10 wenig bekannte, super effektive Tipps, um Ihren WordPress Blog zu sichern

Einen Blog gehackt zu bekommen und jahrelang jahrelang Blogarbeit über Nacht zu verlieren, ist eine traurige Realität, die Menschen tatsächlich durchgemacht haben. Tatsächlich zeigt die Forschung, dass jeden Tag 37.000 Webseiten gehackt werden, und mit WordPress, das ungefähr 25, 4% aller Websites versorgt, können Sie sicher sein, dass jede Menge WordPress-Blogs jeden Tag gehackt werden.

WordPress Security ist ein ganz anderes Ballspiel; Sobald Sie einen WordPress-Blog besitzen, sind Tipps wie ein schwer erratener Benutzername und ein Passwort, das so hart wie Rock ist, nicht mehr ausreichend. Ein einziges Buggy-Thema, das falsche Plugin oder eine falsch geschützte Datei können dazu führen, dass Ihr Blog über Nacht gehackt wird.

Egal, ob Sie mit WordPress noch nicht vertraut sind oder ob Sie die Plattform seit ihrer Existenz nutzen, dieser Artikel bietet 10 praktische und nützliche Möglichkeiten, um Ihren WordPress-Blog zu sichern, den jeder implementieren kann. Sie werden die meisten dieser Tipps nicht in den beliebten Artikeln "Wie sichern Sie Ihren Blog" finden, aber sie könnten Ihren Blog eines Tages sehr gut speichern!

1. Deaktivieren Sie den WordPress Theme & Plugin Editor

WordPress bietet eine praktische Funktion, die Websitebesitzern mehr Flexibilität bietet, indem sie ihre Designs und Plugins direkt über das WordPress-Dashboard anpassen und bearbeiten können. Diese Funktion wurde jedoch in den meisten Blogs rückgängig gemacht.

Mit dieser Funktion kann ein kleiner Fehler Ihre Website zum Absturz bringen und Sie von Ihrer eigenen Website ausschließen . Hacker können bösartigen Code einfach in Ihr Theme einfügen, um ihnen Zugriff auf Ihre Site zu gewähren, oder sogar Ihre Site komplett übernehmen, indem Sie die Kontrolle über ein Konto erlangen, das genügend Privilegien besitzt, um das Theme und den Plugin-Editor zu verwenden.

Sie können sich schützen, indem Sie den Plugin- und Theme-Editor deaktivieren, sodass Sie Ihre Designs und Plugins nicht mehr ohne FTP-Zugriff ändern können .

Tun Sie dies, indem Sie Ihrer wp-config.php Datei den folgenden Code hinzufügen:

define( 'DISALLOW_FILE_EDIT', true );

2. Aktivieren Sie die Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung wird schnell zu einer der zuverlässigsten Möglichkeiten zum Schutz Ihrer Online-Konten, und die zuverlässigsten Websites bestehen darauf, dass ihre Benutzer sie aktivieren.

Obwohl WordPress nicht unbedingt über eine Zwei-Faktor-Authentifizierung verfügt, können Sie die Zwei-Faktor-Authentifizierung in Ihrem Blog aktivieren, indem Sie die folgenden Plugins installieren:

• Google Authenticator
• Authy
• Notenschlüssel
• Rublon

3. Begrenzen Sie Logins basierend auf der Anzahl fehlgeschlagener Versuche

Es gibt viele Möglichkeiten, wie Hacker versuchen, Zugang zu Ihrem Blog zu erhalten, und eine der gebräuchlichsten Techniken ist ein Bruteforce-Angriff: Ein Hacker versucht immer wieder eine Kombination aus Benutzernamen und Passwörtern, bis er erfolgreich darauf zugreifen kann dein Blog.

Standardmäßig ist WordPress nicht gegen diesen Angriff geschützt. Durch die Installation von Plug-ins, die die Anzahl der Logins nach einer bestimmten Anzahl fehlgeschlagener Versuche einer bestimmten IP-Adresse begrenzen, können Sie Hackern den Zugriff auf Ihr Blog erheblich erschweren.

Das Jetpack Protect Module Plugin kann Sie auch vor Brute-Force-Angriffen schützen.

4. Scannen Sie regelmäßig Ihren Blog

Theme-Dateien, Plugins, Links und andere scheinbar harmlose Elemente können verwendet werden, um Zugang zu Ihrem Blog zu erhalten. Warten Sie nicht, bis Ihre Website vollständig infiziert ist, bevor Sie Maßnahmen ergreifen. Installieren Sie stattdessen Sicherheits-Scan-Plugins, um Ihre Website regelmäßig zu scannen und Sie zu benachrichtigen, wenn sich Ihre Dateien ändern.

Ein gutes Beispiel für ein Sicherheits-Scan-Plugin ist Wordfence. Neben der Möglichkeit, Ihren WordPress-Blog manuell / automatisch zu scannen, werden Sie sofort benachrichtigt, wenn verdächtige Aktivitäten in Ihrem Blog stattfinden.

Es sendet auch Informationen über potenziell bösartige Kommentare und vergleicht Ihre Theme- und Plugin-Dateien mit dem WordPress-Repository, um Sie darüber zu informieren, ob Ihre Version eines Plugins oder Designs geändert wurde und möglicherweise als Hintertür für Hacker auf Ihrer Website dienen kann.

Weitere Sicherheits-Plugins, mit denen Sie Ihr Blog auf Malware und Exploits scannen können, sind:

• Sucuri Sicherheitsscanner
• Acunetix WP Sicherheit
• iThemes Security (früher bekannt als "Better WP Security")

5. Ändern Sie Ihren Gastgeber

Während das klingt wie vereinfachende Ratschläge, hat es tatsächlich eine Menge Gewicht. Untersuchungen zeigen, dass 41% der gehackten WordPress-Websites durch Sicherheitslücken auf ihrer Hosting-Plattform gehackt wurden. Dies ist viel mehr als aus anderen Quellen, einschließlich eines schwachen Passwortes.

Ihr Gastgeber kann eine wichtige Rolle dabei spielen, ob Sie gehackt werden oder nicht; Stellen Sie sicher, dass Sie nur zuverlässige Webhosts verwenden, die den Test der Zeit bestanden haben und den Best Practices der Branche entsprechen .

6. Verstecken Sie Ihre WordPress Versionsnummer

Standardmäßig zeigt WordPress Ihre WordPress-Versionsnummer an. Dies macht es für WordPress einfach zu verfolgen, wie viele WordPress Blogs weltweit aktiv sind. Dies kann jedoch auch eine große Problemquelle darstellen. Hacker und Bots können das Web nach Blogs durchsuchen, indem sie eine WordPress-Versionsnummer mit einer bekannten Sicherheitslücke verwenden.

Sie können dieses Problem leicht lösen, indem Sie Ihre WordPress-Versionsnummer ausblenden . Um Ihre WordPress-Versionsnummer zu verbergen, fügen Sie einfach den folgenden Code in Ihre functions.php-Datei ein:

add_filter( 'the_generator', '__return_null' );

7. Deaktivieren Sie PHP-Fehlerberichte

Wenn ein Plugin oder ein Thema in Ihrem WordPress-Blog nicht gut funktioniert, können PHP-Fehlerberichte helfen, indem Sie eine Nachricht anzeigen, die die Ursache des Fehlers aufdeckt. In diesem Vorteil liegt jedoch ein Nachteil: Wenn ein PHP-Fehler gemeldet wird, enthält er den vollständigen Serverpfad des Fehlers und enthüllt Informationen, die Hacker gegen Sie verwenden können.

Sie können sich schützen, indem Sie PHP-Fehlerberichte deaktivieren . Fügen Sie einfach den folgenden Code zu Ihrer wp-config.php Datei hinzu:

 Fehlerbericht (0); @ini_set ('display_errors', 0); 

8. Arbeiten Sie an Ihren WordPress File Permissions

Wenn es darum geht, Ihre WordPress-Website vor Sicherheitslücken zu schützen, müssen Sie sicherstellen, dass Sie über die richtigen Dateiberechtigungen verfügen . Dies erschwert es einem Hacker, Plugins, Designs oder Dateien auf Ihrem Server zu manipulieren, um Ihre Website zu übernehmen.

Stellen Sie sicher, dass die WordPress- Ordnerberechtigungen auf 755 oder 750 eingestellt sind. Dateiberechtigungen sind auf 640 oder 644 festgelegt; und diese wp-config.php Erlaubnis wird auf 600 gesetzt.

9. Stellen Sie regelmäßige Sicherungen sicher

Selbst große Websites mit einem Team von Sicherheitsexperten und -beratern werden gehackt, und während die folgenden Best Practices Ihre Website stärker machen können als 99, 9% der Websites, können die Dinge dennoch brechen.

Die beste Sicherheit, die Sie gegen WordPress-Hack-Angriffe haben, ist eine gute Sicherung; stellen Sie sicher, dass Sie regelmäßig Sicherungen Ihrer Site durchführen - wenn möglich täglich. Auf diese Weise, wenn Ihre Website gehackt wird, haben Sie Ihre Dateien an Ort und Stelle und können Dinge sofort wiederherstellen .

Hier sind einige der besten WordPress-Backup-Plugins:

• BackUpWordPress
• Bereit! Backup
• VaultPress
• BackupBuddy

10. Beschränken Sie den Zugriff auf Ihre Anmeldeseite

Wenn es hart auf hart kommt, müssen Sie vielleicht drastische Maßnahmen ergreifen. Eine sehr zuverlässige Möglichkeit, Ihr Blog vor Hackerangriffen zu schützen, besteht darin , den Zugriff auf Ihre wp-admin- und wp-login.php-Seite vollständig zu blockieren .

Dies wird nur empfohlen, wenn Sie eine IP-Adresse verwenden, die sich nicht ändert (Sie möchten sich nicht aus Ihrem Blog aussperren!). Sie können diese Option weiterhin verwenden, wenn Sie mehr als eine IP-Adresse verwenden, diese Adressen jedoch im Auge behalten.

Um den Zugriff auf Ihre Anmeldeseite zu beschränken, fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu:

 RewriteEngine auf RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [ODER] RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $ RewriteCond% {REMOTE_ADDR}! IP-Adresse 1 $ RewriteCond% {REMOTE_ADDR}! ^ Ihre IP-Adresse 2 $ RewriteCond% {REMOTE_ADDR}! ^ Ihre IP-Adresse 3 $ RewriteCond% {REMOTE_ADDR}! ^ Ihre IP-Adresse 4 $ RewriteCond% {REMOTE_ADDR}! ^ Ihre IP-Adresse 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

Achten Sie darauf, Ihre IP-Adresse 1 bis zu Ihrer IP-Adresse 5 mit den verschiedenen IP-Adressen zu bearbeiten, auf die Sie zugreifen möchten; Sie können einfach eine Zeile hinzufügen oder entfernen, um zuzulassen oder zu verhindern, dass mehr IPs auf Ihre Site zugreifen.

Fazit

Natürlich sollten Sie grundlegende Sicherheitstipps nicht ignorieren, wie zum Beispiel einen vorhersehbaren Benutzernamen nicht verwenden, ein starkes Passwort haben, Ihre WordPress-Installation regelmäßig aktualisieren usw. Die oben genannten sind jedoch einige wenig bekannte, oft ignorierte Sicherheitstipps, die Sie machen können WordPress Blog nur ein bisschen sicherer.

Anmerkung der Redaktion : Dieser Gastbeitrag wurde von John Stevens für Hongkiat.com geschrieben. John ist ein WordPress- und Hosting-Experte. Er ist der Gründer und CEO von HostingFacts.com , einem Portal, in dem er Web-Hosts basierend auf der Leistung bewertet und bewertet.