Die 5 häufigsten WordPress-Sicherheitsprobleme

Die 5 häufigsten WordPress-Sicherheitsprobleme

Die 5 häufigsten WordPress-Sicherheitsprobleme

Wenn Sie eine WordPress-basierte Webseite besitzen oder die Verwendung von WordPress als CMS in Betracht ziehen, sind Sie möglicherweise besorgt über potenzielle WordPress-Sicherheitsprobleme. In diesem Beitrag werden wir einige der häufigsten WordPress-Sicherheitsschwachstellen skizzieren, zusammen mit Schritten, die Sie ergreifen können, um Ihre WordPress-Seite zu schützen und zu schützen.

Ist WordPress denn überhaupt sicher?

Die Antwort auf die Frage “ist WordPress sicher?” hängt davon ab. WordPress selbst ist sehr sicher, solange die Besten Praxistipps der WordPress-Sicherheit eingehalten werden.

Nach dem neuesten Stand der Nutzung von Content Management Systemen Daten von W3Techs schaltet WordPress 34% aller Websites ab. Daher sind WordPress-Sicherheitsschwachstellen unvermeidlich, da nicht alle Benutzer vorsichtig, gründlich oder sicherheitsbewusst mit ihren Webseiten umgehen. Wenn ein Hacker einen Weg in eine der Hunderte von Millionen von WordPress-Webseiten im Web finden kann, wird er nach anderen Webseiten suchen, die auch unsichere Setups alter oder unsicherer Versionen von WordPress ausführen, und diese auch hacken.

WordPress läuft auf Open-Source-Code und verfügt über ein Team, das sich speziell damit beschäftigt, WordPress-Sicherheitsprobleme zu finden, zu identifizieren und zu beheben, die im Kerncode auftreten. Wenn Sicherheitsschwachstellen aufgedeckt werden, werden umgehend Korrekturen vorgenommen, um neue Sicherheitsprobleme in WordPress zu beheben. Deshalb ist es für die allgemeine Sicherheit Ihrer Webseite unglaublich wichtig, WordPress auf dem neuesten Stand zu halten.

Es ist wichtig zu beachten, dass WordPress-Sicherheitsschwachstellen über den WordPress-Kern hinaus auch die Themen oder Plugins umfassen, die Sie auf Ihrer Webseite installieren. Laut einem aktuellen Bericht von wpvulndb.com, von den 2.837 bekannten WordPress-Sicherheitsschwachstellen in ihrer Datenbank:

75% sind von WordPress Plugins.
14% sind von Core WordPress.
11% sind von WordPress Themen.

Die 5 häufigsten WordPress-Sicherheitsprobleme

Die häufigsten WordPress-Sicherheitsprobleme treten auf, bevor oder kurz nachdem Sicherheitsmängel bekannt wurden, die Ihre Webseite gefährden werden. Ziel eines Hacks ist es, sich auf Administratorebene unbefugten Zugriff auf Ihre WordPress-Seite zu verschaffen, entweder über das Frontend (Ihr WordPress-Dashboard) oder auf der Serverseite (durch Einfügen von Skripten oder bösartigen Dateien).

Hier sind die 5 häufigsten WordPress-Sicherheitsprobleme, die Sie kennen sollten:

1. Brute-Force-Angriffe

WordPress Brute-Force-Angriffe beziehen sich auf die Trial-and-Error-Methode, bei der mehrere Benutzernamen- und Passwort-Kombinationen immer wieder eingegeben werden, bis eine erfolgreiche Kombination entdeckt wird. Die Brute-Force-Angriffsmethode nutzt den einfachsten Weg, um Zugang zu Ihrer Webseite zu erhalten: Ihre WordPress Login-Seite.

WordPress begrenzt standardmäßig keine Anmeldeversuche, so dass Bots Ihre WordPress-Anmeldeseite mit der Brute-Force-Angriffsmethode angreifen können. Selbst wenn ein Brute-Force-Angriff erfolglos ist, kann er dennoch verheerende Auswirkungen auf Ihren Server haben, da Anmeldeversuche Ihr System überlasten und Ihre Webseite verlangsamen können. Während Sie unter einem Brute-Force-Angriff stehen, können einige Hosts Ihr Konto sperren, insbesondere wenn Sie sich auf einem Shared Hosting-Plan befinden, aufgrund der vorgenannten Systemüberlastungen.

2. Datei Einschleusung von schädlichem PHP-Code

Nach Brute-Force-Angriffen sind Schwachstellen im PHP-Code Ihrer WordPress-Webseite das zweithäufigste Sicherheitsproblem, das von Angreifern ausgenutzt werden kann. (PHP ist der Code, der Ihre WordPress-Webseite zusammen mit Ihren Plugins und Themen ausführt.)

Eine Ausnutzung von schädlichen Dateien treten auf, wenn verwundbarer Code (meist PHP-Code) zum Laden von Remote-Dateien verwendet wird, die es Angreifern ermöglichen, Zugriff auf Ihre Webseite zu erhalten. Die Ausnutzung zum Einschleusen von schädlichen Dateien ist eine der häufigsten Möglichkeiten, wie ein Angreifer Zugriff auf die wp-config.php-Datei Ihrer WordPress-Webseite erhalten kann, eine der wichtigsten Dateien in Ihrer WordPress-Installation.

3. SQL-Injektionen

Ihre WordPress Webseite verwendet für den Betrieb eine MySQL-Datenbank. SQL-Injektionen entstehen, wenn ein Angreifer Zugriff auf Ihre WordPress-Datenbank und alle Daten Ihrer Webseite erhält.

Mit einer SQL-Injektion kann ein Angreifer ein neues Benutzerkonto auf Administratorebene erstellen, mit dem er sich dann anmelden und vollen Zugriff auf Ihre WordPress-Webseite erhalten kann. SQL-Injektionen können auch verwendet werden, um neue Daten in Ihre Datenbank einzufügen, einschließlich Links zu bösartigen oder Spam-Webseiten.

4. Standortübergreifendes Scripting (XSS)

84% aller Sicherheitsrisiken im gesamten Internet werden als Cross-Site Scripting oder XSS-Angriffe bezeichnet. Cross-Site Scripting Schwachstellen sind die häufigste Schwachstelle in WordPress Plugins.

Der grundlegende Mechanismus von Cross-Site Scripting funktioniert so: Ein Angreifer findet einen Weg, ein Opfer dazu zu bringen, Webseiten mit unsicheren Javascript-Skripten zu laden. Diese Skripte laden ohne das Wissen des Besuchers und werden dann verwendet, um Daten von ihren Browsern zu stehlen. Ein Beispiel für einen Cross-Site Scripting-Angriff wäre ein entführtes Formular, das sich auf Ihrer Webseite zu befinden scheint. Wenn ein Benutzer Daten in dieses Formular eingibt, werden diese Daten gestohlen.

5. Malware

Malware, kurz für bösartige Software, ist ein Code, der verwendet wird, um unbefugten Zugriff auf eine Webseite zu erhalten, um sensible Daten zu sammeln. Eine gehackte WordPress-Seite bedeutet in der Regel, dass Malware in die Dateien Ihrer Webseite injiziert wurde. Wenn Sie also Malware auf Ihrer Webseite vermuten, werfen Sie einen Blick auf kürzlich geänderte Dateien.

Obwohl es Tausende von Arten von Malware-Infektionen im Internet gibt, ist WordPress nicht für alle anfällig. Die vier häufigsten WordPress-Malware-Infektionen sind:

Hintertüren (Backdoors)
Downloads im Hintergrund (Drive-by downloads)
Pharma-Hacks
Bösartige Umleitungen (Malicious redirects)

Jede dieser Schadprogrammtypen kann leicht identifiziert und bereinigt werden, indem entweder die bösartige Datei manuell entfernt, eine neue Version von WordPress installiert oder Ihre WordPress-Seite aus einem früheren, nicht infizierten Backup wiederhergestellt wird.

Was macht Ihre WordPress-Seite jetzt aber so anfällig für WordPress-Sicherheitsprobleme?

Mehrere Faktoren können Ihre WordPress-Seite anfälliger für erfolgreiche Angriffe machen.

1. Schwache Passwörter

Die Verwendung eines schwachen Passworts ist eine der größten Sicherheitsschwachstellen, die Sie leicht vermeiden können. Ihr WordPress-Administrationspasswort sollte stark sein und mehrere Arten von Zeichen, Symbolen oder Zahlen enthalten. Darüber hinaus sollte Ihr Passwort spezifisch für Ihre WordPress-Seite sein und nirgendwo sonst verwendet werden.

Sind Sie neugierig, ob Ihr Passwort kompromittiert wurde? Das iThemes Security-Plugin überprüft, ob Ihr Passwort bei einer Datenschutzverletzung aufgetreten ist. Ein Datenschutzverletzung ist in der Regel eine Liste von Benutzernamen, Passwörtern und oft auch anderen persönlichen Daten, die nach der Gefährdung einer Website offengelegt wurden. Mit der Einstellung Refuse Compromised Passwords können Sie kompromittierte Passwörter ablehnen und Benutzer zwingen, Passwörter zu verwenden, die nicht in Passwortverletzungen enthalten sind, die von der Have I Been Pwned API verfolgt werden.

2. Keine 2 Faktor Authentifizierung

Die weitere Verbesserung der Sicherheit Ihres WordPress-Webauftrittes ist die 2-Stufige Zugangskontrolle. Was bedeutet das? Zu allererst mehr Sicherheit, allerdings verbunden mit etwas mehr Aufwand. Aber das sollte es jedem Webseitenbesitzer wert sein. Denn eine gehackte, zerstörte WordPress-Seite bedeutet immensen Aufwand in Zeit und Geld. Vom Imageschaden mal ganz abgesehen. Hier kann ich das Plugin Two Faktor wärmstens empfehlen. Es lässt sich in wenigen Minuten leicht und bequem über den Menüpunkt -> Benutzer -> Dein Profil, einrichten. Siehe Bildschirm Ausdruck meiner Seite. Es wird ein Secret Key, dann an Deine Benutzer-E-Mail geschickt.

So sieht das Login-Fenster dann aus, nachdem Du dene Benutzereingabe mit Passwort gemacht hast.

3. WordPress, Plugins oder Themen nicht aktualisieren

Einfach ausgedrückt: Sie sind für einen Angriff gefährdet, wenn Sie veraltete Versionen von WordPress, Plugins und Themen auf Ihrer Webseite ausführen. Versionsupdates enthalten oft Patches für Sicherheitsprobleme im Code, daher ist es wichtig, immer die neueste Version der gesamten auf Ihrer WordPress-Webseite installierten Software auszuführen.

Updates werden in Ihrem WordPress Dashboard angezeigt, sobald sie verfügbar sind. Machen Sie es sich zur Gewohnheit, ein Backup auszuführen und dann alle verfügbaren Updates auszuführen, jedes Mal, wenn Sie sich auf Ihrer WordPress-Seite anmelden. Obwohl die Aufgabe, Updates auszuführen, unangenehm oder lästig erscheint, ist es einer der wichtigsten Praxistipps für die WordPress-Sicherheit.

4. Verwendung von Plugins und Themes aus nicht vertrauenswürdigen Quellen

Mangelhaft geschriebener, unsicherer oder veralteter Code ist eine der häufigsten Möglichkeiten, wie Angreifer Ihre WordPress-Webseite nutzen können. Da Plugins und Themen potenzielle Quellen für Sicherheitsschwachstellen sind, sollten Sie als den besten Praxistipps im Bereich Sicherheit nur Plugins und Themen von seriösen Quellen herunterladen und installieren, z.B. aus dem WordPress.org-Repository oder von Premium-Unternehmen, die seit einiger Zeit im Geschäft sind. Vermeiden Sie auch Bootleg oder torrentierte “kostenlose” Versionen von Premium-Themen und Plugins, da die Dateien möglicherweise so verändert wurden, dass sie Malware enthalten. Die Kosten für diese “kostenlosen” Plugins und Themen können auf Kosten der Sicherheit Ihrer Webseite gehen.

5. Verwendung von leistungsschwacher Server Qualität oder Shared Hosting

Da der Server, auf dem sich Ihre WordPress-Webseite befindet, ein Ziel für Angreifer ist, kann die Verwendung von qualitativ schlechtem oder von zu vielen, gemeinsam genutztem Hosting Ihre Webseite anfälliger für Kompromisse machen. Während alle Hosts Vorkehrungen treffen, um ihre Server zu schützen, sind nicht alle so wachsam oder setzen die neuesten Sicherheitsmaßnahmen zum Schutz von Webseiten auf Serverebene um.

Shared Hosting kann auch ein Problem sein, da mehrere Webseiten auf einem einzigen Server gespeichert sind. Wenn eine Webseite gehackt wird, können Angreifer auch Zugang zu anderen Webseiten und deren Daten erhalten. Während die Verwendung eines VPS oder Virtual Private Servers teurer ist, stellt sie sicher, dass Ihre Webseite auf einem eigenen Server gespeichert ist.

4. Verwendung von Plugins und Themes aus nicht vertrauenswürdigen Quellen

Updates werden in Ihrem WordPress Dashboard angezeigt, sobald sie verfügbar sind. Machen Sie es sich zur Gewohnheit, ein Backup auszuführen und dann alle verfügbaren Updates auszuführen, jedes Mal, wenn Sie sich auf Ihrer WordPress-Seite anmelden. Obwohl die Aufgabe, Updates auszuführen, unangenehm oder lästig erscheint, ist es einer der wesentlichsten Praxistipps für die WordPress-Sicherheit.

8 Maßnahmen, die Sie heute ergreifen können, um Ihre WordPress-Seite zu schützen.

1. Verwenden Sie für jedes Online-Konto ein sicheres Passwort.

Wenn Sie zurzeit ein Passwort verwenden, das weniger als 6 Zeichen lang ist, ändern Sie es jetzt. Wenn Sie aktuell ein Passwort für mehr als ein Login verwenden, ändern Sie es jetzt. Wenn Sie das gleiche Passwort seit mehr als sechs Monaten haben, ändern Sie es jetzt. Wenn Sie ein Passwort für mehrere Online-Konten wiederverwenden, ändern Sie es jetzt.

Beginnen Sie, gute WordPress-Passwortsicherheit zu praktizieren, besonders wenn Sie ein Admin-Benutzer sind. Um die Passwortverwaltung zu erleichtern, verwenden Sie einen Passwortmanager wie LastPass. Er ist für die meisten Anwendungen gratis nutzbar. Ich selbst benutze ihn schon seit fast 8 Jahren erfolgreich und möchte ihn nicht mehr missen.

2. Installieren Sie ein WordPress Sicherheits-Plugin

Die Verwendung eines WordPress Sicherheits-Plugins ist eine gute Möglichkeit, sich um zusätzliche Sicherheitsmaßnahmen auf Ihrer WordPress Webseite zu kümmern. iThemes Security bietet einen WordPress Sicherheits-Check mit einem Klick, der die wichtigsten und empfohlenen WordPress-Sicherheitseinstellungen aktiviert. Ein gutes WordPress Sicherheits-Plugin kann die eher technischen Aspekte der Sicherheit Ihrer Webseite behandeln, so dass Sie kein Sicherheitsexperte sein müssen, um eines zu verwenden.

Besuchen Sie iThemes Security um mehr als 30 Möglichkeiten kennen zu lernen und so Ihre Webseite mit einem benutzerfreundlichen Plugin zu schützen. Mit iThemes Security können Sie auch die Sicherheitsaktivitäten Ihrer Webseite mit einem WordPress Sicherheits-Dashboard in Echtzeit überwachen.

3. Aktivieren Sie WordPress Zwei-Faktor-Authentifizierung.

Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Schutzebene für Ihr WordPress-Login. Zusätzlich zu Ihrem Passwort wird ein zusätzlicher zeitsensibler Code von einem anderen Gerät wie Ihrem Smartphone oder Ihrer Admin-E_Mail-Adresse bereitgestellt, um sich anzumelden. Die Zwei-Faktor-Authentifizierung ist eine der besten Möglichkeiten, Ihr WordPress-Login zu sperren und minimiert das Potenzial erfolgreicher Brute-Force-Angriffe nahezu vollständig.

Verwenden Sie das Plugin Two-Factor, um eine Zwei-Faktor-Authentifizierung in WordPress zu aktivieren.

4. Bringen Sie Ihre WordPress-Seite regelmäßig auf den neuesten Stand.

Nochmals: Die Aktualisierung Ihrer WordPress-Seite ist eine der besten Möglichkeiten, um potenzielle WordPress-Sicherheitsprobleme zu vermeiden. Melden Sie sich jetzt auf Ihrer WordPress-Seite an und führen Sie alle verfügbaren Updates für WordPress Core, Ihre Themen oder Plugins aus. Wenn Sie Premium-WordPress-Plugins oder -Themen verwenden, stellen Sie sicher, dass Sie über eine aktuelle Lizenz verfügen, um sicherzustellen, dass Sie Updates erhalten und keine veralteten Versionen ausführen.

Eventuell können Sie iThemes Sync Pro verwenden, um mehrere WordPress-Seiten von einem zentralen Dashboard aus zu verwalten. Testen Sie es hier 30 Tage lang gratis.

5. Richten Sie die richtigen Berechtigungen auf Ihrem Server ein.

Stellen Sie sicher, dass die richtigen Berechtigungen für alle Verzeichnisse auf Ihrem Server festgelegt sind. Richtige Berechtigungen bestimmen, wer die Berechtigung hat, Dateien zu lesen, zu erstellen und zu bearbeiten.

Zahlreiche Hoster bieten ihnen bereits eine gute Sicherheit. Bit-Palast bietet eine tolle Möglichkeit deine WordPress-Webseite optimal abzusichern. Unten siehst Du einen Ausdruck aus meinem Server:

6. Haben Sie einen zuverlässigen WordPress Backup-Plan?

Ein WordPress Backup-Plan ist ein wichtiger Bestandteil Ihrer WordPress-Sicherheitsstrategie. Richten Sie geplante Backups für die Ausführung ein und stellen Sie sicher, dass Sie Ihre Backups sicher außerhalb des Standorts an einen sicheren, entfernten WordPress Backup-Standort senden. Stellen Sie außerdem sicher, dass Ihre Backup-Strategie über eine Wiederherstellungskomponente verfügt, falls Sie Ihre Webseite aus einem sauberen Backup wiederherstellen müssen.

Verwenden Sie das kostenlose WordPress Backup-Plugin Updraft Plus für Echtzeit-WordPress-Backups.

7. Aktivieren Sie bei WordPress einen Brute Force Schutz

Der Schutz vor Brute-Force-Angriffen ist eine weitere Möglichkeit, potenzielle Schwachstellen oder Serverüberlastungen zu reduzieren. Verwenden Sie einen Dienst, der sowohl lokalen als auch netzwerkbasierten Brute-Force-Schutz beinhaltet, um Benutzern, die versucht haben, in andere Websites einzudringen, den Zugriff auf Ihre Webseiten zu verwehren.

Tipp: Verwenden Sie den WordPress Brute-Force-Schutz von WP-Cerber da dieses die Zugriffe auf Ihren Login zeitlich begrenzen kann und nutzen Sie wie unter Punkt 5 einen zuverlässigen Server wie Bitpalast® Business Booster Deutsch

Fazit:

Zuerst einmal 100 % Sicherheit gibt es nicht. Wenn Sie jedoch diese Punkte genau beherzigen. Dann können sie relativ beruhigt schlafen. Sollten Sie jedoch Problem oder Fragen haben dann schreiben Sie mir, ich helfe ihnen so gut ich kann.

Wie man seine WordPress-Seite absichert

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber viele Anwender vergessen oft einen Faktor – die Sicherheit. In diesem Artikel gehen wir die Vor- und Nachteile von WordPress-Sicherheit im Detail durch und geben Ihnen Tipps, wie Sie Ihre Webseite sicherer machen können.

Die Erstellung einer eigenen WordPress-Seite ist sowohl spannend als auch großartig. Es gibt viel zu tun, um alles einzurichten, von der Auswahl eines Themas bis zum Schreiben Ihres ersten Blog-Posts. Doch der eine Faktor, den viele Menschen vernachlässigen, ist die Sicherheit.

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber es kommt mit einigen Einschränkungen. Hacker nutzen gerne die Vorteile relativ unerfahrener Benutzer und versuchen neue Webseiten zu anzugreifen. Sie tun dies, um Zugang zu sensiblen Informationen zu erhalten oder diese Ihre Webseite zu nutzen, um Malware an ahnungslose Besucher zu verbreiten.

Schließlich betreibt WordPress fast 35% des Internets. Das bedeutet, dass mehr als ein Drittel aller Webseiten ähnliche Schwachstellen aufweisen, was es zu einem lukrativen Ziel für Hacker macht. Ist WordPress also immer noch wirklich die Verwendung wert? Öffnen wir so nicht einfach eine Tür, um dann von Hacker gekidnappt zu werden? Es ist natürlich die WordPress-Seite gemeint!

Die Wahrheit ist, mit dem richtigen Wissen, dass die Verwendung von WordPress wohl genauso sicher, wenn nicht sogar sicherer ist, als die Erstellung einer eigenen Webseite. Es ist unmöglich, eine unüberwindbare Webseite zu entwickeln, die nie wieder verletzt wird. Selbst wenn Sie versuchen, Ihre eigene Webseite von Grund auf neu zu erstellen, denken Sie daran, dass Sie auf sich allein gestellt sind.

WordPress-Benutzer haben Zugriff auf Hunderte von Ressourcen, wie diese, die helfen können, Sicherheitslücken zu schließen, was sie fast undurchdringlich macht. Lassen Sie uns die Vor- und Nachteile der WordPress-Sicherheit im Detail durchgehen und einige Tipps geben, wie Sie Ihre Webseite sicherer machen können.

WordPress: Ist ein Open-Source-Produkt wirklich sicher?

WordPress ist Open Source, was bedeutet, dass der Code, der Ihre Webseite betreibt, frei ist und von jedem überprüft werden kann, der dies möchte. Dazu gehören auch Hacker, die nach Schwachstellen suchen, die sie ausnutzen können. Ist es in diesem Zusammenhang sicher, Open-Source-Plattformen zu verwenden?

Die Verwendung von Open-Source-Plattformen kann viel sicherer sein als die Erstellung einer eigenen Webseite, insbesondere wenn Sie keine Ahnung haben, was Sie tun. Viele Programmierer werden verstehen, wie man ein sicheres System erstellt, aber oft müssen Sie einen Sicherheitsingenieur beauftragen, um vollständig geschützt zu sein. Und selbst dann müssen Sie Ihren eigenen Code pflegen und aktualisieren und das ist teuer.

WordPress – Code wird nicht nur von Hackern durchsucht. Es wird auch vom WordPress-Sicherheitsteam, freiwilligen Entwicklern, ethischen White Hat Hackern (das sind die Guten) und anderen interessierten Parteien mit guten Absichten gepflegt. Selbst wenn also etwas durchschlüpft, besteht eine gute Chance, dass es schnell gefunden wird.

Die meisten Sicherheitsverletzungen werden nicht einmal durch eine Schwachstelle in einer aktuellen WordPress-Installation verursacht. Sie entstehen, weil Menschen WordPress und seine Plugins nicht auf dem neuesten Stand halten, bösartige Software versehentlich installieren oder unsichere Passwörter verwenden. Wenn Sie gute Praktiken befolgen, stehen die Chancen gut, dass Sie vollkommen sicher sind.

Lassen Sie uns jedoch auf einige der Dinge eingehen, die Sie zum Schutz Ihrer WordPress-Seite tun können.

Wählen Sie SICHERES Hosting

Ein Hauptfaktor für diese Sicherheitsschwachstellen ist das qualitativ schlechte Hosting.

Investieren Sie in einen Hosting-Anbieter, der großen Wert auf Sicherheit legt. Sie tun sich selbst keinen Gefallen, wenn Sie das Gefühl haben, dass die billigere Hosting-Kosten die Sicherheit überwiegen. Ein Teil Ihrer Marktforschung muss die Überprüfung der Sicherheitsdaten des Hosting-Unternehmens beinhalten. Sind sie sicherheitsbewusst? Setzen sie auf neueste Technologien und Standards?

Dies gilt auch für Shared Hosting. Es ist zwar eine preiswertere Option, bedeutet aber auch, dass Sie sich den Serverplatz mit anderen Kunden teilen. Leider reicht es aus, wenn eine Website infiziert wird und sich die Malware über alle Standorte im Netzwerk verbreitet.

Aus diesem Grund sollten wir ein Upgrade auf Cloud, VPS oder Dedicated Hosting in Betracht ziehen, wenn Sie es sich leisten können.

Darüber hinaus sollten Sie nach einem Host suchen, der die folgenden Dienstleistungen anbietet:

Modernste Serversoftware – Zu viele Hosts laufen noch auf PHP 5, das lange keinen Support mehr hat. Zu diesem Zeitpunkt sollten Server mindestens PHP 7.0+ verwenden. Das Gleiche gilt für andere Software wie cPanel, Plesk, MySQL oder andere Datenbankprogramme und das Betriebssystem.
Malware-Überwachung und -Entfernung – Wählen Sie einen Host, der sich aktiv darum bemüht, Malware-Infektionen zu erkennen und zu verhindern, und bietet möglicherweise Malware-Scans und -Entfernung für den Fall, dass Sie verletzt werden. Nicht alle Webhosts haben eine Richtlinie zum Entfernen von Malware von einer infizierten Webseite, und unter denjenigen, die dies tun, werden einige zusätzliche Gebühren für diesen Dienst erheben.
Firewalls und andere Sicherheitsmaßnahmen – Es gibt viele Möglichkeiten, wie Hosting-Provider ihre Serversicherheit erhöhen können. Möglicherweise ist die effektivste unter ihnen, sich auf eine Firewall zu verlassen, da sie den unbefugten Zugriff von außen auf den Server verhindert. Es könnte eine gute Idee sein, vor einer Entscheidung zu prüfen, ob ein Anbieter über dieses und andere Präventionsmittel verfügt.

Ein SSL-Zertifikat installieren

Ein Secure Sockets Layer (SSL)-Zertifikat verschlüsselt die zwischen dem Benutzer und Ihrer Website bereitgestellten Daten. Dies ist etwas, das vielleicht entscheidend für Websites ist, auf denen Benutzer Zahlungsinformationen austauschen, und weniger relevant für informative Blogging-Websites.

SSL gewährt Ihnen eine HTTPS-URL und ein dazugehöriges Zertifikat, ohne das Benutzer beim Besuch unserer Website eine rote “Nicht gesicherte” Benachrichtigung in der Adressleiste erhalten. Tech-bewusste Besucher werden wissen, dass dies kein Risiko darstellt, wenn sie nur surfen, aber es wird definitiv viele andere abschrecken.

Im Laufe der Jahre haben SSL-Zertifikate Vertrauen unter den Benutzern aufgebaut und sagen ihnen praktisch, dass unsere Identität von einem vertrauenswürdigen Anbieter verifiziert und authentifiziert wird. Es wird uns nicht direkt daran hindern, gehackt zu werden, aber es ist trotzdem gut zu haben. Wenn Ihre Website Informationen über Formulare, für Zahlungen usw. sammelt, müssen Sie unbedingt eine erhalten.

Let’s Encrypt! ist derzeit der beliebteste und kostenlose Anbieter von SSL-Zertifizierungen und bei vielen Providern bereits zu bekommen. Plugins wie Really Simple SSL können Ihnen helfen, das Zertifikat einzurichten und HTTPS zum Laufen zu bringen.

Sichern Sie Ihre Website

Bevor Sie überhaupt anfangen, Änderungen an Ihrer Webseite vorzunehmen, bevor Sie WordPress aktualisieren oder ein Plugin installieren, sollten Sie als allererstes Ihre Backups einrichten. Auf diese Weise, egal was der schlimmste Fall ist, eine versehentliche Änderung des Codes, WordPress-Fehler, eine beschädigte Datenbank – wir haben eine Lösung.

Selbst wenn unsere Webseite gehackt wird und der Schaden irreparabel ist, müssen wir sie nicht von Grund auf neu bauen.

Manuelle Backups, das Kopieren von Dateien und deren manuelle Übertragung auf Festplatte oder Cloud sind kostenlos, aber zeitaufwändig. Stimmt, wir können dies so oft (einmal am Tag) oder so selten tun, wie wir wollen. Obwohl ein Backup, das alle 6 Monate durchgeführt wird, ein wenig riskant sein kann.

Überprüfen Sie, ob Ihr Host wöchentliche, monatliche oder tägliche automatische Backups anbietet. Dieser Service ist in der Regel kommerziell, aber gelegentlich kostenlos. Wenn dies der Fall ist und Ihr Host sowohl Ihre Dateien als auch Ihre Datenbank sichert, müssen Sie nichts anderes tun. Obwohl es eine gute Idee sein kann, ein paar manuelle Backups für alle Fälle aufzubewahren.

WordPress Backup Plugins

Wenn Ihr Host keine Webseiten-Backups anbietet oder wenn das von Ihrem Host bereitgestellte Backup Dateien oder Ihre Datenbank ausschließt, können Sie sich auch auf Plugins verlassen.

Es ist eine gute Idee, zumindest eine solide Lösung für jede Webseite zu haben, die Sie besitzen oder verwalten, und WordPress Backup-Plugins können diese zusätzliche Sicherheit bieten.

iThemes ist ein gutes Beispiel dafür. Dieses Sicherheits-Plugin bietet kostenlose Datenbank-Backups sowie eine Reihe von Tools und Patches. Das zugehörige kostenpflichtige Plugin BackupBuddy ermöglicht es Ihnen, auch ein vollständiges Standortbackup durchzuführen.

Kostenlose oder Freemium-Plugins wie UpdraftPlus, BackUpWordPress erledigen die Arbeit ebenfalls effizient und sind einen Besuch wert.

Denken Sie daran, dass Sie auch dann, wenn Sie sich für ein Backup-Plugin entscheiden, ein Sicherheits-Plugin benötigen, z.B. WP-Cerber, iThemes-Security oder Wordfence, wenn Sie sicher bleiben wollen.

Warten Sie nicht, bis es zu spät ist. Die Einrichtung Ihrer Sicherheit in letzter Sekunde ist so effektiv wie die Reparatur der Löcher in Ihrem Dach während eines Regensturms.

Wenn Sie etwa eine Stunde damit verbringen, Ihre Backups und Ihre Sicherheit einzurichten, sparen Sie Monate, vielleicht sogar Jahre an Arbeit.

Halten Sie Ihre Plugins und Ihr Design auf dem neuesten Stand.

Wenn Sie einen guten Host ausgewählt haben und Ihre Backups eingerichtet sind, verfügen Sie über eine ziemlich gute Sicherheitsinfrastruktur. Aber es gibt noch ein paar weitere Dinge, die Sie tun sollten, um Ihre Webseite vollständig zu schützen.

Ein veraltetes Plugin oder ein unsicheres Design ist das riesige Einfallstor für die Infiltration von Schadsoftware in Ihrer Webseite. Sie auf dem neuesten Stand zu halten, hilft, potenzielle Lücken zu schließen und verhindert so, dass dies geschieht.

Das Aktualisieren Ihrer Webseiten-Komponenten ist so einfach wie das Aufrufen Ihres WP-Admin-Dashboards und das Suchen nach Update-Benachrichtigungen unter Dashboard > Updates.

Markieren Sie alle Themen oder Plugins, die Sie aktualisieren möchten, indem Sie die Kästchen ankreuzen und dann auf die Schaltfläche oben/unten klicken, um mit der Aktualisierung zu beginnen. Wenn Sie es sich zur Gewohnheit gemacht haben, diese Warnungen zu ignorieren, ist es an der Zeit, aufzuhören.

Wie Sie wissen, können Plugins und Designs über die Registerkarten Plugins und Themes aktualisiert werden. Jedoch nicht alle Themen von Premium-Drittanbietern unterstützen automatische Updates, so dass Sie vielleicht ab und zu ihre Webseite überprüfen sollten.

Wichtiger als das Aktualisieren Ihrer Plugins und Designs ist es, WordPress selbst auf dem neuesten Stand zu halten.

39% der gehackten WordPress-Seiten waren veraltet. Manchmal müssen Sie ein Update entfernen, weil es ein von Ihnen verwendetes Plugin stören kann, aber irgendwann müssen Sie das Plugin löschen, um Ihre Webseite zu speichern. WordPress monatelang veraltet zu lassen, ist möglicherweise das Schlimmste, was Sie tun können.

(Profi-Tipp: Sichern Sie Ihre Webseite immer, bevor Sie Updates einführen. Nur für den Fall, dass es Probleme gibt.)

Wenn Sie schon dabei sind, sollten Sie vielleicht die Versionsnummer aus Ihrem Quellcode entfernen.

Standardmäßig enthalten WordPress-Webseiten ein Meta-Tag mit der WordPress-Versionsnummer, welche die Website verwendet. Wir sind uns mit den Sicherheitsspezialisten darüber einig sein, dass dies Hackern das Leben zu einfach macht.

Sie können die Versionsnummer von WordPress manuell entfernen, indem Sie einen einfachen Code in Ihre functions.php-Datei einfügen. Wenn Sie, wie von uns vorgeschlagen, ein WordPress-Sicherheitsplugin verwenden, verstecken viele von ihnen Ihre WP-Version automatisch. Wenn Sie die Verwendung eines Performance-Plugins in Betracht ziehen, bietet das Perfmatters-Plugin auch die Möglichkeit, die WP-Version zu verstecken.

Plugins und Themes aus zuverlässigen Quellen installieren

Ein weiterer riesiger Fehler der meisten WordPress-Benutzern ist es, ihre Plugins und Designs von unzuverlässigen Anbietern zu holen. Ein schlechtes Design oder Plugin kann Malware in Ihre Seiten eindringen lassen, sie beschädigen oder verunstalten.

Webseiten und Entwickler von Drittanbietern werden von WordPress nicht unterstützt und so weiß man nie, was man erhält. Es wäre sehr zuverlässig, alles zu vermeiden, was von unbekannten Webseiten kommt. Wenn das betreffende Plugin viele positive Bewertungen hat und beliebt zu sein scheint, sollte es sicher genug sein, um installiert zu werden.

Schlechte Plugins können leicht mal durch das Raster rutschen.

Auch wenn sich ein Plugin im offiziellen Verzeichnis von WordPress befindet, ist es nicht garantiert sicher. Bevor Sie etwas aus dem Repository herunterladen, werfen Sie einen Blick auf die Statistiken, die in der Seitenleiste rechts auf der Seite aufgelistet sind. So vermeiden Sie es, Plugins herunterzuladen, die im letzten Jahr nicht aktualisiert wurden oder wichtiger noch, weniger als ein paar hundert Installationen haben oder niedrige Bewertungen erhalten haben.

Das vorher gesagte gilt natürlich ebenso für Themen. WordPress bietet einige Themen im Themen-Repository an (einschließlich des Elementor eigenen Hello-Themes, welches extrem einfach ist). Wenn Sie wie viele andere Benutzer nach mehr Vielfalt suchen, sollten Sie Ihre Designs nur von Anbietern und Entwicklern kaufen, die in der Community vertrauenswürdig und bekannt sind.

Sie sollten “nulled” WordPress Plugins und Themes vermeiden. Nulled Software ist ein Begriff für Premium-Plugins, die kostenlos und ohne Genehmigung verteilt werden.

Abgesehen davon, dass sie fragwürdig und möglicherweise illegal sind, stellen nulled Themen und Plugins ein großes Sicherheitsrisiko dar. Indem man sich auf einen Entwickler verlässt, der bereits unethisch handelt, um Malware nicht in den Code aufzunehmen, ist es ungefähr so sinnvoll wie eine Maus zu bitten, auf Ihren Käse auf zu passen.

Einige ausgesonderte Händler verwenden Code, der dazu führt, dass übermäßige Anzeigen auf Ihrer Webseite erscheinen, Malware verbreitet oder Ihre Datenbank völlig beschädigt wird. Außerdem haben Sie keinen Zugriff auf Updates, was Sie anfällig für Angriffe machen kann, wenn die Software veraltet ist.

Alles in allem ist es in Ihrem eigensten Interesse, nulled Plugins zu vermeiden und nur Software aus dem WordPress Repository oder von vertrauenswürdige Anbieter zu installieren.

Dateibearbeitung durch den Code-Editor deaktivieren

WordPress wird mit teilweise einer Reihe von leicht zugänglichen Themen- und Plugin-Editoren geliefert. Sie finden sie unter Erscheinungsbild > Theme Editor und Plugins > Plugin Editor. Diese ermöglichen den direkten Zugriff auf den Code Ihrer Webseite.

Allerdings wird die Bearbeitung vielfach heute schon komplett ausgeschlossen. es sei denn Sie verwenden ein WordPress-Standard-Theme.

Ich selbst habe bei meinen ca. 50 WordPress-Webseiten den Zugang zum Editor nicht mehr gefunden.

Während diese Tools für einige Spezialisten eventuell nützlich sind, sind viele WordPress-Benutzer keine Programmierer und müssen und sollten hier nie etwas verändern. Mit diesem Code herumzuspielen, ohne zu wissen, was Sie tun, ist ein sicherer Weg, um Teile Ihrer Webseite zu zerstören oder gar unbrauchbar zu machen. Wenn Sie ein einfacher Nutzer sind, ist es am besten, die Dateibearbeitung einfach zu deaktivieren, da Hacker den Datei-Editor verwenden können, um schnell schädlichen Code auszuführen oder ganze Teile Ihrer Webseite zu löschen. Wenn Sie den Editor, falls noch vorhanden, deaktivieren, werden sie langsamer.

Sie können auch den Theme- und Plugin-Editor mit einer Zeile Code in Datei wp-config.php, auf Ihrem Server deaktivieren. Wenn Sie Ihre Webseite oder Plugins bearbeiten müssen, schalten Sie sie einfach vorübergehend wieder ein. Alternativ können Sie sie auch über einen FTP-Client bearbeiten.

Das Deaktivieren der Dateibearbeitung verhindert nicht unbedingt, dass Angreifer Schaden anrichten, aber es kann weniger erfahrene Hacker verwirren und sie aufhalten. Zumindest wird es das für sie etwas schwieriger machen und uns mehr Zeit geben, zu erkennen, dass etwas nicht stimmt.

Sichern Sie Ihren Login-Prozess zusätzlich ab.

Wenn jemand Ihr Passwort herausfindet, ohne auf die Nutzung des Codes der Webseite zurückzugreifen, ist es höchstwahrscheinlich das Ergebnis von Brute-Force-Angriffen. Dabei werden verschiedene Kombinationen von Buchstaben und Zahlen gewaltsam ausprobiert, bis das Passwort stimmt.

Manchmal versucht ein potenzieller Angreifer häufige Kombinationen, bevor er zur Verwendung von Programmen übergeht, führt er einen automatisierten Prozess aus, der mehrere zufällige Passwortkombinationen pro Sekunde ausprobiert.

Wenn Sie anfangen, sich so zu fühlen, als ob Sie genauso gut jede Hoffnung aufgeben könnten, Ihre Seiten sicher zu machen, dann tun Sie es nicht. Es gibt unzählige Möglichkeiten, Hacker zu abzustoppen, abzuschrecken und sogar Angreifer daran zu hindern, Dinge wie Brute-Force-Angriffe durchzuführen.

Die Standardinstallation von WordPress basiert jedes Mal auf einem ähnlichen Anmeldepfad. Dies ist ein primäres und einfaches Ziel für Hacker, die gängigsten oder leicht zu erratenden Passwörter ausprobieren.

Der Grund, warum so viele Menschen WordPress weiterhin verwenden, ist, dass viele dieser Probleme ganz leicht zu beheben sind.

Erstellen Sie eine starke, sichere Login-Kombination

Der erste und wichtigste Schritt ist die Wahl eines geeigneten Benutzernamens und Passworts. Wir könnten die Anmeldeseite unter einer anderen URL verstecken, aber wenn Ihr Login etwas so Alltägliches wie admin/password ist, würde es keinen Unterschied machen, da es Hacker schnellstens herausfinden.

Hier ist eine Liste von Benutzernamen, die Sie unbedingt vermeiden sollten.

Admin – Dies war früher der Standardbenutzername für WordPress und ist daher einer, der definitiv bei einem Brute-Force-Angriff ausprobiert wird.
Aus meiner Sicht ist, so zeigt es meine Erfahrung er letzten Jahre, ist der zweithäufigste Begriff [login].
Darüber hinaus Ihr richtiger Name oder Spitzname – Das sind sowohl öffentliche Informationen als auch so leicht zu erraten wie “admin”. Darüber hinaus kann es sinnvoll sein, ein eigenes Profil ohne Administratorrechte für die Veröffentlichung von Inhalten zu erstellen. Auf diese Weise erscheint der Benutzername des Haupt-Logins nicht auf der Website.
Alle persönlichen Daten – einschließlich Geburtstag, etc. Verwenden Sie ein persönliches Detail nur dann, wenn es etwas ist, das niemand je erfahren könnte.
Der Titel Ihrer Webseite, oder etwas, das offensichtlich damit zusammenhängt – “Kätzchen” für eine Katzenpatenschaft, etc.

Sie müssen auch ein sicheres Passwort wählen. Die allgemeine und wichtigste Aussage dabei ist dieselbe: Vermeiden Sie persönliche Informationen, offensichtliche Entscheidungen wie “Passwort” oder alles, was eindeutig mit Ihrer Webseite zu tun hat.

Ein sicheres Passwort besteht aus mehr als 10 Zeichen, besser 18 Zeichen, verwenden Sie eine Vielzahl von Zeichen, wie Groß-, Kleinschreibung, Zahlen, Sonderzeichen und vermeiden Sie häufige Wörter und Phrasen. Die besten Passwörter sind eine lange Reihe von völlig zufälligen Buchstaben, Zahlen und Symbolen, die niemand erraten konnte.

Experten haben errechnet, dass bei einem sicheren Passwort ab 8 Zeichen mit einer Kombination aus Zahlen und Groß- sowie Kleinbuchstaben ein Computer-Angreifer bei zehn Angriffe pro Sekunde – 692.352 Jahre brauchen würde, um sämtliche Kombinationen durchzuprobieren.

Dienste wie Secure Password Generator können Ihnen helfen, diese zu erstellen.

Wenn es Ihnen schwer fällt, sich an Ihre Login-Daten zu erinnern, sollten Sie einen Dienst wie LastPass in Betracht ziehen.

Diesen Dienst nutze ich seit Jahren und er ist kostenlos auf Ihrem Rechner nutzbar. Es gibt auch einen kostenpflichtigen Account, der dann überall auf Handy und Tablet zu nutzen ist. Ich bin damit sehr zufrieden und halte es für das beste Tool. Seit diesem Tag habe ich keine Probleme mehr mit schwachen Passwörter und keiner meiner zahlreichen Accounts wurde bisher geknackt. Also TOP und WICHTIG.

Sperren Sie Ihre Login-Seite.

Standardmäßig kann sich jeder auf Ihrer Website anmelden, indem er zu ihre-Webseite.de/wp-admin geht. Sie können sie ihren Spuren verwischen, indem Sie die URL komplett ändern. WPS Hide Login ermöglicht es Ihnen beispielsweise, das zu ändern, wenn Sie das wollen. Installieren Sie es einfach und gehen zu den Plugin-Einstellungen, um es zu ändern.

Ich persönlich kann sagen zahlreiche Hacker nutzen einen anderen Weg zu Ihrem Login. Nur die zahlreichen kleinen Lichter nutzen den Weg so oder so und da hilft nur ein sehr gutes Passwort. Aber ganz wie Sie wollen, ist hier der Weg.

Sie sollten einen Login-Pfad verwenden, der nicht offensichtlich ist. Es könnte die Hacker ein wenig abschrecken, wenn Sie es in etwas wie /login oder /new-login ändern, aber wenn sie entschlossen sind, werden sie das ziemlich schnell herausfinden. Daher ist es besser, etwas sehr schwer zu erratendes wie /Dukommsstmir danichtrein zu wählen.

Als nächstes installieren Sie ein Plugin, um die Anmeldeversuche zu begrenzen. Jede Person kann Ihren Server mit Hunderten von Anfragen per Spam versenden, bis sie es für richtig hält. Ein Plugin, das Anmeldeversuche einschränkt, gibt ihnen nur wenige Chancen, bevor sie gesperrt werden. Es kann auch Bots erkennen und von Ihrer Login-Seite wegleiten.

Alternativ können Sie auch ein CAPTCHA aktivieren, um sie noch weiter zu verlangsamen.

An dieser Stelle werden die meisten Hacker nach einfacheren Zielen suchen. Sie können es weiter versuchen, sobald ihre Zeit abgelaufen ist, aber in dieser Zeit konnten wir unsere Serverprotokolle überprüfen, ihre Versuche, hineinzukommen, bemerken und ein IP-Verbot erlassen.

Sie können auch versuchen, die Cloudflare Rate Limiting zu nutzen. Diese erkennt automatisch Brute-Force- sowie DDoS-Angriffe und blockiert die dafür zuständigen IP-Adressen.

Der letzte Schritt besteht darin, eine zweistufige Authentifizierung mit einem Plugin einzurichten. Neben einem Benutzernamen und einem Passwort, um hineinzukommen, fragt es den Besucher nach einem dritten Authentifikator. Am häufigsten ist eine Textverifizierung einer Nachricht, die an Ihr Telefon gesendet wird. Ein Hacker könnte in der Lage sein, Zugriff auf Ihre E-Mail zu erhalten, aber es ist sehr unwahrscheinlich, dass sie Ihr Handy stehlen könnten.

TOP-Tip vom Profi: Ich setze dafür wp-Cerber erfolgreich ein. Das Plugin bietet fast alle gängigen Methoden an, wie Ip-Aussperrung, Login verändern, Aussperrung bei Brute-Force- sowie DDoS-Angriffe und vieles mehr.

Halten Sie WordPress sicher

Eine unberührte Installation von WordPress steht Angreifern offen. Die Vernachlässigung der Sicherheit macht Sie anfällig für Hacker, die Ihre Website verunstalten, löschen oder sogar mit Malware infizieren wollen.

Allerdings könnte ein Tag mit der Installation und Einrichtung der richtigen Security-Plugins und dem Ausfüllen all dieser kleinen Lücken den Ausschlag geben.

Indem Sie den Ratschlägen folgen, die wir Ihnen gegeben haben, wird Ihre Website weitaus sicherer vor Angreifern sein. Der große Teil ist, dass viele dieser Methoden “Set-it-and-forget-it”-Aktionen sind. Ändern Sie einfach eine Einstellung und Sie müssen nicht lange darüber nachdenken.

Zusammenfassend: Wählen Sie einen vertrauenswürdigen Host mit sicheren Servern, installieren Sie ein SSL-Zertifikat, wenn Sie Benutzerdaten sammeln, halten Sie Ihre Website gesichert und Ihre Installation und Themen auf dem neuesten Stand, und stellen Sie sicher, dass Sie über ein sicheres Login verfügen. Tun Sie all dies und Hacker, insbesondere Amateur-Hacker, werden am Tor gestoppt.

Wurde Ihre WordPress-Seite jemals gehackt? Wie haben Sie es geschafft, Ihre Website zurückzugewinnen und zu bereinigen? Wir würden uns freuen, Ihre Geschichte in den Kommentaren zu hören.

Die Top 5 Legenden über WordPress Sicherheit aufgedeckt

Die Top 5 Legenden über WordPress Sicherheit aufgedeckt

Im Internet begegnen Ihnen zahlreiche WordPress-Sicherheitshinweise von gut meinenden Menschen, die wirklich helfen wollen. Leider basieren einige dieser Ratschläge auf WordPress-Sicherheitslegenden und fügen Ihrer WordPress-Webseite eigentlich keine wirkliche Sicherheit hinzu. Tatsächlich können einige dieser WordPress Sicherheitstipps die Gefahr sogar erhöhen, dass Sie auf Probleme und Konflikte stoßen.

In diesem Beitrag und in dieser Infografik werden wir einige der gängigsten WordPress-Sicherheitsmythen zerschlagen, damit Sie einen sachkundigeren Einstieg in Ihre Website-Sicherheitsstrategie finden.

Die Top 5 Legenden über WordPress Sicherheit aus Tausenden von Support-Tickets

Wir haben viele WordPress-Sicherheitsmythen zur Auswahl auf iThemes-Security! Jedoch werden wir uns hier nur auf die Top 5 konzentrieren, die wir in über 20.000 Supporttickets gesehen haben. Diese Gespräche dienten als Grundlage für die folgenden Kriterien zur Auswahl der wichtigsten Legenden:

Die Häufigkeit, mit der die Legende erwähnt wurde.
Die Anzahl der Probleme, die diese Legende verursacht hat.
Das falsche Sicherheitsgefühl, das diese Legende vermittelt.

Legende 1: Du solltest deine /wp-admin oder /wp-login URL verstecken (auch bekannt als Hide Backend).

Die Idee hinter dem Verstecken des wp-admin ist, dass Hacker nicht hacken können, was sie nicht finden können. Wenn Ihre Anmelde-URL nicht die Standard-URL von WordPress /wp-admin/ ist, sind Sie dann nicht vor Brute-Force-Angriffen geschützt?Die Wahrheit ist, dass die meisten Hide Backend-Funktionen einfach Sicherheit durch Verstecken sind, was jedoch überhaupt keine absolut verlässliche Sicherheitsstrategie ist. Wenn gleich das Verstecken Ihrer Backend wp-admin-URL dazu beitragen kann, einige der Angriffe auf Ihre Anmelde-Seite zu mildern, wird dieser Ansatz die Meisten nicht davon abhalten.Wir erhalten häufig Supporttickets von Personen, die ratlos sind, wie iThemes Security Pro ungültige Anmeldeversuche doch meldet, auch wenn sie ihre Anmeldung versteckt haben. Das liegt daran, dass es neben der Verwendung eines Browsers, wie z.B. XML-RPC oder die REST-API, noch andere Möglichkeiten gibt, sich in Ihre WordPress-Seiten einzuloggen. Nachdem Sie die Anmelde-URL geändert haben, kann ein anderes Plugin oder Design noch auf die neue URL verweisen.Tatsächlich ändert die Funktion das Backend auszublenden, nicht wirklich etwas. Ja, es verhindert, dass die meisten Benutzer direkt auf die standardmäßige Anmelde-URL zugreifen können. Aber nachdem jemand die benutzerdefinierte Anmelde-URL eingegeben hat, wird er wieder auf die standardmäßige WordPress-Login-URL umgeleitet.Die Wahrheit ist, dass Sie die Backend-Login-Seite Ihrer WordPress-Website nicht vollständig ausblenden können. Wenn Sie die URL von wp-admin ändern würden, würden Sie Ihre Website unterbrechen. Alles, was Sie auf Ihrer Website installieren, einschließlich WordPress, geht davon aus, dass /wp-admin in der URL enthalten ist. Wenn Sie etwas so Grundlegendes wie das Erstellen eines Beitrags machen, müssen Sie den wp-Admin durchgehen, bevor Sie zu /wp-admin/post.php kommen.Es ist ebenfalls bekannt, dass das Anpassen der Anmelde-URL Konflikte verursacht. Es gibt einige Plugins, Themes oder Anwendungen von Drittanbietern, die den harten Code wp-login.php in ihre Codebasis aufnehmen. Wenn also eine fest programmierte Software nach ihresite.com/wp-login.php sucht, findet sie stattdessen einen Fehler.

Was Sie hingegen tun sollten:

Letztendlich gibt der Hide Backend-Ansatz den allermeisten Menschen ein falsches Sicherheitsgefühl, verwenden Sie daher besser solidere Sicherheitsmaßnahmen wie z.B. die WordPress Zwei-Faktor-Authentifizierung und verzichten auf potentiell bekannte gefährdete Passwörter.

Legende 2: Sie sollten besser Ihren Theme-Namen und Ihre WordPress-Versionsnummer verstecken.

Wenn Sie die Entwicklerwerkzeuge Ihres Browsers verwenden, können Sie ziemlich schnell den Theme-Namen und die WordPress-Versionsnummer auf einer WordPress-Seite sehen. Die Theorie hinter dem Verstecken Ihres Theme-Namens und der WP-Version ist, dass, wenn Angreifer diese Informationen haben, sie die Blaupause haben, um in Ihre Webseite einzudringen.

Wenn Sie sich zum Beispiel den Screenshot oben ansehen, können Sie sehen, dass diese Seite das Theme Twenty Seventeen verwendet und die WordPress-Version ist die 5.0.3.

Das Problem mit dieser Legende ist, dass es keinen wirklichen Typen hinter einer Tastatur gibt, der nach der perfekten Kombination aus Thema und WordPress-Versionsnummer sucht, um diese Webseite anzugreifen. Es gibt jedoch stumpfsinnige Bots (Computer Programme), die das Internet nach bekannten Schwachstellen im eigentlichen Code durchsuchen, der auf Ihrer Webseite läuft, so dass das Verstecken Ihres Theme-Namens und der WP-Versionsnummer Sie nicht schützt.

Was Sie hingegen tun sollten:

Anstatt sich Gedanken darüber zu machen, das Thema oder die Versionsnummer ihrer WordPress-Seite zu verstecken, ist es besser Sie halten Ihre WordPress-Software auf dem neuesten Stand, um sicherzustellen, dass Sie über die neuesten Sicherheitspatches verfügen. Müssen Sie mehrere WordPress-Seiten verwalten? Sparen Sie Zeit bei der Verwaltung der Updates mit einem Tool wie iThemes Sync.

Legende 3: Sie sollten Ihr wp-content Verzeichnis umbenennen.

Das Verzeichnis wp-content enthält Ihre Plugins, Themen und Medien-Uploads. Das massenhaft guter Inhalt und ausführbarer Code in einem Verzeichnis, so dass es verständlich ist, dass die Leute proaktiv sein wollen und alles tun, um zu diesen Ordner ab zu sichern. Leider ist es ein Mythos, dass die Änderung des Namens des Ordners wp-content eine zusätzliche Sicherheitsebene auf der Webseite schafft. Das wird es sicherlich nicht! Wir und insbesondere die Bots und Hacker können den Namen Ihres geänderten wp-content Ordners mit Hilfe der Browser-Entwicklungswerkzeuge leicht finden. Im folgenden Screenshot sehen wir, dass ich das Inhaltsverzeichnis dieser Seite in /test/ umbenannt habe.

Das Ändern des Namens des Verzeichnisses wird Ihrer Website keine Sicherheit hinzufügen, aber es kann zu Konflikten bei Plugins führen, die einen fest programmierten /wp-content/Verzeichnispfad haben.

Was Sie jetzt unbedingt tun können:

Der einzige Grund, sich Sorgen um das wp-content Verzeichnis zu machen, ist, wenn es ein Plugin oder ein Thema mit einer Schwachstelle enthält. Auch hier ist es am besten, wenn Sie Ihre Designs und Plugins auf dem neuesten Stand halten, um so zu wissen, dass Sie sichere Software verwenden.

Legende 4: Meine Webseite ist gar nicht so groß, um Aufmerksamkeit von Hackern zu gewinnen.

Dieser WordPress-Sicherheitsmythos macht sehr viele kleine Webseiten anfällig für Angriffe. Selbst wenn Sie der Eigentümer einer winzigen Webseite mit wenig Traffic sind, ist es immer noch entscheidend, dass Sie bei der Sicherung Ihrer Website selbst immer aktiv sind. Die Wahrheit ist, dass Ihre Webseite oder Ihr Unternehmen nicht groß sein muss, um die Aufmerksamkeit eines potenziellen Angreifers zu erlangen. Hacker sehen immer noch die Möglichkeit, Ihre Website als eine Verbindung zu nutzen, um einige Ihrer Besucher auf bösartige Websites umzuleiten, Spam von Ihrem Mailserver auszusenden, Viren zu verbreiten oder sogar Bitcoin zu schürfen. Sie werden immer alles nutzen, was sie ohne Anstrengung bekommen können.

Was Sie jetzt unbedingt tun sollten:

Ergreifen Sie aktive Sicherheitsmaßnahmen, um Ihre Website zu schützen. Halten Sie beispielsweise Ihre Designs, Plugins und WordPress auf dem neuesten Stand, installieren Sie ein vertrauenswürdiges WordPress-Sicherheitsplugin, verwenden Sie hochwertiges WordPress-Hosting und aktive WordPress Zwei-Faktor-Authentifizierung.

Legende 5: WordPress ist eine unsichere Plattform.

Die gefährlichste WordPress-Sicherheitslegende ist, dass WordPress selbst unsicher ist. Das ist einfach nicht wahr. WordPress ist das beliebteste Content Management System der Welt, und das ist es nicht , weil es die Sicherheit nicht ernst nimmt.

Die Wahrheit ist, die größte WordPress-Sicherheitsschwachstelle sind die Benutzer. Die meisten WordPress Hacks auf der Plattform können mit wenig Aufwand von den WordPress-Seitenbesitzern vermieden werden.

Denken Sie daran, dass der Hauptgrund für erfolgreiche WordPress Hacks ganz einfach ist, nämlich veraltete Software. Um einen Patch für eine Sicherheitsschwachstelle zu erhalten, müssen Sie die Dateien auf dem neuesten Stand halten. WordPress ermöglicht es Ihnen sogar, automatische Updates zu aktivieren, so dass Sie keine Updates manuell ausführen müssen. Aber einige Leute machen es immer noch nicht zu Ihrer Priorität, ihre Seiten regelmäßig zu aktualisieren. Diese Seiten sind also mit veralteter Software übersät, die sie total angreifbar macht. Wenn ein Hacker eine Sicherheitslücke verwendet, ist es kein Fehler von WordPress, es ist ein leichtfertiger Benutzerfehler, um es gemäßigt auszudrücken.

Fazit:

Meine jahrelange Erfahrung zeigt das anschaulich immer wieder. Da ich selbst zahlreiche eigene WordPress-Webseiten betreibe, kann ich das alles nur unterstreichen. Gerade an den Wochenenden versuche sehr viele Bots, Hacker und auch verirrte Jugendliche in WordPress-Webseiten einzudringen.

Hier und in diesem Blogartikel habe ich darüber mehrfach berichtet!

Dieser Artikel wurde von mir übersetzt mit Hilfe des Übersetzerprogrammes von Deepl

10 Tipps die Ihr WordPress sicherer machen – Teil 1

Teil 1: 10 Tipps die Ihnen helfen und Ihr WordPress sicherer machen – Tipps 1 – 3

Wie sicher ist Ihre WordPress Webseite tatsächlich? Ist Ihre Webseite ein leichtes Angriffsziel für internationale Hacker? Mit nur geringem Einsatz und der Übernahme einigen bewährten WordPress Sicherheitsmaßnahmen können Sie die vorhandenen Schwachstellen bei Angriffen deutlich reduzieren. In diesem Beitrag werden wir ein paar Tipps zur Absicherung Ihrer WordPress-Webseite aufzeigen, wie Ihr WordPress sicherer machen.

1. Halten Sie den Kern (Core, Version) Ihrer WordPress Seite, die Plugins und Themen auf dem neuesten Stand.

Wussten Sie, dass etliche der allermeisten WordPress-Sicherheitsprobleme mit dem Ausführen veralteter Versionen von WordPress Core, Themes und Plugins zusammenhängen? Deshalb ist es so eminent wichtig, Ihr gesamtes WordPress-System auf dem neuesten Stand zu halten.

Wenn Sie sich in diesem Moment auf Ihrer WordPress-Website anmelden, um zu überprüfen, wie viele Update-Benachrichtigungen sehen Sie in Ihrem WordPress Admin-Dashboard? Sie finden diese Nummern an unterschiedlichenen Stellen, unter anderem in der oberen Adminleiste, im Menü der Seitenleiste und auch als Hinweis (wenn Sie eine veraltete Version von WordPress verwenden). Siehe Bild unten.

WP-Admin-Dashboard- WordPress sicherer machen — WordPress Update-Benachrichtigungen erscheinen an diversen Stellen in Ihrem WordPress Dashboard.

Wenn Ihre WordPress Webseite mehrere veraltete Versionen von Plugins, Themes und WordPress ausführt, setzen Sie sich der Gefahr aus, oft unbewusst, bekannte Schwachstellen auf Ihrer Webseite zu zeigen.

Ständige Update-Benachrichtigungen mögen Ihnen eventuell lästig erscheinen und es ist oft Unwissenheit und Bequemlichkeit einfach, laufende Updates zu hinaus zu schieben, aber BITTE, versuchen Sie, Updates so schnell wie möglich anzugehen, da diese in unmittelbarem Zusammenhang mit der Sicherheit und dem Zustand Ihrer Webseite stehen.

Aktualisierungen von WordPress-Kern, Themen und Plugins enthalten oft Patches für Sicherheitsprobleme sowie Fehlerbehebungen und neue Funktionen. Deshalb sind diese Updates eine wichtige und notwendige Investition für Sie, aber auch für Andere.

WordPress Update Checkliste

Hier ist eine 5 Punkte Checkliste für die Durchführung von WordPress-Aktualisierungen, damit alles wie geschmiert läuft:

1. Bevor Sie die Updates machen, führen Sie ein aktuelles Backup Ihrer Webseite durch. Sie haben keine Lösung für Ihr Backup? Verwenden Sie ein WordPress Backup-Plugin wie BackupBuddy oder Updraft plus, um Ihre gesamte WordPress-Installation, einschließlich der Medienbibliothek, sowie alle Themen- und Plugin-Dateien zu sichern. Ich kann Ihnen beide ans Herz legen, denn ich habe beide im Einsatz.
2. Überprüfen Sie die Änderungsmeldungen für das Versions-Update vor dem Update. Entwickler verwenden Änderungsmeldungen, damit Benutzer, die in einem Versions-Update vorgenommenen Änderungen in Erfahrung bringen können. Sie können Änderungsmeldungen auf der Seite Updates in Ihrem WordPress Dashboard finden, indem Sie auf den Link “View version x.x.x.x” Details anklicken.
3. Navigieren Sie anschließend zur Seite Aktualisierungen in Ihrem WordPress Admin Dashboard. Klicken Sie auf den Link Aktualisierungen in der Seitenleiste Ihres WordPress-Dashboards oder das Symbol in der oberen Navigationsleiste, um zur Seite Aktualisierungen zu gelangen.
4. Klicken Sie auf die Schaltflächen Aktualisieren, um die Updates auszuführen. Sie sehen einzelne Update-Buttons für Plugins, Themes und WordPress Core (wenn Sie ein anstehendes WordPress Core Update haben), zusammen mit einer Liste der Plugins und Themes, die Sie gerade aktualisieren möchten.
5. Bestätigen Sie, dass auf Ihrer Website alles noch wie erwartet funktioniert. Obwohl es normalerweise nicht notwendig ist, ist es eine gute Idee, eine Runde durch Ihre Webseite zu machen, um sicherzustellen, dass nach dem Update nichts kaputt ist oder seltsam aussieht.

Hilfreiche Werkzeuge zur Zeitersparnis bei der Verwaltung von Versions-Updates

Wenn Sie oft mehr als eine WordPress-Website verwalten, so wie ich beispielsweise, kann der Update-Prozess ziemlich zeitaufwändig werden, da Sie sich bei jeder einzelnen Webseite anmelden müssen, um die Updates anzustossen. Glücklicherweise gibt es Tools wie z.B. iThemes Sync, die Sie dabei unterstützen können, mehrere WordPress-Seiten über ein Dashboard zu verwalten.

Ein weiteres hilfreiches Plugin ist das iThemes Security Plugin. Dieses bietet auch ein WordPress Versionsmanagement zum Schutz Ihrer Website, wenn veraltete Software nicht schnell genug aktualisiert wird. Da aber auf der einen Seite, jedes Plugin zusätzlich ein weiteres Risiko bedeuten kann, jedoch auch auf der anderen Seite hilfreich wirken kann, muss man immer wieder diese Punkte, ob Ihr ein zusätzliches Plugin braucht, abwägen. Meine persönliche Meinung dazu ist eigentlich klar, JA man braucht solche Sicherheits-Plugins und ich nutze teilweise sogar mehrer gleichzeitig.

Nachricht über einen Versuch sich in eine Seite einzuloggen — Wie WordPress sichere machen

Als notwendigen Beweis, hier mal ein Bildschirmfoto von heute Morgen. Hier haben Hacker versucht in eine von mir betreute Webseite einzudringen, 6 Versuche innerhalb von 9 Stunden.

Aber Dank der guten Sicherheitsmaßnahmen, die hier beschrieben werden, ist diese Seite sehr sicher. Aber es gibt keinen 100%igen Schutz.

Die iThemes Security WordPress Versionsverwaltung, aber auch andere Maßnahmen, können automatisch auf neue Versionen von WordPress, Themen und Plugins aktualisieren. Zusammen mit zusätzlichen Sicherheitsmaßnahmen, erkennen diese, wenn die Software einer Webseite veraltet ist. Darüber hinaus können sie nach anderen veralteten WordPress-Seiten suchen, die auf Ihrem Hosting-Account installiert sein können.

So können Benutzer eine Benachrichtigungs-E-Mail mit Details zu WordPress-Aktualisierungen erhalten, die automatisch installiert wurden. iThemes Security warnt Sie auch, wenn es Probleme bei der Server- oder Webseiten-Konfiguration erkennt, die die automatische Funktion von WordPress-Aktualisierungen verhindern könnten.

2. Installieren Sie nie Plugins oder Designs aus Ihnen unbekannten oder nicht vertrauenswürdigen Quellen.

Installieren Sie nur WordPress-Plugins und -Themen aus vertrauenswürdigen Quellen. Sie sollten nur Software installieren, die Sie von der deutschen WordPress.org-Webseite, bekannten kommerziellen Quellen oder namhaften Entwicklern und deren Websites herunterladen. So können Sie relativ sicher sein. Ansonsten Fragen Sie mich oder Facebook-Gruppen. Ich weiß zwar nicht alles, aber vielfach kenne ich viel menschen und kann andere fragen.

Wenn Sie eine andere Version eines WordPress-Plugins oder -Themas finden, die nicht direkt von der Website des Entwicklers verbreitet wird, führen Sie eine sehr sorgfältige Prüfung durch, bevor Sie es herunterladen und auf Ihrer Website installieren. Kontaktieren Sie die Entwickler, um zu sehen, ob sie mit der Website verbunden sind, die ihr Produkt zu einem kostenlosen oder reduzierten Preis anbietet.

Vermeiden Sie “null” oder “nicht weiterentwickelte” und “an andere verkaufte” Versionen von kommerziellen Plugins, da diese oft bösartigen Code enthalten. Es spielt dabei keine Rolle, wie Sie Ihre WordPress-Webseite absichern, wenn Sie diejenige sind, der ein Malware-Programm installiert.

3. Überprüfen Sie die Sicherheit Ihres WordPress-Passwortes.

Dieser Tipp umfasst einige bewährte Praxis-Tipps, die das Passwort betreffen. Eine erfolgreiche WordPress-Sicherheitsstrategie sollte die folgenden Elemente beinhalten, um Ihr WordPress-Login zu abzusichern – dies hängt in letzter Konsequenz mit den Passwörtern zusammen, die für die Anmeldung an Ihrer Website verwendet werden.

Warum? Ihre WordPress-Login-Seite ist die am häufigsten angegriffene WordPress-Sicherheitsschwachstelle, da sie den einfachsten Zugriff auf das Admin-Dashboard Ihrer Webseite bietet.

Brute-Force-Angriffe sind die meistgenutzte Methode, um Ihr WordPress-Login zu missbrauchen. Die Brute-Force-Angriffe nutzen die einfachste Form des Zugangs zu einer Website aus: indem sie permanent versuchen, immer wieder Benutzernamen und Passwörter zu erraten, bis eine erfolgreiche Anmeldung erfolgt.

Verwenden Sie sichere, eindeutige und komplexe Passworte.

Wie gut ist dein WordPress-Passwort? Hier sind 7 wichtige Fragen zur WordPress Passwort Stärke:

Haben Sie das Passwort bereits woanders schon einmal verwendet, z.B für ein separates Konto?
Benutzen Sie “admin” als WordPress-Benutzernamen?
Besteht Ihr Passwort aus einem Wort aus einem Lexikon?
Haben Sie Ihr Passwort eventuell jemand anderem mitgeteilt?
Hat Ihr Passwort weniger als 12 Zeichen?
Enthält Ihr Passwort Zahlen, Symbole und sowohl Groß- als auch Kleinbuchstaben?
Verwenden Sie eine Zwei-Faktor-Authentifizierung für Ihr WordPress-Login?

Klingt schwierig oder fast unmöglich, stimmt’s? Mit ein Grund weshalb Sie einen Passwortmanager verwenden sollten, der zufällige, sichere Passwörter generiert und diese für alle Ihre Konto-Logins sicher speichert. Noch besser einen der Ihnen dies Passwörter bei Bedarf immer zur Verfügung stellt!

Hier habe ich einen Vorschlag für Sie, um WordPress sicherer machen. Nutzen Sie einen dieser Passwort Manager: Diese hier empfiehlt die Stiftung Warentest: Dashlane Premium, Intel Security True Key Premium, Keeper Security und Lastpass Premium.

Ihr WordPress-Passwort sollte die folgenden Anforderungen erfüllen:

Beinhaltet Zahlen, Großbuchstaben, Sonderzeichen (@, #, *, etc.).
Länge (12 Zeichen – Minimum; 50 Zeichen – ideal)
Kann Leerzeichen enthalten und eine Passphrase sein (Verwenden Sie nur nicht das gleiche Passwort an mehreren Stellen).
Und sollte unbedingt alle 120 Tage oder 4 Monate geändert werden.

Erzwingen Sie die Anforderungen von Passwörtern + Eliminieren Sie unsichere Kennwörter.

WordPress sicherer machen: Eine weitere wichtiger Punkt für die Online-Sicherheit ist die Verwendung von spezifischen Passwörtern für jedes Konto und jede Webseiten-Anmeldung, die Sie besitzen. Warum ist die Verwendung eines Passworts so wichtig? Wenn Sie für alle Ihre Konten das gleiche Passwort verwenden und eventuell eine dieser Webseiten gefährdet ist, verwenden Sie jetzt ein möglicherweise gefährdetes Passwort für alle Ihre Konten. Hacker können Datenspeicher mit kompromittierten Passwörtern in Verbindung mit Ihrer E-Mail-Adresse oder Ihrem Benutzernamen verwenden, um dadurch Zugriff auf alle Ihre Konten zu erhalten. Deshalb ist es am besten, nicht einmal das Risiko einzugehen.

Je mehr Benutzer auf Ihrer Website einfache oder unsichere Passwörter verwenden, desto schwächer ist Ihre WordPress Login-Sicherheit. In einer aktuellen Liste, die von einem Sicherheitsunternehmen zusammengestellt wurde, war das gebräuchlichste Passwort, das in allen Datenspeichern enthalten ist, 123456. Die WordPress Login-Sicherheit Ihrer Website ist nur so stark wie das schwächste Glied, also seien Sie proaktiv mit einer starken Anforderung an Ihr Passwort.

Doch auch da gibt es Unterstützung, das WordPress sicher machen kann:

Sie können WordPress mit einem Plugin wie iThemes Security Pro vor unsicheren Passwörtern schützen. iThemes Security ermöglicht es Ihnen, Kennwortanforderungen wie starke Passwörter, Ablaufzeiten von Passwörtern und die Möglichkeit, kompromittierte Passwörter abzulehnen, festzulegen.

Weitere Hilfe bei WordPress sicherer machen: Für die Einstellung ‘Zurückweisung gefährdeter Passwörter’ (Refuse Compromised Passwords) nutzt iThemes Security die HaveIBeenPwned-API, um zu erkennen, ob bei einem Datenverstoß ein Passwort aufgetreten ist oder nicht.

Begrenzung fehlgeschlagener Anmeldeversuche
Standardmäßig ist in WordPress nichts vorgesehen, um die Anzahl der fehlgeschlagenen Anmeldeversuche zu begrenzen, die jemand durchführen kann. Ohne Einschränkung bei fehlgeschlagenen Anmeldeversuchen kann ein Hacker eine unendliche Anzahl von Benutzernamen und Passwörtern ausprobieren, bis er erfolgreich ist.

Des weiteren können Sie Ihre WordPress-Login-Sicherheit erhöhen, indem Sie ein WordPress-Sicherheitsplugin wie iThemes Security Pro installieren, um die Anzahl der fehlgeschlagenen Anmeldeversuche auf Ihrer Website zu begrenzen.

Die in iThemes Security Pro integrierte WordPress Brute Force Protection-Funktion gibt Ihnen die Möglichkeit, die Anzahl der zulässigen fehlgeschlagenen Anmeldeversuche einzustellen, bevor ein Benutzername oder eine IP-Adresse gesperrt wird. Eine Sperre deaktiviert vorübergehend die Möglichkeit des Angreifers, Anmeldeversuche durchzuführen. Sobald die Angreifer dreimal ausgesperrt wurden, ist es ihnen verboten, die Website überhaupt zu besuchen.

Sie sehen ja schon in diesem Bildschirmfoto oben, wie so etwas wirkt.

Sind sie an weiteren Informationen zu WordPress sicherer machen interessiert, dann empfehle ich Ihnen diese Seite.

Da der Text doch sehr umfangreich ist, werde ich mehrer Teile daraus machen. Ob 2 oder 3 Teile werde ich noch sehen.

Seien Sie also gespannt auf den nächsten Teil.

[BRUTAL] 2939 Attacken in 30 Tagen auf 1 WordPress-Seite

Ist das nicht KRASS - 2939 Attacken auf meine Seite

Hallo, da bin ich wieder einmal mit einem Beitrag zu WordPress-Sicherheit und bestimmt denkst Du jetzt, WOW, das kann doch garnicht wahr sein, Stimmst’s?

Und doch es ist die Wahrheit, die brutale Realität. Und das werde ich Dir jetzt anhand einiger Beispiele zeigen.

Zuerst einmal, auf dieser WordPress-Webseite wurde in den letzten 30 Tagen 501 mal versucht, sich verbotenerweise Zutritt zu verschaffen. Was bei einem WordPress ja bekanntermaßen recht einfach ist, nämlich über den WordPress-Login-Link.

Hast Du das Bild oben gesehen? Das ist das Ergebnis und ich habe mir die Mühe gemacht, diese Zugriffe alle zu blocken. Im Normalfall macht WP-Cerber, das bei zu häufigem Zugriff automatisch. Im Falle dieser Webseite, war es so, dass es fast 500 einzelnen Zugriffe von unterschiedlichen IP’s aus fast allen Ländern dieser Welt waren. So habe ich im Grunde eine kleine Weltreise gemacht. Von A wie Argentinien bis Z wie Zimbabwe. Aber weiter im Text.

Wenn also ein unbedarfter oder unwissender WordPress-Einsteiger kein sicheres Passwort und einen schwer zu erratenden Benutzernamen hat, sind die Probleme schon vorprogramiert.

Wenn Dich das interessiert, dann kannst Du in diesem passenden Beitrag mehr erfahren.

Bei der Recherche zu diesem Beitrag und da ich sowie so einige Updates, ebenso sehr wichtig, erledigen musste, schaute ich mir einige weitere WordPress-Webseiten von mir an und da bekam ich doch einen gehörigen Schreck. Hier unten die Screenshots dazu. ⬇

BRUTAL, oder? Das sind in den letzten 30 Tagen die 2939 Attacken, ohne Rücksicht auf Verluste, auf diese meine Webseite. Und in diesem fall siehst Du es waren Kidnappingversuche nicht Menschen aus Ländern wie Russland oder China. Und ja ich habe bemerkt bei meinen WordPress-Seiten versuchen es menschen aus Russland und China immer wieder. Das ist wirklich unten im folgenden Bild zu sehen. Diese Bild zeigt allerdings nur die Zugriffe der letzten 7 Tage nach Ländern! ⬇

Fazit:

WordPress ist ein tolles OpenSource Projekt, das zu den erfolgreichsten und am häufigsten Systemen zählt um einfach und schnell eine erfolgreiche Webseite zu gestalten. Aber man darf die Regeln der Sicherheit nicht außer Acht lassen. Die folgenden 5 grundlegenden Punkte helfen Dir dabei.

Sicheres Passwort, das bedeutet mindestens 12 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen!
Sicherer Benutzernamen, das heißt, kein Admin, keine Vornamen, keine Familien-, Hunde-, Katzen-, oder Kosenamen!
Sicherheits-Plugins verwenden (WP-Cerber, WP Security, Wordfence oder IThemes Security).
Regelmäßige Sicherungen machen mit folgenden Plugins ( Updraft Plus, BackupBuddy, etc.)
Regelmäßige Updates Deines WordPress Systems machen.

Wenn Du diese 5 grundlegenden Punkte beachtest, wirst Du relativ sicher vor bösen Buben im Netz sein. Jedoch es gibt wie überall im Leben keine 100 %igen Sicherheit.

jrothhardt

Jörg Rothhardt ist der Betreiber dieser Webseite zu den Themen: Affiliate-Marketing, WordPress und dem Elementor Pagebuilder inkl. der Gestaltung von Landingpages. Er beschäftigt sich seit 2009 mit WordPress. Seine Liebe und Leidenschaft ist es Menschen zu helfen WordPress und seine tollen Möglichkeiten verstehen zu lernen und das ohne hunderte oder gar tausende für Kurse und Trainings ausgeben zu müssen.

Neues von der Hacker-Front

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
“Über allen Gipfeln ist ruh”
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

jrothhardt

3 WordPress Plugins mit hinterhältigem Schadcode manipuliert

gestern Abend bekam ich folgende Mail von Wordfence.org:

[WordPress Security] Three Plugins Backdoored in Supply Chain Attack

In the last two weeks, the WordPress.org team has closed three plugins because they contained content-injection backdoors. In today’s post we show that they were all purchased by the same criminal actor with the goal of injecting SEO spam into sites running the plugins.

You can find the post on the official Wordfence blog…

Regards,

Mark Maunder

Defiant CEO

Um was geht es da? Deshalb zuerst die deutsche Übersetzung des Textes:

In den letzten zwei Wochen hat das WordPress.org-Team drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Im heutigen Post zeigen wir, dass sie alle von demselben kriminellen Akteur gekauft wurden, mit dem Ziel, SEO-Spam in Websites zu injizieren, auf denen diese Plugins laufen.

Hier wurden also 3 WordPress-Plugins gekauft und so perfide verändert, dass sie deinen Schadcode enthalten, welcher den von einem Betreiber verfassten Content mit einem Spamcode versieht. im folgenden gilt das für das Plugin Duplicate Page and Post , welches mehr als 50000 auf Webseiten genutzt wird.

Hier der übersetzte Text aus dem Artikel von Wordfence.org

Der Code des Backdoor stellt eine Anfrage an cloud-wp.org und gibt Inhalte zurück, die auf der URL und dem User-Agent basieren, die im Query-String übergeben wurden. Dieser Code läuft bei jeder Anfrage an die Website, so dass er verwendet werden kann, um Inhalte an normale Website-Besucher, Web-Crawler oder die Site-Administratoren zu senden. Wir haben Content Injection in der Vergangenheit gesehen, und es wird üblicherweise verwendet, um getarnte Backlinks, eine Form von SEO-Spam, zu injizieren.

Deshalb schaut nach ob ihr eines der folgenden Plugins verwendet:

Duplicate Page and Post
URL: https://wordpress.org/plugins/duplicate-page-and-post/

No Follow All External Links
URL: https://wordpress.org/plugins/nofollow-all-external-links/

WP No External Links
URL: https://wordpress.org/plugins/wp-noexternallinks/

Jetzt wünsche ich allen Lesern ein gesundes und erfolgreiches Neues Jahr.

jrothhardt

9 Schritte um Cerber optimal einzustellen

Cerber - Erste Schritte und keine Bange:

Das Plugin Cerber - Ab sofort mehr WordPress-Sicherheit

Sobald du das Plugin installiert und aktiviert hast, verteidigt es WordPress mit Standardeinstellungen. Sie sind für die meisten Fälle relativ sicher. Um jedoch das Optimale aus Cerber herauszuholen, musset du das Plugin allerdings richtig konfigurieren.

Schritt 1. Stellen Sie sicher, dass Cerber IP-Adressen korrekt erkennt.

Öffnen Sie in einem Browserfenster die Seite Was ist meine IP-Adresse und in einem anderen Browserfenster die Administrationsseite der Cerber Access Lists.
Vergleiche im Dashboard von Cerber, die IP-Adresse, die auf der Seite Was ist meine IP-Adresse angezeigt wurde, mit der IP-Adresse die unter dem Menüpunkt: Zugriffslisten Ihre IP: auf der Administrationsseite zu finden ist.
Du solltest zwei identische IP-Adressen sehen. Wenn du zwei verschiedene IP-Adressen sehen, musst du in den Haupteinstellungen des Plugins überprüfen, ob deine WordPress-Webseite hinter einem sogenannten Reverse-Proxy steht und die obigen Schritte wiederholen.
Wenn du immer noch zwei verschiedene IP-Adressen siehst und die Website nicht hinter einem Proxy steht, befolge diese Anweisung: Problem mit falscher IP-Adressenerkennung lösen
Einen Schritt weitere zu mehr Sicherheit kann sein, wenn Ihr WordPress unter CloudFlare steht. Aber was ist CloudFlare? Das kannst Du in diesem Artikel vom Blog Novatrend aus der Schweiz nachlesen!

Schritt 2. Stelle sicher, dass du E-Mail-Benachrichtigungen erhältst.

Sobald du das Plugin aktiviert hast, sendet es eine Begrüßungs-E-Mail an die Website-Admin-E-Mail-Adresse. Wenn du diese Begrüßungs-E-Mail nicht erhalten hast, vergewissere dich, dass die E-Mail-Adresse, die du auf der Admin-Seite der Benachrichtigung siehst, korrekt ist und dass E-Mails vom Plugin nicht in den Spam-Ordner landen. Wenn du die Begrüßungs-E-Mail nicht erhalten hast, wRist du höchstwahrscheinlich keine weiteren wichtigen Benachrichtigungen erhalten. Du könntest alternativ, mehrere E-Mail-Adressen in das Textfeld:” E-Mail-Adresse” unter dem Menüpunkt Benachrichtigungen im Dashboard eingeben.

Um die Auslieferung zu testen, gehe auf die Seite”Haupteinstellungen” und klicke bei Benachrichtigungen auf den Link: “Klicken für Sendungstest”.

Wenn du mehr darüber lesen möchtest, wie du mobile Benachrichtigungen auf deinem Smartphone einrichten kannst. Hier ist der Beitrag dazu auf Englisch!

Schritt 3. Füge deine Privat- oder Büro-IP-Adresse zur Weißen-Liste hinzu.

Wenn du von zu Hause oder von deinem Büro aus auf einem Computer mit einer statischen IP-Adresse arbeitest, ist es sinnvoll, diese IP-Adresse (oder das gesamte Firmennetzwerk) unter dem Punkt Zugriffslisten in das Feld: Weiße Liste (erlaubten IPs) hinzuzufügen. Du kannst damit zwei Ziele erreichen. Es wird verhindert, dass du durch Zufall von deiner Website ausgeschlossen wirst und schränkt den Zugriff auf XML-RPC, REST API und andere wichtige Teile von WordPress ein.

Lese mehr darüber, wie du Zugriffslisten für WordPress verwenden kannst. (auf Englisch)

Schritt 4. Benutzerdefinierte Anmeldeseite aktivieren.

Um die standardmäßige wp-WordPress-Anmeldeseite, bekanntlich unter:” deine.Domain/login.php“, vor automatisierten Angriffen zu verstecken, gib eine eigene, versteckte, benutzerdefinierte Anmelde-URL (Anmeldeseite) an und schalte die Standard wp-login.php aus. Hinweis: Wenn Sie ein Caching-Plugin (z.B. W3 Total Cache oder WP Super Cache) verwendest, musst du deine eigene Anmelde-URL zur Liste der Seiten hinzufügen, die nicht gecached werden sollen.

So richtest du eine benutzerdefinierte Anmelde-URL für WordPress ein. (Beitrag auf Englisch)

Schritt 5. Vorauswahl verbotener Benutzernamen einrichten

Gehe zur Dashboard-Seite des Plugins zum Punkt: Benutzer und wenn die Liste noch leer ist, musst auf jeden Fall die folgenden Benutzernamen auf die Liste setzen:

admin, administrator, manager, manager, editor, user, demo, test, den Namen deiner Domain, und deinen “Spitznamen” aus deinem Profil!

Der Spitzname in Deinem Profil sollte sich auch vom Benutzernamen unterscheiden.

Mehr dazu erfährst du in dem Beitrag: !0 Gründe für eine sichere WordPress-Webseite.

Schritt 6. Aktivieren des Spam-Schutzes.

Die Cerber Antispam-Engine ist mit den meisten Formularherstellern kompatibel und in der Lage, praktisch jedes Formular zu schützen. Überprüfe auf der Antispam-Administrationsseite alle notwendigen Funktionen unter dem Abschnitt Cerber Antispam-Engine. Teste die Formulare auf deiner Website. Wenn einige der Funktionen auf der Website nicht mehr funktionieren, versuchen , die Option: Weniger restriktive Richtlinien verwenden zu aktivieren (AJAX zulassen).

Schließlich lasse das Plugin das Durcheinander mit Spam-Kommentaren bereinigen. Wähle Spam-Kommentare komplett ablehnen oder markiere sie nur als Spam. Aktiviere das automatische Verschieben von Spam in den Papierkorb.

Weiterführende Infos: (auf Englisch)

Hinweis: Aber Vorsicht:

Das ist ein Amerikanisches Plugin: Und in Deutschland sowie in Europa haben wir im Punkt Antispam und Datenschutz schärfere Regeln. Aus diesem Grund ist meine Empfehlung, den Antspam-Schutz hier nicht zu nutzen. Bitte nutzen Sie das Plugin: AntiSpam Bee , das du über den Link auf deinen Rechner laden kannst bzw. direkt über die Plugin installieren auf dein WordPress bekommst.

Schritt 7. Beschränken Sie den Zugriff auf REST API und XML-RPC.

Rufe den Menüpunkt: “Abhärten” auf.
Aktiviere REST API. deaktivieren. Gebe die Namespace-Ausnahmen für die REST-API an, falls erforderlich. Wenn du z.B. Contactform 7 verwendest, ist der Namen contact-form-7 , für Jetpack ist es jetpack, etc.
Aktiviere REST-API für angemeldete Benutzer zulassen, wenn du die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchtest.
Aktiviere das Kontrollkästchen XML-RPC deaktivieren, wenn du kein Jetpack-Plugin verwendest. Wenn du XML-RPC von bestimmten Hosts verwenden, füge die IP-Adressen dieser Hosts der Weißen-Liste hinzu.

Und hier erfährst du:
Warum ist es wichtig, den Zugriff auf die WordPress REST API einzuschränken? (in Englisch)

Schritt 8. Aktivieren Sie das Senden von bösartigen IP-Adressen an den Plugin-Entwickler.

Lasse das Plugin-Team die Sicherheitsalgorithmen im Plugin verbessern und seine Leistung optimieren, damit sie den Schutz deiner Website ständig verbessern können. Gehe zu den Haupteinstellungen, aktiviere im Abschnitt Aktivität das Kontrollkästchen Cerber Lab-Verbindung. Für eine bessere Sicherheit setze das Cerber Lab Protokoll auf HTTPS.

Schritt 9. Stelle Benachrichtigungen über Ereignisse ein.

Möchtest du eine bestimmte Aktivität im Auge behalten oder benachrichtigt werden, wenn sich ein Benutzer auf deiner Website registriert oder eingeloggt hat? Melde dich für eine bestimmte Aktivität auf der Registerkarte Aktivität an.

Weiterlesen: WordPress-Benachrichtigungen leicht gemacht. (Auch auf Englisch)

Ich hoffe dir hilft dieser Artikel weiter um deine WordPress-Webseite, mehr vor den unzähligen, täglichen Angriffen aus dem Internet zu schützen.

Solltest du Fragen habe oder dir der Beitrag gefallen haben, würde ich mich riesig über einen Kommentar freuen.

P.S.: Dieser Beitrag wurde von mir übersetzt aus dem Englischen. Der Originalbeitrag ist hier zu finden: https://wpcerber.com/getting-started/ Vielen Dank den Team der CYBERTECH INC

10 Gründe für eine sichere WordPress-Webseite

10 triftige Gründe, warum du eine sichere WordPress-Webseite sofort haben musst!

Bist du dir wirklich sicher, dass dein WordPress-Webseite nicht attackiert wird? Glaubst du tatsächlich eine sichere WordPress-Webseite zu haben?

Bestimmt fragst Du dich jetzt was soll das! Klar habe ich eine sichere WordPress-Webseite. Ja, das denken Millionen von WordPress-Nutzern auch.

Wer und weshalb attackiert man uns

Aber FAKT ist, dass täglich Millionen WordPress-Webseiten angegriffen werden. Da draussen im Internet tobt eine KRIEG. Nicht nur die verschiedenen Staaten der Machtböcke dieser Welt versuchen einander mit Cyberattacken zu schaden. Nein, hunderte sogenannte Bots, Kriminelle und frustierte Menschen oder Personen die sich profilieren wollen, attackieren getarnt jeden Tag deine WordPress-Webseite.

So gab es weltweit 2015 fast 60 Millionen Cyber-Attaken und die Zahl steigt zunehmend und erschreckend schnell. Wie hier nachzulesen ist. Und das Handelsblatt schreibt in einem Artikel, das im Jahr 2016 bereits jedes 5. Mittelstandsunternehmen von Internetangriffen heimgesucht wurde. Den gesamten Artikel kannst du über diesen Link auch nachlesen. Und gerade jetzt habe ich von zahlreichen kleinen Unternehmen und selbst am eigenen Leib erlebt, das die Bedrohung im Internet immer weiter zunimmt.

Aber es gibt auch eine gute Nachricht

Die gute Nachricht für dich ist, es geht nicht um dich persönlich, wenn deine kleine WordPress-Webseite angegriffen wird. Warum? In diesem Fall sind es einfach meist Jugendliche und Studenten, die aus Blödsinn oder um etwas zu beweisen deine WordPress-Webseite überfallen. Wenn man sie fragen würde, würden sie es als Sport betrachten. Für sie ist es nur Profilierungssucht und Machtgehabe. Nur ein kleiner Teil zerstört deine Webseite oder versucht damit Geld zu erpressen, weil sie genau wissen bei dir ist nicht viel zu holen.

Aber was sind jetzt die Gründe um das zu verhindern und dich zu schützen. Das habe ich hier in den 10 Punkten zusammen gefasst.

1. Grund - Dein Benutzername

der wohl am häufigsten gefundenen Gründe, warum es die Meisten den Angreifern so leicht machen, ist, sie benutzen den Standard – Benutzernamen und das wissen auch diese Kids.

Also ist der erste Schritt zu überprüfen wie lautet der Benutzernamen. So versucht man einfach erst einmal den Standard – Benutzernamen, den WordPress bei einer Standard-Installation automatisch vergibt zu nutzen. Und wie lautet jetzt dieser Standard – Benutzernamen! Ganz simpel “admin“. Anschließend versucht man weiter mit “administrator“, dann den Webseitennamen und wenn es schlecht für dich läuft ist der Eindringling in deiner Webseite.

Was ist also die erste und kostenlose Maßname, die das verhindern kann. Wir nutzen nicht dies Benutzernamen! Sonder wir denken uns jetzt einen Benutzernamen aus. Und der sollte nicht aus den Namen von Frau, Kind, Hund und Katze bestehen. Auch die 10 am häufigsten benutzten Namen der Deutschen solltest du nicht nutzen.

Welche das sind habe ich in diesem Beitrag schon beschrieben.

Ein weiterer Punkt für mehr Sicherheit ist folgender. Lege dir einen eigenen Account als Redakteur an, welchen du zum schreiben deiner Beiträge benutzen kannst. Dein Administrator-Zugang ist wirklich nur dazu da, um Updates und sonstige wichtige und notwendige Aufgaben auszuführen, die nur der Admin durchführen darf. Was sind das für Tätigkeiten. Also, dazu zählen WordPress-Sicherheits-, Themen-, Plugin-updates oder Backups, neue Installationen und grundsätzliche Einstellungen an WordPress.

Einen weiteren Tipp habe ich heute gelesen. Wenn ihr einen neuen WordPress aufgesetzt habt, könnt ihr den Nutzer “admin” lassen weil dieser mit der Benutzer-“ID=1” leicht von Hackern herausgefunden wird. Allerdings musst du diesem Rolle “Subscriber” zuweisen, aber vergib ein sehr starkes Passwort. Wenn der Hacker jetzt wirklich in deine sichere WordPress-Webseite gelangt, wird er sich ärgern, weil er nicht machen kann. Diesen wertvollen Tipp habe ich aus einem Kommentar von Marian.

2. Grund - Dein Passwort

Das Passwort ist der 2. Grund warum es so viele nicht sichere WordPress-Webseiten gibt, die von Hackern gekapert werden. Wer erinnert sich nicht an die Meldungen im letzten Jahr, als mehrere Systeme von Krankenhäusern mit Schadsoftware infiltriert sowie verschlüsselt wurden, tagelang nicht funktionierten und zum Schluss erst durch Zahlung eines Lösegeldes wieder zu nutzen waren. Genau Zahlen werden streng geheim gehalten.

Jedoch bemerke ich täglich wie oft versucht wird meine gut gesicherten WordPress-Webseiten zu knacken.

Bis zu 20 Versuche am Tag sind keine Seltenheit. Und das sind mal locker mehr als 7300 Angriffsversuche im Jahr.

Zurück zum Thema, einfache, kurze Passwörter zählen zu den Hauptgründen über die es gelingt in deine WordPress-Backend zu gelangen. Aber wie schaffen des die Hacker jetzt an dein Passwort zu gelangen. Zuerst versuchen sie es mit den am häufigsten genutzten Passwörtern. Meistens haben sie automatische Scripte, die aus einem system eine reihe von Passwörtern automatisch in deinen Login einzutragen. Solche Listen mit den beliebtesten Passwörtern kann man leicht im Internet finden. Bestimmt lassen sich Listen mit zig-tausenden Passwörtern über das sogenannte Darknet auch käuflich erwerben.

Wenn Du dein Passwort richtig ausgewählt hast, solltest du auf der sicheren Seite sein.

Doch wie sollte ein sicheres Passwort aussehen und wie kann man es sich überhaupt merken? Denn auch eines sollte Dir klar sein. Ein Passwort sollte niemals, auf deinem Rechner in einer einfachen Textdatei gespeichert sein. Diese Hinweise stammen noch aus den Stein-Zeiten der Computeranfänge. Und ich kann mich noch gut an solche Coaches erinnern, die das so gelehrt haben in den 1980 Jahren.

Also, ein Passwort sollte heute, nicht nur meiner Meinung nach, mindestens 12 – 20 unterschiedliche Zeichen haben. Und zwar, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Nur so ist gewährleistet das dein Passwortsicher wirklich ist und sich auch durch Programme nicht schnell knacken läßt. Zudem sollst, ja musst du dir für jeden deiner Zugänge ein separates Passwort zulegen. Und ich wes, dass das kaum jemand macht, stimmt’s?

Und ja es kann dich auch vor Trojanern schützen, die dich ausspähen wollen. Und nein, es gibt für staatliche Behörden Möglichkeiten und Zugänge an Deine Passwörter zu kommen. Und das ist in Deutschland zumindest noch nicht so einfach, wenn du dir nicht zu schulden kommen lässt.

Jetzt fragst Du dich mit sehr großer Sicherheit und wie soll ich mir das Passwort bzw. Die zahlreichen Passwörter merken.

Du hast ein Passwort für deine hoffentlich jetzt sichere WordPress-Webseite. Für deinen Rechner, für deine diversen EMail-Accounts, bei deinem provider, deinem Hoster, bei facebook, twitter, Linkedin, Xing, Pinterest usw. Bei diversen Videoplattformen, Video-Schulungen, Affiliate-Plattformen, Händlern, Ebay etc. Ich spar mir jetzt die weiteren Aufzählungen. Denn da kommen ganz schnell 20 50, 100, ja vielleicht 1.000 Passwörter zusammen und die kann sich niemand merken.

Aus diesem Grund kann ich dir nur ans Herz legen und dir diese Empfehlung geben. Lege Dir ein Programm zu das deine Passwörter für Dich speichert und bereit hält. Ich habe mehrere Programme ausprobiert und getestet. Für mich hat sich LastPass als das beste Programm erwiesen. Und zwar aus mehreren Gründen. Zum einen kann man es kostenlos ausprobieren und wenn man es nur a eigenen Rechner nutzen will ist es auf Dauer kostenlos. Nur wenn man es auf mehreren System nützen will kostet es Geld. Was meine ich damit. Ich nutze LastPass auf dem iMac. Auf dem iPhone, dem iPad und auf Android und meinem Laptop. So habe ich immer Zugriff auf meine Passwörter und muss mir nur 1 Passwort merken. Genial was?

LastPass kannst Du hier herunterladen.

Aber es gibt noch andere Programme, wie RoboForm, KeyPass. Eine Übersicht findest du hier bei Computer Bild.

3. Grund - Deinen Login vor Angriffen zu schützen

Falls, noch Jemand durch eine sogenannte BruteForce-Attacke versucht dein WordPress anzugreifen gibt es noch weitere Wege deine Webseite zu schützen.

Ein Weg davon ist, die IP-Adresse des möglichen Aggressors zu sperren, wenn dieser sich beispielsweise 3 mal, mit falschem Benutzernamen oder nicht korrektem Passwort, versucht anzumelden. Unter der IP-Adresse versteht man eine eindeutige Kombination von Zahlen, welche jedem Rechner, meist täglich, vom Hoster zugewiesen wird, um diesen eindeutig zu erkennen. Und diese IP-Adresse muss auch immer, von deinem Hostingunternehmen protokolliert werden, denn nur so ist in einem möglichen Verfahren ein Rechner, einer bestimmten Person o. Unternehmen, zuzuordnen. Falls du deine eigene IP-Adresse gerne erfahren möchtest, über diesen Link ist das möglich:

Meine eignen IP-Adresse.

Wie kannst du jetzt damit eine sichere WordPress-Webseite erreichen. Nun, es gibt ja für WordPress tausende kleiner Progrämmchen, die Plugins. So werden auch für solch eine Möglichkeit spezielle Plugins bei WordPress.org angeboten. Im konkreten Fall wird durch ein Plugin der Zugang für einen solchen Fall eine gewisse Zeit gesperrt und falls das nicht ausreicht wird dieser Zeitraum weiter ausgeweitet. Du bist da der Chef über das System. Über Jahre wurde das Plugin Limited Logins Attempts als das Beste angepriesen. Auch ich hatte es lange Zeit im Einsatz. Jedoch wurde das Plugin seit Jahren nicht weiter gepflegt, so das es als unsicher gilt. Jetzt empfehle ich dir

Cerber Security & Antispam

Die Einstellungen lassen sich deinen Verhältnissen anpassen und du kannst dich auch per Email informieren lassen, kannst bestimmte IPs zulassen (White-Lists) und sperren (Black-List). Zudem kannst du dir das alles in deinem WordPress im WP-Werber Dashboard als Ausschnitt einmal ansehen:

So, wie du siehst, sind es regelmäßig einige Versuche die in mein WordPress wollen und jetzt habe ich zusätzlich die IP die seit tagen versucht mich zu attactieren auf die Schwarze Liste (Black-List) gesetzt.

Und jetzt bist auch du, falls du das umsetzt einen Schritt weiter zu einer sicheren WordPress-Webseite. Aber dieses Aussperren von IP-Adressen funktioniert leider nur bedingt. Denn die Angreifer sind ja auch nicht dumm. Wie du oben auf dem Bild siehst steht ganz rechts in grau Bot detected (Bot erkannt), also ein automatisches System und dort existieren bestimmt noch weitere Bots mit anderen IP-Adressen. So dass die Sperre der IP alleine auf Dauer nicht ausreichen wird. Dir ist sicherlich die Geschichte vom Hasen und Igel bekannt und so ist das im Internet auch.

4. Grund - Deinen WordPress-Login noch weiter absichern

Wie schon in Grund 3 geschrieben, nützen bestimmte Maßnahmen, wie das Aussperren der IP-Adresse, nur bedingt. So kann es ratsam sein WordPress weiter abzusichern. Eine Möglichkeit ist den normalen WordPress-Login zu verschleiern. Denn eines ist dir ja wohl klar, diese Burschen wissen genau wie der Link zu WordPress-Login lautet.

Und wie können wir das erreichen?

Dazu stelle ich Dir hier 2 Methoden vor.

Methode 1: den Login umzubennenen.

Dieser Weg sieht vor, den Standard-Login Zugang nicht über die normale URL zugänglich zu machen. Das ganze hat den Vorteil, da automatische Systeme wie Bots oder Scripte ja Maschinen sind die ein bestimmtes Programm abarbeiten und so gesteuert werden, den Standard Pfad jeder WordPress-Installation anzusteuern. Also rufen sie automatisch die Datei “wp-login.php” auf. Also muss das Ziel sein diese Datei umzubenennen. Dazu gibt es wieder, na klar, Plugins.

Da ist zum einen das Plugin WPS Hide Login

Zum Anderen, und das ist meine klarer Favorit: WP Security

Warum jetzt das Plugin WP Security? Weil es einfach mehr kann & macht als nur den WordPress-Login zu schützen und zu verstecken wenn es nötig ist auch nachträglich. Allerdings, und davor muss ich warnen, bei einem vorhandenen WordPress kann es beim verstecken leicht zu Problemen kommen. Aus diesem Grund bietet das Plugin WP Security auch an den Login mit einem Captcha zu versehen. Das ist in diesem Fall eine kleine Rechenaufgabe und außerdem kann das Plugin die Versuche mit den üblichen Standard Loginnamen auch unterbinden.

Methode 2: den Zugang über die Datei htaccess

Diese zweite Möglichkeit, der Passwortgeschützte Zugang über die htaccess-datei ist ein sehr effektiver Schutz. Allerdings ist sie mit einigem Aufwand und bestimmten Fähigkeiten verbunden. Ich beschreibe hier einmal die grundsätzliche Vorgehensweise. Normalerweise besitzt jede WordPress-Installation eine versteckte Datei die .htaccess heißt und über deinen FTP-Zugang zu finden ist. Wenn Du jetzt dein WordPress Zugang schützen willst musst du diese Datei mit einem weiteren Passwort schützen. Wie das geht beschreiben einige Artikel im Internet.

Dieser Artikel beschreibt das recht gut: 5 Tipps, wie Sie Ihr WordPress sicherer machen

Und hier habe ich noch einen guten Htaccess & Htpasswd Generator

Die Schwierigkeiten, die wohl die allermeisten normalen WordPress-Nutzer haben ist zum einen die htaccess bearbeiten zu können und zum anderen den korrekten Pfad zur Datei htpasswd in die Datei htaccess einzutragen. Das erfordert doch einiges an Computerwissen und Erfahrung.

Wenn du allerdings einen der 2 Tipps anwendest, ist schon wieder ein Steinchen in deinem Puzzle zu einer sicheren WordPress-Webseite eingesetzt und dein Puzzle wird immer perfekter.

5. Grund - Deinen WordPress Datenbank-Tabellen Prefix umbenennen

Was viele User, und das ist nicht böse oder überheblich gemeint, wissen nich, das die ganzen Daten einer WordPress-Webseite auf Ihrem Webspace in einer Datenbank gespeichert werden und diese Datenbank ist natürlich über das Internet erreichbar. Das wissen die Hacker ganz genau und sie kennen auch den allgemeinen Zugangspfad zu einer Datenbank. Jede WordPress-Datenbank wird bei der Installation, gerade oft bei Billighostern mit dem Standard-Tabellen Prefix “wp_” versehen. Warum? Nur so ist eine einfache, automatische und schnelle WordPress-Installation zu bewerkstelligen.

Durch die Technik der “SQL-Injection” versuchen die Angreifer aus deiner Datenbank die User und das Passwort auszulesen. Weit schlimmer aber wäre es wenn sie durch eine schlecht gesicherte Datenbank, die dort enthaltenen Daten manipulieren könnten. Aus diesem kühlen Grunde ist auch die Datenbank mit einem sicheren Benutzernamen und Passwort zu schützen. Ein weiterer Vorteil ist ein erweiterter Tabellen Prefix.

Jeder dieser Scriptkids, kennt die Tools, die es im Darknet gibt, um so etwas auszuführen. Und diese Jungs wissen auch das die Tabelle “wp_user” die Benutzernamen und das Passwort gespeichert haben. Und die Tabelle “wp_posts” den Inhalt der Beiträge enthält.

Hier hilft dir jetzt wieder das Plugin WP Security. In diesem Plugin wird geprüft ob dein Tabellen Prefix noch Standar ist und du kannst es entsprechen anpassen, falls das noch nicht der Fall sein sollte.

Besser jedoch ist es wenn das direkt bei der Installation bereits geschieht. Hier bei der 1-Click-Installation bei BitPalast geschieht das automatisch.

Auch dabei hilft dir wieder das Plugin Wp Security, denn damit kannst du das im Dashboard unter Database Security ändern.

So kann ein Tabelle Prefix zum Beispiel so lauten “Xg03AZTp_”

Das WP-Plugin schlägt Dir einen Präfix von 6 Stellen vor.

Und ist in diesem Fall für diese Hacker wohl sehr schwer und langwierig zu ermitteln. Und das ist ja wohl das Wichtigste, da du ja eine sichere WordPress-Webseite haben willst und musst. Und wieder sind wir einen Schritt vorangekommen.

6. Grund - sichere WordPress-Webseite, welche Plugins braucht es echt.

Im Grunde ist WordPress sehr sicher und dass es überhaupt gekapert werden kann, müsse die in jedem Programm vorhanden Sicherheitslücken ausgenutzt werden. Deshalb wird WordPress auch immer wieder überprüft, allerdings bleiben immer wieder Risiken, entweder im Kern oder den Plugins bei WordPress.

Und wie schon weiter oben geschrieben sind Plugins im Grunde eine tolle Sache. Der eigentliche WordPress Kern, also das eigentlich WordPress, ist recht simpel und ohne viele Funktionen programmiert. Jedoch erst die vielen Plugins, die WordPress um die ganzen Funktionen erweitert haben, haben WordPress zu dem Erfolg verholfen, den es heute zurecht hat. So gibt es auf den offiziellen WordPress-Plugin-Seite mehr als 50.000 Plugins. Zudem werden noch zahlreiche weitere Erweiterungen, zum größten Teil kostenpflichtige, außerhalb von WordPress.org angeboten.

So entdeckst du viele gute und hilfreiche Plugins, die du gerne installieren möchtest und das auch machst. Weil sie dir empfohlen werden, so wie hier, oder weil sie Funktionen bieten, welche du brauchst oder glaubst zu brauchen.

Aber das ist das perfide daran. Denn viele Plugins helfen hervorragend, können aber genauso eine Problem darstellen. Warum? Nun, da WordPress ein quelloffenes System ist, werde die Plugins ohne Überprüfung von vielen, Vielen Menschen programmiert und manche sind einfach nicht ausgereift oder schlimmer noch voller Fehler.

Zwar kannst du, falls du des Englischen / Amerikanischen mächtig bist, aus der Beschreibung den Nutzen heraus lesen. Ob das Plugin aber hält was es verspricht ist sehr schwer nachvollziehbar.

Das einzige was ein Anhaltspunkt für dich sein kann, ist die Anzahl der Installationen und die Bewertungen. Und weil auch die Installation so bequem ist, hat man sehr schnell viele Plugins installiert.

Für die Hacker wiederum ist es einfach. Weil der Quellcode der meisten kostenlosen Plugins einfach einzusehen ist, kann dieser auch bequem auf Angriffspunkte untersucht werden. Aus diesem Grunde kann man feststellen, dass Plugins die größte Schwachstelle für die Sicherheit deiner WordPress-Installation darstellen können.

So achte bei der Installation eines Plugins auf folgende 4 Punkte:

Ein weiterer Punkt, auf den es zu achten gilt, ist der Punkt Support und Service. Das kannst du allerdings auch leicht überprüfen. Gehe, wenn du das Plugin über dein Backend installierst, bevor du den Button jetzt installieren bestätigst auf den Punkt weitere Details. Hier siehst du alles was du über das Plugin wissen musst. Achte besonders darauf ob viele Supportanfragen da sind und diese zeitnah beantwortet bzw. Behoben wurden. Sind dort viele unbeantwortet, sei vorsichtig.

Der letzte Punkt zu diesem Themenkomplex. Überlege sehr gut ob und welche Plugins dir wirklich brauchst. Mein wohl wichtigster Tipp zu diesem Thema ist: “Weniger ist oft mehr und sicherer“.

7. Grund - sichere WordPress-Webseite, regelmäßig updaten

WordPress ist im Wesentlichen eine sehr sichere Software. Und wenn du von vielen geknackten WordPress-Installationen hörst, liegt, das meist nicht an der WordPress-Software. Sonder daran, dass irgend Jemand nicht diese 10 Gründe für eine sichere WordPress-Webseite beachtet hat. Wie sagt man so schön:

Das Problem ist nicht im System , sondern vor dem System!

Und trotz und allem kommt es , wie bei allen komplexen Systemen, so auch in WordPress immer wieder mal vor, dass eine Sicherheitslücke entdeckt wird oder eine Funktion nicht so perfekt funktioniert wie sie soll. Das Alles ist für die Mehrzahl der Benutzer nicht relevant.

Die vielen Programmierer hinter WordPress merzen diese Fehler und Sicherheitslücken regelmäßig aus. Aber was nützt das, wenn die einzelnen User, das nicht in ihrer WordPress-Software machen.

Darum ist es eminent wichtig regelmäßig zu schauen ob es Updates und Verbesserungen bei WordPress gibt. da es WordPress jedem sehr bequem macht sein WordPress aktuell zu halten, sollte man das auch tun, denn es ist innerhalb von wenigen Minuten erledigt und es tut auch nicht weh.

Weh tut es nur, wenn durch solche Nachlässigkeit ein System korrumpiert ist und du mehrere Stunden oder Tage brauchst um es wieder zum laufen zu bringen.

Auch wenn das zum größten Teil bequem und leicht geht. Gibt es allerdings auch immer mal wieder bei den Updates Probleme. Insbesondere betroffen sind Themes manchmal auch Plugins. Du kannst dich dabei an den Versions-Nummern orientieren. Diese bestehen aus 3 Ziffern. Die zur Zeit des Verfassens dieses Artikels aktuelle Version von WordPress ist 4.9.1. Wobei die letzte Ziffer nur für fehlerbereinigte Versionen steht. Und ja, es gab hin und wieder Probleme mit Updates. Mir ist es aktuell bei einer vergessenen Webseite passiert. Dort war noch WordPress 3.8.7 installiert und ich mußte das ganze von Hand auf die Version 4.9.1 updaten. Gerade bei Versionen, bei denen sich die erste Ziffer verändert sind oft größere Veränderungen am Code der Software vorgenommen worden, die meist Sicherheitslücken betrafen.

Wenn du dir einmal einen Überblick über die verschiedenen Versionen verschaffen möchtest, dann ist diese Seite hier die richtige Wahl:”https://wordpress.org/news/category/releases/” Hier ist alles wichtig zu Fehlern und Verbesserungen nachzulesen.

8. Grund - Eine sichere WordPress-Webseite, heißt Themes und Plugins regelmäßig updaten

Weiter oben im Grund Nr. 6 habe ich dir schon die Vorzüge aber auch Nachteile von Plugins geschrieben.

So sind die Funktionen der Plugins sehr hilfreich und erweitern WordPress zu dem was uns allen gefällt, können aber auch ein Problem für die Sicherheit darstellen.

Dasselbe trifft auch auf die Themes zu, die, wie du ja weißt für das Aussehen deiner WordPress-Webseite verantwortlich sind. Und immer häufiger werden diese Themes auch von Plugins bzw. Den Funktionen in einem Plug gesteuert.

Somit ist eines klar. Themes und Plugins sind aufgrund Ihre vielen Funktionen sehr komplex und dadurch gerade sehr anfällig für Angriffe von Hackern. Und ja, die Hacker suchen sich gerade gezielt solche schwach gesicherten und schlampig programmierten Plugins und Themes für Ihre Angriffe aus.

Dadurch potenzieren sich die Fehler durch viele Plugins und Themes auf deiner WordPress-Webseite.

Aus diesem Grund gebietet es sich einfach schnell eventuelle Updates für Themes und Plugins auf deiner WordPress-Webseite einzuspielen. Denn in deinem Backend zeigt dir WordPress welche Aktualisierungen du vornehmen solltest.

9. Grund - Regelmäßige Backup bedeuten eine sichere WordPress-Webseite.

Du hast jetzt schon eine große Anzahl an Gründen kennen gelernt, warum und wie du deine WordPress-Webseite absichern solltest.

Der Grund Nr. 9 gehört eigentlich nicht direkt dazu eine sichere WordPress-Webseite zu machen. Allerdings kann ja immer wieder ein Fehler passieren. dazu gehören nicht nur Hackeangriffe auf deine WordPress-Webseite direkt.

Es gibt so viel Gründe, die Tag für Tag passieren können. So gibt es defekte Hardware, die deinen Computer betrifft, während du an deiner Webseite arbeitest. Oder dein Webhoster ist pleite und nichts geht mehr. Ein Partner hat dir ein Bild per Mail geschickt und du hast das Bild von deinem Rechner zu WordPress hochgeladen. Und letztendlich kann dir auch ein Benutzerfehler unterlaufen. Wir alle sind nicht frei von Fehlern.

Schlimm für dich aber wäre jetzt, wenn du das erst liest nachdem die das passiert ist. denn im Nachhinein ist es schwer einen solchen Fehler auszumerzen.

Aber vielleicht hast du ja einen tollen Hoster und der macht jeden Tag eine Sicherung. Ja, das macht eigentlich jeder Hoster. Aber die schlechte Nachricht ist jetzt. Er macht eine gesamte Sicherung all seiner Festplatten. Und dann ist das mit Kosten verbunden und meist nicht billig. Denn du gast ja keinen Zugriff auf diese BackupsDu bist also auf deinen provider und seine Mitarbeiter angewiesen. Und diese sind meist auch nicht 24 Stunden im Dienst und oft hast du auch keinen Einfluss darauf was in dein System zurück gespielt wird.

Aber es gibt ja auch wirklich vorbildliche Provider, die dir die Möglichkeit bieten Dein System selbst zu sichern. Ich habe bereits im Laufe der Jahre einige Hoster kennenlernen dürfen und ein vorbildlicher Hoster ist BitPalast und dort kann ich im Backup-Manager regelmäßig Backups machen. Siehe hier unten:

Wenn ich dort eingeloggt bin kann ich oben über die 5 Menüpunkte auf alle Funktionen zugreifen.

Aber es ist natürlich nur 1 teil einer Backup-Strategie. Noch besser ist es regelmäßig ein Backup deiner Webseite selbst zu erstellen. Wie und was musst du dafür tun.

Also es gibt, wie dir von weiter oben bekannt ist für WordPress einige Sicherungs-Plugins. Davon sind einige sehr gut und sichern dir deine WordPress-Webseite ganz einwandfrei. Im Laufe der letzen Jahre habe ich mehrere getestet und auch für 2 Plugins eine kostenpflichtige Version erworben. Und ja, du wirst dich jetzt vielleicht wundern.

Meine klare Empfehlung an dich lautet Updraft Plus und ja ich benutze diese Plugin jetzt seit Jahren auf den meisten meiner 50 WordPress-Webseiten ohne Probleme. Und es gibt eine kostenlose und eine kostenpflichtige Version. Zu Beginn reicht die kostenlose Updraft Plus Version voll aus. Denn sie bietet alles was du brauchst.

Und wenn du ab sofort regelmäßig Backups erstellst, bist du auch der sicheren Seite. Aber denkst du jetzt, das kann doch nicht alles so einfach sein. Ja und nein, denn es lauern doch noch einige Tücken die es zu umgehen gilt.

Die Sicherungen haben nicht auf deinem Webspace zu suchen!

Die meisten Backup-Plugins sind toll und man kann sie meist auch einfach einrichten, aber sie haben ein Manko! Sie lagern alles in deinem WordPress-Account. Du denkst jetzt sicherlich. Klasse, dann ist ja alles OK.

Aber, und jetzt kommt das Unglück. Was ist wenn eines Tages deine WordPress-Webseite angegriffen und der Zugang geknackt wurde? Dann ist alles zu spät. Denn dann hat der Angreifer vielleicht deinen Account zerstört, beschädigt oder mit Trojaner, Viren, Malware verseucht und deine Webseite verschickt Spam-Mail oder wurde von einem Pornoring unterwandert. Du denkst jetzt sicher, Mensch der spinnt, aber glaube mir das alles kann passieren. Und nun? Damit ist deine WordPress-Webseite nicht mehr zu retten. Ja, vielleicht ist deine Domain sogar so negativ bewertet, das du sie auch noch vergessen kannst und dein Provider kündigt dir den Vertrag von heute auf morgen fristlos.

Denn das muss dir klar sein, wenn die Backups auf deinem Webspace liegen kann sie der Angreifer verändern oder löschen. Und dann hast du das nachsehen. Sind deine Backups von den Hackern nur gelöscht worden ist das zwar schlimm und mit viel Aufwand, Zeit und /oder Geld verbunden. Würden diese aber verändert und du spielst ein solches Backup ahnungslos ein, kann der Schaden vielleicht noch größer sein. warum? Du weißt ja nicht sofort was deine Webseite macht. Vielleicht wird sie heimlich zur Spamschleuder, weil im Hintergrunddeine Webseite teil eines Bot-Netzwerkes wurde.

Darum hier noch einmal mein dringender Appell an dich. Ein Backup gehört auf deinen Rechner oder in die Cloud. denn ein Backup ist die gepackte Version deiner Webseite und kann deshalb auch leicht wiederhergestellt werden. Und gute Sicherungs-Plugins bieten diesen Service an. Du kannst zumindest auf einen Cloudspeicherplatz sichern. Meist ist es der Speicherplatz in der Dropbox und diesen kannst du für 2 GB meist kostenlos bekommen. Ein gutes Beispiel liefert hier Updraft Plus:

noch sichere WordPress-Webseite, mit verschlüsseltem Backup

Ein weiteres Mosaiksteinchen zu einem sehr sicheren System ist ein verschlüsseltes Backup. Hier ist alles sehr gut geschützt. Wenn du ein sichresPassworthast.

Dies ist aber nicht mehr mit einem kostenlosen Sicherungs-Plugin zu bekommen. Dafür brauchst du beispielsweise die kostenpflichtige Pro-Version von Updraft Plus. Diese Version bietet dir aber noch mehr. So kannst du dein Backup auf mehreren externen Plätzen sichern. Aber wie schon weiter oben geschrieben, für den Anfang reicht das kostenlose Plugin.

10. Grund - sichere WordPress-Webseite, dank sperren der Dashboard Edit Funktion

Der letzte Punkt für mich ist der, sollt es jetzt wirklich einmal ein Eindringling schaffen in deine sichere WordPress-Webseite zu kommen, dann sollte es ihm nicht gelingen in die internen Editoren zu gelangen und dort noch extra Schaden anrichten können.

Denn eines ist Fakt, ist ein Hacker einmal eingedrungen, kannst du und ich nicht erkennen welchen Schaden er angerichtet hat. Hat er sich in irgend einem Teil deiner WordPress-Webseite einen Backdoor-Trojaner hinterlegt um jederzeit und heimlich einen Zugang zu deinem Webspace zu haben und damit unbemerkt zu spamen.

Vielleicht hat der böse Junge ja schon vor Monaten heimlich und ohne das du es bemerkt hast dein System übernommen. So sind auch deine Backups mit einem Virus oder einem Backdoor-Trojaner infiziert und somit unbrauchbar für eine Reparatur deines Systems. Und eine Veränderung der Themes und Plugins etc. ist in einer WordPress-Installation sehr einfach zu machen. In der aktuellen Version von WordPress findest Du im Dashboard unter Plugin und Design den Menüpnkt Editor und dort kannst du direkt Schadsoftware in ein Plugin oder Theme einbringen

das fatale ist, wenn ein Angreifer eingedrungen ist und Administratorrechte besitzt, kann er alles verändern.

Darum zeige ich Ihnen jetzt die Möglichkeit das zu schützen. Allerdings ist das nicht so einfach möglich und kann nur über den FTP-Zugang zu deinem Webspace erreicht werden. Sollte das bei Dir nicht möglich sein, musst du diesen Artikel an den Administrator deiner Webseite schicken, damit er das für dich erledigen kann.

Wie du siehst gibt es viele Dinge die jedem Angreifer das Eindringen in deine WordPress-Webseite schwerer machen.

Um jetzt noch das zu ändern musst du folgendes in deine wp-config.php einfügen:

define( ‘DISALLOW_FILE_EDIT’, true );

So das war das ganze Hexenwerk. Nun sollte auch diese Lücke geschlossen sein und der Editor sollte nicht mehr in deinem dashboard zu sehen sein.

Fazit:

In diesem Artikel habe ich dir jetzt 10 triftige Gründe und dir Tipps für eine sichere WordPress-Webseite gegeben.

Das aber ist nur ein Schritt zu einer sicheren Webseite, denn du musst es auch umsetzten. Also ist TUN jetzt das Gebot der Stunde für dich.

Falls du Fragen, Anregungen oder Kommentare hast, dann schreibe diese gerne unten in den Kommentar und ich werde versuche diese zu beantworten.

Dir wünsche ich jetzt viel Erfolg bei der Umsetzung meiner Hinweise und Vorschläge.