WordPress-Sicherheitscheckliste: 17 gültige Punkte

Der Schutz Ihrer Website ist genauso wichtig wie die Sicherung Ihres Hauses. Deshalb haben wir diese WordPress-Sicherheitscheckliste erstellt. Cyberkriminalität kommt heutzutage häufiger vor. Diebstahl persönlicher Daten und späterer Verkauf oder Erpressung, Diebstahl von Website-Informationen zu Erpressungszwecken und vieles mehr. Sie möchten auf keinen Fall, dass das mit Ihrer Website passiert. Um dies zu verhindern, müssen Sie Ihre Sicherheit ständig im Auge behalten.

WordPress-Sicherheitscheckliste

Wir bieten Ihnen verschiedene Möglichkeiten, wie Sie Ihre Website schützen können. Sie können tatsächlich mehrere Möglichkeiten in einem anwenden und die Website besser schützen.

1. Gutes Hosting

Der erste Schritt zur Sicherung Ihrer Website ist das Hosten, das ist das Wichtigste in dieser WordPress-Sicherheitscheckliste. Shared Hosting ist anfälliger, da Ihre Website möglicherweise gehackt wird, selbst wenn der Angriff gegen eine andere Website auf diesem Server gerichtet war. Aus dieser Sicht sind dedizierte oder verwaltete Server besser. Diese Server speichern nur Ihre Website und die Sicherheitsmaßnahmen sind recht hoch. Dies bedeutet jedoch nicht, dass Sie keinen eigenen Schutz hinzufügen sollten. Das bedeutet, dass der Server schwer zu hacken ist, nicht Ihre Website. Wir haben handverlesen die besten WordPress-Managed-Hosting-Unternehmen.

2. WordPress-Kern-, Plugin- und Theme-Updates

WordPress ist eine sich ständig weiterentwickelnde Plattform, und das gilt auch für seine Elemente. Daher ist es selbstverständlich, dass neue Versionen veröffentlicht werden. Diese neuen Versionen enthalten Updates, Fehlerbehebungen und vieles mehr. Offensichtlich ist es unmöglich, alle problematischen Teile auf einmal zu entfernen und zu reparieren. Aber Entwickler auf der ganzen Welt versuchen ihr Bestes, um sie zu verringern. Aus diesem Grund werden neuere Versionen dieser Elemente veröffentlicht. Neue Versionen verhindern, dass Ihre Website Schleifen hinterlässt, in die Hacker eindringen können. Wir haben unsere eigenen Leitfäden vorbereitet – So aktualisieren Sie WordPress-Plugins, So aktualisieren Sie den WordPress-Kern und So aktualisieren Sie das WordPress-Theme.

3. Mehrere Sicherheitsstufen

Ein Passwort ist nicht der beste Schutz, den Sie haben können, es ist tatsächlich die grundlegendste Ebene dessen, was existieren kann. Es ist möglich, verschiedene Variationen mehrschichtiger Schutzmaßnahmen festzulegen. Es liegt an Ihnen, die gewünschte Variante auszuwählen. Am beliebtesten ist die Authentifizierung. Es gibt verschiedene Programme, die Ihnen einen Code zur Verfügung stellen, der sich alle ein bis zwei Minuten ändert. Wenn Sie es nicht schaffen, es innerhalb dieser Zeitspanne auszufüllen, werden Sie sich nicht anmelden. Schauen Sie sich unsere an Anfängerleitfaden zur WordPress-Sicherheit.

4. WP-Sicherheits-Plugin

WordPress-Sicherheits-Plugins sind nützliche Add-ons. Sie liefern Ihnen wertvolle Informationen in Form eines Berichts, der Ihnen zeigt, ob Ihre Website gut läuft. Die Informationen in diesem Bericht werden durch Scannen bereitgestellt. Dabei wird Ihre Website auf Malware oder Viren gescannt. Wenn die Website gehackt wird oder Malware entdeckt wird, wird eine Warnung an das Unternehmen gesendet, das Ihre Website verwaltet. Die Auswahl dieser Plugins ist riesig. Es liegt an Ihnen, zu entscheiden, welches Sie kaufen möchten. Wir empfehlen die Verwendung iThemes Security or Wordfence.

5. Sicheres Passwort und Passwortänderung im Laufe der Zeit

Es wird dringend empfohlen, gleich beim ersten Mal ein sicheres Passwort festzulegen. Dadurch wird die Wahrscheinlichkeit verringert, dass sich jemand als Administrator anmeldet und alle Daten löscht oder eine Malware-Software installiert, um die eingegebenen Informationen zu stehlen. Außerdem ist es eine gute Idee, eine Passwortänderungsanforderung für ein Überstunden-Plugin wie iThemes Security einzurichten. Dieses Plugin fordert Sie nach Ablauf der festgelegten Zeitspanne auf, Ihr Passwort zu ändern.

6. SSL-Zertifikat

Dieses Zertifikat ist erforderlich, wenn es sich bei Ihrer Website um einen Online-Shop handelt. Mit diesem Zertifikat bedeutet, dass Ihre Website den gestellten Anforderungen entspricht. Es beweist Ihren Kunden, dass die Website geschützt ist und ihre Daten sicher sind. Niemand möchte, dass jemand anderes Zugriff auf seine Kreditkarte oder sein Bankkonto erhält.

7. Limit der Anmeldeversuche

Um zu verhindern, dass die Konten Ihres Website-Administrators oder Ihrer Website-Besucher gehackt werden, wird empfohlen, die Anmeldeversuche zu begrenzen. Durch diese Aktion wird ein Limit festgelegt, nach dessen Ablauf das Konto für einige Zeit gesperrt wird und keine Anmeldung möglich ist. Außerdem ist es eine gute Idee, eine automatische E-Mail-Benachrichtigung einzurichten, die bei fehlgeschlagenen Anmeldeversuchen gesendet wird.

8. Zwei-Faktor-Verifizierung

Diese Methode ist eine sehr gängige Methode zum Schutz Ihrer Website. Es verwendet eine Verifizierungs-App, die normalerweise Codes generiert, die sich alle 1–3 Minuten ändern, je nachdem, welche App und welche Verifizierung Sie verwenden. Sie werden aufgefordert, diese bereitzustellen, nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben. Sie werden aufgefordert, den Code aufzuschreiben, der derzeit in Ihrer Authentifizierungs-App angezeigt wird. Wenn Sie nicht erwähnen, dass Sie sich anmelden möchten, bevor sich der Code ändert, müssen Sie den angezeigten neuen Code eingeben.

9. Verwenden Sie keine nullten Themes oder Plugins

Auf Null gesetzte Themes und Plugins sind in der Regel Premium-Elemente, deren Urheberrechtsressourcen entfernt wurden. Diese Elemente werden von ihrem Entwickler nicht unterstützt. Wenn es also ein Update gibt, erhalten Sie es nicht. Das bedeutet, dass Sie keinen Bug oder Sicherheitsupdate erhalten, der zu einer hohen Wahrscheinlichkeit führen würde, dass Ihre Website gehackt wird. Außerdem können Sie Ihren WordPress-Kern nicht aktualisieren.

Fahren wir mit unserer WP-Sicherheitscheckliste fort:

10. Aktivieren Sie eine Webanwendungs-Firewall

WAF (Web Application Firewall) ist eine der schnellsten Möglichkeiten, Ihre Website zu schützen. Es fügt mehrere Sicherheitselemente aus verschiedenen bekannten und unbekannten Bedrohungen hinzu. Es gibt zwei Arten von WAF:

1. Gehostet – es handelt sich um ein Plugin, das direkt in WordPress installiert wird. Anfragen werden geprüft, geschützt und blockiert, nachdem sie den Webserver erreicht haben.
2. Cloudbasiert – Cloudbasierter Sicherheitsanbieter schützt eine Site. Dies befindet sich außerhalb Ihrer Hosting-Infrastruktur am Netzwerkrand.

11. Stellen Sie Ihre Website auf HTTPS um

HTTP ist die Methode zur Umwandlung der Daten im Internet. Sie können es am Anfang jeder Website sehen. Außerdem ist es sehr einfach, die übertragenen Daten zu hacken. Wenn Sie wichtige Daten senden, ist das wirklich wichtig, nicht wahr? Um die Möglichkeit eines Hackings auszuschließen, wird empfohlen, von http auf https zu wechseln. Dazu benötigen Sie ein SSL-Zertifikat. Das SSL-Zertifikat verschlüsselt die übertragenen Daten.

12. Magic-Link-Passwort

Diese Schutzmethode wird meist nur bei der Registrierung verwendet, kann jedoch auch beim Anmelden verwendet werden. Nach der Registrierung werden Sie aufgefordert, einen bestimmten Schlüssel (Passwort) einzugeben, der an Ihre E-Mail-Adresse gesendet wurde, um zu bestätigen, dass dies nicht der Fall ist ein Bot. Im Gegensatz dazu verwenden einige Websites es immer noch, wenn sich Besucher anmelden. Sie werden gebeten, den Schlüssel anzugeben, der an ihre registrierte E-Mail-Adresse gesendet wurde. Dies geschieht, um sicherzustellen, dass es sich bei der Anmeldung um den Inhaber des Kontos handelt.

13. Änderung der WP-Login-URL

Wenn Sie Ihre WP-Anmelde-URL nicht ändern, riskieren Sie, dass jemand, der versucht, sich in Ihre Website einzudringen, wie eine offene Tür wirkt. Dies ist das Wichtigste, was Sie tun müssen, wenn Sie über die Einrichtung einer Website nachdenken: die einfache Änderung der WordPress-Anmelde-URL.

14. Ändern Sie die Kernordnernamen wp-content, wp-includes, wp-admin

Um die Namen der wichtigsten Ordner ändern zu können, müssen Sie ein Plugin installieren, das Ihnen dies ermöglicht. Sie müssen dies tun, um es schwieriger zu machen, zu verstehen, welcher Ordner ein wichtiger Ordner der Website ist. Es enthält alle Themes, Plugins und Mediendateien. Nach dem Umbenennen dieser Ordner müssen sie im selben Verzeichnis bleiben. Wenn Sie sie in ein anderes Verzeichnis verschieben, stürzt Ihre Website ab. Denken Sie also an diese wichtige Angelegenheit.

15. Schützen Sie wp-config.php über die .htaccess-Datei

Diese Datei enthält die wichtigsten Informationen zu Ihrer Website. Es speichert alle Sicherheits- oder Datenbankverbindungen. Sie möchten auf keinen Fall, dass diese Datei in die Hände von jemandem gelangt. Dies ist die einfachste Möglichkeit, es zu schützen:

1. Stellen Sie über einen FTP-Client eine Verbindung zu Ihrer Website her.
2. Laden Sie die .htaccess-Datei herunter.
3. Öffnen Sie es mit Notepad oder einem anderen Texteditor.
4. Kopieren Sie den folgenden Text:
   # protect wpconfig.php
   <files wp-config.php>
   order allow,deny
   deny from all
   </files>
5. Speichern Sie es mit der Funktion „Speichern unter“, damit es nicht die Erweiterung „.txt“ erhält.
6. Laden Sie .htaccess bac in das Stammverzeichnis Ihrer Website hoch.

16. Deaktivieren Sie die Dateibearbeitung

Wenn Sie nicht der Einzige mit Administratorrechten sind und eine andere Partei keine Codierung durchführen soll. Es ist besser, die Theme- und Plugin-Bearbeitung zu deaktivieren, um dadurch verursachte unerwartete Änderungen zu verhindern. Diese von ihnen vorgenommenen Änderungen können die gesamte Website zum Absturz bringen oder sie können Malware installieren. Eine Möglichkeit, die wir Ihnen vorstellen werden, ist die Verwendung eines Plugins. iThemes Security ist eines der Plugins, die diese Dienste bereitstellen. Gehen Sie nach der Installation dieses Plugins zu Sicherheit -> Einstellungen. Von dort aus gehen Sie zu WordPress Tweaks. Dort finden Sie das Kontrollkästchen „Dateieditor deaktivieren“, kreuzen Sie es an und klicken Sie auf die Schaltfläche „Einstellungen speichern“. Das ist alles, Sie haben Ihre Website vor unerwünschter Dateibearbeitung geschützt.

17. Sichern Sie Ihre Site regelmäßig

Die letzte und logischste Möglichkeit, Ihre Website zu sichern, besteht darin, regelmäßig Backups zu erstellen. Es wird empfohlen, mehrere Backups gleichzeitig zu erstellen und diese an verschiedenen Orten zu speichern. Ein Backup ist Ihr bester Freund für den Fall, dass Ihrer Website jemals etwas passieren sollte.

Etwas zusammenfassen

Es gibt viele Möglichkeiten, Ihre Website zu sichern. Die wichtigsten finden Sie in dieser WordPress-Sicherheitscheckliste. Je mehr davon Sie haben, desto besser wird es für Sie und Ihr Unternehmen in der Zukunft sein. Darüber hinaus sollten Sie bedenken, dass dies auch in Zukunft nicht der Fall sein wird, wenn Sie heute nicht gehackt werden. Wenn Sie etwas Geld für die Sicherheit Ihrer Website ausgeben, können Sie mehr sparen und nachts gut schlafen. Wir hoffen, dass die von uns beschriebenen Möglichkeiten Sie dazu ermutigen, den Schutz Ihrer Website zu verbessern.