Eine der besten Möglichkeiten, Ihre WordPress-Website sicher zu halten, besteht darin, häufig auf Ihrer Website nach potenziell schädlichem Code zu suchen. Wann immer Sie eine Sicherheitslücke finden, können Sie sofort Korrekturmaßnahmen ergreifen, bevor Sie jemandem erlauben, sie auszunutzen und angeblich in Ihr WordPress-Admin-Panel einzutreten.
Es ist kein Wunder, dass Hacker sehr stark auf WordPress-Websites abzielen, da dies das beliebteste CMS auf dem Markt ist. Es gibt verschiedene Möglichkeiten, um Ihre WordPress-Installation sicherer zu machen. Die harte Realität ist jedoch, dass nur ein Bruchteil der Websites ihnen folgt. Dies macht WordPress zu einem der einfachsten Ziele für Hacker.
Empfohlene Lektüre: 17 Möglichkeiten, um WordPress-Hacking zu verhindern
9 Probleme mit der Sicherheitsanfälligkeit in WordPress
1. Günstiges WordPress-Hosting
Wenn Sie sich für Ihr WordPress-Hosting entscheiden, das ausschließlich auf Hosting basiert, werden Sie höchstwahrscheinlich auf eine Reihe von WordPress-Schwachstellen stoßen. Dies liegt daran, dass billiges Hosting höchstwahrscheinlich falsch eingerichtet und nicht richtig voneinander getrennt ist.
Dies bedeutet, dass Websites, die in einer Installation ausgenutzt wurden, auf nicht verwandte Websites übertragen werden können, die auf demselben Server gehostet werden. Dieses Problem kann auch auftreten, wenn Sie mehrere Websites für mehrere Ihrer Kunden auf demselben Hosting-Konto hosten.
In diesem Fall kann sich die Infektion erneut auf ALLE Websites in Ihrem Konto ausbreiten, wenn eine Ihrer Websites kompromittiert wird. Sie müssen vorsichtig sein, um sicherzustellen, dass Sie ein Setup wie ein VPS verwenden, mit dem Sie eine Trennung zwischen den verschiedenen gehosteten Websites herstellen können.
Ein weiteres Problem bei billigem Hosting ist die Frage nach "zwielichtigen Nachbarn". Billiges Hosting zieht in der Regel Spam- oder zwielichtige Kunden an. Dies kann dazu führen, dass der tatsächliche Server, auf dem die Website gehostet wird, auf die schwarze Liste oder Spam-Liste gesetzt wird.
FIX: Stellen Sie in erster Linie sicher, dass Sie sich nicht für das billigste Hosting entscheiden, das Sie finden können. Entscheiden Sie sich stattdessen für ein Hosting, bei dem Sicherheit Priorität hat. Zweitens, wenn Sie Websites für Ihre Kunden hosten, stellen Sie sicher, dass Sie die verschiedenen Kunden unterteilen, indem Sie für jeden Kunden unterschiedliche Benutzer erstellen.
IMH
Sie wollen eine schnelle Website?
Wen veräpple ich? Tun wir das nicht alle?
Warum also kämpfen so viele von uns?
Die größte Herausforderung besteht normalerweise darin, ein schnelles und zuverlässiges Hosting-Unternehmen zu finden.
Wir haben alle Albträume durchgemacht - der Support dauert ewig oder löst unser Problem nicht, indem wir immer etwas auf Ihrer Seite beschuldigen ...
Aber der größte Mist ist, dass sich die Website immer langsam anfühlt.
At CollectiveRay Wir hosten mit InMotion-Hosting und unsere Website ist verdammt schnell. Wir laufen auf einem benutzerdefinierten Stack von LightSpeed-Servern, die auf MariaDB mit einer PHP7.4-Engine eingerichtet sind und über Cloudflare laufen.
In Kombination mit unseren Front-End-Optimierungen bedienen wir jeden Tag zuverlässig 6000 Benutzer, mit Spitzen von mehr als 50 gleichzeitigen Benutzern.
Möchten Sie ein schnelles Setup wie unseres bekommen? Übertragen Sie Ihre Website kostenlos auf das InMotion-Hosting und erhalten Sie 50 % RABATT auf die aktuellen Preise.
Testen Sie InMotion Hosting mit 50 % RABATT für CollectiveRay Besucher NUR im Mai 2024!
2. Schwache WordPress-Anmeldungen und -Kennwörter
Die Adresse des WordPress-Logins ist allgemein bekannt und es gibt Hacking-Skripte, deren einziger Zweck darin besteht, gängige Passwortkombinationen brutal zu erzwingen oder eine Liste von Passwörtern zu versuchen, die von anderen Websites durchgesickert sind.
Dies bedeutet, dass wenn Sie ein schwaches Passwort wie admin / admin oder admin / password oder andere dumm einfache Passwortkombinationen verwenden, Sie eine ernsthafte WordPress-Sicherheitslücke in Ihre Website einführen.
FIX: Es ist wichtig, dass WordPress-Anmeldekennwörter sichere Kennwörter verwenden, sicher gespeichert und niemals mit anderen Installationen oder Plattformen geteilt werden. Und verwenden Sie nicht "admin" als Benutzernamen, sondern wählen Sie etwas, das schwerer zu erraten ist.
In älteren Versionen von WordPress, die zum Erstellen eines Standardbenutzers mit dem Benutzernamen "admin" verwendet wurden, gehen viele Hacker davon aus, dass die Benutzer immer noch denselben Benutzernamen verwenden.
Wenn Sie weiterhin admin als Benutzernamen des Administratorkontos verwenden, erstellen Sie ein neues Konto auf Ihrer WordPress-Site und übertragen Sie das Eigentum an allen Posts auf das neue Konto. Stellen Sie sicher, dass die Rolle des neuen Benutzers ein Administrator ist.
Sobald dies erledigt ist, können Sie entweder das Benutzerkonto mit dem Benutzernamen admin löschen oder seine Rolle in Abonnent ändern.
Wenn es sich bei Ihrer Website um eine Community-Website mit mehreren Autoren handelt, ist die Installation besser https://wordpress.org/plugins/force-strong-passwords/ Plugin auf Ihrer WordPress-Site. Dieses Plugin zwingt Benutzer, beim Erstellen eines neuen Benutzers ein sicheres Kennwort zu verwenden.
3. Veraltete Kern-WordPress, Themes oder Plugins
Wie bei den meisten Programmen entdeckt WordPress normalerweise Probleme, die zum Hacken in eine Website verwendet werden können. Diese Probleme werden normalerweise jedes Mal behoben, wenn ein Update veröffentlicht wird. Solche Updates geben jedoch auch die eigentliche WordPress-Sicherheitslücke für die Öffentlichkeit frei.
Dies bedeutet, dass sobald ein Update veröffentlicht wird, ein Exploit erstellt wird, um Websites anzugreifen, die nicht auf die neueste Version aktualisiert wurden.
Die gleiche Logik gilt für WordPress-Plugins und -Themen, die das gleiche Problem aufweisen können. Dies kann auch bei PHP-Software, MySQL-Software, Serversoftware und anderer Software der Fall sein, die nicht aktualisiert wurde und auf dem Server Ihrer Website vorhanden ist.
Wenn eine Software nicht aktualisiert wurde, handelt es sich im Wesentlichen um eine sitzende Ente - eine WordPress-Sicherheitslücke, die darauf wartet, ausgenutzt zu werden.
FIX: Halten Sie alle Anbieterabonnements aktiv und stellen Sie sicher, dass Sie alle Komponenten auf den neuesten Stand bringen.
4. PHP-Exploits
Neben Exploits, die in WordPress selbst vorhanden sind, ist es durchaus möglich, dass ein PHP-Exploit in einer PHP-Bibliothek vorhanden ist, die möglicherweise auch nicht aktualisiert wurde. Das Problem dabei ist, dass Sie in den meisten Fällen nicht einmal wissen, dass eine solche Bibliothek auf Ihrer Website verwendet wird.
FIX: Aus diesem Grund sollten Sie sich für ein erweitertes WordPress-Hosting wie ein VPS oder ein verwaltetes WordPress-Hosting entscheiden, bei dem Sie PHP-Bibliotheken auf Ihrem Server anpassen und / oder entfernen können, die Sie nicht verwenden und nicht benötigen.
5. Installieren von Software aus zweifelhaften Quellen
Manchmal können Sie aus verschiedenen kurzsichtigen Gründen (möglicherweise aus finanziellen Gründen) in Betracht ziehen, Premium-Produkte von "zwielichtigen" Websites herunterzuladen. Mit anderen Worten, laden Sie Raubkopien von Premium-Plugins oder -Themen herunter.
Dies ist ein sicherer Weg, um WordPress-Schwachstellen auf Ihren Websites einzuführen. Der Grund ist, dass der "Preis" für die Verwendung solcher Raubkopien versteckt und schändlich ist. Diese Plugins wurden normalerweise mit einer sogenannten Hintertür optimiert. Durch Backdoors können Benutzer Websites fernsteuern, auf denen diese Plugins installiert wurden, und Hacker haben die volle Kontrolle über Ihre Website und verwenden sie nach Belieben für ihre eigenen Praktiken.
Dies kann die Verwendung Ihrer Website als Teil eines Zombie-Netzwerks (Netzwerk von Computern, die an einem Botnetz- oder DDoS-Angriff teilnehmen), die Verwendung Ihrer Website als Teil eines Netzwerks von Websites umfassen, mit denen mehr Benutzer mit Sicherheitslücken infiziert werden, um SPAM, Phishing oder andere schädliche Ereignisse zu versenden Praktiken Methoden Ausübungen.
FIX: Vermeiden Sie solche Quellen und stellen Sie sicher, dass Sie nur Software von offiziellen vertrauenswürdigen Quellen herunterladen und verwenden. Andernfalls haben Sie sicherlich versteckte WordPress-Schwachstellen eingeführt.
6. Websites, die keine sicheren Zertifikate verwenden
Sites ohne SSL / TLS-Zertifikat verschlüsseln keine Informationen, die zwischen dem Browser und dem Server gesendet werden. Dies bedeutet, dass solche Informationen, einschließlich Passwörtern oder anderen sensiblen Daten wie persönlichen oder Zahlungsinformationen, während der Übertragung über das Internet abgerufen werden können.
Es gibt Software, um solche verschlüsselten Daten zu lesen und potenziell wertvolle Informationen zu horten, die später verwendet und genutzt werden sollen.
FIX: Durch die Installation und Einrichtung eines sicheren Zertifikats werden Informationen verschlüsselt, bevor sie vom oder zum Server gelangen
7. Dateieinschluss-Exploits
File Inclusion Exploit sind einige der häufigsten WordPress-Schwachstellen, die über PHP-Code ausgenutzt werden. Dies ist eine WordPress-Sicherheitsanfälligkeit, bei der ein Problem im Code das "Erhöhen von Berechtigungen" oder das "Umgehen der Sicherheit" ermöglicht, sodass ein Angreifer Dateien aus der Ferne laden kann, um Zugriff auf eine Website zu erhalten. Solche Exploits könnten eine Site vollständig übernehmen oder private Informationen stehlen, indem sie auf Informationen zugreifen, die normalerweise nicht für die Öffentlichkeit verfügbar sind.
FIX: Halten Sie Ihre gesamte Software auf den neuesten Stand und stellen Sie sicher, dass Sie ein WordPress-Sicherheits-Plugin installiert haben
8. SQL-Injektionen
SQL-Injections sind eine andere Form des Exploits, aber diese Art von WordPress-Sicherheitsanfälligkeit missbraucht auch Codefehler, um Aktionen auszuführen, die nicht beabsichtigt waren. Im Wesentlichen tritt eine SQL-Injection auf, wenn ein Angreifer den normalen Schutz umgeht, um auf die privaten Daten der WordPress-Datenbank und der Website zuzugreifen.
Durch den Zugriff auf die WordPress-Datenbank können sie missbräuchliche Änderungen vornehmen, z. B. Benutzer auf Administratorebene erstellen, die schließlich verwendet werden können, um vollen Zugriff auf die Site zu erhalten. Solche Angriffe können auch verwendet werden, um der Datenbank schädliche Daten hinzuzufügen, z. B. Links zu Spam oder böswilligen Websites.
SELECT * AB Nutzer WO Name ="" or ""="" UND Bestanden ="" or ""=""
FIX: Stellen Sie sicher, dass auf Ihrer Site die neuesten Softwareversionen eingerichtet sind und diese auf dem neuesten Stand gehalten werden
9. XSS oder Cross-Site Scripting
Dies ist eine weitere sehr häufige Angriffsform. In der Tat sind sie wahrscheinlich die häufigsten Exploits.
Cross-Site-Scripting funktioniert, wenn ein Angreifer Möglichkeiten findet, das Opfer dazu zu bringen, Websites zu laden, die bestimmten Javascript-Code enthalten. Diese Skripte werden ohne Wissen des Benutzers geladen und dann geladen, um Informationen lesen zu können, auf die sie normalerweise keinen Zugriff haben würden. Beispielsweise könnte ein solcher Code verwendet werden, um Daten zu beschnüffeln, die in ein Formular eingegeben werden.
Im Rest dieses Beitrags werden wir uns einige Strategien ansehen, um Schwachstellen in Ihrer WordPress-Website zu finden. Wir werden uns auch verschiedene Methoden ansehen, um WordPress-Schwachstellen zu beheben.
Auffinden von WordPress-Schwachstellen durch Scannen
Wie wir oben in unserer Liste erwähnt haben, ist es immer empfehlenswert, diese aus dem offiziellen WordPress-Themenverzeichnis auszuwählen, wenn Sie nach kostenlosen WordPress-Themen (oder Themen oder Plugins im Allgemeinen) suchen, die auf Ihrer WordPress-Website installiert werden sollen Das offizielle Verzeichnis gewährleistet die Sicherheit Ihrer WordPress-Themes.
Einige legitime Theme-Entwickler und -Agenturen ziehen es jedoch vor, ihre qualitätsfreien Themes nicht im offiziellen Verzeichnis aufzulisten, da die offiziellen Verzeichnisrichtlinien sie darauf beschränken, viele Funktionen in ihr Theme aufzunehmen.
Das heißt, wenn es um die Auswahl eines kostenlosen WordPress-Themas geht, ist das offizielle WordPress-Themes-Verzeichnis nicht die einzige Show in der Stadt. Wenn Sie jedoch ein Thema außerhalb des offiziellen Verzeichnisses auswählen, müssen Sie eine zusätzliche Dosis Verantwortung in Bezug auf die Themenbewertung tragen.
Im Folgenden finden Sie einige Methoden, um die Authentizität Ihres WordPress-Themas zu überprüfen und sicherzustellen, dass es vor potenziell schädlichen Codes und WordPress-Schwachstellen geschützt ist.
Die folgenden Dienste können alle verwendet werden, um nach WordPress-Schwachstellen zu suchen:
- Geekflare
- Sucuri
- Hacker-Ziel
- Erkenne
- WPSEC
- Sicherheit Ninja
- Pentest-Tools
- WP Neuron
- Quttera
Auffinden von WordPress-Schwachstellen nach der Installation
Möglicherweise haben Sie bereits viele Themen auf Ihrer WordPress-Website installiert. Wenn dies der Fall ist, wie würden Sie die Authentizität der installierten Designs überprüfen? Einige Methoden sind unten aufgeführt.
Einige dieser Plugins wurden in den letzten Jahren und Hauptversionen von WordPress nicht aktualisiert. Dies bedeutet, dass sie wahrscheinlich aufgegeben werden und ihre Ergebnisse nicht zuverlässig sind. Unless Wenn Sie eine aktuelle Version sehen, empfehlen wir Ihnen, sich für die Verwendung zu entscheiden Sucuri oder ein anderes Produkt aus unseren WordPress-Sicherheits-Plugins hier auflisten.
1. Thema Authentizitätsprüfung
Der Theme Authenticity Checker ist ein kostenloses Plugin, mit dem Sie die Themendateien scannen können, um festzustellen, ob es Probleme mit der WordPress-Schwachstelle gibt, die Sie beachten müssen. Wenn in einem installierten Design möglicherweise schädlicher Code gefunden wird, teilt Ihnen das Plugin den Patch und die Zeilennummer mit und zeigt den verdächtigen Code an. Dies wird Ihnen helfen, vorbeugende Maßnahmen zu ergreifen - oder das Thema loszuwerden.
Mit diesem Plugin können Sie überprüfen, ob in das installierte Design ohne Ihr Wissen ein verschlüsseltes schädliches Skript eingefügt wurde.
Leider hat dieses Plugin nicht wurde in den letzten 3 Jahren aktualisiertBis Sie ein neueres Update sehen, können Sie dies überspringen.
2. WP-Authentizitätsprüfung
Ähnlich verhält es sich mit dem WP Authenticity Checker. Dieses Plugin sucht nicht nur nach Problemen mit Themen, sondern untersucht auch Probleme mit dem WordPress-Kern oder den Plugins des dritten Teils, um mögliche WordPress-Schwachstellen zu identifizieren.
Leider ist dieses Plugin hwie in den letzten 2 Jahren nicht aktualisiert Daher möchten Sie den Ergebnissen dieses Plugins möglicherweise nicht voll vertrauen.
Laden Sie es einfach herunter, installieren Sie es und führen Sie es aus, um Probleme mit Themen oder Plugins zu entdecken.
3. Scanner ausnutzen
Der Exploit-Scanner war auch ein Produkt, das auf ähnliche Weise funktionierte, aber leider wurde auch dieses Plugin aufgegeben. Aus diesem Grund wird nicht empfohlen, es unless Sie sehen ein ziemlich aktuelles Update.
Exploit Scanner ist ein weiteres kostenloses Plugin, das robustere Funktionen als TAC bietet. Das Beste ist, dass Sie mit dem Exploit-Scanner-Plugin neben den Themendateien auch die Datenbank Ihrer WordPress-Installation überprüfen können.
Bitte beachten Sie, dass diese Plugins nur die Sicherheitsanfälligkeit anzeigen und es an Ihnen liegt, zu entscheiden, welche vorbeugenden Maßnahmen Sie ergreifen sollten, um die WordPress-Sicherheitsanfälligkeit zu beseitigen.
Zusätzliche Korrekturen zum Schutz vor Sicherheitslücken in WordPress
1. Legen Sie eine benutzerdefinierte Anmelde-URL für WordPress fest
Während der Installation von WordPress erstellt WordPress standardmäßig zwei Anmelde-URLs. Sie sind
- wp-login.php
- wp-admin.php
Das Problem bei der Verwendung der Standard-Anmelde-URL besteht darin, dass sich jeder bei Ihrem WordPress-Dashboard anmelden kann, sobald er den Benutzernamen und das Passwort gefunden hat (oder die richtige Vermutung anstellt). Indem Sie die URL Ihrer Anmeldeseite anpassen, verbessern Sie die Sicherheit Ihrer WordPress-Website und erschweren es den Bösen, sie zu beschädigen.
Wie würden Sie die Anmelde-URL Ihrer WordPress-Website ändern?
Einfach installieren Stealth-Login Plugin und passen Sie den Stealth-Teil des Benutzerdefiniertes Login-Plugin um den Login auszublenden.
2. Begrenzen Sie die Anzahl der Anmeldeversuche
Sie haben also die Anmelde-URL Ihrer WordPress-Website für mehr Sicherheit angepasst. Aber was ist, wenn die Bösen die tatsächliche Anmelde-URL entdeckt haben? Wie können Sie dann versuchte Einträge auf Ihrer Website verhindern?
In einem solchen Fall besteht eine der besten Methoden darin, die Anzahl der Anmeldeversuche zu begrenzen. Standardmäßig können Hacker versuchen, so viele Passwörter wie möglich in Ihre Website einzugeben. Indem Sie die Anmeldeversuche einschränken, blockieren Sie diese Möglichkeit von Brute-Force-Angriffen auf Ihre Website.
Installieren iThemes Security (ein vollwertiges Sicherheits-Plugin) oder Einloggen LockDown Plugin. Mit diesen beiden Plugins können Sie die Versuche eines Benutzers einschränken, in das Dashboard einzutreten.
3. Deaktivieren Sie das Durchsuchen von Verzeichnissen
Wenn Ihr Besucher zu einer Seite navigiert und der Webserver keine Indexdatei dafür findet, wird standardmäßig automatisch eine Seite und der Inhalt des Verzeichnisses angezeigt. Das Problem dabei ist, dass jeder in diese Verzeichnisse navigieren kann, die für Ihre Site anfällig sein können, und dass ein Hacker sie leicht ausnutzen kann, um Ihre Site herunterzufahren.
Beispielsweise enthalten einige WordPress-Verzeichnisse vertrauliche Daten wie wp-content oder wp-include. Indem Hacker durch diese Ordner navigieren können, können Hacker darin potenzielle Exploits finden.
Daher ist es für die Sicherheit Ihrer Website wichtig, das Durchsuchen von Verzeichnissen zu deaktivieren.
Wie würden Sie das Durchsuchen von Verzeichnissen auf Ihrer WordPress-Website deaktivieren?
Das einzige, was Sie tun müssen, ist, den folgenden Code am Ende der .htaccess-Datei Ihrer WordPress-Website hinzuzufügen.
Options -Indexes
Note: Stellen Sie sicher, dass Sie eine Sicherungskopie Ihrer Website erstellen, bevor Sie Änderungen daran vornehmen. .htaccess ist eine versteckte Datei. Wenn Sie sie auf Ihrem Server nicht finden können, müssen Sie sicherstellen, dass Ihr FTP-Client versteckte Dateien anzeigt.
Literatur-Empfehlungen: Native vs. Plugin - Erstellen von WordPress-Backups mit verschiedenen Methoden
Sobald Sie das Durchsuchen von Verzeichnissen deaktivieren, wird in allen zuvor sichtbaren Verzeichnissen die Seite "404 nicht gefunden" oder die Meldung "403 Zugriff verboten" angezeigt.
Zusammenfassung
Keine Software ist perfekt, wenn es um Sicherheit geht. Dies gilt auch für WordPress. Stellen Sie daher sicher, dass Sie die WordPress-Kernsoftware oder alle Themen und Plugins aktualisieren, wenn neue Versionen veröffentlicht werden, um eine behobene WordPress-Sicherheitslücke zu schließen. Stellen Sie sicher, dass Sie die automatische Aktualisierung von WordPress aktivieren oder über einen Prozess verfügen, um es auf dem neuesten Stand zu halten.
Benötigen Sie Hilfe beim Reparieren und Bereinigen von WordPress? Probieren Sie diese erstklassigen, erschwinglichen Gigs auf Fiverr aus!
Hier geht es weiter. Experten zu finden WordPress-Geschwindigkeitsoptimierung.
Hier geht es weiter. ein erstellen vollständige WordPress-Website.
Wenn Sie Fragen haben, stellen Sie diese unten im Kommentarbereich. Wir werden unser Bestes geben, um Ihnen zu helfen.
Bitte kontaktieren Sie uns, wenn Sie Probleme im Zusammenhang mit dieser Website haben oder lass a nützlich Kommentieren Sie mit Ihren Gedanken und teilen Sie dies dann Ihren Facebook-Gruppen mit, die dies nützlich finden würden, und lassen Sie uns gemeinsam die Vorteile nutzen. Vielen Dank für das Teilen und nett zu sein!
Disclosure: Diese Seite enthält möglicherweise Links zu externen Websites für Produkte, die wir lieben und von ganzem Herzen empfehlen. Wenn Sie Produkte kaufen, die wir vorschlagen, können wir eine Empfehlungsgebühr verdienen. Solche Gebühren haben keinen Einfluss auf unsere Empfehlungen und wir akzeptieren keine Zahlungen für positive Bewertungen.
und viele mehr ...