dies zuvor außergewöhnlich gut gemacht haben?

Die schockierende Wahrheit ist, dass sich der durchschnittliche WordPress-Benutzer nicht viel um Sicherheit kümmert und Hacker sich auf WordPress-Schwachstellen konzentrieren. 70 % aller WordPress-Sites in den Alexa Top 1.000.000 sind anfällig für Hackerangriffe. Selbst große Namen schenken der Sicherheit nicht die nötige Aufmerksamkeit.

Die Sicherung einer Website erfordert Zeit und Ressourcen, zahlt sich aber auf lange Sicht auf jeden Fall aus. Wir schätzen Ihre Zeit und verstehen, warum Sie die Sicherheit Ihrer Website von Zeit zu Zeit vernachlässigen.

Das Besondere an dieser Checkliste ist, dass sie wertvolle Tipps in einem prägnanten und leicht verständlichen Format zusammenfasst. Wenn Sie es regelmäßig verwenden, erhöhen Sie die Sicherheit Ihrer Website erheblich.

Sichern Sie regelmäßig

Ihre Website ist nicht sicherer, wenn Sie eine aktuelle Kopie davon haben. Aber ein aktuelles Backup gibt Ihnen die nötige Sicherheit, wenn Sie an der Verbesserung der Site-Sicherheit arbeiten.

Darüber hinaus ist eine Website-Kopie von Vorteil, wenn Ihre Website mit Malware infiziert ist.

An großartigen Backup-Plugins mangelt es nicht und einige davon sind kostenlos. UpDraftPlus , Duplicator und BackWPUp sind großartige Plugins, mit denen Sie automatische Backups planen, Ihre Backups an mehreren Remote-Standorten speichern und Ihre Site problemlos wiederherstellen können.

Geschätzte Zeit

Das Installieren, Aktivieren und Einrichten eines Backup-Plugins dauert 10 Minuten. Sie sollten außerdem regelmäßig die Integrität der Kopien überprüfen.

Installieren Sie ein Sicherheits-Plugin

Sicherheit

Ein robustes Sicherheits-Plugin ist der beste Freund eines gründlichen Website-Administrators. Glücklicherweise stehen den Benutzern ebenso wie Backup-Plugins eine Reihe von Sicherheits-Plugins zur Verfügung, und Millionen zufriedener Benutzer haben einige davon getestet.

Ich kann kaum glauben, dass Sie kein zufriedenstellendes Sicherheits-Plugin finden werden. Wordfence , All In One WP Security & Firewall und iThemes Security sind Plugins, die Ihre Aufmerksamkeit voll und ganz verdienen.

Die kritischsten Aktionen eines Sicherheits-Plugins sind:

  • Scannen der Dateien der Website auf Malware
  • Überprüfung der Dateien auf Sicherheitslücken
  • Blockieren von Benutzern nach IP oder Land
  • Whitelisting und Blacklisting von IPs.

Geschätzte Zeit

Die Installation, Aktivierung und Einrichtung eines Sicherheits-Plugins dauert 20 Minuten. Beachten Sie, dass die meisten Sicherheits-Plugins mit zahlreichen Funktionen ausgestattet sind. Überprüfen Sie alle Funktionen, um sicherzustellen, dass Sie die Sicherheit der Website konsolidieren.

Überprüfen Sie Ihr Hosting, Ihre Themes und Plugins

Dieser Vorschlag wird selbst von Experten und sicherheitsbewussten Bloggern häufig ignoriert. Ihre Unwissenheit liegt daran, dass Sie Ihren Host-Anbieter, Ihre Themes und Plugins selten überprüfen müssen. Machen Sie nicht den gleichen Fehler!

Ihr Hosting-Anbieter ist entscheidend für die Sicherheit und Leistung Ihrer Website. Betrachten Sie Ihren Hosting-Anbieter als Grundlage Ihrer Website. Auf einem schwachen Fundament kann man keine robuste Website

Wählen Sie einen Anbieter, der die neuesten Technologien nutzt und eine sichere Umgebung gewährleistet. Sie könnten versucht sein, durch die Nutzung eines günstigen Anbieters Geld zu sparen, und das ist verständlich. Auf lange Sicht ist jedoch ein guter Hosting-Anbieter besser, da Ihre Dateien geschützt sind. Darüber hinaus ist das Hosting für die Ladegeschwindigkeit verantwortlich. Es ist offensichtlich, wie wichtig Geschwindigkeit ist.

Rechnen Sie mit Malware und Schwachstellen, wenn Sie ein Theme oder Plugins von zwielichtigen Anbietern verwenden. Deinstallieren Sie alles, was ein Fragezeichen aufwirft. Installieren Sie Themes und Plugins nur aus dem WordPress-Repository oder vertrauenswürdigen Quellen.

Geschätzte Zeit

30–45 Minuten reichen aus, um Ihren Hosting-Anbieter, Ihr Theme und Ihre Plugins zu bewerten.

Stärken Sie die Passwörter der Benutzer

Passwörter

Ist das ein nutzloser Tipp, nur um mehr zu schreiben? Leider ist es das nicht! Schwache Passwörter sind für 81 % der Datenschutzverletzungen in Unternehmen . Daher ist es eine gute Idee, die Passwörter aller Benutzer zurückzusetzen und sie aufzufordern, komplexere Anmeldeinformationen zu verwenden.

Einige Sicherheits-Plugins zwingen Benutzer dazu, komplexe Passwörter zu verwenden. Auch hier übernimmt ein Plugin die Arbeit für Sie.

Geschätzte Zeit

Das hängt von der Komplexität der Website ab, aber das Zurücksetzen der Passwörter und das Versenden einer E-Mail an die Benutzer über Ihre Absicht sollte 15–20 Minuten dauern. Fügen Sie weitere fünf Minuten hinzu, um ein Sicherheits-Plugin einzurichten, das nach komplexen Passwörtern fragt.

Halten Sie alles auf dem neuesten Stand

Eine Armee talentierter Entwickler tut ihr Bestes, um WordPress kontinuierlich zu einer sichereren Umgebung zu machen. Umgekehrt versucht eine größere Armee erfahrener Hacker alles, um eine Schwachstelle im WordPress-Kern, einem Plugin oder Theme zu identifizieren.

Nichts von Menschenhand geschaffenes ist perfekt, daher ist jedes Produkt bis zu einem gewissen Grad hackbar. Ja, Hacker können in Ihre Website eindringen, selbst wenn Sie alles aktualisieren. Aber Sie optimieren ihre Arbeit, indem Sie alte Versionen des WordPress-Kerns, der Themes und Plugins verwenden.

Geschätzte Zeit

Hin und wieder dauert es weniger als eine Minute, diese Dinge zu aktualisieren. Durch die Nutzung eines Dienstes wie ManageWP können Sie Zeit sparen.

Entfernen Sie alles, was nicht verwendet wird

Jedes installierte, aber nicht verwendete Theme oder Plugin stellt aus Sicherheitsgründen eine zusätzliche Schwachstelle dar. Gehen Sie zu Ihrem Dashboard und sehen Sie sich die Plugins und Themes an, die Sie nicht verwendet haben. Entfernen Sie sie, um die Sicherheit Ihrer Website zu verbessern.

Bonus: Durch das Entfernen dieser ungenutzten Elemente wird Ihre Website schneller geladen!

Geschätzte Zeit – Das Entfernen nicht verwendeter Themes und Plugins dauert etwa eine Minute.

Benutzerverwaltung

Je mehr Privilegien Benutzer haben, desto unsicherer ist die Website. Überprüfen Sie von Zeit zu Zeit die Benutzer und legen Sie deren Rollen fest. Erstellen Sie beispielsweise kein Editor-Konto für einen Benutzer, der nur für die Erstellung von Inhalten verantwortlich ist.

Sehen Sie sich diesen WPBeginner-Leitfaden zu WordPress-Benutzerrollen und -Berechtigungen , bevor Sie Maßnahmen ergreifen.

Geschätzte Zeit

Dies hängt von der Komplexität der Website und der Anzahl der erstellten Konten ab. Es dauert jedoch etwa 15 Minuten, die Rolle jedes Benutzers zu bewerten und gegebenenfalls die Berechtigungen einzuschränken.

Deaktivieren Sie die Dateibearbeitung

Dieser Tipp ist auf Websites mit einer großen Anzahl von Benutzern wirkungsvoller. Der integrierte Editor ermöglicht es Benutzern (je nach Rolle), das Theme und die Plugins direkt über das WordPress-Dashboard zu bearbeiten. Allerdings ist es ein zweischneidiges Schwert.

Es ist zwar von unschätzbarem Wert, wenn Sie den Code optimieren müssen, aber es stellt eine große Sicherheitslücke dar. Es hängt stark von den Fähigkeiten der Benutzer ab, aber sie können (freiwillig oder unfreiwillig) Malware oder hinterhältige Codeschnipsel hinzufügen oder sogar Ihre Website zum Absturz bringen. Unterschätzen Sie niemals die Macht eines fehlenden Semikolons!

Die beste Lösung besteht darin, die Dateibearbeitung zu deaktivieren. Sie verzichten auf den Komfort, den Code direkt über das Dashboard zu ändern. Sie können jedoch sicher sein, dass ungeschulte Personen den Code nicht ändern.

Es ist ganz einfach, die Dateibearbeitung zu deaktivieren. Fügen Sie diese Codezeile in die Ihrer Website ein wp-config.php-Datei:

define( 'DISALLOW_FILE_EDIT', true );

Löschen Sie diese Codezeile, wenn Sie die Dateibearbeitung aktivieren möchten.

Geschätzte Zeit

Abhängig von Ihren Fähigkeiten dauert es ein bis fünf Minuten.

Wir richten dies für Sie ein, wenn wir das Premium-Sicherheits-Plugin konfigurieren, das wir allen unseren Kunden kostenlos zur Verfügung stellen.

Begrenzen Sie Anmeldeversuche

Begrenzen Sie Anmeldeversuche

Im Wesentlichen handelt es sich bei Brute-Force-Angriffen darum, dass ein Hacker versucht, die Anmeldeinformationen Ihrer Website zu erraten. Durch die manuelle Eingabe von Benutzernamen und Passwörtern ist es fast unmöglich, die richtigen Anmeldeinformationen zu erraten. Aber mit einer Software wurde es machbar. Es probiert Tausende von Kombinationen in nur einer Sekunde aus.

Sie können Ihrer Website eine weitere Sicherheitsebene hinzufügen, indem Sie die Anzahl der Anmeldeversuche begrenzen. Es ist ganz einfach: Installieren und aktivieren Sie ein Plugin. Limit Login Attempts Reloaded und WP Limit Login Attempts sind zwei Plugins, die von Tausenden zufriedener Benutzer ausprobiert und getestet wurden.

Geschätzte Zeit – Die Konfiguration eines Plugins, das Anmeldeversuche begrenzt, dauert zehn Minuten.

Wir richten dies für Sie ein, wenn wir das Premium-Sicherheits-Plugin konfigurieren, das wir allen unseren Kunden kostenlos zur Verfügung stellen.

Zusammenfassung

Es gibt keine zu 100 % unhackbare Website, aber die Anwendung der oben genannten Tipps reicht aus, um Ihre Website erheblich zu sichern.

Natürlich ist diese Checkliste nicht exklusiv. Es gibt viele andere Möglichkeiten, Ihre Website zu sichern. Erfahrene Benutzer könnten beispielsweise einige Codeschnipsel einfügen, um die Website für Hackerangriffe undurchdringlich zu machen.

Sind Sie daran interessiert, weiterführende Sicherheitstipps zu erfahren? Bitte lassen Sie es uns wissen und wir werden einen Sicherheitsleitfaden für fortgeschrittene Benutzer veröffentlichen.

Kommentare

Eine Antwort auf „WordPress-Sicherheitscheckliste für Website-Administratoren“

  1. Lindsey John Avatar
    Lindsey John

    Fantastische Checkliste für WordPress-Sicherheit! Es handelt sich um einen klaren, praktischen Leitfaden, den jeder Website-Administrator befolgen sollte, um die Sicherheit seiner Website zu gewährleisten. Vielen Dank, dass Sie Sicherheit so zugänglich machen!

Hinterlasse eine Antwort.

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *

Englisch