Wie man seine WordPress-Seite absichert

Wie man seine WordPress-Seite absichert

Wie man seine WordPress-Seite absichert

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber viele Anwender vergessen oft einen Faktor – die Sicherheit. In diesem Artikel gehen wir die Vor- und Nachteile von WordPress-Sicherheit im Detail durch und geben Ihnen Tipps, wie Sie Ihre Webseite sicherer machen können.

Wie man seine WordPress-Seite absichert

Die Erstellung einer eigenen WordPress-Seite ist sowohl spannend als auch großartig. Es gibt viel zu tun, um alles einzurichten, von der Auswahl eines Themas bis zum Schreiben Ihres ersten Blog-Posts. Doch der eine Faktor, den viele Menschen vernachlässigen, ist die Sicherheit.

WordPress ist sehr anfängerfreundlich und leicht zu erlernen, aber es kommt mit einigen Einschränkungen. Hacker nutzen gerne die Vorteile relativ unerfahrener Benutzer und versuchen neue Webseiten zu anzugreifen. Sie tun dies, um Zugang zu sensiblen Informationen zu erhalten oder diese Ihre Webseite zu nutzen, um Malware an ahnungslose Besucher zu verbreiten.

Schließlich betreibt WordPress fast 35% des Internets. Das bedeutet, dass mehr als ein Drittel aller Webseiten ähnliche Schwachstellen aufweisen, was es zu einem lukrativen Ziel für Hacker macht. Ist WordPress also immer noch wirklich die Verwendung wert? Öffnen wir so nicht einfach eine Tür, um dann von Hacker  gekidnappt zu werden? Es ist natürlich die WordPress-Seite gemeint!

Die Wahrheit ist, mit dem richtigen Wissen, dass die Verwendung von WordPress wohl genauso sicher, wenn nicht sogar sicherer ist, als die Erstellung einer eigenen Webseite. Es ist unmöglich, eine unüberwindbare Webseite zu entwickeln, die nie wieder verletzt wird. Selbst wenn Sie versuchen, Ihre eigene Webseite von Grund auf neu zu erstellen, denken Sie daran, dass Sie auf sich allein gestellt sind.

WordPress-Benutzer haben Zugriff auf Hunderte von Ressourcen, wie diese, die helfen können, Sicherheitslücken zu schließen, was sie fast undurchdringlich macht. Lassen Sie uns die Vor- und Nachteile der WordPress-Sicherheit im Detail durchgehen und einige Tipps geben, wie Sie Ihre Webseite sicherer machen können.

WordPress: Ist ein Open-Source-Produkt wirklich sicher?

WordPress ist Open Source, was bedeutet, dass der Code, der Ihre Webseite betreibt, frei ist und von jedem überprüft werden kann, der dies möchte. Dazu gehören auch Hacker, die nach Schwachstellen suchen, die sie ausnutzen können. Ist es in diesem Zusammenhang sicher, Open-Source-Plattformen zu verwenden?

Die Verwendung von Open-Source-Plattformen kann viel sicherer sein als die Erstellung einer eigenen Webseite, insbesondere wenn Sie keine Ahnung haben, was Sie tun. Viele Programmierer werden verstehen, wie man ein sicheres System erstellt, aber oft müssen Sie einen Sicherheitsingenieur beauftragen, um vollständig geschützt zu sein. Und selbst dann müssen Sie Ihren eigenen Code pflegen und aktualisieren und das ist teuer.

WordPress – Code wird nicht nur von Hackern durchsucht. Es wird auch vom WordPress-Sicherheitsteam, freiwilligen Entwicklern, ethischen White Hat Hackern (das sind die Guten) und anderen interessierten Parteien mit guten Absichten gepflegt. Selbst wenn also etwas durchschlüpft, besteht eine gute Chance, dass es schnell gefunden wird.

Die meisten Sicherheitsverletzungen werden nicht einmal durch eine Schwachstelle in einer aktuellen WordPress-Installation verursacht. Sie entstehen, weil Menschen WordPress und seine Plugins nicht auf dem neuesten Stand halten, bösartige Software versehentlich installieren oder unsichere Passwörter verwenden. Wenn Sie gute Praktiken befolgen, stehen die Chancen gut, dass Sie vollkommen sicher sind.

Lassen Sie uns jedoch auf einige der Dinge eingehen, die Sie zum Schutz Ihrer WordPress-Seite tun können.

Wählen Sie SICHERES Hosting

Ein Hauptfaktor für diese Sicherheitsschwachstellen ist das qualitativ schlechte Hosting.

Investieren Sie in einen Hosting-Anbieter, der großen Wert auf Sicherheit legt. Sie tun sich selbst keinen Gefallen, wenn Sie das Gefühl haben, dass die billigere Hosting-Kosten die Sicherheit überwiegen. Ein Teil Ihrer Marktforschung muss die Überprüfung der Sicherheitsdaten des Hosting-Unternehmens beinhalten. Sind sie sicherheitsbewusst? Setzen sie auf neueste Technologien und Standards?

Dies gilt auch für Shared Hosting. Es ist zwar eine preiswertere Option, bedeutet aber auch, dass Sie sich den Serverplatz mit anderen Kunden teilen. Leider reicht es aus, wenn eine Website infiziert wird und sich die Malware über alle Standorte im Netzwerk verbreitet.

Aus diesem Grund sollten wir ein Upgrade auf Cloud, VPS oder Dedicated Hosting in Betracht ziehen, wenn Sie es sich leisten können.

Darüber hinaus sollten Sie nach einem Host suchen, der die folgenden Dienstleistungen anbietet:

  • Modernste Serversoftware – Zu viele Hosts laufen noch auf PHP 5, das lange keinen Support mehr hat. Zu diesem Zeitpunkt sollten Server mindestens PHP 7.0+ verwenden. Das Gleiche gilt für andere Software wie cPanel, Plesk, MySQL oder andere Datenbankprogramme und das Betriebssystem.
  • Malware-Überwachung und -Entfernung – Wählen Sie einen Host, der sich aktiv darum bemüht, Malware-Infektionen zu erkennen und zu verhindern, und bietet möglicherweise Malware-Scans und -Entfernung für den Fall, dass Sie verletzt werden. Nicht alle Webhosts haben eine Richtlinie zum Entfernen von Malware von einer infizierten Webseite, und unter denjenigen, die dies tun, werden einige zusätzliche Gebühren für diesen Dienst erheben.
  • Firewalls und andere Sicherheitsmaßnahmen – Es gibt viele Möglichkeiten, wie Hosting-Provider ihre Serversicherheit erhöhen können. Möglicherweise ist die effektivste unter ihnen, sich auf eine Firewall zu verlassen, da sie den unbefugten Zugriff von außen auf den Server verhindert. Es könnte eine gute Idee sein, vor einer Entscheidung zu prüfen, ob ein Anbieter über dieses und andere Präventionsmittel verfügt.

Ein SSL-Zertifikat installieren

Ein Secure Sockets Layer (SSL)-Zertifikat verschlüsselt die zwischen dem Benutzer und Ihrer Website bereitgestellten Daten. Dies ist etwas, das vielleicht entscheidend für Websites ist, auf denen Benutzer Zahlungsinformationen austauschen, und weniger relevant für informative Blogging-Websites.

SSL gewährt Ihnen eine HTTPS-URL und ein dazugehöriges Zertifikat, ohne das Benutzer beim Besuch unserer Website eine rote „Nicht gesicherte“ Benachrichtigung in der Adressleiste erhalten. Tech-bewusste Besucher werden wissen, dass dies kein Risiko darstellt, wenn sie nur surfen, aber es wird definitiv viele andere abschrecken.

Im Laufe der Jahre haben SSL-Zertifikate Vertrauen unter den Benutzern aufgebaut und sagen ihnen praktisch, dass unsere Identität von einem vertrauenswürdigen Anbieter verifiziert und authentifiziert wird. Es wird uns nicht direkt daran hindern, gehackt zu werden, aber es ist trotzdem gut zu haben. Wenn Ihre Website Informationen über Formulare, für Zahlungen usw. sammelt, müssen Sie unbedingt eine erhalten.

Let’s Encrypt! ist derzeit der beliebteste und kostenlose Anbieter von SSL-Zertifizierungen und bei vielen Providern bereits zu bekommen. Plugins wie Really Simple SSL können Ihnen helfen, das Zertifikat einzurichten und HTTPS zum Laufen zu bringen.

Grün = Sicher

Sichern Sie Ihre Website

Bevor Sie überhaupt anfangen, Änderungen an Ihrer Webseite vorzunehmen, bevor Sie WordPress aktualisieren oder ein Plugin installieren, sollten Sie als allererstes Ihre Backups einrichten. Auf diese Weise, egal was der schlimmste Fall ist, eine versehentliche Änderung des Codes, WordPress-Fehler, eine beschädigte Datenbank – wir haben eine Lösung.

Selbst wenn unsere Webseite gehackt wird und der Schaden irreparabel ist, müssen wir sie nicht von Grund auf neu bauen.

Manuelle Backups, das Kopieren von Dateien und deren manuelle Übertragung auf Festplatte oder Cloud sind kostenlos, aber zeitaufwändig. Stimmt, wir können dies so oft (einmal am Tag) oder so selten tun, wie wir wollen. Obwohl ein Backup, das alle 6 Monate durchgeführt wird, ein wenig riskant sein kann.

Überprüfen Sie, ob Ihr Host wöchentliche, monatliche oder tägliche automatische Backups anbietet. Dieser Service ist in der Regel kommerziell, aber gelegentlich kostenlos. Wenn dies der Fall ist und Ihr Host sowohl Ihre Dateien als auch Ihre Datenbank sichert, müssen Sie nichts anderes tun. Obwohl es eine gute Idee sein kann, ein paar manuelle Backups für alle Fälle aufzubewahren.

WordPress Backup Plugins

Updraft-Plus

Wenn Ihr Host keine Webseiten-Backups anbietet oder wenn das von Ihrem Host bereitgestellte Backup Dateien oder Ihre Datenbank ausschließt, können Sie sich auch auf Plugins verlassen.

Es ist eine gute Idee, zumindest eine solide Lösung für jede Webseite zu haben, die Sie besitzen oder verwalten, und WordPress Backup-Plugins können diese zusätzliche Sicherheit bieten.

iThemes ist ein gutes Beispiel dafür. Dieses Sicherheits-Plugin bietet kostenlose Datenbank-Backups sowie eine Reihe von Tools und Patches. Das zugehörige kostenpflichtige Plugin BackupBuddy ermöglicht es Ihnen, auch ein vollständiges Standortbackup durchzuführen.

Kostenlose oder Freemium-Plugins wie UpdraftPlus, BackUpWordPress erledigen die Arbeit ebenfalls effizient und sind einen Besuch wert.

Denken Sie daran, dass Sie auch dann, wenn Sie sich für ein Backup-Plugin entscheiden, ein Sicherheits-Plugin benötigen, z.B. WP-Cerber, iThemes-Security oder Wordfence, wenn Sie sicher bleiben wollen.

Warten Sie nicht, bis es zu spät ist. Die Einrichtung Ihrer Sicherheit in letzter Sekunde ist so effektiv wie die Reparatur der Löcher in Ihrem Dach während eines Regensturms.

Wenn Sie etwa eine Stunde damit verbringen, Ihre Backups und Ihre Sicherheit einzurichten, sparen Sie Monate, vielleicht sogar Jahre an Arbeit.

Halten Sie Ihre Plugins und Ihr Design auf dem neuesten Stand.

Wenn Sie einen guten Host ausgewählt haben und Ihre Backups eingerichtet sind, verfügen Sie über eine ziemlich gute Sicherheitsinfrastruktur. Aber es gibt noch ein paar weitere Dinge, die Sie tun sollten, um Ihre Webseite vollständig zu schützen.

Ein veraltetes Plugin oder ein unsicheres Design ist das riesige Einfallstor für die Infiltration von Schadsoftware in Ihrer Webseite. Sie auf dem neuesten Stand zu halten, hilft, potenzielle Lücken zu schließen und verhindert so, dass dies geschieht.

Das Aktualisieren Ihrer Webseiten-Komponenten ist so einfach wie das Aufrufen Ihres WP-Admin-Dashboards und das Suchen nach Update-Benachrichtigungen unter Dashboard > Updates.

Markieren Sie alle Themen oder Plugins, die Sie aktualisieren möchten, indem Sie die Kästchen ankreuzen und dann auf die Schaltfläche oben/unten klicken, um mit der Aktualisierung zu beginnen. Wenn Sie es sich zur Gewohnheit gemacht haben, diese Warnungen zu ignorieren, ist es an der Zeit, aufzuhören.

Wie Sie wissen, können Plugins und Designs über die Registerkarten Plugins und Themes aktualisiert werden. Jedoch nicht alle Themen von Premium-Drittanbietern unterstützen automatische Updates, so dass Sie vielleicht ab und zu ihre Webseite überprüfen sollten.

Wichtiger als das Aktualisieren Ihrer Plugins und Designs ist es, WordPress selbst auf dem neuesten Stand zu halten.

39% der gehackten WordPress-Seiten waren veraltet. Manchmal müssen Sie ein Update entfernen, weil es ein von Ihnen verwendetes Plugin stören kann, aber irgendwann müssen Sie das Plugin löschen, um Ihre Webseite zu speichern. WordPress monatelang veraltet zu lassen, ist möglicherweise das Schlimmste, was Sie tun können.

(Profi-Tipp: Sichern Sie Ihre Webseite immer, bevor Sie Updates einführen. Nur für den Fall, dass es Probleme gibt.)

Wenn Sie schon dabei sind, sollten Sie vielleicht die Versionsnummer aus Ihrem Quellcode entfernen.

Standardmäßig enthalten WordPress-Webseiten ein Meta-Tag mit der WordPress-Versionsnummer, welche die Website verwendet. Wir sind uns mit den Sicherheitsspezialisten darüber einig sein, dass dies Hackern das Leben zu einfach macht.

Sie können die Versionsnummer von WordPress manuell entfernen, indem Sie einen einfachen Code in Ihre functions.php-Datei einfügen. Wenn Sie, wie von uns vorgeschlagen, ein WordPress-Sicherheitsplugin verwenden, verstecken viele von ihnen Ihre WP-Version automatisch. Wenn Sie die Verwendung eines Performance-Plugins in Betracht ziehen, bietet das Perfmatters-Plugin auch die Möglichkeit, die WP-Version zu verstecken.

Plugins und Themes aus zuverlässigen Quellen installieren

Ein weiterer riesiger Fehler der meisten WordPress-Benutzern ist es, ihre Plugins und Designs von unzuverlässigen Anbietern zu holen. Ein schlechtes Design oder Plugin kann Malware in Ihre Seiten eindringen lassen, sie beschädigen oder verunstalten.

Webseiten und Entwickler von Drittanbietern werden von WordPress nicht unterstützt und so weiß man nie, was man erhält. Es wäre sehr zuverlässig, alles zu vermeiden, was von unbekannten Webseiten kommt. Wenn das betreffende Plugin viele positive Bewertungen hat und beliebt zu sein scheint, sollte es sicher genug sein, um installiert zu werden.

Schlechte Plugins können leicht mal durch das Raster rutschen.

Auch wenn sich ein Plugin im offiziellen Verzeichnis von WordPress befindet, ist es nicht garantiert sicher. Bevor Sie etwas aus dem Repository herunterladen, werfen Sie einen Blick auf die Statistiken, die in der Seitenleiste rechts auf der Seite aufgelistet sind. So vermeiden Sie es, Plugins herunterzuladen, die im letzten Jahr nicht aktualisiert wurden oder wichtiger noch, weniger als ein paar hundert Installationen haben oder niedrige Bewertungen erhalten haben.

WordPress-Plugins-Statistik

Das vorher gesagte gilt natürlich ebenso für Themen. WordPress bietet einige Themen im Themen-Repository an (einschließlich des Elementor eigenen Hello-Themes, welches extrem einfach ist). Wenn Sie wie viele andere Benutzer nach mehr Vielfalt suchen, sollten Sie Ihre Designs nur von Anbietern und Entwicklern kaufen, die in der Community vertrauenswürdig und bekannt sind.

Sie sollten „nulled“ WordPress Plugins und Themes vermeiden. Nulled Software ist ein Begriff für Premium-Plugins, die kostenlos und ohne Genehmigung verteilt werden.

Abgesehen davon, dass sie fragwürdig und möglicherweise illegal sind, stellen nulled Themen und Plugins ein großes Sicherheitsrisiko dar. Indem man sich auf einen Entwickler verlässt, der bereits unethisch handelt, um Malware nicht in den Code aufzunehmen, ist es ungefähr so sinnvoll wie eine Maus zu bitten, auf Ihren Käse auf zu passen.

Einige ausgesonderte Händler verwenden Code, der dazu führt, dass übermäßige Anzeigen auf Ihrer Webseite erscheinen, Malware verbreitet oder Ihre Datenbank völlig beschädigt wird. Außerdem haben Sie keinen Zugriff auf Updates, was Sie anfällig für Angriffe machen kann, wenn die Software veraltet ist.

Alles in allem ist es in Ihrem eigensten Interesse, nulled Plugins zu vermeiden und nur Software aus dem WordPress Repository oder von vertrauenswürdige Anbieter zu installieren.

Dateibearbeitung durch den Code-Editor deaktivieren

WordPress wird mit teilweise einer Reihe von leicht zugänglichen Themen- und Plugin-Editoren geliefert. Sie finden sie unter Erscheinungsbild > Theme Editor und Plugins > Plugin Editor. Diese ermöglichen den direkten Zugriff auf den Code Ihrer Webseite. 

Allerdings wird die Bearbeitung vielfach heute schon komplett ausgeschlossen. es sei denn Sie verwenden ein WordPress-Standard-Theme.

Ich selbst habe bei meinen ca. 50 WordPress-Webseiten den Zugang zum Editor nicht mehr gefunden.

Während diese Tools für einige Spezialisten eventuell nützlich sind, sind viele WordPress-Benutzer keine Programmierer und müssen und sollten hier nie etwas verändern. Mit diesem Code herumzuspielen, ohne zu wissen, was Sie tun, ist ein sicherer Weg, um Teile Ihrer Webseite zu zerstören oder gar unbrauchbar zu machen. Wenn Sie ein  einfacher Nutzer sind, ist es am besten, die Dateibearbeitung einfach zu deaktivieren, da Hacker den Datei-Editor verwenden können, um schnell schädlichen Code auszuführen oder ganze Teile Ihrer Webseite zu löschen. Wenn Sie den Editor, falls noch vorhanden, deaktivieren, werden sie langsamer.

Sie können auch den Theme- und Plugin-Editor mit einer Zeile Code in Datei wp-config.php, auf Ihrem Server deaktivieren. Wenn Sie Ihre Webseite oder Plugins bearbeiten müssen, schalten Sie sie einfach vorübergehend wieder ein. Alternativ können Sie sie auch über einen FTP-Client bearbeiten.

Das Deaktivieren der Dateibearbeitung verhindert nicht unbedingt, dass Angreifer Schaden anrichten, aber es kann weniger erfahrene Hacker verwirren und sie aufhalten. Zumindest wird es das für sie etwas schwieriger machen und uns mehr Zeit geben, zu erkennen, dass etwas nicht stimmt.

Sichern Sie Ihren Login-Prozess zusätzlich ab.

WordPress-Login zusätzlich mit 2-Faktor Autorisierung

Wenn jemand Ihr Passwort herausfindet, ohne auf die Nutzung des Codes der Webseite zurückzugreifen, ist es höchstwahrscheinlich das Ergebnis von Brute-Force-Angriffen. Dabei werden verschiedene Kombinationen von Buchstaben und Zahlen gewaltsam ausprobiert, bis das Passwort stimmt.

Manchmal versucht ein potenzieller Angreifer häufige Kombinationen, bevor er zur Verwendung von Programmen übergeht, führt er einen automatisierten Prozess aus, der mehrere zufällige Passwortkombinationen pro Sekunde ausprobiert.

Wenn Sie anfangen, sich so zu fühlen, als ob Sie genauso gut jede Hoffnung aufgeben könnten, Ihre Seiten sicher zu machen, dann tun Sie es nicht. Es gibt unzählige Möglichkeiten, Hacker zu abzustoppen, abzuschrecken und sogar Angreifer daran zu hindern, Dinge wie Brute-Force-Angriffe durchzuführen.

Die Standardinstallation von WordPress basiert jedes Mal auf einem ähnlichen Anmeldepfad. Dies ist ein primäres und einfaches Ziel für Hacker, die gängigsten oder leicht zu erratenden Passwörter ausprobieren.

Der Grund, warum so viele Menschen WordPress weiterhin verwenden, ist, dass viele dieser Probleme ganz leicht zu beheben sind.

Erstellen Sie eine starke, sichere Login-Kombination

Der erste und wichtigste Schritt ist die Wahl eines geeigneten Benutzernamens und Passworts. Wir könnten die Anmeldeseite unter einer anderen URL verstecken, aber wenn Ihr Login etwas so Alltägliches wie admin/password ist, würde es keinen Unterschied machen, da es Hacker schnellstens herausfinden.

Hier ist eine Liste von Benutzernamen, die Sie unbedingt vermeiden sollten.

  • Admin – Dies war früher der Standardbenutzername für WordPress und ist daher einer, der definitiv bei einem Brute-Force-Angriff ausprobiert wird.
  • Aus meiner Sicht ist, so zeigt es meine Erfahrung er letzten Jahre, ist der zweithäufigste Begriff [login].
  • Darüber hinaus Ihr richtiger Name oder Spitzname – Das sind sowohl öffentliche Informationen als auch so leicht zu erraten wie „admin“. Darüber hinaus kann es sinnvoll sein, ein eigenes Profil ohne Administratorrechte für die Veröffentlichung von Inhalten zu erstellen. Auf diese Weise erscheint der Benutzername des Haupt-Logins nicht auf der Website.
  • Alle persönlichen Daten – einschließlich Geburtstag, etc. Verwenden Sie ein persönliches Detail nur dann, wenn es etwas ist, das niemand je erfahren könnte.
  • Der Titel Ihrer Webseite, oder etwas, das offensichtlich damit zusammenhängt – „Kätzchen“ für eine Katzenpatenschaft, etc.

Sie müssen auch ein sicheres Passwort wählen. Die allgemeine und wichtigste Aussage dabei ist dieselbe: Vermeiden Sie persönliche Informationen, offensichtliche Entscheidungen wie „Passwort“ oder alles, was eindeutig mit Ihrer Webseite zu tun hat.

Ein sicheres Passwort besteht aus mehr als 10 Zeichen, besser 18 Zeichen, verwenden Sie eine Vielzahl von Zeichen, wie Groß-, Kleinschreibung, Zahlen, Sonderzeichen und vermeiden Sie häufige Wörter und Phrasen. Die besten Passwörter sind eine lange Reihe von völlig zufälligen Buchstaben, Zahlen und Symbolen, die niemand erraten konnte.

Experten haben errechnet, dass bei einem sicheren Passwort ab 8 Zeichen mit einer Kombination aus Zahlen und Groß- sowie Kleinbuchstaben ein Computer-Angreifer bei zehn Angriffe pro Sekunde – 692.352 Jahre brauchen würde, um sämtliche Kombinationen durchzuprobieren.

Dienste wie Secure Password Generator können Ihnen helfen, diese zu erstellen.

Wenn es Ihnen schwer fällt, sich an Ihre Login-Daten zu erinnern, sollten Sie einen Dienst wie LastPass in Betracht ziehen.

Diesen Dienst nutze ich seit Jahren und er ist kostenlos auf Ihrem Rechner nutzbar. Es gibt auch einen kostenpflichtigen Account, der dann überall auf  Handy und Tablet zu nutzen ist. Ich bin damit sehr zufrieden und halte es für das beste Tool. Seit diesem Tag habe ich keine Probleme mehr mit schwachen Passwörter und keiner meiner zahlreichen Accounts wurde bisher geknackt. Also TOP und WICHTIG.

Sperren Sie Ihre Login-Seite.

Standardmäßig kann sich jeder auf Ihrer Website anmelden, indem er zu ihre-Webseite.de/wp-admin geht. Sie können sie  ihren Spuren verwischen, indem Sie die URL komplett ändern. WPS Hide Login ermöglicht es Ihnen beispielsweise, das zu ändern, wenn Sie das wollen. Installieren Sie es einfach und gehen zu den Plugin-Einstellungen, um es zu ändern.

Ich persönlich kann sagen zahlreiche Hacker nutzen einen anderen Weg zu Ihrem Login. Nur die zahlreichen kleinen Lichter nutzen den Weg so oder so und da hilft nur ein sehr gutes Passwort. Aber ganz wie Sie wollen, ist hier der Weg.

Sie sollten einen Login-Pfad verwenden, der nicht offensichtlich ist. Es könnte die Hacker ein wenig abschrecken, wenn Sie es in etwas wie /login oder /new-login ändern, aber wenn sie entschlossen sind, werden sie das ziemlich schnell herausfinden. Daher ist es besser, etwas sehr schwer zu erratendes wie /Dukommsstmir danichtrein zu wählen.

Als nächstes installieren Sie ein Plugin, um die Anmeldeversuche zu begrenzen. Jede Person kann Ihren Server mit Hunderten von Anfragen per Spam versenden, bis sie es für richtig hält. Ein Plugin, das Anmeldeversuche einschränkt, gibt ihnen nur wenige Chancen, bevor sie gesperrt werden. Es kann auch Bots erkennen und von Ihrer Login-Seite wegleiten.

Alternativ können Sie auch ein CAPTCHA aktivieren, um sie noch weiter zu verlangsamen.

An dieser Stelle werden die meisten Hacker nach einfacheren Zielen suchen. Sie können es weiter versuchen, sobald ihre Zeit abgelaufen ist, aber in dieser Zeit konnten wir unsere Serverprotokolle überprüfen, ihre Versuche, hineinzukommen, bemerken und ein IP-Verbot erlassen.

Sie können auch versuchen, die Cloudflare Rate Limiting zu nutzen. Diese erkennt automatisch Brute-Force- sowie DDoS-Angriffe und blockiert die dafür zuständigen IP-Adressen.

Der letzte Schritt besteht darin, eine zweistufige Authentifizierung mit einem Plugin einzurichten. Neben einem Benutzernamen und einem Passwort, um hineinzukommen, fragt es den Besucher nach einem dritten Authentifikator. Am häufigsten ist eine Textverifizierung einer Nachricht, die an Ihr Telefon gesendet wird. Ein Hacker könnte in der Lage sein, Zugriff auf Ihre E-Mail zu erhalten, aber es ist sehr unwahrscheinlich, dass sie Ihr Handy stehlen könnten.

TOP-Tip vom Profi: Ich setze dafür wp-Cerber erfolgreich ein. Das Plugin bietet fast alle gängigen Methoden an, wie Ip-Aussperrung, Login verändern, Aussperrung bei Brute-Force- sowie DDoS-Angriffe und vieles mehr.

Halten Sie WordPress sicher

Eine unberührte Installation von WordPress steht Angreifern offen. Die Vernachlässigung der Sicherheit macht Sie anfällig für Hacker, die Ihre Website verunstalten, löschen oder sogar mit Malware infizieren wollen.

Allerdings könnte ein Tag mit der Installation und Einrichtung der richtigen Security-Plugins und dem Ausfüllen all dieser kleinen Lücken den Ausschlag geben.

Indem Sie den Ratschlägen folgen, die wir Ihnen gegeben haben, wird Ihre Website weitaus sicherer vor Angreifern sein. Der große Teil ist, dass viele dieser Methoden „Set-it-and-forget-it“-Aktionen sind. Ändern Sie einfach eine Einstellung und Sie müssen nicht lange darüber nachdenken.

Zusammenfassend: Wählen Sie einen vertrauenswürdigen Host mit sicheren Servern, installieren Sie ein SSL-Zertifikat, wenn Sie Benutzerdaten sammeln, halten Sie Ihre Website gesichert und Ihre Installation und Themen auf dem neuesten Stand, und stellen Sie sicher, dass Sie über ein sicheres Login verfügen. Tun Sie all dies und Hacker, insbesondere Amateur-Hacker, werden am Tor gestoppt.

Wurde Ihre WordPress-Seite jemals gehackt? Wie haben Sie es geschafft, Ihre Website zurückzugewinnen und zu bereinigen? Wir würden uns freuen, Ihre Geschichte in den Kommentaren zu hören.

DSGVO Es ist vollbracht

dsgvo-Es ist vollbracht

Die DSGVO hat mich nicht geschafft, aber sie ist erledigt!

Wenige Tage vor Ultimo, das ist ja bekanntlich der 28. Mai 2018 habe ich die DSGVO auf allen Webseiten umgesetzt.

Und ja es war eine ganze menge zu tun, zahlreiche Kunden- und eigene Projekte wurden umgesetzt.

Von ursprünglich 73 Projekten blieben schlussendlich noch 61 Projekte übrig, die ich in den letzten 4 Wochen erfolgreich zum Abschluss gebracht habe.

Es war viel Arbeit und es blieb manch andere, wichtige Arbeit liegen. Denn es waren nicht nur die reinen Umsetzungen zu machen. Zahlreiche Updates mussten zusätzlich bewältigt werden und mancher vermeintlich gangbarer Web führte in die falsche Richtung. Das bedeutete wiederum neu nachdenken, informieren, reformieren und einiges über den Haufen werfen und noch einmal neu machen.

Was habe ich jetzt konkret wegen der DSGVO umgesetzt?

Hier meine Liste, um die Seiten meiner Kunden und meine Seiten gemäß der DSGVO abmahnsicherer zu machen:

  1. Ich habe mir bei Udemy den Kurs. DSGVO Basics für EinzelunternehmerInnen zugelegt und studiert. Den es übrigens kostenlos gab
  2. Mich bei diversen Rechtsanwälten mit den Datenschutzerklärungen auseinander gesetzt und schlussendlich eine erstellt.
  3. Diverse Checklisten zur Übersicht der notwendigen Arbeiten gemacht
  4. Ein Datenverarbeitungsverzeichnis (DSGVO) erarbeitet.
  5. Auftragsdatenvereinbarungen mit meinen Kunden und Datenverarbeitern abgeschlossen.
  6. Das alles dann, bei den 61 Webseiten implementiert.

Im einzelnen waren das  auf fast jeder Webseite folgende Punkte, die zu erledigen waren:

  1. Neue Seite mit Datenschutzerklärung erstellen und die veraltete Datenschutzseite löschen.
  2. Menü entsprechend anpassen.
  3. Cookie-Hinweis Plugin installieren und anpassen. Ich nutzte cookie-notice oder eu-cookie-law.
  4. Um die Kommentare DSGVO konform zu nutzen habe ich das Plugin wp gdpr compliance eingesetzt und angepasst.
  5. Da ich für meine Webseiten und Videos meist Elementor nutze habe ich das Plugin Extra Privacy for Elementor installiert.
  6. Und zum Schluss noch für Social-Media das Plugin Shariff Wrapper hinzugefügt bzw. Gegen andere ausgetauscht.
  7. Auch das Plugin WP-Statistics und einige andere sind oder werden jetzt oder bald DSGVO konform werden.

Das bedeutet natürlich für dich und mich immer wieder informieren und reagieren. Und das trifft ja auch allgemein auf  Internet, WordPress und Datensicherheit zu.

Fazit:

Die ersten Hürden zur DSGVO sind genommen. Aber das bedeutet noch lange nicht, dass jetzt jedermann die Hände in den Schoß legen kann.

So wie es anscheinend so einige Zeitgenossen tun zu können. Es macht Spass einen WordPress-Blog zu betreiben. ABER, und das vergessen viel zu Viele. Es ist permanente Arbeit einen solchen WordPress-Blog sicher und aktuell zu halten. Ja, es ist sogar eine gewisse Herausforderung. Und wenn was nicht funktioniert ist das Geschrei groß.

In diesem Sinne wünsche ich dir alles Gute und eine erfolgreiche Zeit.

Über einen Kommentar freue ich mich natürlich.

Cerber Blacklist

WordPress-Sicherheit

Live dabei: Wie ich Eindringlinge aussperre!

WordPress Sicherheit erhöhen! Hallo sei recht herzlich begrüßt und sei Live dabei, wie ich auf einem meiner WordPress-Webseiten die diversen versuchten IP-Adressen, die versuchten, auf meine Webseite, über den WP-Login einzudringen. Dazu bin ich ins Backend, meiner Webseite, von WordPress und habe zuerst ein Update der Plugins gemacht. Im Anschluss habe ich über die Dashboard – Startseite auf das Plugin WP-Cerber zugegriffen und mir die Aktivitäten der letzten Tage angesehen. Dabei erkennst Du, dass viele IP-Adressen angezeigt werden, die zwar von Cerber geblockt wurden, aber noch nicht auf der sogenannten „Black-Liste“ stehen.

WordPress Sicherheit erhöhen. Woran kann man das erkennen? Die IP-Adressen auf der „Black-Liste“ sind an einem schwarzen Quadrat vor der IP-Adresse auszumachen. Das weitere Vorgehen ist dann, die einzelnen IP-Adressen zu öffnen. Ich mache das in einem neuen Tab und öffne meist 12-13 Adressen auf einmal. Warum? Weil auf einer Seite 25 IP-Adressen zu sehen sind. Da ich meist nur 1 x alle 14 Tage danach schaue sind es doch einige Versuche, wie Du im Live-Video sehen wirst. 

WordPress Sicherheit erhöhen. Weshalb mache ich das? Bestimmt erkennst Du im Video auch, dass von manchen IP-Adressen des öfterenVersuche gestartet werden. Diese Versuche sind meist von Bots, die einfach nur ein Programm abspulen und bestimmte Bereiche an IP-Adressen abarbeiten. Dabei werden 2 Bereiche versucht zu knacken. Bereich 1 ist der Login, Das heisst man versucht auf die Datei „wp-login.php“ mit Standard-Benutzernamen zuzugreifen und probiert dann verschiedene Passwortkombinationen aus. Da ich immer ein sehr individuellen Benutzername verwende und die häufigsten bekannten Standard-Benutzernamen in einer Datei im Plugin WP-Cerber gespeichert habe, scheitern die Bots sofort und die IP-Adresse wird erst einmal geblockt. Das ist sehr gut, aber es reicht nicht. Und aus welchem Grund? Da die Bots ja Programme sind, versuchen sie es immer wieder und das bis zu 100 Mal und mehr am Tag. Und das ist nur nervig und kostet eventuell Geld, wenn Du nicht über unbegrenztes Traffic-Volumen verfügst. 

Der zweite Bereich sind Bots oder Programme, die über die sogenannte REST-API versuchen zuzugreifen. Das ist eine von WordPress frei gegebene Schnittstelle um Plugin etc. leichteren Zugang zu WordPress zu gewähren, aber leider nicht sehr sicher ist und so zum offenen Scheunentor für Hacker werden kann, wenn Sie nicht verschlossen wird. Du wirst ja auch nicht Dein Auto abschließen und mit offenem Heckfenster auch einem Parkplatz in der City tagelang stehen lassen, oder? So ist die REST API Schnittstelle zu bewerten, im Moment und deshalb kann ich Dir nur raten ein Sicherheits-Plugin zu nutzen. Auch wenn es Dir keine 100 % Sicherheit bietet, die es ja, wie Dir bekannt ist, im ganzen Leben nicht gibt.

Über dieses Thema habe ich schon im diesem Beitrag berichtet:

REST API-WordPress-Sicherheit

WordPress Sicherheit erhöhen! Fazit:

WordPress Sicherheit erhöhen. Du hast also gesehen, was es alles so auf einer Webseite im Hintergrund geben kann. Du hast jetzt bestimmt einen Ahnung auf was es ankommt und wirst daraus die richtigen Schlüsse ziehen. Dabei wünsche ich Dir viel Erfolg und allzeit einen gut funktionierenden WordPress Blog. 

⬇︎ Hier unten findest Du das Live-Video  ⬇︎

WordPress-Sicherheit
Video anzeigen?

Wenn du eingebettete Videos auf dieser Seiten sehen möchtest, werden personenbezogene Daten (IP-Adresse) an den Betreiber des Videoportals gesendet. Daher ist es möglich, dass der Videoanbieter deine Zugriffe speichert und dein Verhalten analysieren kann.

Wenn du den Link hier unten anklickst, wird ein Cookie auf deinem Computer gesetzt, sodass die Website weiß, dass du der Anzeige von eingebetteten Videos in deinem Browser zugestimmt hast. Dieses Cookie speichert keine personenbezogenen Daten, es erkennt lediglich, dass eine Einwilligung für die Anzeige der Videos in deinem Browser erfolgt ist.

Erfahre mehr über diesen Aspekt der Datenschutzeinstellungen auf dieser Seite: Datenschutzerklärung

Videos anzeigen

Alternativ kannst du auch diesen Link benutzen, der dich direkt zum Video auf die Website des Videoanbieters bringt: https://www.youtube.com/watch?v=j-v1M1bdh7Y&feature=youtu.be

Angriffswelle auf WordPress-Seite

Brute-Force-Angriff auf WP_Seite

Hast Du einen solch brutalen Angriff auf Deine WordPress-Webseite schon mal erlebt

Heute Nachmittag, gegen 15:20 Uhr, ging ich an meinen Computer um mal zu schauen was meine WordPress-Multiseite so macht. Und was ich da sah, hat mir fast die Worte fehlen lassen. Aber sie selbst:

WP-Cerber Schnellansicht im WP-Dashboard.

Ich traute meinen Augen nicht. Allerdings bot sich dieses Bild meinen Augen erst nachdem ich den Schaden einigermaßen im Griff hatte. 

Nun zu den Fakten:

Wir hatten um die Mittagszeit Besuch und danach haben wir einige Zeit geplaudert. Ich hatte im Backend der WordPress-Seite gearbeitet und kam wie oben erwähnt an den Rechner und das Backend von Cerber zeiget 178 aktuelle Sperren an. Warum? Nun heute wurde ich Zeuge eines massiven Angriffes auf diese Webseite.

Um 14:46 Uhr hat der erste versucht sich auf WordPress einzuloggen und so ging das im Minutentakt weiter bis 16:47 Uhr. Angriff auf Angriff.

Gott sei Dank habe ich WP-Cerber installiert und eingerichtet so dass jeder der sich mit falschem Benutzernamen anmelden will sofort gesperrt und nach 3 maligem Versuch für 6 Minuten gesperrt wird. Und ja ich kenne das, dass das immer wieder passiert, dass sich Leute versuchen in WordPress-Webseiten einzudringen. Regelmäßig wacht WP-Cerber darüber, aber meist sind es nur wenige Versuche im Monat. Das Plugin schützt Deine WordPress-Webseite vor solchen Angriffen. Allerdings bietet es, wie viele andere Schutzmechanismen, keinen 100% Schutz.

Der für mich wichtigste Schutz Deines WordPress-Zugangs und die Sicherheit wirst Du nur über ein gutes Passwort erreichen.

In meinem Beitrag über WordPress Sicherheit kannst Du mehr darüber erfahren, besonders über Passwörter und Benutzernamen.

Fazit:

Was lernen wir daraus? Man kann sich nicht genug um die Sicherheit seiner WordPress-Seite selbst kümmern. Und ich kann nur an Dich appellierenNimm das Ganze nicht auf die leichte Schulter. In fast 40 Jahren Erfahrung mit EDV gilt noch immer das Wort, Sicherheit ist durch nichts zu ersetzen als durch noch mehr Sicherheit.

Die aktuellen Ereignisse der letzten Tage haben das deutlich gemacht. Sichern und absichern so weit es geht. Aber auch nicht in Panik verfallen. Es braucht nur wenig um auf der sicheren Seite zu sein. Regelmäßige Backups und ein gutes, sichere Passwort. Und das für jeden einzelnen Zugang. Viel Erfolg und eine sichere WordPress-Webseite.

Von 0 auf 4385 Besucher in nur 3 Monaten

Social Media Besucher

Lasse mich Dir erzählen wie das erreicht habe

besucher seit Start vor 3 Monaten

Ja, das hätte ich jetzt auch nicht so schnell erwartet. Du siehst also an der Grafik oben, die meine Besucher der letzen 3 Monate zeigt. Warum mache ich das?

Nun vor fast genau 3 Monaten und 5 Tagen habe ich diese Webseite gestartet. Und so mancher der mich schon etwas länger kennt, weiss genau. Das ist nicht mein 1. WordPress-Blog. Ich habe jetzt seit ich 2008 meine Arbeit verlor, vieles ausprobiert. Meinen Traumjob, der mich 1992 in die Region Niederlausitz / Spreewald geführt hatte, war von einen Tag zum anderen weg. Und dadurch auch meine Lebensgrundlage, denn eines war mir klar mit fast 60 Jahren bekomme ich keine gleichwertige Arbeit und von gleichwertigen Lohn war nur zu träumen. So machte ich mich auf die Suche. Probierte den Verkauf von Tiroler Spezialitäten, versuchte mich im network-Marketing, investierte tausende von Euros in Schulungen bei den bekannten Internet-Marketern, und zwar bei fast Allen. Das einzige, das ich dabei lernte, war Erfahrung, wie die Marketer Geld verdienten, und zwar an mir. Aber ich blieb immer am Ball und das was mir wirklich Spass machte, mich mit Leidenschaft erfüllte, war WordPress und das Bauen und Gestalten von WordPress-Webseiten. Um dem Frust und Druck des Jobcenters zu entgehen, beantragte ich dann 2013 meine Altersrente, die, wenn auch mit Abschlägen bewilligt wurde. Da ich seit 2010 ein kleines Haus besitze, das ohne Belastung ist, konnte ich also beruhigt meinen Unruhestand antreten und mich ganz dem Internet widmen. 

4385 Besucher, wie alles anfing

Und ja, auch da habe ich weiter gelernt und auch so manchen Euro gelassen, für teure WordPress – Profi-Themes und Profi -Plugins. So kann ich mit Fug und Recht von mir sagen, ohne Angeben zu wollen, ich kenne mich mit WordPress recht gut aus. Und so kam ich, über den Umweg, Affiliate und Nischen-Marketing schlußendlich immer wieder zu meiner absoluten Liebe und Leidenschaft, zu WordPress. Im Jahr 2017, lernet ich dann Elementor kennen und beschloss für mich, das wird mein Ding. Dieses Plugin ist so klasse, so genial einfach, also einfach genial. Und dem will ich mich widmen.

So ging es weiter…

So stand im Oktober 2017 mein Entschluss fest. Du machst jetzt diesen Blog und hilfst Menschen, die nichts von HTML oder CSS verstehen und sich auch nicht damit auseinandersetzen wollen oder aus Zeitgründen können, schnell und einfach WordPress-Webseiten zu bauen, sowie alles was dazu gehört, seien es Landingpages, Salespages, Opt-in Seiten, Video-Salesletter, aber auch WordPress-Sicherheit und vieles mehr.

Und jetzt kamen sukzessive die Besucher

Wie schon gesagt, am 21.Oktober 2017 veröffentlichte ich den ersten Beitrag. Und darauf bin ich jetzt stolz, ich habe in dieser Zeit 59 Beiträge geschrieben und mehr als 4385 Besucher haben meine Webseite besucht. Und das alles habe ich ohne bezahlte Werbung erreicht und Dank Volker Schiebel nur über seine Kanäle: „Gratismailer, Power4space, ePromo24“ und über die üblichen Social Media Schinen wie XING. LinkedIn, Google+ und Twitter erreicht.

Und Du kannst das auch!

[Echt Krass] Hacking WP und kein Ende

[Echt Krass] Hacking WP und kein Ende

Neues zum WordPress-Hacking

Hacking WP, das ist wohl jedem jetzt klar, WordPress ist logischerweise infolge seiner enormen Verbreitung ein willkommenes Ziel potenzieller Hacker und Betreiber von Botnetzen. Und ist solche eine simple ungesicherte WordPress-Webseite erst einmal in der Hand solcher Verbrecher, wird diese zum Versand von Spam-Mails mißbraucht, oder es wird Malware im Internet gestreut. Und das, ohne das der eigentliche Inhaber der Webseite etwas davon bemerkt. Oft werden die einzelnen Webseiten dann zu weiteren Netzen zusammen geschloßen, damit auch der Hoster nicht vom Spam-Mail-Versand mitbekommt. Diese Hacker und Botnetze werden von Profis betrieben, die genau wissen was sie tun und durch die permanenten Angriffe versuchen, die Schwachstellen eines WordPress-Blogs zu eruieren.

Wie kann das verhindert werden?

Zuerst einmal die schlechte Nachricht. Es gibt keinen 100 % Schutz für Deine WordPress-Seite. Wie weiter oben schon geschrieben, werden wir mit Hacking WP, wohl weiter leben müssen. Denn jede weitere von Laien betrieben WordPress-Webseite unterstützt die Hacker! Jetzt denkst Du bestimmt, was soll das Jetzt, stimmt’s? Richtig, das ist hart, aber die Wahrheit und diese muss ausgesprochen werden. Warum? Weil die meisten Anfänger im Internet glauben, man holt sich einen WordPress-Blog, bei einem der großen Hosting-Anbieter, die mit riesigem Werbeaufwand und kostenlosen Angeboten, die neuen Kunden in ihre Fänge holen und sie dann alleine lassen.

Wie kannst Du so etwas behaupten?

Nun, auch ich habe mal angefangen. Und zwar schon vor mehr als 10 Jahren und beschäftige mich mit dem Thema WordPress seit 2008 und mit WordPress-Sicherheit jetzt seit 2011. 

Auch ich habe viel falsch gemacht und den Anbietern vertraut. Ich will und darf hier keine Namen nennen, aber ich betreibe ca. 50 Webseiten mit WordPress und habe icm laufe der Jahre bestimmt weitere 50 Domains mit WordPress, bei den wohl 10 bekanntesten und größten Hostern betrieben. Das ging von A – Z. Ja, es gibt darunter sowohl Kundenorientiert als auch solche die man besser vergißt. Aber der Fairness halber muss man auch sagen, es kommt auch oft auf die Mitarbeiter im Support an. Diese haben schon Möglichkeiten und können vieles besser machen. Aber ohne ein gewisses Maß an Lernbereitschaft und Zeitaufwand wird es nichts mit der Sicherheit. Oder man nimmt Geld in die Hand und beauftragt einen WordPress-Experten mit der Überwachung seiner WordPress – Webseite. Es kostet immer etwas Zeit oder Geld, wie immer im Leben. Und glaube nicht an die ganzen Werbeversprechen. Egal ob WordPress-Sicherheit oder schnell Reich werden.

Wie kannst Du Dich jetzt schützen?

Aktuell gibt es mehrere Möglichkeiten: 

  1. Geld für einen Expertenservice zu bezahlen.
  2. Profi-WordPress-Plugins zu benutzen – kostet auch regelmäßig Geld
  3. Zeit statt Geld – kostenlose WordPress-Plugins und regelmäßig selbst schauen.

Was sind das für Tools?

Zu Beginn zeige ich dir die verschiedenen grundsätzlich notwendigen Tools

  1. WordPress Backup
  2. WordPress Security-Plugins
  3. WordPress Antispam

Was brauchst Du unbedingt für Tools?

Die wichtigsten grundsätzlich notwendigen Tools sind

  1. WordPress Backup ( UpdraftPlus kostenlos, o. Pro) alternativ (BackupBuddy)
  2. WordPress Security-Plugins ( Wordfence Security, WP Security, Cerber, alle kostenlos oder auch Pro-Versionen verfügbar) alternativ (ithemesSecurity oder ithemes Security Pro)
  3. WordPress Antispam (Antispam Bee zu empfehlen, da es den deutschen Datenschutz Vorschriften entspricht)

Ich empfehle für Dich, wenn Du Starter bist, die kostenlosen Tools. Allerdings erfordern die einige zeit der Einarbeitung und Englisch-Kenntnisse.

Mehr Informationen bekommst Du auch hier.

Hacking WP - Resultate einer Woche auf 2 WordPress-Webseiten

[WP Cerber Security- Weekly report

Du siehst also, nicht jede WordPress-Webseite ist betroffen, aber denke immer daran:

Vorbeugen ist besser als tagelang reparieren!

In Anlehnung an das alte aber wahre Sprichwort. Denn wenn Du einmal tagelang Deinen Computer oder Daten repariert und neu aufgesetzt hast, weißt Du das zu schätzen, denn es ist einfach verlorene Lebenszeit!

Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte“Härten“ auf der Plugin-Administrationsseite und aktivieren Sie die Option „Zugriff auf die WordPress REST-API blockieren“. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Neues von der Hacker-Front

Angriffe auf WordPress-Webseite

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
„Über allen Gipfeln ist ruh“
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

Elementor 1.9.0 ist gestartet

Neuerungen zu Elementor 1.9.0

Einführung in Elementor 1.9: Mit Autosave nie das Momentum verlieren

Ich freue mich auf die Einführung von Elementor 1.9, das mit Autosave und einigen anderen UI-Funktionen ausgestattet ist, um Ihren Workflow zu optimieren.

Neuerungen zu Elementor 1.9.0
Video anzeigen?

Wenn du eingebettete Videos auf dieser Seiten sehen möchtest, werden personenbezogene Daten (IP-Adresse) an den Betreiber des Videoportals gesendet. Daher ist es möglich, dass der Videoanbieter deine Zugriffe speichert und dein Verhalten analysieren kann.

Wenn du den Link hier unten anklickst, wird ein Cookie auf deinem Computer gesetzt, sodass die Website weiß, dass du der Anzeige von eingebetteten Videos in deinem Browser zugestimmt hast. Dieses Cookie speichert keine personenbezogenen Daten, es erkennt lediglich, dass eine Einwilligung für die Anzeige der Videos in deinem Browser erfolgt ist.

Erfahre mehr über diesen Aspekt der Datenschutzeinstellungen auf dieser Seite: Datenschutzerklärung

Videos anzeigen

Alternativ kannst du auch diesen Link benutzen, der dich direkt zum Video auf die Website des Videoanbieters bringt: https://www.youtube.com/watch?v=tOJAIryh7CE&feature=youtu.be

Hey, was zum Teufel ist das für ein Mist! hast du mit meinem“Speichern“-Knopf gemacht?“

ein verwirrter Benutzer

Das hat ein verwirrter Benutzer geschrieben und ich hab das auch gedacht.

Ich weiß, Interface-Änderungen nicht zu erhalten, kann ein schwer zu schluckender Frosch sein.

Es mag schwierig sein, sich an die Änderungen zu gewöhnen, aber ich garantiere Ihnen, dass Sie sich ein paar Stunden nach der Benutzung in die neue Version verlieben werden!

Die heutige neue Elementor-Version 1.9 bringt solche Änderungen mit sich. Dies ist das erste Mal seit über eineinhalb Jahren, dass unser Panel ein größeres Update bekommt.

Wir nehmen diese Änderungen vor, weil die Fähigkeiten von Elementor ständig wachsen und die Schnittstelle mit diesem Wachstum Schritt halten muss. Um dies zu erreichen, müssen wir die Kernelemente ständig erneuern und verbessern, damit Kreative und Designer immer einen Schritt voraus sind.

Wir hören nie auf, innovative Funktionen hinzuzufügen, während wir sicherstellen, dass alles reibungslos für alle Benutzer läuft, nicht nur für die aktuelle Version, sondern auch für zukünftige Versionen von Elementor.

Jede Änderung wurde akribisch aus allen Blickwinkeln betrachtet und auf der Grundlage des Feedbacks unserer Benutzer und unserer eigenen Vision hinzugefügt.

Es dauerte drei Monate, bis wir die beste Lösung auf den Markt gebracht hatten. Nach umfangreichen Tests durch unser Team und die Beta-Testergruppe wurde die Version 1.9 veröffentlicht.

Wir beginnen mit der brandneuen Autosave-Funktion.

Einführung von Autosave

In der Vergangenheit haben wir zwei leistungsstarke Funktionen hinzugefügt, die sich mit der Sicherung Ihrer Arbeit befassen: Revision History zum Speichern einer Revision bei jedem Speichern der Seite und Redo / Undo zum schnellen Rückgängigmachen von Fehlern.

Jetzt fügen wir eine Funktion hinzu, die Ihren Workflow kugelsicher macht und dafür sorgt, dass Ihre Arbeit immer geschützt ist. Mit der neuen Autosave-Funktion wird jede Änderung, die Sie vornehmen, automatisch und automatisch gespeichert!

Auf diese Weise müssen Sie NIEMALS erneut auf Speichern drücken!

Mit der neuen Autosave-Funktion wird jede Änderung, die Sie vornehmen, automatisch und automatisch gespeichert!

Um diese Funktion zu testen:

  • Gehen Sie zu Elementor und nehmen Sie einige Änderungen an Ihrer Seite vor.
  • Warten Sie ein paar Sekunden und stellen Sie fest, dass die Seite automatisch gespeichert wird.
  • Öffnen Sie nun die Speichertaste rechts neben dem Fußbereich, um die Meldung zu sehen:“Zuletzt bearbeitet am 4. Januar, 23:26 Uhr von Autorenname“. (Siehe graues Bild unten)
  • Sie können unter Historie > Revisionen den Datensatz des Autospeichers einsehen.
history-autosave

Nicht nur Autosave.... Auto-Entwurf ist genauso gut!

Jeder Beitrag sollte perfekt aussehen, richtig?

Erinnern Sie sich, als Sie mitten in der Bearbeitung eines Artikels waren und die Besucher die Änderungen sahen, bevor Sie fertig waren?

Nicht mehr! Nun haben Sie einen neuen Status’Entwurf‘ für veröffentlichte Beiträge.

Mit dieser Funktion können Sie Ihre Seiten weiter bearbeiten, ohne sich Sorgen machen zu müssen, dass Ihre Besucher (oder Google) Ihre unvollendete Arbeit sehen. Das macht Ihren Arbeitsablauf flexibler, denn Sie können Ihre veröffentlichten Artikel noch einmal durchsehen und sie ohne Angst auf dem neuen Spielplatz“Entwurf“ bearbeiten.

Veröffentlichen Sie nur, wenn Sie bereit sind, zu veröffentlichen.
Stellen Sie sich dieses Szenario vor:
Sie bearbeiten eine bereits veröffentlichte Seite. Plötzlich bekommst du einen dringenden Anruf. Sie müssen Ihren Schreibtisch verlassen, aber die Änderungen, die Sie vorgenommen haben, sind noch nicht fertig und können nicht veröffentlicht werden.

Was machen Sie beruflich? Veröffentlichen Sie Ihre unvollständigen Änderungen oder verwerfen Sie sie komplett? Genau hier – unser neues Feature’Publish / Draft‘ kommt Ihnen zu Hilfe!

Anstatt nur eine einzige veröffentlichte Live-Version zur Bearbeitung zu haben, haben Sie jetzt zwei Versionen: die veröffentlichte Version, die Ihre Besucher sehen, und eine weitere NEUE Entwurfsversion, an der Sie arbeiten können.

Entwurf-Modus

Von nun an, wenn Sie eine bereits veröffentlichte Seite bearbeiten, werden Sie tatsächlich an dem Entwurf arbeiten. NUR wenn Sie bereit sind, die Änderungen zu veröffentlichen, klicken Sie auf“Veröffentlichen“, um die Änderungen in der Live-Version der Website zum Laufen zu bringen.

Jetzt heißt die Schaltfläche ‚Veröffentlichen / Aktualisieren‘ statt ‚Speichern‘ Schaltfläche
Die neuen Autosave- und Auto-draft-Funktionen machten den alten Save-Button von Elementor überflüssig. Wir wollten Ihren bisherigen Design-Workflow beibehalten und gleichzeitig verbessern.

Aus diesem Grund haben wir „Speichern“ durch „Veröffentlichen“ auf neuen Seiten und „Aktualisieren“ auf bestehenden Seiten ersetzt. Sie können Seiten direkt aus dem Hauptfenster veröffentlichen oder die Speicheroptionen öffnen, um die Seite als Entwurf oder als Vorlage zu speichern.

Die neuen Schaltflächen ähneln den WordPress-Veröffentlichungsschaltflächen und bieten Ihnen ein einheitlicheres Erscheinungsbild. In WordPress klicken Sie zuerst auf Veröffentlichen und von da an auf Aktualisieren, um Änderungen am veröffentlichten Beitrag vorzunehmen.

Redesigned Footer Panel & Panel Menu

neues-Menü-panel

Um mit unseren Verbesserungen an der Benutzeroberfläche fortzufahren, haben wir unser Fußbereich und das Panel-Menü neu strukturiert.

Das Menü-Panel, das sich über das linke Hamburger-Menü-Symbol befindet, enthält nun nur noch allgemeine Standardeinstellungen (Standardfarben und -schriften, Farbauswahl, globale und Dashboard-Einstellungen). Wir haben andere Einstellungen übernommen, um die Navigation in Elementor zu erleichtern.

In diesem Panel befindet sich auch die Schaltfläche“Verlassen zum Dashboard“. Diese Position oben links entspricht der Position, an der in den meisten Programmen (z.B. Photoshop) der Verlassen-Button angezeigt wird.

Die Fußzeile unten links verweist nun auf die Dokument-Einstellungen. Auf diese Weise werden alle Ihre Dokumenteinstellungen getrennt und sind leichter zugänglich. Dies wird sich als nützlicher erweisen, wenn wir unseren Theme Builder freigeben und Elementor für andere Dokumente als Seiten öffnen.

Schließlich hat die Fußzeile jetzt eine Schaltfläche Vorschau der Änderungen, mit der Sie Ihren Entwurf sehen können, bevor Sie Ihre Änderungen veröffentlichen.

Schauen Sie sich den neuen Look für die Fußzeile an:

Totale Umgestaltung der Bibliothek

Wir haben nun die Template Bibliothek (Library) von Elementor aktualisiert, so dass es jetzt wesentlich einfacher ist, zu den Templates in Bezug auf Funktionalität und Benutzeroberfläche zu navigieren und diese zu sortieren.

Die Elementor Template Bibliothek (Library) ist seit unserem Launch stetig gewachsen und enthält mittlerweile über 130 verschiedene, atemberaubende Templates, mit deren Hilfe Sie eine Vielzahl von Seiten (Landing Pages, Über mich Seiten, Homepages, etc…) in verschiedenen Branchen (Immobilien, Restaurant…) erstellen können.

Da wir immer mehr Vorlagen hinzufügen, ist es immer schwieriger geworden, eine Vorlage für einen bestimmten Zweck oder Bedarf zu finden.

Hier hilft die neue Vorlagenbibliothek, die Such- und Sortierfunktionen bietet.

neue Suche in Bibliothek

Bibliothekssuche

Sie haben jetzt ein Suchfeld für Vorlagen, so dass Sie die richtige Vorlage schneller als je zuvor finden können.
Wir haben jedem Template relevante Tags hinzugefügt, so dass Sie auch nach einer bestimmten Kategorie wie z.B.“Sport“ oder“Essen“ suchen können. So können Sie jetzt nach Seite, Name, Stichwort oder Zweck suchen.

library-sort-filter

Bibliothekssortier Filter

Mit unserem brandneuen Filtersystem können Sie nach verschiedenen Filtern sortieren:

Neue / alte Vorlagen
Beliebte Vorlage (die am häufigsten heruntergeladenen Vorlagen in der Bibliothek)
Trendige Templates (die meist heruntergeladenen Templates der letzten Tage)
Diese Filter helfen Ihnen, die führenden Templates zu finden, so dass Sie unser Community-Wissen nutzen können und die“Weisheit der Menge“ nutzen können, um das richtige Layout auszuwählen.

meine Favoriten

Bibliothek Favoriten

Das Herzsymbol neben jeder Vorlage ermöglicht es Ihnen, jede Vorlage im Register“Meine Favoriten“ zu speichern, um einen einfachen Zugriff auf Ihre beliebtesten Vorlagen zu gewährleisten. Auf diese Weise müssen Sie nicht durch die Vorlagen blättern oder eine Suche durchführen, um Vorlagen zu finden, die Sie häufig verwenden.

„Finde die richtige Elementor-Vorlage schneller als je zuvor.“