Es gibt zwar viele Content-Management-Systeme, aber keines davon kann mit WordPress mithalten. Mit Über 51.6 Millionen Websites (Stand: März 2020) (und täglich mehr) Es vermittelt Ihnen eine Vorstellung davon, wie weit überlegen und beliebt dieses System ist. WordPress-Sicherheit und umsetzbare Tipps zum Verhindern von WordPress-Hacking – in puncto Sicherheit hat das CMS jedoch noch einen weiten Weg vor sich.
Wir möchten Ihnen jedoch dabei helfen, Ihre Website von Anfang an zu schützen – Vorbeugen ist besser als Heilen. Setzen Sie diese Tipps in einem unserer vielen WordPress-Tutorials also HEUTE um.
Diese Millionen von Websites sind jedoch auch ernsthaften Angriffen durch Script-Kiddies ausgesetzt, die nichts Besseres mit ihrer Zeit anzufangen wissen, als Unheil zu verbreiten. Außerdem gibt es noch andere, die mit noch schändlicheren und bösartigeren Absichten agieren: die dunklen Akteure des Internets: Hacker.
Es kommt ganz häufig vor, dass man eines Morgens aufwacht und feststellt, dass die einstmals schöne Website voller poetischer Links und Texte über pflanzliche Vergrößerungspillen, andere zwielichtige Pharmaunternehmen oder irgendeinen Zweck im Nahen Osten ist.
Unverständliches Geschrei ist wahrscheinlich Ihre erste Reaktion, wenn Ihre Site ganzseitige Anzeigen, Links und Weiterleitungen zu zwielichtigeren Aspekten von Pharmaunternehmen enthält.
Wenn Ihnen dieses Szenario Angst macht, ist dieses Gefühl berechtigt.
90,000 Websites werden täglich gehackt
Quelle: HostingFacts
Jeder möchte WordPress-Hacking verhindern. Denn die Wiederherstellung einer Website kann viel Zeit und Mühe kosten.
Schützen Sie Ihre Website mit diesen bewährten WordPress-Sicherheitspraktiken, um dieses schreckliche Schicksal zu verhindern! Und ja, es erfordert einige Zeit und kontinuierliche Anstrengung, um Hackerangriffe zu verhindern.
Sie möchten sich nicht mit Code die Hände schmutzig machen? Versuchen Sie iThemes security und überlassen Sie ihm die Drecksarbeit. Klicken Sie auf diesen Link, um 25 % Rabatt zu erhalten, bis Dezember 2025.
Wenn Sie sich nicht mit dem Durcheinanderbringen von Dateien, dem Aktivieren verschiedener Plugins und vielen anderen Dingen herumschlagen möchten, die Sie nicht wirklich verstehen, haben wir auch einen einfachen Ausweg für Sie. iThemes Security ist das beste WP-Sicherheits-Plugin zum Sichern und Schützen Ihrer Website.
Noch kein Interesse an WP-Plugins? Lesen Sie weiter!
Wir werden uns mit der Code-Arbeit beschäftigen, aber zuerst kümmern wir uns um die Grundlagen der Website-Sicherheit. Beginnen wir mit:
17 WordPress-Sicherheitsschritte
1. Die Verhinderung von WordPress-Hacking beginnt bei Ihrer Workstation
Dies ist das Erste und wird am leichtesten übersehen: Ihr Computer.
Sie sollten Ihr System stets frei von Malware und Viren halten, insbesondere wenn Sie damit auf das Internet zugreifen (was natürlich der Fall ist). Der Schutz Ihrer Workstation ist besonders wichtig, wenn Sie Transaktionen durchführen und eine Website betreiben, da Alles was man braucht ist ein Keylogger, um die hartnäckigsten Websites lahmzulegen.
Ein Keylogger liest alle Ihre Benutzernamen und Passwörter und sendet sie an Hacker – was natürlich eine ganze Reihe von Problemen und Schwierigkeiten für Ihre Website zur Folge hat.
Bleib sicher und Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Software und Ihre Browser auf Ihrem ComputerNutzen Sie einen guten Antiviren-Dienst. Achten Sie auf Schwachstellen in Ihrem System und beseitigen Sie diese, bevor sie zu einem massiven Problem werden. Wenn Ihr Computer sich merkwürdig verhält, Werbung oder andere verdächtige Dinge anzeigt, sollten Sie ihn überprüfen, bevor Sie auf Ihre Website zugreifen.
2. Installieren Sie alle WordPress-Updates
Jedes Mal, wenn eine neue Version von WordPress veröffentlicht wird, geschieht dies mit großem Tamtam und einer Welle der Begeisterung.
Die meisten von uns sind aufgeregt, denn, hey, Neue Eigenschaften! Hacker sind aufgeregt, weil sie sofort gehen, um zu überprüfen, Versionshinweise zu Sicherheit und Wartung. Leider WordPress Das Update bringt die Aufdeckung einer Reihe von WordPress-Sicherheitslücken in älteren Versionen mit sich.
Mit jedem neuen WordPress-Update erhalten wir zusätzliche Funktionen und Upgrades sowie eine Seite mit den Sicherheitslücken der vorherigen Version und deren Behebung..
Diese Seite ist praktisch ein Spickzettel für Hacker. Sollten Sie die Aktualisierung nicht rechtzeitig durchführen, werden diese Schwachstellen ausgenutzt, um Websites mit älteren Versionen zu übernehmen (und Ihre Website könnte dazugehören, wenn Sie nicht aktualisieren).
Und wenn Ihre Site gehackt wird, ist es leider zu spät, Ausreden dafür zu finden, nicht auf die neueste Version zu aktualisieren.
Geben Sie Hackern also keine Chance, sich einzuschleichenInstallieren Sie die neueste Version von WordPress, sobald sie veröffentlicht wird.
Wenn Sie befürchten, dass Ihre Website dadurch beschädigt wird, stellen Sie vor dem Update sicher, dass Sie ein funktionierendes Backup haben. Die aktualisierte Version behebt alle Sicherheitsprobleme der vorherigen Version und trägt wesentlich dazu bei, WordPress-Hacks zu verhindern.
Möchten Sie, dass Ihre Website automatisch aktualisiert wird? Schauen Sie sich InMotion VPS für Ihr Hosting an Sie verfügen über hervorragende WordPress-spezifische Funktionen, sodass Sie Ihre Website automatisch aktualisieren können, sobald neue Funktionen verfügbar sind. Wir nutzen einen InMotion VPS und sind begeistert!
3. Stellen Sie sicher, dass Ihr Hosting-Server sicher ist
Wussten Sie, dass im Jahr 2019 rund 54 % der Websites immer noch PHP 5.x verwenden – eine veraltete PHP-Version, die daher keine Sicherheitsupdates mehr erhält? Das bedeutet, dass alle Websites mit PHP 5.4 durch Schwachstellen in der Serversoftware anfällig für Hackerangriffe sind. (Quelle: Sucuri Hacked Website Report 2019)
Sogar die PHP-Version 7.1 hat am 1. Dezember 2019 das Ende ihres Lebenszyklus erreicht. Alte Versionen solcher Software werden nicht mehr unterstützt und weisen Schwachstellen auf, die nicht behoben wurden!
Diese alten Softwareversionen sind anfällig für Hacks.
Wenn Sie wissen, dass Ihre Website auf PHP 5 oder möglicherweise PHP bis 7.1 gehostet wird, bitten Sie Ihren Host zu prüfen, ob Ihre Site auf eine neuere PHP-Version migriert werden kann.
Nicht nur das, sondern auch die Die meisten Websites/Blogs werden auf gemeinsam genutzten Servern gehostet. Wenn eine Site auf einem gemeinsam genutzten Server infiziert wird, jede andere Site ist gefährdet, unabhängig davon, wie sicher die Site/der Blog ansonsten ist.
Sie werden ohne eigenes Verschulden gehackt.
Denkanstoß: Waren Sie schon einmal in einer Suppenküche? Können Sie sich vorstellen, was dort passiert? Wenn Sie zu den Glücklichen gehören, die dieser Farce entgangen sind, gebe ich Ihnen einen kleinen Vorgeschmack (Wortspiel beabsichtigt). Denken Sie an alles, was seit der Existenz der Küche passiert ist: Verschüttetes, kaputtes Wasser, Lecks und Spritzer. In einer Suppenküche bleiben diese Dinge immer erhalten. Sie werden Teil der Küche.
Stellen Sie sich nun vor, das Gleiche passiert mit Ihrer Website. Ein Hosting-Server eines Unternehmens, das die Wartung vernachlässigt und nicht auf die neuesten Softwareversionen aktualisiert, hat sich bereits zu einer Suppenküche entwickelt.
Wenn Sie oder Ihr Webmaster mehrere Websites gleichzeitig hosten, häufen sich zudem ungenutzte Dateien, Daten, Sites usw. an, bis sie zu einer Bedrohung für die aktuellen Sites werden.
Wählen Sie also einen zuverlässigen und Verbindung Gastgeber.
VPS und Managed Hosting minimieren das Risiko von Sicherheitslücken und eignen sich hervorragend für E-Commerce-Websites. Wenn Shared Hosting für Sie ausreicht, prüfen Sie die Sicherheit, bevor Sie Speicherplatz darauf abonnieren.
Stellen Sie sicher, dass die Server regelmäßig gewartet und die Software auf die neuesten Versionen aktualisiert wird. Dies ist ein weiterer wichtiger Schritt, wenn Sie WordPress-Hacking verhindern möchten.
4. Verwenden Sie sichere Übertragungen, um das Abfangen von Passwörtern und Daten zu verhindern
Über eine ungesicherte Verbindung können Daten abgefangen und Sie gehackt werden, bevor Sie „unverschlüsselt“ sagen können.
Deshalb sollten Sie auf sichere Netzwerkverbindungen und Verschlüsselungen achten: serverseitig, clientseitig und auf allen Seiten. Suchen Sie einen Host, der SFTP/SSH-Verschlüsselung ermöglicht, um Ihre Daten und Informationen vor böswilligen Zugriffen zu schützen.
Ihre Site sollte außerdem über eine sicheres Zertifikat installiert und so eingerichtet, dass Ihre Anmeldeinformationen beim Anmelden sicher übertragen werden.
5. Verhindern Sie Hacking durch komplexe Passwörter
Wesentlicher Tipp: Erstellen Sie ein sicheres Passwort und verwenden Sie Passwörter NIEMALS wieder
In unserem nächsten Schritt zum Schutz von WordPress vor Hackern geht es um ein vieldiskutiertes Thema: Passwörter.
Eine erschreckende Zahl von Menschen denkt, dass lange, komplizierte Passwörter überbewertet werden und bevorzugt etwas Kürzeres, das man sich leichter merken kann. eine Tatsache, die Hacker kennen und ausnutzen.
Es gibt keine andere Möglichkeit, dies auszudrücken: Ein gutes, sicheres Passwort, bestehend aus Buchstaben, Zahlen und allen anderen gültigen Zeichen wird tatsächlich viel zum Schutz Ihres Blogs beitragen.
Ein Brute-Force-Angriff kann zwar auch bei kurzen Passwörtern mit einem einfachen Wort (z. B. einem Wörterbuchschlüsselwort oder einem einfachen, gängigen Passwort) funktionieren. Je mehr Zeichen Ihr Passwort jedoch enthält, desto länger dauert es, es zu knacken.
Das Knacken langer, komplexer Passwörter dauert exponentiell länger.
Sie versuchen, die bekannten Muster zu durchbrechen, um das Hacken zu erschweren, wenn nicht gar unmöglich zu machen.
Persönliche Daten oder darauf basierende Passwörter (wie Geburtstage oder Namen) sind leicht zu knacken. Verwenden Sie keine Passwörter, die nur aus einzelnen Wörtern (unabhängig von der Länge) oder nur aus Buchstaben oder Zahlen bestehen..
Erstellen Sie ein Passwort, das leicht zu merken, aber schwer zu erraten ist, um WordPress-Hacking zu verhindern. Wenn es in Ihrem Blog um Sicherheit geht, wählen Sie etwa: pressmyWORDSand5ecurit!$
6. Halten Sie Ihre Datenbanken sicher und isoliert
Ihre Datenbank weiß alles, was jemals auf Ihrer Site passiert ist. Sie ist eine wahre Informationsquelle und daher für Hacker unwiderstehlich.
Automatisierte Codes für SQL-Injections können relativ einfach ausgeführt werden, um in die Datenbank Ihrer Website einzudringen. Wenn Sie mehrere Websites/Blogs auf einem einzigen Server (und einer einzigen Datenbank) betreiben, sind alle Ihre Websites gefährdet.
Wie es in der Coderessource heißt: Am besten verwenden Sie für jedes Blog/jede Site eine eigene Datenbank und lassen diese von verschiedenen Benutzern verwalten.. Einfach ausgedrückt sollte jede von Ihnen gehostete Website über eine eigene Datenbank und einen eigenen Datenbankbenutzer verfügen.
Nur dieser Datenbankbenutzer sollte Zugriff auf die Datenbank haben.
Du kannst auch alle Datenbankberechtigungen widerrufen, außer Daten gelesen kombiniert mit einem nachhaltigen Materialprofil. Daten schreiben von Benutzern, die nur mit dem Posten/Hochladen von Daten und der Installation von Plugins arbeiten.
Es wird jedoch nicht empfohlen, da Schemaänderung bei größeren Updates erforderliche Berechtigungen.
Sie sollten Ihre Datenbank auch umbenennen (durch Ändern des Präfixes), um Hackerangriffe abzulenken. Dies verhindert zwar nicht grundsätzlich WordPress-Hacking, stellt aber sicher, dass Hacker bei einer Kompromittierung einer Datenbank nicht auf die nächste WordPress-Installation übergreifen können.
7. Verbergen Sie den Login und den Administratornamen Ihrer Website
Als nächstes geht es darum, wie man WordPress vor Hackern schützt. Dies betrifft den WordPress-Administrator.
Die WordPress-Standardeinstellungen unverändert zu lassen, ist praktisch fragen für Ärger.
Es ist lächerlich einfach, den Administratornamen Ihrer Site herauszufinden, wenn Sie ihn nicht aktiv verbergen.
Alles was ein Hacker braucht, ist hinzuzufügen ?Autor=1 nach Ihrer URL ein. Die angezeigte Person/das angezeigte Mitglied ist höchstwahrscheinlich der Administrator. Stellen Sie sich vor, wie einfach es für Hacker wäre, Brute-Force-Angriffe durchzuführen, sobald sie den Benutzernamen des Administrators herausgefunden haben.
Wie können Sie Hackerangriffe verhindern, wenn Sie so viele Informationen offen lassen und so die Ausnutzung erleichtern?
Lösung zum Abschrecken von WordPress-Hacks: Verstecken Sie alle Benutzernamen mit diesem Code in der Datei functions.php:
add_action ('template_redirect', 'bwp_template_redirect');
Funktion bwp_template_redirect ()
{
wenn (ist_Autor())
{
wp_redirect(home_url()); Ausgang;
}
}
Auch Ihre Login-Seite ist leicht zugänglich – und das nicht nur für Sie. Fügen Sie einfach wp-admin oder wp-login.php nach Ihrer Homepage-URL hinzu und geben Sie den Benutzernamen ein, den wir aus ?author=1 gelernt haben. Dann müssen Sie nur noch ein bisschen Brute-Force-Methoden anwenden oder raten, bis das Passwort geknackt ist.
Verwenden Sie die Technik „Sicherheit durch Verschleierung“ und ändern Sie die URL Ihrer Anmeldeseite, um Hackern die Arbeit etwas zu erschweren.
Sicherheits-Plugins wie iThemes Security verfügen über eine Einstellung zum Ausblenden der Anmeldung, die den einfachen Zugriff auf die WordPress-Anmeldung verhindert.
Auch dieser einfache Schritt trägt wesentlich dazu bei, WordPress-Hacking zu verhindern.
Sie sind sich nicht sicher, ob Sie das alles bewältigen können?
Brauchen Sie Hilfe? Schauen Sie sich an iThemes Security Pro – ein Plugin und Ihre Website ist sicher. Garantiert. Klicken Sie auf die unten stehenden Links, um die Website zu besuchen.
8. Verhindern Sie Hacking durch WordPress-Sicherheits-Plugins und Tricks zum Schutz von wp-admin
Ihr WP-Admin ist der wichtigste Teil Ihrer WordPress-Installation – der mit der größten „Leistung“.
Leider sind die Anmeldeseite und das Administratorverzeichnis für jedermann zugänglich, auch für Personen mit böswilligen Absichten. Um sie zu schützen und Hackerangriffe zu verhindern, müssen Sie etwas mehr Aufwand betreiben.
iThemes Security
Ein sicheres Passwort, ein anderes Administratorkonto (mit einem Benutzernamen, der alles andere als 'admin'), und mit dem iThemes Security Plugin zum Umbenennen Ihrer Anmeldelinks wird definitiv dazu beitragen, Hackerangriffe zu verhindern.
Malcare
Sie können den Schutz des Administrators auch mit Website-Sicherheits-Plugins wie Malcare verstärken.
Diesen mit 5 Sternen bewerteten Service haben wir erst vor Kurzem entdeckt.
Malcare wird vom Team hinter Blogvault, das wir bereits verwendet haben und für großartig befunden haben.
Ihr neuestes Angebot umfasst einen umfassenden Sicherheits- und Website-Management-Service. Es bietet unter anderem Dateiscans auf Kernänderungen (um Hacks zu erkennen), Notfallbereinigung, eine integrierte Firewall zur Abwehr bösartigen Datenverkehrs, Updates von Themes und Plugins direkt über das Dashboard sowie One-Click-Backups.
Das Beste daran ist, dass Sie ALLE Ihre Websites über ein einziges Dashboard verwalten können, ohne sich bei jeder einzelnen anmelden zu müssen.
Limit Login Attempts Reloaded
Mit ein bisschen Code und unbegrenzten Anmeldeversuchen gelingt es jedem Hacker irgendwann, einzubrechen.
Sie können die Anzahl der Anmeldeversuche, die ein einzelner Benutzer auf der Administrator-Anmeldeseite durchführen darf, beschränken, indem Sie Limit Login Attempts Neu geladenes Plugin. Dadurch wird die Anzahl der Anmeldeversuche für jede IP-Adresse begrenzt, einschließlich Ihrer eigenen (mit Authentifizierungs-Cookies).
Really Simple SSL
Nutzen Sie die Leistung von Private SSL, um Administrator-Login, Bereich, Beiträge und mehr zu sichern. Mit dem Really Simple SSL Plugin aktiviert die Verschlüsselung Ihrer Anmeldesitzungen, sodass das Kennwort nur schwer abgefangen werden kann.
Sie benötigen ein SSL-Zertifikat und müssen es auf Ihrem Hosting-Server installieren. InMotion bietet SSL-Zertifikate kostenlos in seinen Hosting-Paketen an. Falls Sie noch keins haben, ist es vielleicht an der Zeit, zu InMotion zu wechseln, um auch Ihr SSL-Zertifikat zu erhalten.
Sobald Sie bei Ihrem Hosting-Anbieter bestätigt haben, dass Sie über Shared SSL verfügen, können Sie das Plugin aktivieren.
Wenn Sie kein Plugin verwenden möchten, sondern SSL nur bei der Anmeldung erzwingen möchten, fügen Sie der Datei wp-config.php diesen Code hinzu:
definieren('FORCE_SSL_ADMIN', true);
Acunetix Secure WordPress
Dieser Plugin ist im Allgemeinen eine hervorragende Sicherheitslösung, aber einige wichtige Funktionen machen es noch besser.
Zunächst führt es einen Website-Sicherheitsscan durch. Es achtet auch auf präventive Maßnahmen, um WordPress-Hacking von vornherein zu verhindern. Zum Schutz des Admin-Bereichs werden Fehlerinformationen von der Anmeldeseite entfernt.
Das klingt vielleicht nicht nach viel, aber die Fehlermeldung hilft Hackern tatsächlich herauszufinden, ob sie alles richtig gemacht haben. Das Entfernen der Meldung (des Hinweises) nimmt ihnen diesen Vorteil.
Wenn Sie Hackerangriffe vermeiden möchten, installieren Sie zumindest einige dieser Plugins.
Top-Tipp: Der Rest des Artikels enthält erweiterte Tipps zur Website-Sicherheit
Die restlichen Tipps erfordern Eingriffe in Ihre WordPress-Installation, was ein gewisses Risiko birgt. Wenn Sie lieber nicht an Ihrer Installation herumbasteln möchten, sollten Sie Folgendes tun: Stellen Sie einen WordPress-Entwickler ein um Ihnen zu helfen.
9. So sichern Sie WP durch wp-includes
Um es klarzustellen: die wp-includes Der Ordner ist ein zentraler Bestandteil von WordPress. Er sollte in Ruhe gelassen werden, auch von Ihnen. Und auf keinen Fall sollte er potenziellen Hackern zugänglich sein.
Um zu verhindern, dass böswillige Personen/Bots unerwünschte Skripte direkt an das Herz Ihrer Website senden, um Hackerangriffe zu verhindern.
Fügen Sie dies vor #BEGIN WordPress in Ihrer .htaccess-Datei:
# Blockieren Sie die Nur-Include-Dateien.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Beachten Sie, dass Sie die dritte RewriteRule weglassen wenn der Code auf Multisite funktionieren soll.
10. Schützen Sie Ihre WP-Konfiguration für verbesserte Website-Sicherheit
Dies ist eines der Themen, die etwas umstritten sind. Nicht jeder ist damit einverstanden.
Unabhängig davon, ob Sie wp-config.php tatsächlich aus dem Stammordner verschieben oder nicht, lässt sich nicht leugnen, dass ein wenig Optimierung des Codes in dieser Datei dazu beitragen kann, Ihre Website sicherer zu machen und WordPress-Hacks zu erschweren.
Du bist dir nicht sicher, ob du mit all dem technischen Kram klarkommst? Es gibt eine Sicherheits-Plugin, um sie alle zu beherrschen.
- Beginnen mit Deaktivieren der Bearbeitung von PHP-Dateien über das Dashboard, auf die sich der Angreifer nach dem Hacken eines Zugangspunkts konzentriert. Fügen Sie dies zu wp-config.php hinzu
define ('DISALLOW_FILE_EDIT', true);
- $table_prefix wird vor allen Ihren Datenbanktabellen platziert. Sie können SQL-Injection-basierte Angriffe verhindern, indem Sie den Standardwert wp_ ändern. Seien Sie dabei vorsichtig, da Sie alle vorhandenen Tabellen in das neue Präfix umbenennen müssen.
$table_prefix = 'r235_';
- Verschieben Sie das wp-content-Verzeichnis von seiner Standardposition mit diesem
definieren( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );
definieren( 'WP_CONTENT_URL', 'https://example/blog/wp-content');
definieren( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins');
definieren( 'WP_PLUGIN_URL', 'https://example/blog/wp-content/plugins');
Wenn Sie kein Entwickler, Sie haben keinen großen Nutzen von Fehlerprotokollen. Sie können den Zugriff darauf folgendermaßen verhindern:
Fehlerberichterstattung = 4339
display_errors = Aus
display_startup_errors = Aus
log_errors = Ein
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Ein
ignore_repeated_source = Aus
html_errors = Aus
11. Sichern Sie Ihre Website (nur für den Fall)
Dies ist das Sicherheitsnetz. Ein Backup ist eines der ersten Dinge, die Sie benötigen, um Ihre Site wiederherzustellen, falls sie gehackt wird.
Sichern Sie Ihre Website mindestens so oft wie Sie Wartungsarbeiten durchführen oder aktualisieren. Es gibt keine Entschuldigung dafür, in dieser Hinsicht nachlässig zu sein, insbesondere wenn es hervorragende Backup-Dienste und Plugins gibt, die automatisierte Backups für Sie durchführen. Einige Plugin-Vorschläge:
- VaultPress,
- UpdraftPlus,
- WP-DB-Backup,
- BackupBuddy,
- usw.
Empfohlene Lektüre: Native vs. Plugin – WordPress-Backup mit unterschiedlichen Methoden
Erstellen Sie einen Zeitplan und überlassen Sie dem Plugin den Rest.
Einige dieser Plugins bieten einfache Wiederherstellungsoptionen. Stellen Sie sicher, dass das Plugin die gesamte Website, einschließlich aller Datenbanken und Verzeichnisse, sichert. Dies verhindert zwar keine WordPress-Hacks, gibt Ihnen aber die Sicherheit, Ihre Website im Ernstfall wiederherstellen zu können.
12. Verwenden Sie für Downloads nur vertrauenswürdige Quellen
Wenn Sie über ein knappes Budget verfügen (und selbst wenn nicht), könnte die Option, alle Features und Funktionen von Premium-Plugins/Themes kostenlos zu erhalten, für Sie verlockend sein: Raubkopien oder geknackte Plugins.
Sie können Hacker nicht überlisten, wenn Sie Premium-Inhalte von unseriösen oder nicht autorisierten Quellen herunterladen – sie werden sich rächen. Sie haben einen schlechten Ruf, weil sie diese legitimen „Premium“-Plugins/-Themes mit Malware füllen und Sie den Rest erledigen lassen.
Geknackte Plugins oder Themes enthalten versteckte Hintertüren, die es Angreifern ermöglichen, nach Belieben die Kontrolle über Ihre Website zu übernehmen. Ein solcher Download genügt, um den Online-Auftritt Ihrer Marke in ein riesiges Plakat für Vergrößerungspillen – oder noch schlimmer: in Malware – zu verwandeln.
Wenn Ihre Site Malware enthält, wird sie schnell auf die schwarze Liste gesetzt, sogar von Suchmaschinen und Browsern.
Dies ist eine bekannte und sehr beliebte Taktik von Hackern.
Raubkopien von Themes und Plugins sind voller Hintertüren und Malware. Dies ist eines der am einfachsten zu lösenden WordPress-Sicherheitsprobleme. Wählen Sie am besten ein vertrauenswürdiges Theme aus einer vertrauenswürdigen Quelle, wie zum Beispiel das hier getestete: Avada-Thema
Raubkopien, ungültige oder gecrackte Daten? Lassen Sie es bleiben.
Du bist mit offiziellen Themes- und Plugin-Verzeichnissen gut vertraut, also versuche, dich an diese zu halten. Du kannst auch Quellen wie ElegantThemes, Themenwald, Code Canyon usw.
13. Sichern Sie Ihre Website, indem Sie wie ein Profi aussehen
Ein Anfänger ist leichter zu hacken.
Zumindest denken das die meisten Hacker (und das nicht zu Unrecht).
Ändern Sie alle Standardeinstellungen: Beiträge, Kommentare, Benutzernamen, Verzeichnisnamen usw.
Beim Einrichten ist es einfacher.
Wenn WordPress bereits läuft, können Sie die Verzeichnisnamen unter „Einstellungen > Sonstiges“ (in den Admin-Einstellungen) ändern. Dies ist ein weiterer Schritt, um WordPress-Sicherheitsprobleme zu vermeiden und Hackerangriffe auf Ihre Website zu erschweren.
Um zu verbergen, welche Version von WordPress Sie verwenden, denken Sie daran, löschen / Wp-admin/install.php kombiniert mit einem nachhaltigen Materialprofil. wp-admin/upgrade.php. Gehen Sie noch einen Schritt weiter und entfernen Sie Meta-Generator-Tag („“) von wp-content/Ihr_Themename/header.php. Du solltest auch Versionsdetails aus RSS-Feed entfernen.
Öffnen Sie dazu die Datei wp-includes/general-template.php. In Zeile 1860 finden Sie Folgendes:
Funktion der_Generator ( $args) {
echo apply_filters('der_Generator', get_der_Generator($args), $args). "\n";
}
Fügen Sie vor 'Echo' Befehl und schon sind Sie fertig.
Funktion der_Generator ( $args ) {
#echo apply_filters('der_Generator', get_der_Generator ($args), $type). "\n";
}
14. Gute WordPress-Sicherheit erfordert gute Dateiberechtigungen
Die Faustregel lautet 755 für Verzeichnisse und 644 für Dateien.
Dies kann zwar je nach Server und Dateityp unterschiedlich sein, in den meisten Fällen sollten Sie mit diesen Berechtigungen jedoch sehr gut arbeiten.
Am besten lassen Sie dies von Ihrem Hoster überprüfen. Wenn Sie über einen Direktzugriff verfügen, können Sie dies auch selbst tun.
Für Verzeichnisse:
find /Pfad/zu/Ihrer/WordPress-Installation/ -type d -exec chmod 755 {} \;
Für Dateien:
find /Pfad/zu/Ihrer/WordPress-Installation/ -type f -exec chmod 644 {} \;
15. Website-Sicherheit: Setzen Sie die Dateiberechtigungen niemals auf 777
Wenn Sie es ernst meinen und WordPress-Hacker stoppen möchten, setzen Sie die Datei-/Verzeichnisberechtigung NIEMALS auf 777, es sei denn, Sie möchten jedem, einschließlich Hackern, die vollständige Kontrolle darüber geben.
Unter Anfängern besteht die sehr gefährliche Tendenz, die Dateiberechtigungen auf 777 zu setzen, „weil es einfach ist“, oder „weil wir es später reparieren“, oder „weil ich es später ändern werde“.
Das ist extrem gefährlich - 777 bedeutet, dass jeder im Internet den Inhalt dieser Datei ändern kann.
Mit diesen Berechtigungen ist Ihre Website ein offenes Haus. Sobald sie Zugriff auf eine Datei haben, können sie ganz einfach auf andere Dateien zugreifen oder Hintertüren und andere schädliche Programme auf Ihrer Website installieren.
Die Der WordPress-Codex enthält eine vollständige Anleitung zu Dateiberechtigungen: wie man sie ändert und die empfohlenen Berechtigungen für einige Dateien.
Sie müssen die Sicherheit Ihrer Website mit der Funktionalität in Einklang bringen. Beginnen Sie daher mit niedrigen Berechtigungen und erhöhen Sie diese schrittweise, bis Sie den gewünschten Erfolg erzielen. Die richtigen Dateiberechtigungen helfen Ihnen, Website-Hacking zu vermeiden. Auch dies ist eines der leichter zu vermeidenden WordPress-Sicherheitsprobleme; Sie müssen sich dessen nur bewusst sein.
16. Erlauben Sie den Zugriff auf den WP-Administrator und melden Sie sich nur über die IP-Filterung bei Ihrer IP an
Eine sehr einfache und elegante Möglichkeit, den Zugriff auf die Anmeldeseite und den Admin-Bereich einzuschränken, ist die IP-Filterung.
Alles, was Sie tun müssen, ist, diesen Code in die .htaccess einzufügen. Dieser Vorschlag kommt mit Dank an Sucuri, die einen hervorragenden WordPress-Sicherheitsdienst anbieten
Befehl Ablehnen, Erlauben
Von allen ablehnen
Zulassen von [Fügen Sie hier Ihre IP-Adresse(n) hinzu]
Das funktioniert zwar nur für statische IPs, aber Sie können dasselbe tun für dynamische IPs mit diesem:
Befehl Ablehnen, Erlauben
Von allen ablehnen
Zulassen von [Fügen Sie hier Ihren Domänennamen hinzu]
Um den Zugriff einzuschränken auf wp-admin Verzeichnis, fügen Sie dies hinzu zu .htaccess:
Befehl Ablehnen, Erlauben
Von allen ablehnen
Zulassen von [Fügen Sie hier Ihre IP-Adresse(n) hinzu]
Nach Domänennamen:
Befehl Ablehnen, Erlauben
Von allen ablehnen
Zulassen von [Fügen Sie hier Ihren Domänennamen hinzu]
Quelle: blog.Sucuri.net
17. Sicherheits-Plugins zum Blockieren von WordPress-Hacks
Obwohl wir nicht dazu neigen, die Verwendung vieler Plugins zu befürworten, wenn es um WordPress-Sicherheits-Plugins, es gibt einige, die Sie möglicherweise wirklich installieren möchten, um die Ausfallsicherheit Ihrer Site zu erhöhen.
- iThemes Security Pro – Hören Sie, viele der oben genannten Aktionen sind zweifellos etwas technisch. Das verstehen wir. Wenn Sie technisch nicht versiert sind, haben wir die Lösung für Sie. iThemes Security ist das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen Ihrer Website.
-
Installieren WP Security Audit Log-Plugin – Dies ist das umfassendste WordPress-Aktivitätsprotokoll-Plugin. Das Plugin zeichnet alle Vorgänge auf Ihrer WordPress-Website in einem Audit-Protokoll (auch bekannt als WordPress-Aktivitätsprotokoll) auf, sodass Sie Hacker fernhalten. So können Sie Angriffsversuche erkennen, bevor sie tatsächlich in Ihre WordPress-Website eindringen, und haben so Zeit, ihre bösartigen Aktionen zu vereiteln.
Google Authenticator kombiniert mit einem nachhaltigen Materialprofil. Duo Zwei-Faktor-Authentifizierung sind eine hervorragende Möglichkeit, Ihrer Anmeldeseite zusätzlichen Schutz zu verleihen. Ein Autorisierungscode wird an Ihre E-Mail-Adresse/Ihr Mobiltelefon gesendet, ohne den sich der Benutzer/Hacker nicht anmelden kann.
Gibt es etwas Besseres als ein schönes BBQ? Dieses Plugin blockiert URI-Strings mit eval( base 64) und anderen verdächtig langen Request-Strings.
Überprüfen Sie Ihr Design mit diesem Plugin auf Malware und versteckte Hintertüren, bevor jemand diese Schwachstellen auf einer ansonsten sicheren Site/einem sicheren Blog ausnutzt.
- Antivirus-Plugins
Das ist ein Kinderspiel. Führen Sie regelmäßige Site-Scans durch und beseitigen Sie sie, bevor sie sich festsetzen. Plugins/Dienste wie Sucuri, Wordfence, usw. Das bereits erwähnte Acunetix Secure WordPress ist auch gut. Exploit-Scanner wird Ihre Site auch gründlich auf Schadcode überprüfen.
Wenn Sie interessiert sind, haben wir einen tollen Vergleich geschrieben über Sucuri vs. Wordfence das diese beiden großen Jungs direkt vergleicht.
Die grundlegende Checkliste für umfassende Website-Sicherheit – YouTube-Version
Dank Webucator, einem Anbieter von WordPress-Schulung, wir haben diese Checkliste als Video erstellt.
https://www.youtube.com/watch?v=DNutpR5VpT0
Im nächsten Teil dieses Artikels geht es darum, wie Sie einen WordPress-Sicherheitshack beheben, wenn dieser einmal passiert ist.
Website gehackt? 7 Schritte zur vollständigen Wiederherstellung Ihrer Website
Sucuri veröffentlicht jedes Quartal einen Trendbericht zu gehackten Websites. In ihrem jüngsten Berichthaben sie enthüllt, dass 94 % der im Jahr 2019 gehackten Websites auf verschiedenen WordPress-Versionen basierten
Gehackte WordPress-Websites bleiben ein echtes Problem. Da es sich bei WordPress um die beliebteste Plattform zum Erstellen von Websites handelt, ist die Wahrscheinlichkeit, gehackt zu werden, deutlich höher.
Das ist nicht verwunderlich, da WordPress die mit Abstand größte Plattform für die Erstellung neuer Websites ist. Solange WordPress beliebt bleibt, wird es für Hacker weiterhin lukrativ sein, nach Schwachstellen in WordPress-Seiten zu suchen. Es ist im Grunde ein Zahlenspiel.
Und egal, welche vorbeugenden Maßnahmen Sie ergreifen: Es ist unmöglich, für jede Website perfekte Sicherheit zu garantieren. Sie können es Hackern erschweren, sodass diejenigen, die nach leicht zu erreichenden Zielen suchen, sich nicht die Mühe machen oder es gar nicht erst schaffen, sie zu hacken.
In diesem Tutorial stellen wir Ihnen 7 Schritte vor, die Sie unternehmen sollten, um eine gehackte WordPress-Site zu reparieren.
Bevor wir mit dem Verfahren beginnen, sollten wir zunächst herausfinden, was das Problem überhaupt verursacht. Im Allgemeinen gibt es zwei Arten von Schwachstellen:
- Häufige Schwachstellen und
- Sicherheitslücken.
Schauen wir uns die einzelnen Typen genauer an. Beide Typen können von Hackern ausgenutzt werden.
Bevor Sie beginnen: Die Wiederherstellung einer gehackten Website ist nichts, was von Personen ohne ausreichende Kenntnisse durchgeführt werden kann. Es ist dringend ratsam, Hilfe von WordPress-Entwickler Wenn Sie sich beim Herumprobieren nicht wohl fühlen, wenden Sie sich an einen erfahrenen Techniker, bevor Sie dies versuchen.
Häufige Schwachstellen, die zu gehackten WordPress-Sites führen
Die häufigsten Schwachstellen können entweder von Ihrem lokalen Rechner oder vom Hosting-Anbieter ausgehen. Die meisten von uns sind wahrscheinlich mit solchen Problemen vertraut.
Diese Probleme können auftreten, wenn Ihr PC oder Ihr lokales Netzwerk kompromittiert ist. Wenn Hacker Zugriff auf Ihren PC oder das Netzwerk erhalten, können sie problemlos Ihre Website ins Visier nehmen – mit der Folge, dass Ihre WordPress-Site kompromittiert oder gehackt wird.
Sie können diese Situationen vermeiden, indem Sie zuverlässige Antiviren- und Anti-Malware-Scan-Tools verwenden. Seien Sie beim Surfen im Internet vernünftig. Comodo und Malwarebytes Hier sind einige praktische Tipps, wie Sie Ihren PC vor Hackern schützen können. Die meisten davon sind selbstverständlich, wenn man darüber nachdenkt, wie zum Beispiel die Aktualisierung der Software sowohl Ihres Desktops als auch Ihrer Peripheriegeräte wie Ihres Internet-Routers.
Die zweite Art von Sicherheitslücke kann von Ihrem Hosting-Anbieter ausgehen, insbesondere wenn Sie ein Shared-Hosting-Paket verwenden. Wie Sie vielleicht wissen, wird der Server bei einem Shared-Hosting-Paket von mehreren Benutzern gemeinsam genutzt.
Wenn einer dieser Benutzer die bewährten Methoden nicht befolgt, ist der gesamte Server ernsthaft gefährdet. Natürlich ist es bei Shared Hosting höchst unwahrscheinlich, dass alle Benutzer gute Sicherheitspraktiken anwenden, daher sind Shared Hosting-Pakete per Definition riskant.
Manchmal wird eine Website in einem Shared-Hosting-Paket kompromittiert, was dem Hacker ermöglicht, sich seitlich zu bewegen oder auf andere Websites auf demselben Server zu wechseln. In diesem Fall sollten Sie sich an Ihren Hosting-Anbieter wenden, der die notwendigen Schritte einleitet.
Dies bedeutet, dass Ihre WordPress-Site möglicherweise auch dann gehackt wird, wenn sie vollständig aktualisiert und geschützt ist.
Übrigens, wenn Sie auf der Suche nach einem sehr sicheren Hosting-Anbieter sind, sollten Sie ernsthaft darüber nachdenken, unsere InMotion Hosting Bewertung - wir fühlen uns bei diesem Service sehr gut aufgehoben.
Nachdem wir nun die häufigsten Schwachstellen identifiziert haben, werfen wir einen Blick auf die Sicherheitsaspekte.
Über Schwachstellen gehackt
Es gibt mehrere Arten von Sicherheitslücken für WordPressWir werden über die häufigsten sprechen:
Schwache Benutzername/Passwort-Kombinationen
Wir müssen Ihnen eigentlich nicht mehr erklären, wie wichtig ein sicheres Passwort ist. Seit Version 3.0 legt WordPress selbst mehr Wert darauf, Benutzer zur Verwendung eines starken Passworts zu zwingen. Beispielsweise gibt es im Admin-Dashboard eine integrierte Funktion zur Erkennung der Passwortstärke.
Als Faustregel gilt: Verwenden Sie niemals einen vorhersehbaren Benutzernamen (wie etwa „admin“) und immer sichere Passwörter. Diese erschweren Hackern den Zugriff auf Ihre Website.
Fehler und Schwachstellen in Themes/Plugins
Obwohl es eine bewährte Methode ist, bekannte Themen und Plugins zu verwenden, können beliebte Produkte manchmal eine versteckte Sicherheitslücke Auch. Wenn das passiert, werden Sie wahrscheinlich in beliebten IT-Newsblogs und anderen Quellen mit WordPress-Sicherheitsinformationen davon erfahren.
Sie sind jedoch wahrscheinlich sicherer, wenn Sie nur vertrauenswürdige Themes oder Plugins verwenden – denn so können Sie schnell auf eine aktualisierte Version aktualisieren. Überprüfen Sie Bewertungen, Rating, Download-Anzahl usw., um die Zuverlässigkeit zu beurteilen.
Und niemals Verwenden Sie niemals raubkopierte oder ungültige Themes oder Plugins. Es ist bekannt, dass die meisten davon schädlichen Code enthalten, der eine Hintertür in Ihre Website öffnet. Dies ist im wahrsten Sinne des Wortes eine Möglichkeit, die volle Fernsteuerung Ihrer Website zu übernehmen.
Wenn Sie ein gecracktes, raubkopiertes oder ungültiges Theme oder Plugin verwenden, ist Ihre Website tatsächlich bereits gehackt. Sie verwenden dann eine Website, die plötzlich seltsame Dinge tut, wie z. B. die Anzeige fragwürdiger Links, die Verbreitung von Malware oder sogar die Teilnahme an DDoS-Angriffen.
Was Sie für kostenlos halten, kostet Sie viel mehr als Sie erwarten.
WP-Kern, Designs oder Plugins werden nicht aktualisiert
Die Verwendung veralteter Versionen des WordPress-Kerns, der Themes oder Plugins ist ein weiterer Hauptgrund für Sicherheitslücken, die zu gehackten Websites führen können. Die meisten Updates enthalten Code, der die Sicherheit und Leistung Ihrer Website verbessert. Daher ist es notwendig, Ihre Website, Themes und Plugins zu aktualisieren, sobald sie verfügbar sind. Führen Sie vor der Aktualisierung unbedingt ein vollständiges Backup Ihrer Website durch.
Was tun, wenn Ihr WordPress gehackt wird?
Auch wenn Sie Schritte unternommen haben, um die Risiken zu mindern, könnten Sie dennoch Opfer eines WordPress-Hacking-Angriffs geworden sein.
Keine Panik, befolgen Sie die unten beschriebenen Schritte.
1. Identifizieren Sie die Art des Hacks
Die Lösung zur Wiederherstellung Ihrer Website hängt von der Art des WordPress-Hacks ab. Der erste Schritt besteht darin, den Typ zu definieren.
Hier sind die Fragen, die Sie dazu stellen sollten:
- Können Sie auf den Admin-Bereich zugreifen?
- Wird Ihre Site auf eine andere Site umgeleitet?
- Gibt es auf Ihrer Site unbekannte Links?
- Warnt Google die Besucher vor Ihrer Site?
- Hat Ihr Hosting-Anbieter Sie darüber informiert, dass Ihre Site verdächtig aussieht?
- Zeigt Ihre Site unbekannte Anzeigen in der Kopf- und Fußzeile oder in anderen Abschnitten?
- Werden unerwünschte Popups angezeigt?
- Gibt es einen unerwarteten Anstieg der Bandbreitennutzung?
Gehen Sie die Fragen einzeln durch und versuchen Sie, die Antworten darauf zu finden. So finden Sie die besten Optionen, um die Kontrolle über Ihre gehackte WordPress-Site zurückzuerlangen.
2. Versuchen Sie die Wiederherstellung aus dem Backup
Wenn Sie die bewährten Methoden befolgen, sollten Sie täglich, wöchentlich oder monatlich Backups Ihrer Website erstellen. Die Backup-Häufigkeit hängt davon ab, wie oft Sie Beiträge veröffentlichen oder Änderungen an Ihrer Website vornehmen.
Wenn Sie regelmäßig Backups erstellen, ist die Wiederherstellung Ihrer gehackten WordPress-Site so einfach wie die Wiederherstellung des neuesten Backups. Wenn Sie einen automatischen Backup-Zeitplan eingerichtet haben, suchen Sie das letzte Backup vor dem Hack Ihrer Site und stellen Sie diese Version wieder her.
Sie müssen dann sicherstellen, dass Sie alle Plugins, Designs oder alles, was nicht aktualisiert wurde, aktualisieren.
Was passiert, wenn Sie keine Sicherungskopien Ihrer Website erstellt haben? Bedeutet das, dass Ihre Website für immer verloren ist?
Nein, eigentlich nicht.
Es gibt auch andere Möglichkeiten. Die meisten renommierten Hosting-Anbieter erstellen regelmäßig Backups der Websites ihrer Kunden. Fragen Sie Ihren Hosting-Anbieter, ob er ein Backup erstellt. Falls ja, können Sie ihn bitten, Ihre Website aus dem letzten stabilen Backup wiederherzustellen.
Wenn kein Backup vorhanden ist, müssen Sie Ihre gehackte WordPress-Site mit dem unten gezeigten Verfahren bereinigen.
3. Bitten Sie Ihren Hosting-Anbieter um Hilfe
Mehr als 40 % der gehackten Websites wiesen Sicherheitslücken auf der Hosting-Plattform auf. Wenn Ihr WordPress gehackt wird, kann es daher sinnvoll sein, Ihren Hosting-Anbieter um Hilfe bei der Wiederherstellung Ihrer Website zu bitten.
Jeder zuverlässige Webhosting-Anbieter sollte Ihnen in solchen Fällen gerne helfen. Er beschäftigt Experten, die sich täglich mit solchen Situationen auseinandersetzen. Sie sind mit der Hosting-Umgebung bestens vertraut und verfügen über erweiterte Website-Scan-Tools.
Daher können sie Ihnen bei der Wiederherstellung der gängigsten Website-Hacking-Angriffe helfen. Wenn der Hack vom Server ausging, kann Ihr Hosting-Unternehmen Ihnen helfen, die Website wiederherzustellen.
4. Suchen Sie nach Malware
In vielen Fällen verschaffen sich Hacker über Hintertüren Zugriff auf Ihre Website. Hintertüren schaffen unbefugte Zugangspunkte zu Ihrer Website. Mithilfe von Hintertüren können Hacker ohne Anmeldeinformationen auf Ihre Website zugreifen und bleiben praktisch unentdeckt.
Hier sind einige häufige Standorte der Hintertüren, die Sie überprüfen müssen, wenn Ihre Website gehackt wurde –
- ThemenDie meisten Hacker platzieren die Hintertür bevorzugt in einem Ihrer inaktiven Themes. Dadurch haben sie weiterhin Zugriff auf Ihre Website, selbst wenn Sie diese regelmäßig aktualisieren. Deshalb ist es wichtig, alle inaktiven Themes zu löschen.
- PluginsDer Plugin-Ordner ist ein weiterer potenzieller Ort, an dem sich Schadcode verstecken kann. Dafür gibt es mehrere Gründe. Erstens denken die meisten Leute nie daran, die Plugin-Dateien zu überprüfen. Sie aktualisieren die Plugins auch lieber nicht, solange sie funktionieren. Darüber hinaus gibt es einige schlecht programmierte Plugins, die ausgenutzt werden könnten, um unbefugten Zugriff auf jede WordPress-Website zu erlangen.
- Upload-Ordner: In den meisten Fällen müssen Sie den Upload-Ordner nicht überprüfen, da dieser nur die hochgeladenen Dateien enthält. Manche Hacker bevorzugen diesen Ordner jedoch, da sie die schädliche Datei dort problemlos zwischen Hunderten oder Tausenden von Dateien in verschiedenen Ordnern verstecken können. Da der Ordner beschreibbar ist, erfüllt er auch seinen Zweck.
- Inklusive Ordner: Dies ist ein weiterer Ordner, der von den meisten Benutzern oft ignoriert wird. Infolgedessen platzieren Hacker die Hintertür in diesem Ordner und erhalten vollständigen Zugriff auf Ihre Site.
- wp-config.php-Datei: In dieser Datei versteckt sich häufig Schadcode. Da die Datei jedoch sehr bekannt ist, vermeiden erfahrene Hacker ihre Verwendung.
Sie möchten sich nicht mit bösartigen Skripten beschäftigen? Versuchen Sie iThemes security und überlassen Sie ihm die Drecksarbeit.
Die einzige Möglichkeit, die Hintertür zu entfernen, besteht darin, den Schadcode von der Website zu entfernen. Es gibt verschiedene Plugins, mit denen Sie Ihre Website auf Schadcode scannen können.
Darunter sind die folgenden Premium-Plugins eine gute Wahl: iThemes Security, Sucuri Sicherheit, WPMUDev Defender sind gute Möglichkeiten.
Die folgenden Optionen sind ebenfalls gut geeignet. Beachten Sie jedoch, dass beide zum Zeitpunkt der Aktualisierung dieses Artikels seit über drei Jahren nicht mehr aktualisiert wurden. Das bedeutet, dass sie möglicherweise nicht mehr so zuverlässig sind wie früher: Exploit-Scanner und Theme-Authentizitätsprüfung.
Mit diesen kostenlosen Plugins können Sie unerwünschte Änderungen an den Themes, Plugins und Kerndateien Ihrer Website erkennen. Wenn Sie Ihre Website jedoch ernsthaft optimieren möchten, empfehlen wir Ihnen dringend, sich für eines der Premiumprodukte zu entscheiden.
Sie sind im Allgemeinen aktueller und zuverlässiger als alle kostenlosen Produkte.
Wenn die Plugins verdächtige Dateien finden, erstellen Sie ein vollständiges Backup und löschen Sie die Datei oder prüfen Sie, welche Vorgehensweise das Plugin vorschlägt. Achten Sie beim Erstellen eines Backups darauf, dass es sich um ein Backup einer gehackten Website handelt.
Und wenn ein Theme oder Plugin kompromittiert ist, entfernen Sie es von Ihrer Website. Laden Sie die neueste Version herunter und laden Sie sie auf Ihre Website hoch.
Falls die Änderung in einer der Kerndateien erkannt wird, sollten Sie eine Neuinstallation von WordPress herunterladen und ein manuelles Update durchführen (d. h. alle Dateien mit den neuen überschreiben).
Alternativ können Sie eine neue Kopie Ihrer aktuellen WordPress-Version herunterladen und nur die beschädigten Dateien ersetzen.
5. Überprüfen Sie WordPress-Benutzer
Ihre Website wird wahrscheinlich von mehreren Benutzern genutzt. Wie Sie bereits wissen, verfügen diese je nach Benutzerrolle über unterschiedliche Berechtigungen.
Manchmal erstellen WordPress-Hacker einen neuen Benutzer mit den erforderlichen Berechtigungen, sodass sie sich bei Ihrer Site anmelden können, auch wenn sie die Hintertür verlieren.
Oder sie verwenden tatsächlich einen Benutzernamen mit einem schwachen Passwort, um Ihre Website zu hacken.
Um dies zu verhindern, gehen Sie im Dashboard zu Einstellungen > Benutzer. Überprüfen Sie alle Benutzer und ihre Rollen. Setzen Sie außerdem ALLE Passwörter ALLER Benutzer zurück.
Stellen Sie vor allem sicher, dass keinem nicht autorisierten Konto die Administratorrolle zugewiesen ist. Löschen Sie zweifelhafte Konten umgehend. Wenn es sich um gültige Benutzer handelt, können Sie die Konten später jederzeit neu erstellen.
Hier sind einige weitere bewährte Vorgehensweisen, die Sie befolgen sollten:
- Verwenden Sie auf Ihrer Website niemals den Benutzernamen „admin“. Falls Sie diesen Benutzernamen bereits haben, ändern Sie ihn so schnell wie möglich. Vermeiden Sie außerdem die Verwendung allgemeiner Benutzernamen, die Hacker erraten können.
- Verwenden Sie die Zwei-Faktor-Authentifizierung, um unbefugten Zugriff auf Ihre Website zu verhindern.
- Integrieren Sie CAPTCHA oder reCaptcha in Ihre Anmeldeformulare. Integrieren Sie CAPTCHA oder reCaptcha in Ihre Anmeldeformulare.Dies ist eine wirksame Methode, um zu verhindern, dass Bots oder automatisierte Skripte auf Ihre Website zugreifen.
6. Ändern Sie die geheimen Schlüssel
Geheimschlüssel sind eine praktische Sicherheitsfunktion von WordPress.
Diese Schlüssel enthalten zufällig generierten Text, der zur Verschlüsselung der in Cookies gespeicherten Informationen beiträgt. Überprüfen Sie anhand des folgenden Verfahrens, ob diese Schlüssel auf Ihrer Website vorhanden sind. Falls nicht, können Sie sie erstellen.
Auch wenn Sie sie bereits haben: Wenn Ihre Site gehackt wurde, ist es jetzt ein guter Zeitpunkt, sie zu ändern.
Generieren Sie zunächst einen Satz geheimer Schlüssel mit diesen Link. Der Zufallscodegenerator erstellt bei jedem Aktualisieren der Seite einen neuen Satz eindeutiger Codes.
Gehen Sie nun zu Ihrer Website und öffnen Sie die wp-config.php Datei. Gehen Sie zu Zeile 49 und Sie sehen ungefähr Folgendes. Die Zeilennummer kann in Ihrer Datei variieren, aber Sie müssen den folgenden Abschnitt herausfinden:
Kopieren Sie den Wert aus den zuvor generierten Werten und fügen Sie ihn im obigen Link ein. Speichern Sie die Datei. Dadurch werden alle Cookies und angemeldeten Benutzer zurückgesetzt. Wenn Sie also im Administratorbereich angemeldet waren, werden Sie aufgefordert, sich erneut anzumelden.
7. Ändern Sie ALLE Ihre Passwörter
Dies ist ein häufiger, aber wichtiger Schritt bei der Wiederherstellung einer gehackten WordPress-Website: Setzen Sie alle Ihre Passwörter zurück. Zu den gängigen Passwörtern gehören WP-Admin, cPanel, MySQL, FTP usw.
Setzen Sie alle diese Passwörter zusammen mit den Passwörtern aller Drittanbieterdienste zurück, die Sie auf der Website verwenden.
So ändern Sie die Passwörter:
- Um das Passwort zu ändern, gehen Sie im Dashboard zu „Benutzer“ > „Ihr Profil“. Das Feld für das neue Passwort finden Sie im Bereich „Kontoverwaltung“.
- Um die cPanel-, MySQL- und FTP-Passwörter zu ändern, melden Sie sich im Control Panel Ihres Hosting-Kontos an und folgen Sie den verfügbaren Optionen. Bei Fragen wenden Sie sich bitte an den Hosting-Support.
Achten Sie beim Zurücksetzen oder Ändern der Passwörter darauf, dass Sie nun ein sicheres Passwort verwenden. Sie sollten auch Ihre bestehenden Benutzer dazu zwingen, die Passwörter ihrer Konten zurückzusetzen.
Sie können das Plugin verwenden Notfall-Passwortzurücksetzung um eine Kennwortzurücksetzung für alle Benutzer zu erzwingen.
Zukünftige Schritte zur Vermeidung von Hackerangriffen
Die oben genannten Schritte helfen Ihnen zwar, Ihre Website wiederherzustellen, Sie sollten dies jedoch als Warnsignal betrachten. Hier sind einige wichtige Schritte, die Sie unternehmen sollten, um sicherzustellen, dass Ihre Website auch in Zukunft vor weiteren WordPress-Hackversuchen geschützt bleibt:
Erstellen Sie einen Sicherungszeitplan
Wie Sie jetzt wissen, ist die regelmäßige Sicherung Ihrer Website unerlässlich. Backups können Sie im Falle eines Hackerangriffs retten. Mehrere Backups sind sogar noch besser, da Sie so auf einen Schnappschuss Ihrer Website vor dem Hackerangriff zurückgreifen können.
Glücklicherweise müssen Sie dies nicht manuell tun. Es gibt zahlreiche kostenlose und Premium-Plugins, die Ihnen helfen, regelmäßige Backups Ihrer Website zu erstellen. UpdraftPlus ist ein beliebtes Backup-Plugin, während BackupBuddy und Jetpack einige sehr empfehlenswerte Premium-Backup-Lösungen sind.
Alles aktualisieren
Wir müssen wohl nicht betonen, wie wichtig es ist, Ihre Website stets aktuell zu halten. Aktualisieren Sie den WordPress-Kern, aktive Themes, Plugins und alles andere, was aktualisiert werden kann. Löschen Sie gleichzeitig auch nicht verwendete Themes und Plugins.
Einrichten eines Sicherheits-Plugins
Wenn Sie die Sicherheit Ihrer Website erhöhen möchten, sollten Sie ein Härtungs-Plugin wie iThemes Security, Wordfence Security oder Defender. Diese Plugins helfen Ihnen, eine Firewall zu erstellen, um bösartigen Datenverkehr zu verhindern, Angreifer zu blockieren und andere Bedrohungen zu bekämpfen. Sie könnten auch die Installation eines vollständige Web Application Firewall wie die Sucuri-Firewall.
Erwägen Sie ein Managed Hosting
Wenn Sie sich für ein Managed Hosting entscheiden, kümmert sich dieser um Sicherheit, Wartung, Leistung und andere Aspekte Ihrer Website. Das bedeutet, dass Sie sich um all diese Schritte nicht kümmern müssen. Zu den zuverlässigen Managed-Hosting-Anbietern gehören InMotion, WPEngine, und Kinsta.
Limit Login Attempts
Standardmäßig erlaubt WordPress jedem, unbegrenzt Passwörter für jedes Konto auszuprobieren. Dies führt zu Brute-Force-Angriffen und möglichen Sicherheitslücken auf der Website. Glücklicherweise gibt es einige kostenlose Plugins wie Einloggen LockDown kombiniert mit einem nachhaltigen Materialprofil. Loginizer-Sicherheit um Ihnen zu helfen, die Anmeldeversuche zu begrenzen.
PHP-Ausführung deaktivieren
In den meisten Fällen erstellen Hacker Backdoors, indem sie PHP-Dateien erstellen, die wie Core-Dateien aussehen. Sie können diese Bedrohungen verhindern, indem Sie die PHP-Ausführung in den entsprechenden Verzeichnissen, wie z. B. den Uploads und Includes, deaktivieren. Hier ist ein Schritt-für-Schritt-Anleitung das zu tun.
Zusätzliches Passwort für den Administrator hinzufügen
Ein weiterer praktischer Trick, um Ihre Website zu schützen, ist die Verwendung eines zusätzlichen Passworts für den Zugriff auf den Admin-Bereich. Dies ist in cPanel ganz einfach möglich. Folgen Sie Dieses Tutorial um das Passwort in Ihrem WP-Admin hinzuzufügen.
Bevorzugen Sie Videos? Sehen Sie sich dieses Video von Sucuri an
Nehmen Sie sich etwas Zeit, um sich das folgende Video anzusehen. Es hilft Ihnen, gehackte WordPress-Websites zu identifizieren und deren Probleme zu beheben. Wir haben Sucuri in diesem Artikel bereits mehrfach erwähnt. Dieses Video von Sucuri bietet einen umfassenden Überblick über gehackte Websites.
https://www.youtube.com/watch?v=a6UwUU-3B3w
Schlusswort: So reparieren Sie Ihre gehackte Website
Opfer eines WordPress-Hacks zu werden, ist eine schreckliche Erfahrung, insbesondere wenn es das erste Mal ist. Nach der Lektüre dieses Artikels sollten Sie jedoch wissen, welche Schritte notwendig sind, um Ihre gehackte Website wiederherzustellen.
Sie können diesen Artikel gerne als Lesezeichen speichern und weitergeben, damit auch andere über die Schritte informiert sind.
Fazit
Wenn Sie verwirrt sind, entscheiden Sie sich einfach für eine Managed-Hosting-Lösung und überlassen Sie die Arbeit jemand anderem.
Dies ist erst der Anfang. Mit der Weiterentwicklung des Internets entwickeln sich auch die Hacker weiter und versuchen, Ihre Website zu infiltrieren und Sie zu vertreiben. Bleiben Sie immer einen Schritt voraus, indem Sie sich über Ihr benutzerfreundliches CMS informieren, Updates und die Sicherheit Ihres WordPress-Systems regelmäßig aktualisieren – so verhindern Sie Website-Hacking..
Bleib sicher.
Brauchen Sie Hilfe beim Aufräumen Ihrer Website? Probieren Sie diese erstklassigen und günstigen Gigs auf Fiverr!
Hier klicken Experten zu finden WordPress-Sicherheit.
Hier klicken ein erstellen vollständige WordPress-Website.