WordPress ist ein häufiges Ziel für Hacking. Hacker zielen auf das Thema, die wichtigsten WordPress-Dateien, Plugins und sogar die Anmeldeseite. Dies sind die Schritte, die unternommen werden müssen, um die Wahrscheinlichkeit von Hackerangriffen zu verringern und die Wiederherstellung zu vereinfachen, falls dies dennoch passieren sollte.

Wie Hacker WordPress angreifen

Alle Websites im Web werden ständig angegriffen, egal ob es sich um ein phpBB-Forum oder eine WordPress-Website handelt. Alle Websites werden von Hackern geprüft. Es ist nicht ungewöhnlich, dass ein Hacker Tausende von Seiten scannt oder sich hunderte Male am Tag anmeldet.

Und das ist nur ein Hacker. Websites werden von mehreren Hackern gleichzeitig angegriffen.

Normalerweise ist es keine Person, die versucht, Sie zu hacken. Hacker verwenden automatisierte Software, um das Web zu crawlen und nach bestimmten Schwachstellen in der Website zu suchen.

Diese automatisierten Softwareprogramme, die das Web crawlen, werden als Bots bezeichnet. Ich nenne sie Hacker-Bots, um sie von Scraper-Bots zu unterscheiden (Software, die versucht, Inhalte zu kopieren).

Schützen Sie Ihre WordPress-Site mit einer Firewall

Eine Firewall ist ein Softwareprogramm, das einen Eindringling blockiert. Meiner Meinung nach ist die beste WordPress-Firewall ein Plugin namens Wordfence.

Wordfence überprüft, ob das Verhalten eines Website-Besuchers mit dem eines missbräuchlichen Bots übereinstimmt. Wenn der Bot gegen bestimmte Regeln verstößt, z. B. nach zu vielen Webseiten in kurzer Zeit zu fragen, blockiert Wordfence den Bot automatisch.

Wordfence ist auch so programmiert, dass legitime Bots wie Google und Bing auf der Website zugelassen werden.

Es gibt erweiterte Funktionen, mit denen ein Publisher sehen kann, welche Bots eine Site angreifen, und anzeigen kann, woher der Bot kommt, z. B. wenn es sich um einen schlechten Bot handelt, der von Amazon Web Services oder Bluehost stammt, und Ihnen dann die Möglichkeit gibt, den Bot zu blockieren ihre IP-Adresse, den gesamten IP-Adressbereich oder sogar den vom Bot verwendeten gefälschten Benutzeragenten.

Einige Bots geben vor, eine Person unter Windows XP zu sein. Sie können also alle Besucher mit einem Benutzeragenten blockieren, der Windows XP anzeigt, und diese Bots automatisch stoppen.

Mit einer Regel, die ein Publisher mit Wordfence erstellt, können sie Tausende von Hackern blockieren. Wordfence ist ein leistungsstarkes Tool für sich, aber mit einigen der erweiterten Funktionen können Sie noch mehr Hacker blockieren. Und das mit der kostenlosen Version von Wordfence.

Die kostenpflichtige Version kann ganze Länder blockieren. Wenn Sie also keine legitimen Website-Besucher aus bestimmten Ländern haben, können Sie jeden Besucher blockieren, der aus diesen Ländern kommt.

Darüber hinaus schützt Sie die kostenpflichtige Version von Wordfence im Voraus vor vielen gefährdeten Themen und Plugins, bevor diese Plugins behoben werden.

Sobald Wordfence-Forscher von einem Exploit Kenntnis haben, aktualisieren sie ihre bezahlten Benutzer, um sie vor diesen Exploits zu schützen, normalerweise lange bevor der Exploit vom kompromittierten Theme oder Plugin-Entwickler gepatcht wird.

Härtung der Website-Sicherheit

Ein weiteres kostenloses Plugin, das eine zusätzliche Schutzschicht bietet, heißt Sucuri Security. Sucuri (im Besitz von GoDaddy) hilft dabei, die WordPress-Sicherheit zu verbessern, um zu verhindern, dass schlechte Bots bestimmte Arten von Angriffen ausnutzen. Es hat auch eine Malware-Scan-Funktion, die alle Dateien überprüft, um festzustellen, ob sie geändert wurden.

Sucuri benachrichtigt Sie jedes Mal, wenn sich jemand auf Ihrer Website anmeldet, und hilft Publishern dabei, festzustellen, ob sich ein Hacker anmeldet. Sucuri kann einen Publisher auch benachrichtigen, wenn eine Datei geändert wurde, was Hacker tun.

Dies sind die Funktionen der kostenlosen Version von Sucuri:

“Überwachung von SicherheitsaktivitätenDatei-IntegritätsüberwachungRemote-Malware-ScanningBlacklist-ÜberwachungEffektive SicherheitshärtungPost-Hack-SicherheitsmaßnahmenSicherheitsbenachrichtigungen”

Die kostenpflichtige Version von Sucuri enthält eine Website-Firewall.

Beschränken Sie die Anmeldungen auf Ihre Site

WordFence kann Bots blockieren, die wiederholt Benutzernamen und Passwörter auf der WordPress-Anmeldeseite eingeben.

Wenn Sie sich jedoch darauf konzentrieren möchten, diese Anmeldungen einzuschränken, gibt es ein Plugin namens “Anmeldeversuche begrenzen neu geladen”, mit dem Publisher automatisch alle Hacker blockieren können, die eine festgelegte Anzahl fehlgeschlagener Kombinationen aus Namen und Kennwort eingeben. Sie können beispielsweise festlegen, dass Hacker nach drei Versuchen, das Kennwort zu erraten, blockiert werden.

Dies sind die Funktionen des Anmeldeblockers:

„Begrenzen Sie die Anzahl der Wiederholungsversuche beim Anmelden (pro IP). Dies ist vollständig anpassbar. Informiert den Benutzer über die verbleibenden Wiederholungsversuche oder die Sperrzeit auf der Anmeldeseite. Optionale Protokollierung und optionale E-Mail-Benachrichtigung. Es ist möglich, IPs und Benutzernamen auf die Whitelist / Blacklist zu setzen. Kompatibilität der Lucuri-Website-Firewall.XMLRPC-Gateway-Schutz Schutz.Multi-Site-Kompatibilität mit zusätzlichen MU-Einstellungen.GDPR-konform. Wenn diese Funktion aktiviert ist, werden alle protokollierten IPs verschleiert (md5-Hash). Unterstützung für benutzerdefinierte IP-Ursprünge (Cloudflare, Sucuri usw.) “

Das Limit Login Reloaded-Plugin bietet eine schnelle Möglichkeit, Hack-Bots herunterzufahren, die versuchen, ein Passwort zu erraten.

Sichern Sie Ihre WordPress-Site

Es ist wichtig, automatisch eine tägliche Sicherung Ihrer Website zu erstellen. Jedes katastrophale Ereignis, das die Site herunterfährt, kann mit einer Sicherung wiederhergestellt werden.

Es gibt viele Backup-Lösungen, aber die, die ich als äußerst nützlich empfunden habe, heißt UpdraftPlus WordPress Backup Plugin. UpdraftPlus wird von über zwei Millionen Benutzern als vertrauenswürdig eingestuft.

Es kann so konfiguriert werden, dass die Backups jeden Tag per E-Mail gesendet oder an einen Cloud-Speicherort wie Dropbox gesendet werden.

Ich habe einmal versehentlich alle Design-Layout-Dateien von einer Site entfernt und das Aussehen der Site vollständig entfernt. Mit einem UpdraftPlus-Backup konnte ich die Site jedoch genau so wiederherstellen, wie sie zuvor war. Es war einfach und ich war so dankbar.

Aktualisieren Sie alle Themes und Plugins

Es ist wichtig, immer alle Themes und Plugins zu aktualisieren. WordPress bietet eine Möglichkeit, alle Plugins automatisch zu aktualisieren. Dies ist praktisch für Publisher oder Unternehmen, die sich nicht anmelden und häufig Updates durchführen.

Durch Aktivieren der Autoupdate-Funktion kann ein Publisher sicher sein, über die aktuellste Software zu verfügen. Ein veraltetes Plugin ist eine der Hauptursachen für Hacking.

Es gibt Gründe, die Autoupdate-Funktion nicht zu aktivieren, aber die Negative treten selten auf. Beispielsweise kann ein aktualisiertes Plugin nicht mit anderen Plugins kompatibel sein.

Für Websites, die sich nicht häufig ändern, ist die Funktion zum automatischen Aktualisieren wahrscheinlich eine gute Option.

Vorsicht vor verlassenen Plugins

Eine letzte Warnung vor verlassenen Plugins. Einige Plugins können noch Jahre funktionieren, nachdem sie von ihrem Entwickler aufgegeben wurden. Was passieren kann ist, dass diese alten Plugins eine Sicherheitslücke enthalten können. Aber weil sie aufgegeben werden, wird es nie repariert.

Ein weiteres Problem ist, dass Hacker manchmal die alten Plugins kaufen und sie mit Malware und Viren aktualisieren.

Überprüfen Sie alle Ihre WordPress-Plugins, um sicherzustellen, dass sie nicht aufgegeben wurden und regelmäßig aktualisiert werden.

Schützen Sie Ihre WordPress-Site vor Hackern

Für viele Websites reicht es aus, nur diese kleinen Schritte zur Sicherung einer Website zu unternehmen, um zu verhindern, dass die Websites gehackt werden. Die kostenlosen Versionen dieser Plugins bieten einen außergewöhnlichen Schutz und die Premium-Versionen bieten noch mehr Schutz.

Es gibt viele Sicherheitstyp-Plugins, von denen einige selbst Schwachstellen enthielten. Wordfence und Sucuri sind meiner Meinung nach die erste Wahl für die Sicherheit von WordPress.

Zitate

WordFence-Sicherheit
https://wordpress.org/plugins/wordfence/

Sucuri Sicherheit
https://wordpress.org/plugins/sucuri-scanner/

Beschränken Sie die neu geladenen Anmeldeversuche
https://wordpress.org/plugins/limit-login-attempts-reloaded/

UpdraftPlus
https://wordpress.org/plugins/updraftplus/

Quelle

Erzählen Sie Ihren Freunden davon: