7 Möglichkeiten, um gehackte WordPress-Sites zu reparieren + 17 Sicherheitsschritte zum Schutz

WordPress gehackt

Möglicherweise gibt es viele Content-Management-Systeme, aber keines von ihnen kann WordPress in den Schatten stellen. Mit 51.6+ Millionen Standorte per März 2020 (und von Tag zu Tag größer) Es gibt Ihnen eine Vorstellung davon, wie überlegen und beliebt dieses System ist. WordPress-Sicherheit und umsetzbare Tipps zur Verhinderung von WordPress-Hacking - das CMS hat noch einen weiten Weg vor sich, wenn es um Sicherheit geht.

Wir möchten Ihnen jedoch dabei helfen, Ihre Website von Anfang an zu schützen - Vorbeugen ist besser als Heilen. Stellen Sie daher sicher, dass Sie diese Tipps in einem unserer vielen WordPress-Tutorials - HEUTE - befolgen.

Inhalt[Anzahl Artikel]

Diese Millionen von Websites sind jedoch auch ernsthaften Angriffen von Script-Kiddies ausgesetzt, die nichts Besseres mit ihrer Zeit zu tun haben, als das Elend weit und breit zu verbreiten, und anderen mit schändlicheren und bösartigeren Gründen, den dunklen Akteuren des Webs: Hackern.

Es ist durchaus üblich, eines Morgens aufzuwachen und zu sehen, dass Ihre einst so schöne Website voller Links und Texte über Kräutervergrößerungspillen oder andere zwielichtige Arzneimittel oder andere Ursachen im Nahen Osten poetisch wird. 

Inkohärentes Schreien ist wahrscheinlich die erste Maßnahme, die Sie ergreifen werden, wenn auf Ihrer Website ganzseitige Anzeigen, Links und Weiterleitungen zu zwielichtigeren Aspekten von Pharmaunternehmen gehostet werden.

Wenn Sie dieses Szenario erschreckt, ist es gerechtfertigt, sich so zu fühlen.

Täglich werden 90,000 Websites gehackt

Quelle: HostingFacts

Jeder möchte WordPress-Hacking verhindern. Das Wiederherstellen und Wiederherstellen einer Website kann einige Zeit und Mühe in Anspruch nehmen.

Härten Sie Ihre Website mit diesen bewährten WordPress-Sicherheitsmethoden ab, um zu verhindern, dass Ihnen dieses schreckliche Schicksal widerfährt! Und ja, es wird einige Zeit und kontinuierliche Anstrengungen dauern, um Hacking-Angriffe zu vermeiden.

Sie machen sich nicht gerne mit Code die Hände schmutzig? Versuchen iThemes security und lass es die Drecksarbeit machen. Klicken Sie auf diesen Link, um bis zu 25% Rabatt zu erhalten September 2021.

Wenn Sie nicht viele Dateien durcheinander bringen, verschiedene Plugins aktivieren und viele andere Dinge nicht wirklich verstehen möchten, haben wir auch den einfachen Ausweg für Sie. iThemes Security ist das beste WP-Sicherheits-Plugin, um Ihre Website zu sichern und zu schützen.

Sie interessieren sich noch nicht für WP-Plugins? Weiter lesen!

Senden Sie mir die WordPress-Sicherheitscheckliste

Wir werden einige Code-Arbeiten durchführen, aber zuerst wollen wir uns mit den Grundlagen von Website-Sicherheitsproblemen befassen. Beginnen mit:

17 WordPress-Sicherheitsschritte

1. Das Verhindern von WordPress-Hacking beginnt mit Ihrer Workstation

Dies ist der erste und am leichtesten zu übersehende: Ihr Computer.

Sie sollten Ihr System immer frei von Malware und Viren halten, insbesondere wenn Sie damit auf das Internet zugreifen (was Sie natürlich sind). Der Schutz von Arbeitsstationen ist noch wichtiger, wenn Sie Transaktionen durchführen und eine Website haben, weil Alles, was Sie brauchen, ist ein Keylogger, um die härtesten Websites auszuschalten.

Ein Keylogger liest alle Ihre Benutzernamen und Passwörter und sendet sie an Hacker - was natürlich eine ganze Reihe von Problemen und Problemen für Ihre Website verursachen wird.

Bleib sicher und Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Software und Ihre Browser auf Ihrem Computer. Verwenden Sie einen guten Antivirenservice. Halten Sie Ausschau nach Sicherheitslücken in Ihrem System und entfernen Sie diese, bevor es zu massiven Schmerzen kommt. Wenn sich Ihr Computer merkwürdig verhält und Anzeigen und andere zweifelhafte Dinge auftaucht, sollten Sie dies überprüfen, bevor Sie auf Ihre Website zugreifen 

2. Installieren Sie alle WordPress-Updates

Sichern Sie WordPress durch seine Updates

Jedes Mal, wenn eine neue Version von WordPress veröffentlicht wird, geschieht dies zu großer Fanfare und inmitten einer Welle der Aufregung.

Die meisten von uns sind aufgeregt, weil, hey, Neue Eigenschaften! Hacker sind aufgeregt, weil sie sofort gehen, um das zu überprüfen Versionshinweise zu Sicherheit und Wartung. Leider jeder WordPress Das Update bringt die Aufdeckung einer Reihe von Sicherheitslücken in WordPress in älteren Versionen mit sich.

Mit jedem neuen WordPress-Update erhalten wir zusätzliche Funktionen und Upgrades sowie eine Seite, auf der die Sicherheitslücken in der vorherigen Version und deren Korrekturen aufgeführt sind.

Diese Seite ist praktisch ein Spickzettel für Hacker überall. Sollten Sie nicht rechtzeitig aktualisieren, werden diese Fehler ausgenutzt, um Websites älterer Versionen zu übernehmen (und Ihre Website könnte zu diesen gehören, wenn Sie nicht aktualisieren).

Und wenn Ihre Website gehackt wird, ist es leider zu spät, um Entschuldigungen dafür zu finden, dass Sie nicht auf die neueste Version aktualisiert haben.

Geben Sie Hackern also keine Chance, sich zu winden. Installieren Sie die neueste Version von WordPress, sobald sie veröffentlicht ist.

Wenn Sie befürchten, dass Ihre Website dadurch durcheinander gebracht wird, stellen Sie vor dem Update sicher, dass Sie über ein funktionierendes Backup verfügen. Die aktualisierte Version behebt alle Sicherheitsprobleme, die in der vorherigen Version aufgetreten sind - und trägt wesentlich dazu bei, WordPress-Hacks zu verhindern.

Möchten Sie, dass Ihre Website automatisch aktualisiert wird? Schauen Sie sich InMotion VPS für Ihr Hosting an - Sie verfügen über hervorragende WordPress-spezifische Funktionen, sodass Sie Ihre Website automatisch aktualisieren können, sobald sie veröffentlicht werden. Wir sind auf einem InMotion VPS und wir lieben es!

3. Stellen Sie sicher, dass Ihr Hosting-Server sicher ist

 

Wussten Sie, dass bis 2019 ungefähr 54% der Websites immer noch PHP 5.x verwenden - eine Version von PHP, die nicht mehr funktioniert und daher keine Sicherheitsupdates erhält. Dies bedeutet, dass alle Websites, die unter PHP 5.4 ausgeführt werden, durch Sicherheitslücken in der Serversoftware für Hacks anfällig sind. (Quelle Sucuri Hacked Website Report 2019)

Sogar die PHP-Version 7.1 ist ab dem 1. Dezember 2019 nicht mehr gültig. Alte Softwareversionen wie diese werden nicht mehr unterstützt und weisen Schwachstellen auf, die nicht gepatcht wurden!

Diese alten Softwareversionen sind anfällig für Hacks.

Wenn Sie wissen, dass Ihre Website auf PHP 5 oder möglicherweise PHP bis 7.1 gehostet wird, bitten Sie Ihren Host zu prüfen, ob Ihre Website auf eine neuere Version von PHP verschoben werden kann.

Nicht nur das, sondern auch die Die meisten Websites / Blogs werden auf gemeinsam genutzten Servern gehostet. Wenn eine Site auf einem gemeinsam genutzten Server infiziert wird, Jeder andere Standort ist gefährdet, betrachtenless wie sicher die Site/der Blog ansonsten ist.

Sie werden ohne eigenes Verschulden gehackt.

Gedankenübung: Waren Sie schon einmal in einer Suppenküche? Können Sie sich eine vorstellen und sich vorstellen, was dort passiert? Wenn Sie einer von denen sind, die das Glück haben, dieser Travestie entkommen zu sein, gebe ich Ihnen einen Vorgeschmack (Wortspiel beabsichtigt). Denken Sie an alles, was seit der Gründung der Küche passiert ist, an Verschüttungen und Brüchen, an Undichtigkeiten und Spritzern. In einem Suppenküchen-Server sind diese Dinge nie weg. Sie werden ein Teil der Küche.

Stellen Sie sich nun vor, dass auf Ihrer Website dasselbe passiert. Ein Hosting-Server eines Unternehmens, das die Wartung überspringt und nicht auf die neuesten Softwareversionen aktualisiert, hat sich bereits in eine Suppenküche verwandelt.

Wenn Sie oder Ihr Webmaster mehrere Websites zusammen hosten, häufen sich nicht verwendete Dateien, Daten, Websites und mehr, bis sie eine Bedrohung für aktuelle Websites darstellen.

So wählen Sie eine zuverlässige und Verbindung Gastgeber.

VPS und Managed Hosting minimieren das Risiko von Sicherheitsverletzungen und eignen sich hervorragend für E-Commerce-Websites. Wenn Shared Hosting für Sie ausreicht, überprüfen Sie die Sicherheit, bevor Sie Speicherplatz für sie abonnieren.

Stellen Sie sicher, dass die Server regelmäßig gewartet werden und dass Sie auch auf die neuesten Softwareversionen aktualisieren. Dies ist ein weiterer Schritt, der auf Ihrer Prioritätenliste stehen sollte, wenn Sie WordPress-Hacking verhindern möchten.

4. Verwenden Sie Secure Transmissions, um das Abfangen von Kennwörtern und Daten zu verhindern

Über eine ungesicherte Verbindung können Daten abgefangen und gehackt werden, bevor Sie "unverschlüsselt" sagen können.

Aus diesem Grund sollten Sie sich auf sichere Netzwerkverbindungen und Verschlüsselungen konzentrieren: serverseitig, clientseitig und auf allen Seiten. Suchen Sie einen Host, der die SFTP / SSH-Verschlüsselung ermöglicht, um Ihre Daten und Informationen vor böswilligen Abhörversuchen zu schützen.

Ihre Website sollte auch eine haben sicheres Zertifikat installiert und so eingerichtet, dass Ihre Anmeldeinformationen beim Anmelden sicher übertragen werden.

5. Verhindern Sie das Hacken durch komplexe Passwörter

Komplexe Passwörter für mehr Sicherheit

Wesentlicher Tipp: Erstellen Sie ein sicheres Passwort und verwenden Sie NIEMALS Passwörter wieder

Unser nächster Schritt zum Schutz von WordPress vor Hackern befasst sich mit einem viel klischeehaften Thema: Passwörtern.

Eine erstaunliche Anzahl von Menschen denkt, dass lange, komplizierte Passwörter überbewertet sind und etwas bevorzugen, das kürzer und leichter zu merken ist. eine Tatsache, die Hacker kennen und ausnutzen.

Es gibt keine andere Möglichkeit, dies auszudrücken: Ein gutes, sicheres Passwort, das aus Buchstaben, Zahlen und anderen gültigen Zeichen besteht wird tatsächlich einen langen Weg gehen, um Ihr Blog zu schützen.

Ein Brute-Force-Hack-Angriff kann mit einem einfachen Wort (z. B. einem Wörterbuch-Schlüsselwort oder einem einfachen allgemeinen Passwort) an einem kurzen Passwort arbeiten, ja. Aber je mehr Zeichen Ihr Passwort enthält, desto länger dauert es, es zu knacken.

Das Knacken langer komplexer Passwörter dauert exponentiell länger.

Was Sie versuchen, ist, die bekannten Muster zu brechen, um das Hacken schwierig, wenn nicht unmöglich zu machen.

Alle persönlichen Daten oder darauf basierende Passwörter (wie Geburtstage oder Namen von Personen) sind leicht zu knacken. Verwenden Sie keine einzelnen Wörter (beachten Sieless der Länge), nur Buchstaben- oder nur Zahlen-Passwörter.

Erstellen Sie ein Passwort, das leicht zu merken, aber schwer zu erraten ist, um WordPress-Hacking zu verhindern. Wenn es in Ihrem Blog um Sicherheit geht, machen Sie es so etwas wie pressmyWORDSand5ecurit! $ 

Senden Sie mir die WordPress-Sicherheitscheckliste  

6. Halten Sie Ihre Datenbanken sicher und isoliert

Ihre Datenbank weiß alles, was jemals auf Ihrer Website passiert ist. Es ist eine wahre Informationsquelle und das macht es für Hacker unwiderstehlich.

Automatisierte Codes für SQL-Injektionen können ausgeführt werden, um sich relativ einfach in Ihre Website-Datenbank zu hacken. Wenn Sie mehrere Websites / Blogs von einem einzigen Server (und einer Datenbank) aus ausführen, sind alle Ihre Websites gefährdet.

Wie die Code-Ressource es ausdrückt, Es ist am besten, einzelne Datenbanken für jedes Blog / jede Website zu verwenden und sie von separaten Benutzern verwalten zu lassen. In einfachen Worten, jede Website, die Sie hosten, sollte eine eigene Datenbank und einen eigenen Datenbankbenutzer haben.

Nur dieser Datenbankbenutzer sollte Zugriff auf die Datenbank haben.

Sie können uns auch Widerrufen Sie alle Datenbankberechtigungen außer Daten gelesen . Daten schreiben von Benutzern, die nur mit dem Posten / Hochladen von Daten und der Installation von Plugins arbeiten.

Es wird jedoch aufgrund von nicht empfohlen Schemaänderung Berechtigungen für wichtige Updates erforderlich.

Sie sollten Ihre Datenbank auch umbenennen (indem Sie ihr Präfix ändern), um die Hacker, die ihre Angriffe darauf abzielen, fehlzuleiten. Dies verhindert zwar nicht das Hacken von WordPress an sich, stellt jedoch sicher, dass die Hacker nicht zur nächsten WordPress-Installation springen können, wenn Datenbanken kompromittiert werden.

7. Blenden Sie den Login- und Administratornamen Ihrer Website aus

Der nächste Abschnitt zum Sichern von WordPress vor Hackern betrifft den WordPress-Administrator.

Es ist praktisch, die Standardeinstellungen von WordPress unberührt zu lassen fragen für Ärger.

Es ist lächerlich einfach, den Administratornamen Ihrer Site zu finden, wenn Sie ihn nicht aktiv ausblenden.

Alles, was ein Hacker braucht, ist hinzuzufügen Autor = 1 Nach Ihrer URL und der Person / dem Mitglied, die / das auftaucht, ist höchstwahrscheinlich der Administrator. Stellen Sie sich vor, wie einfach es für die Hacker wäre, Brute Force anzuwenden, sobald sie den Benutzernamen des Administrators gefunden haben.

Wie können Sie Hacking verhindern, wenn Sie so viele Informationen verfügbar lassen, dass die Ausbeutung einfacher wird?

Lösung zur Abschreckung von WordPress-Hacks: Verstecken Sie alle Benutzernamen mit diesem Code in der Datei functions.php:

add_action ('template_redirect', 'bwp_template_redirect');
Funktion bwp_template_redirect ()
{
  if (is_author ())
  {
    wp_redirect (home_url ()); Ausfahrt;
  }
}

 

Ihre Anmeldeseite ist auch nicht nur für Sie leicht zugänglich. Wenn Sie einfach wp-admin oder wp-login.php nach Ihrer Homepage-URL hinzufügen, geben Sie den Benutzernamen ein, den wir von? Author = 1 gelernt haben. Alles, was übrig bleibt, ist ein bisschen brutales Erzwingen oder Raten, bis ein Passwort geknackt wird. 

Verwenden Sie die Technik "Sicherheit durch Dunkelheit" und ändern Sie die URL Ihrer Anmeldeseite, um die Arbeit der Hacker etwas zu erschweren.

Sicherheits-Plugins wie iThemes Security haben eine Einstellung zum Verbergen von Anmeldungen, die den einfachen Zugriff auf die WordPress-Anmeldung entfernt.

Backend-Login ausblenden

Wieder einmal wird dieser einfache Schritt einen großen Beitrag zur Verhinderung von WordPress-Hacking leisten.

Sie sind sich nicht sicher, ob Sie damit umgehen können?

Hilfe benötigen? Schaut mal rein iThemes Security Pro - ein Plugin und Ihre Website ist sicher. Garantiert. Klicken Sie auf die Links unten, um die Website zu besuchen.

8. Verhindern Sie das Hacken durch WordPress-Sicherheits-Plugins und -Tricks, um wp-admin zu schützen

 

Ihr wp-admin ist der wichtigste Teil Ihrer WordPress-Installation - derjenige mit der größten "Leistung".

Leider stehen die Anmeldeseite und das Administratorverzeichnis allen zur Verfügung, auch solchen mit böswilliger Absicht. Um es zu schützen und Hacking-Angriffe zu stoppen, müssen Sie nur ein bisschen härter arbeiten.

iThemes Security

Ein sicheres Passwort, ein anderes Administratorkonto (mit einem Benutzernamen, der alles andere als das ist 'Administrator'), und mit dem iThemes Security Plugin zum Umbenennen Ihrer Login-Links wird definitiv helfen, Hacking zu verhindern.

ithemes WordPress-Sicherheits-Plugin

Aus-Checken iThemes Security

Malcare

Sie können den Schutz des Administrators auch mit Website-Sicherheits-Plugins wie Malcare stärken.

Dieser 5-Sterne-Service ist einer, den wir vor kurzem entdeckt haben.

Sicherheits-Dashboard für Malcare-Websites

 

Malcare wird vom Team dahinter entwickelt Blogvault, das wir bereits verwendet haben und das wir als erstaunlich empfunden haben.

Das neueste Angebot bietet einen umfassenden Sicherheits- und Website-Management-Service. Es bietet Mitarbeiter wie das Scannen von Dateien nach wichtigen Änderungen (zum Erkennen von Hacks), die Notfallreinigung, eine integrierte Firewall zum Stoppen von böswilligem Datenverkehr, das Aktualisieren von Themen und Plugins direkt über das Dashboard und Backups mit einem Klick.

Das Beste daran ist, dass Sie ALLE Ihre Websites von einem einzigen Dashboard aus verwalten können, ohne sich bei jedem einzelnen einzeln anmelden zu müssen.

Schauen Sie sich Malcare an

Limit Login Attempts Reloaded

Mit ein bisschen Code und unbegrenzten Anmeldeversuchen wird jeder Hacker irgendwann einbrechen.

Sie können die Anzahl der Anmeldeversuche einschränken, die ein einzelner Benutzer auf der Administrator-Anmeldeseite ausführen darf Limit Login Attempts Plugin neu geladen. Dadurch wird die Anzahl der Anmeldeversuche für jede IP-Adresse begrenzt, einschließlich Ihrer eigenen (mit Authentifizierungscookies).

Anmeldeversuch beim erneuten Laden des Screenshots einschränken

Really Simple SSL

Nutzen Sie die Leistung von privatem SSL, um die Anmeldung, den Bereich, die Beiträge und mehr des Administrators zu sichern. Verwendung der Really Simple SSL Plugin Aktiviert die Verschlüsselung Ihrer Anmeldesitzungen, sodass das Kennwort nur schwer abzufangen ist.

Sie benötigen ein SSL-Zertifikat und müssen es auf Ihrem Hosting-Server installieren. InMotion bietet kostenlose SSL-Zertifikate für seine Hosting-Pläne an. Wenn Sie dies noch nicht getan haben, ist es möglicherweise an der Zeit, zu InMotion zu wechseln, um auch Ihr SSL zu erhalten.

Sobald Sie mit Ihrem Hosting-Anbieter bestätigt haben, dass Sie Shared SSL haben, können Sie das Plugin aktivieren.

Wenn Sie lieber kein Plugin verwenden möchten, sondern nur SSL für die Anmeldung erzwingen möchten, fügen Sie diesen Code zur Datei wp-config.php hinzu:

define ('FORCE_SSL_ADMIN', true);

Acunetix Secure WordPress

Mit diesem Plugin ist im Allgemeinen eine hervorragende Sicherheitslösung, aber einige wichtige Funktionen machen sie noch besser.

Zunächst wird ein Website-Sicherheitsscan ausgeführt. Es wird auch besonders auf vorbeugende Maßnahmen geachtet, damit Sie tatsächlich verhindern, dass WordPress-Hacking stattfindet. Um den Administratorbereich zu schützen, werden Fehlerinformationen von der Anmeldeseite entfernt.

Das hört sich vielleicht nicht nach viel an, aber die Fehlermeldung hilft Hackern tatsächlich herauszufinden, ob sie etwas richtig gemacht haben. Das Entfernen der Nachricht (Hinweis) nimmt diesen Vorteil.

Wenn Sie Hacking vermeiden möchten, richten Sie mindestens einige dieser Plugins ein.

Top-Tipp: Der Rest des Artikels enthält Tipps zur erweiterten Website-Sicherheit

Der Rest der Tipps erfordert das Basteln an Ihrer WordPress-Installation, was ein gewisses Risiko mit sich bringt. Wenn Sie lieber nicht an Ihrer Installation herumspielen möchten, möchten Sie vielleicht Stellen Sie einen WordPress-Entwickler ein um Ihnen zu helfen.

9. So sichern Sie WP über wp-Includes

Lassen Sie uns das klarstellen: die wp-includes Ordner ist ein zentraler Bestandteil von WordPress. Es sollte auch von Ihnen in Ruhe gelassen werden. Und auf keinen Fall sollte es potenziellen Hackern zugänglich gemacht werden.

Um zu verhindern, dass böswillige Personen / Bots unerwünschte Skripte direkt an das Herz Ihrer Website senden, um Hacking-Angriffe zu verhindern.

Fügen Sie dies vorher hinzu #BEGINNEN Sie WordPress in Ihrer .htaccess-Datei:

# Blockieren Sie die Nur-Include-Dateien.

  RewriteEngine On
  RewriteBase /
  RewriteRule ^ wp-admin / enthält / - [F, L]
  RewriteRule! ^ Wp-enthält / - [S = 3]
  RewriteRule ^ wp-enthält / [^ /] + \. Php $ - [F, L]
  RewriteRule ^ wp-enthält / js / tinymce / langs /.+ \. Php - [F, L]
  RewriteRule ^ wp-enthält / theme-compatible / - [F, L]

# BEGIN WordPress

 

Beachten Sie, dass Sie müssen Lassen Sie die dritte RewriteRule weg Wenn Sie möchten, dass der Code auf Multisite funktioniert.

10. Schützen Sie Ihre wp-config für eine verbesserte Website-Sicherheit

Dies ist eines der Themen, die etwas umstritten sind. Nicht jeder ist damit einverstanden.

Unabhängig davon, ob Sie wp-config.php tatsächlich außerhalb des Stammordners verschieben oder nicht, lässt sich nicht leugnen, dass ein wenig Optimierung des Codes in dieser Datei dazu beitragen kann, Ihre Website zu härten und die Durchführung von WordPress-Hacks zu erschweren.

Sie sind sich nicht sicher, ob Sie mit all diesen technischen Dingen umgehen können? Es gibt einen Sicherheits-Plugin, um sie alle zu regieren

  • Beginnen mit Deaktivieren der Bearbeitung von PHP-Dateien über das DashboardHier konzentriert sich der Angreifer, nachdem er einen Zugangspunkt gehackt hat. Fügen Sie dies zu wp-config.php hinzu

define ('DISALLOW_FILE_EDIT', true);

  • $ table_prefix wird vor allen Datenbanktabellen platziert. Sie können SQL-Injection-basierte Angriffe verhindern, indem Sie den Wert vom Standardwert wp_ ändern. Seien Sie vorsichtig, wenn Sie dies tun. Sie müssen alle vorhandenen Tabellen in das neue Präfix umbenennen, das Sie festgelegt haben.

$ table_prefix = 'r235_';

  • Verschieben Sie das Verzeichnis wp-content von seiner Standardposition mit diesem

define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // example / blog / wp-content');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // example / blog / wp-content / plugins');

Nun, wenn du kein bist EntwicklerSie haben nicht viel Verwendung von Fehlerprotokollen. Sie können verhindern, dass sie folgendermaßen zugänglich sind:

error_reporting = 4339
display_errors = Aus
display_startup_errors = Aus
log_errors = Ein
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Ein
ignore_repeated_source = Aus
html_errors = Aus

 

11. Sichern Sie Ihre Website (nur für den Fall)

WordPress-Backup

Dies ist das Sicherheitsnetz. Ein Backup ist eines der ersten Dinge, die Sie benötigen, um Ihre Site wiederherzustellen, wenn Sie gehackt werden.

Sichern Sie Ihre Site mindestens so oft, wie Sie die Wartung ausführen oder aktualisieren. Es gibt keine Entschuldigung, in dieser Abteilung nachlässig zu sein, nicht wenn es einige ausgezeichnete Sicherungsdienste und Plugins gibt, die automatisierte Sicherungen für Sie ausführen. Einige Vorschläge für Plugins sind:

Empfohlene Lektüre: Native vs Plugin - WordPress-Backup mit verschiedenen Methoden

Erstellen Sie einen Zeitplan und lassen Sie das Plugin den Rest erledigen.

Einige dieser Plugins bieten einfache Wiederherstellungsoptionen. Stellen Sie sicher, dass das Plugin die gesamte Site einschließlich aller Datenbanken und Verzeichnisse sichert. Dies verhindert zwar nicht WordPress-Hacks, gibt Ihnen jedoch die Gewissheit, Ihre Website wiederherzustellen, wenn das Undenkbare passiert.

Senden Sie mir die WordPress-Sicherheitscheckliste

12. Verwenden Sie vertrauenswürdige Quellen nur zum Herunterladen

 

Wenn Sie ein knappes Budget haben (und auch wenn Sie es nicht sind), könnten Sie versucht sein, alle Features und Funktionen von Premium-Plugins / -Themen kostenlos zu nutzen: Raubkopien oder geknackte Plugins.

Sie können einen Hacker nicht überlisten, wenn Sie Premium-Inhalte von schlecht bekannten oder nicht autorisierten Quellen herunterladen - sie werden zurückkommen, um Sie zu beißen. Sie haben einen schlechten Ruf, weil sie diese legitimen "Premium" -Plugins / -Themen mit Malware füllen und Sie den Rest erledigen lassen.

Gebrochene Plugins oder Themes enthalten versteckte Hintertüren, mit denen sie nach Belieben die Kontrolle über Ihre Site übernehmen können. Die Verwendung eines solchen Downloads ist alles, was sie benötigen, um das Online-Erscheinungsbild Ihrer Marke in ein riesiges Poster für Vergrößerungspillen - oder noch schlimmer für Malware - umzuwandeln.

Verwenden Sie keine Raubkopien oder Null-Downloads

Ihre Website wird schnell auf die schwarze Liste gesetzt, selbst von Suchmaschinen und Browsern, wenn sie Malware enthält. 

Dies ist eine bekannte und sehr beliebte Taktik von Hackern.

nullte Themen

Raubkopien von Themen und Plugins sind voller Hintertüren und Malware. Dies ist eines der am einfachsten zu lösenden WordPress-Sicherheitsprobleme. Es ist am besten, ein vertrauenswürdiges Thema aus einer vertrauenswürdigen Quelle zu wählen, wie das, das wir hier besprochen haben: Avada-Thema

Raubkopien, Aufhebungen oder geknackte Sachen? Mach dir keine Sorgen.

Sie sind gut mit offiziellen Themen- und Plugin-Verzeichnissen, also versuchen Sie, sich an diese zu halten. Du kannst auch Quellen vertrauen wie ElegantThemes, Themenwald, Code Canyon usw.

13. Sichern Sie Ihre Website, indem Sie wie ein Profi aussehen

Ein Rookie ist leichter zu hacken.

Zumindest denken das die meisten Hacker (nicht falsch). 

Ändern Sie alle Standardeinstellungen: Beiträge, Kommentare, Benutzernamen, Verzeichnisnamen usw.

Es ist einfacher beim Einrichten.

Wenn Sie WordPress bereits eingerichtet haben, gehen Sie zu Einstellungen> Verschiedenes (in Ihren Admin-Steuerelementen), um die Verzeichnisnamen zu ändern. Dies ist ein weiterer Schritt in Ihrem Bestreben, WordPress-Sicherheitsprobleme zu stoppen und das Hacken Ihrer Website erheblich zu erschweren.

Denken Sie daran, um zu verbergen, auf welcher Version von WordPress Sie sich befinden löschen / Wp-admin/install.php . wp-admin / upgrade.php. Gehen Sie noch einen Schritt weiter und entfernen Sie Meta-Generator-Tag ("") von wp-content / your_theme_name / header.php. Du solltest auch Versionsdetails aus dem RSS-Feed entfernen.

Öffnen Sie dazu die Datei wp-includes / general-template.php. Um die Linie 1860 finden Sie Folgendes:

Funktion the_generator ($ args) {
  echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}

Fügen Sie vorher einen Hash hinzu 'Echo' Befehl und Sie sind sortiert.

Funktion the_generator ($ args) {
  #echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}

14. Für eine gute WordPress-Sicherheit sind gute Dateiberechtigungen erforderlich

Die Faustregel lautet 755 für Verzeichnisse und 644 für Dateien.

Obwohl dies je nach Server und Dateityp unterschiedlich sein kann, sollten Sie in den meisten Fällen sehr gut mit diesen Berechtigungen arbeiten.

Bitten Sie am besten Ihren Gastgeber, dies zu überprüfen. Wenn Sie direkten Zugriff haben, können Sie dies selbst tun.

Für Verzeichnisse:

find / path / to / your / wordpress / install / -type d -exec chmod 755 {} \;

Für Dateien:

find / path / to / your / wordpress / install / -type f -exec chmod 644 {} \;

15. Website-Sicherheit: Setzen Sie niemals die Dateiberechtigungen auf 777

Wenn Sie es ernst meinen, WordPress-Hacker stoppen zu wollen - setzen Sie NIEMALS die Datei-/Verzeichnisberechtigung auf 777 unless Sie möchten allen, einschließlich Hackern, die vollständige Kontrolle darüber geben.

Es gibt eine sehr gefährliche Tendenz unter Anfängern, Dateiberechtigungen auf 777 zu setzen, "weil es einfach ist" oder "weil wir es später beheben" oder "weil ich es später ändern werde".

Das ist extrem gefährlich - 777 bedeutet, dass jeder im Internet den Inhalt dieser Datei ändern kann.

Mit diesen Berechtigungen ist Ihre Website ein Tag der offenen Tür. Sobald sie Zugriff auf eine Datei haben, können Sie sicher sein, dass es sehr einfach ist, zu anderen Dateien zu springen oder Hintertüren und andere unangenehme Dinge auf Ihrer Site zu installieren.

Das  Der WordPress-Codex enthält eine vollständige Anleitung zu Dateiberechtigungen: wie man sie ändert und die empfohlenen Berechtigungen für einige Dateien.

Sie müssen die Sicherung Ihrer Website mit der Funktionalität in Einklang bringen. Beginnen Sie also niedrig und erhöhen Sie die Berechtigungen schrittweise, bis Sie alles richtig gemacht haben. Die richtigen Dateiberechtigungen helfen sicherlich dabei, Website-Hacking zu vermeiden. Auch dies ist eines der am einfachsten zu vermeidenden WordPress-Sicherheitsprobleme. Sie müssen sich nur dessen bewusst sein.

16. Erlauben Sie dem WP-Administrator den Zugriff und melden Sie sich nur durch IP-Filterung bei Ihrer IP an

Eine sehr einfache und elegante Möglichkeit, den Zugriff auf die Anmeldeseite und den Administratorbereich einzuschränken, ist die IP-Filterung.

Sie müssen diesen Code lediglich zu .htaccess hinzufügen. Dieser Vorschlag kommt dank Sucuri, der einen exzellenten WordPress-Sicherheitsdienst bietet


Bestellung ablehnen, zulassen
Abgelehnt von allen
Erlaube von [Fügen Sie hier Ihre IP-Adresse (n) hinzu]

Das funktioniert jetzt nur für statische IPs, aber Sie können das Gleiche tun für dynamische IPs mit diesem:


Bestellung ablehnen, zulassen
Abgelehnt von allen
Erlaube von [Fügen Sie hier Ihren Domainnamen hinzu]

Zugriff einschränken auf wp-admin Verzeichnis, füge dies hinzu .htaccess:


Bestellung ablehnen, zulassen
Abgelehnt von allen
Erlaube von [Fügen Sie hier Ihre IP-Adresse (n) hinzu]

Nach Domainname:


Bestellung ablehnen, zulassen
Abgelehnt von allen
Erlaube von [Fügen Sie hier Ihren Domainnamen hinzu]

Quelle: blog.Sucuri.net

17. Sicherheits-Plugins zum Blockieren von WordPress-Hacks

Obwohl wir nicht dazu neigen, die Verwendung vieler Plugins zu befürworten, wenn es darum geht WordPress-Sicherheits-PluginsEs gibt einige, die Sie möglicherweise wirklich installieren möchten, um die Ausfallsicherheit Ihrer Site zu erhöhen.

Wordress-Sicherheits-Plugins

  • iThemes Security Pro - Hören Sie, viele der oben genannten Aktionen sind ohne Zweifel ein bisschen technisch. Das bekommen wir. Wenn Sie technisch nicht versiert sind, haben wir die Lösung für Sie. iThemes Security ist das beste WordPress-Sicherheits-Plugin, um Ihre Website zu sichern und zu schützen.

  • installieren WP Security Audit Log Plugin - Dies ist das umfassendste WordPress-Aktivitätsprotokoll-Plugin. Das Plugin zeichnet alles, was auf Ihrer WordPress-Website passiert, in einem Überwachungsprotokoll (auch bekannt als) auf WordPress-Aktivitätsprotokoll), damit Sie Hacker in Schach halten. Dies liegt daran, dass Sie ihre Angriffsversuche identifizieren können, bevor sie sich tatsächlich in Ihre WordPress-Website hacken, und so die Zeit haben, ihre böswilligen Aktionen zu vereiteln. Audit-Log-Viewer 

Google Authenticator . Duo Zwei-Faktor-Authentifizierung sind eine gute Wahl, um Ihrer Anmeldeseite eine zusätzliche Schutzschicht hinzuzufügen. Ein Autorisierungscode wird an Ihre E-Mail / Ihr Mobiltelefon gesendet, ohne den sich der Benutzer / Hacker nicht anmelden kann.

Gibt es etwas Besseres als einen schönen Grill? Dieses Plugin blockiert URI-Zeichenfolgen, die eval enthalten (Basis 64 und andere verdächtig lange Anforderungszeichenfolgen).

Überprüfen Sie Ihr Thema mit diesem Plugin auf Malware und versteckte Hintertüren, bevor jemand diese Schwachstellen in einer ansonsten sicheren Site / einem Blog ausnutzt.

  • Antivirus-Plugins

Dieser ist ein Kinderspiel. Führen Sie häufige Site-Scans durch und beseitigen Sie sie, bevor sie greifen. Plugins / Dienste wie SucuriWordfenceusw. Acunetix Secure WordPress ist ein weiteres gutes. Scanner ausnutzen überprüft Ihre Website auch von innen nach außen auf schädlichen Code.

Wenn Sie interessiert sind, haben wir einen großartigen Vergleich über geschrieben Sucuri gegen Wordfence das vergleicht diese beiden großen Jungen Kopf an Kopf.

Senden Sie mir die WordPress-Sicherheitscheckliste

Die wesentliche Checkliste für die vollständige Website-Sicherheit - YouTube-Version

Dank Webucator, einem Anbieter von WordPress-TrainingWir haben diese Checkliste als Video erstellt.

DNutpR5VpT0

Unser nächster Teil dieses Artikels befasst sich mit der Behebung eines WordPress-Sicherheitshacks, sobald dies geschehen ist.

Website gehackt? 7 Schritte zum vollständigen Wiederherstellen Ihrer Website

Sucuri veröffentlicht für jedes Quartal einen von der Website gehackten Trendbericht. In ihrer jüngsten BerichtSie haben ergeben, dass 94% der im Jahr 2019 gehackten Websites von verschiedenen WordPress-Versionen betrieben wurden

Gehackte WordPress-Sites bleiben ein echtes Problem. Als beliebteste Plattform zum Erstellen von Websites ist die Wahrscheinlichkeit, gehackt zu werden, für WordPress-Websites erheblich höher.

Das ist nicht überraschend, da WordPress bei weitem die größte Plattform ist, um neue Websites zu erstellen. Solange WordPress beliebt bleibt, wird es für Hacker weiterhin rentabel sein, nach Schwachstellen in WordPress-Sites zu suchen. Es ist wirklich ein Spiel mit Zahlen.

Dabei spielt es keine Rolle, welche vorbeugenden Maßnahmen Sie ergreifen. Es ist unmöglich, die perfekte Sicherheit für eine Website zu gewährleisten. Was Sie tun können, ist, das Hacken zu erschweren, damit diejenigen, die nach niedrig hängenden Früchten suchen, sich nicht darum kümmern oder es nicht schaffen, sie zu hacken.

In diesem Tutorial werden wir Ihnen 7 Schritte vorstellen, die Sie ausführen sollten, um eine von WordPress gehackte Site zu reparieren.

Bevor wir mit dem Verfahren beginnen, wollen wir zunächst herausfinden, was das Problem verursacht. Im Allgemeinen gibt es zwei Arten von Sicherheitslücken:

  1. Gemeinsame Sicherheitslücken und
  2. Sicherheitslücken.

Schauen wir uns jeden Typ genauer an. Beide Typen können von Hackern ausgenutzt werden.

Bevor Sie beginnen - das Wiederherstellen einer gehackten Website kann von Personen ohne ausreichendes Wissen nicht durchgeführt werden. Es ist sehr ratsam, um Hilfe zu bitten WordPress-Entwickler die hochqualifiziert sind, bevor sie dies versuchen, wenn Sie nicht gerne herumbasteln.

Häufige Sicherheitslücken, die zu gehackten WordPress-Sites führen

Die häufigsten Sicherheitslücken können entweder von Ihrem lokalen Computer oder vom Hosting-Anbieter stammen. Die meisten von uns sind wahrscheinlich mit solchen Problemen vertraut.

Diese Probleme können auftreten, wenn Ihr PC oder Ihr lokales Netzwerk gefährdet ist. Wenn Hacker Zugriff auf Ihren PC oder das Netzwerk erhalten, können sie problemlos auf eine Website abzielen, die Sie besitzen. Das Ergebnis ist eine kompromittierte oder gehackte WordPress-Site.

Sie können diese Situationen vermeiden, indem Sie zuverlässige Antiviren- und Anti-Malware-Scan-Tools verwenden. Sie müssen gesunden Menschenverstand anwenden, wenn Sie das Internet nutzen. Comodo und Malwarebytes haben einige praktische Tipps, um Ihren PC vor Hackern zu schützen. Die meisten davon sind durchaus vernünftig, wenn Sie darüber nachdenken, z. B. die Software für Ihren Arbeitsdesktop und Peripheriegeräte wie Ihren Internetrouter auf dem neuesten Stand zu halten. 

Verwenden Sie Antivirus

Die zweite Art von Sicherheitsanfälligkeit kann von Ihrem Hosting-Anbieter ausgehen, insbesondere wenn Sie ein Shared Hosting-Paket verwenden. Wie Sie vielleicht wissen, teilt ein Shared Hosting-Paket den Server mit zahlreichen Benutzern.

Wenn einer dieser Benutzer nicht den Best Practices folgt, ist der gesamte Server ernsthaft bedroht. In einem Shared-Hosting-Szenario ist es natürlich sehr unwahrscheinlich, dass alle Benutzer gute Sicherheitspraktiken anwenden. Daher sind Shared-Hosting-Pakete per Definition riskant.

In einigen Fällen wird eine Site in einem gemeinsam genutzten Hosting-Paket kompromittiert, und der Hacker kann sich seitlich bewegen oder zu anderen Sites auf demselben Server springen. In diesem Fall müssen Sie sich an Ihren Hosting-Anbieter wenden, der die erforderlichen Schritte unternimmt.

Dies bedeutet, dass Sie möglicherweise auch dann eine von WordPress gehackte Website erhalten, wenn Ihre Website vollständig aktualisiert und geschützt ist.

Übrigens, wenn Sie nach einem sehr sicheren Hosting-Anbieter suchen, sollten Sie ernsthaft darüber nachdenken, unsere zu lesen InMotion Hosting Bewertung - Wir fühlen uns bei diesem Service sehr gut geschützt.

Nachdem wir die allgemeinen Sicherheitslücken identifiziert haben, werfen wir einen Blick auf die Sicherheitsaspekte.

Durch Sicherheitslücken gehackt

Es gibt mehrere Arten von Sicherheitslücken für WordPress. Wir werden über diejenigen sprechen, die am häufigsten vorkommen:

Schwache Kombinationen aus Benutzername und Passwort

Wir sollten Ihnen nicht sagen müssen, wie wichtig es ist, ein sicheres Passwort zu verwenden. Seit Version 3.0 hat WordPress selbst mehr Wert darauf gelegt, Benutzer zur Verwendung eines sicheren Kennworts zu zwingen. Beispielsweise gibt es im Admin-Dashboard eine integrierte Funktion zur Erkennung der Kennwortstärke.

Als Faustregel gilt, dass Sie niemals einen vorhersehbaren Benutzernamen (z. B. admin) verwenden und immer sichere Kennwörter verwenden sollten. Dadurch wird es für Hacker schwieriger, auf Ihre Website zuzugreifen.

Themen- / Plugin-Fehler und Schwachstellen 

Während es eine bewährte Methode ist, vertraute Themen und Plugins zu verwenden, können beliebte Produkte manchmal eine haben versteckte Sicherheitslücke auch. In diesem Fall werden Sie wahrscheinlich in beliebten IT-Nachrichtenblogs und anderen Quellen für WordPress-Sicherheitsinformationen davon erfahren.

Sie sind jedoch wahrscheinlich sicherer, wenn Sie sicherstellen, dass Sie nur vertrauenswürdige Designs oder Plugins verwenden, da Sie schnell auf eine gepatchte Version aktualisieren können. Überprüfen Sie die Bewertungen, Bewertungen, Anzahl der Downloads usw., um die Zuverlässigkeit zu analysieren.

Und hört niemals Verwenden Sie jemals Raubkopien oder nullte Themen oder Plugins. Es ist bekannt, dass die meisten davon schädlichen Code enthalten, der eine Hintertür auf Ihrer Website schafft. Dies ist buchstäblich eine Möglichkeit, Ihre Site vollständig per Fernzugriff zu steuern.

In Wirklichkeit wird Ihre Website BEREITS gehackt, wenn Sie ein geknacktes, raubkopiertes oder nulltes Thema oder Plugin verwenden. Sie verwenden eine Website, die plötzlich seltsame Dinge ausführt, z. B. das Anzeigen zwielichtiger Links, das Verteilen von Malware oder sogar das Teil von DDoS-Angriffen.

Was Sie für kostenlos halten, kostet Sie viel mehr als Sie erwarten.

WP-Kern, -Themen oder -Plugins werden nicht aktualisiert

Die Verwendung einer veralteten Version des WordPress-Kerns, der Themen oder Plugins ist ein weiterer Hauptgrund für Verstöße, die zu gehackten Websites führen. Die meisten Updates enthalten Code, der die Sicherheit und Leistung Ihrer Website verbessert. Daher ist es erforderlich, dass Sie Ihre Website, Themen und Plugins aktualisieren, sobald sie verfügbar sind. Stellen Sie sicher, dass Sie vor dem Aktualisieren eine vollständige Site-Sicherung durchführen.

Was tun, wenn Ihr WordPress gehackt wird?

Selbst wenn Sie Schritte unternommen haben, um die Risiken zu mindern, sind Sie möglicherweise dennoch Opfer von WordPress-Hacking geworden.

Keine Panik und befolgen Sie die unten beschriebenen Schritte.

1. Identifizieren Sie die Art des Hacks

Die Lösung, um Ihre Website zurückzubekommen, hängt von der Art des WordPress-Hacks ab. Das heißt, der erste Schritt besteht darin, den Typ zu definieren.

Hacking-Typ erkennen

Hier sind die Fragen, die Sie dazu stellen sollten:

  • Können Sie auf den Admin-Bereich zugreifen?
  • Wird Ihre Site auf eine andere Site umgeleitet?
  • Gibt es unbekannte Links auf Ihrer Website?
  • Warnt Google die Besucher vor Ihrer Website?
  • Hat Ihr Hosting-Anbieter Sie darüber informiert, dass Ihre Website verdächtig aussieht?
  • Zeigt Ihre Website unbekannte Anzeigen in der Kopf-, Fuß- oder anderen Abschnitten?
  • Werden unerwünschte Popups angezeigt?
  • Gibt es einen unerwarteten Anstieg der Bandbreitennutzung?

Gehen Sie die Fragen einzeln durch und versuchen Sie, die Antworten für jede Frage herauszufinden. Auf diese Weise finden Sie die besten Optionen, um die Kontrolle über Ihre gehackte WordPress-Site zurückzugewinnen.

2. Versuchen Sie, aus dem Backup wiederherzustellen

Wenn Sie die Best Practices befolgen, sollten Sie tägliche, wöchentliche oder monatliche Backups Ihrer Site erstellen. Die Sicherungshäufigkeit hängt davon ab, wie häufig Sie Ihre Website veröffentlichen oder Änderungen daran vornehmen.

Wenn Sie regelmäßig Backups erstellen, ist das Wiederherstellen Ihrer gehackten WordPress-Site so einfach wie das Wiederherstellen des neuesten Backups. Wenn Sie einen Zeitplan für die automatische Sicherung eingerichtet haben, ermitteln Sie die letzte Sicherung, bevor Ihre Site gehackt wurde, und stellen Sie diese Version wieder her.

Wiederherstellen von Sicherungen

Sie müssen dann sicherstellen, dass Sie alle Plugins, Themes oder alles aktualisieren, was nicht aktualisiert wurde.

Was ist, wenn Sie keine Backups Ihrer Website erstellt haben? Bedeutet das, dass Sie Ihre Website für immer verloren haben?

Nicht wirklich.

Es gibt auch andere Möglichkeiten. Die meisten renommierten Hosting-Services führen regelmäßige Backups ihrer Client-Sites durch. Fragen Sie Ihren Hosting-Anbieter, ob er ein Backup erstellt. Wenn dies der Fall ist, können Sie sie bitten, Ihre Site aus der letzten stabilen Sicherung wiederherzustellen.

Wenn es kein Backup gibt, müssen Sie eine Prozedur zum Bereinigen Ihrer gehackten WordPress-Site durchführen, die wir unten zeigen.

3. Wenden Sie sich an Ihren Hosting-Anbieter

Mehr als 40% von gehackten Websites hatten einige Sicherheitslücken auf der Hosting-Plattform. Wenn Sie Ihr WordPress gehackt bekommen, kann es daher eine gute Idee sein, Ihren Hosting-Anbieter zu bitten, Ihnen bei der Wiederherstellung Ihrer Website zu helfen.

Bitten Sie den Gastgeber um Hilfe

Jedes zuverlässige Webhosting-Unternehmen sollte bereit sein, Ihnen in diesen Fällen zu helfen. Sie beschäftigen Fachkräfte, die sich jeden Tag mit diesen Situationen auseinandersetzen. Sie sind mit der Hosting-Umgebung sehr vertraut und haben Zugriff auf erweiterte Tools zum Scannen von Websites.

Daher können sie Ihnen helfen, die häufigsten Website-Hacking-Angriffe wiederherzustellen. Wenn der Hack vom Server stammt, kann Ihnen Ihr Hosting-Unternehmen dabei helfen, die Website wiederherzustellen.

4. Suchen Sie nach Malware

In vielen Fällen erhalten Hacker über Backdoors Zugriff auf Ihre Website. Hintertüren erstellen nicht autorisierte Einstiegspunkte für Ihre Website. Bei Verwendung von Backdoors können Hacker ohne Anmeldeinformationen auf Ihre Website zugreifen und bleiben praktisch unentdeckt.

Malware-Gefahr

Hier sind einige häufige Positionen der Hintertüren, an denen Sie überprüfen müssen, ob Ihre Website gehackt wurde:

  • WordPress Themes: Die meisten Hacker ziehen es vor, die Hintertür in eines Ihrer inaktiven Themen zu setzen. Auf diese Weise haben sie auch dann Zugriff auf Ihre Website, wenn Sie diese regelmäßig aktualisieren. Aus diesem Grund ist es wichtig, alle inaktiven Themen zu löschen.
  • Plugins: Der Plugins-Ordner ist ein weiterer potenzieller Ort, um den Schadcode zu verbergen. Dafür gibt es mehrere Gründe. Erstens denken die meisten Leute nie daran, die Plugin-Dateien zu überprüfen. Sie ziehen es auch vor, die Plugins nicht zu aktualisieren, solange sie funktionieren. Darüber hinaus gibt es einige schlecht codierte Plugins, die ausgenutzt werden könnten, um unbefugten Zugriff auf eine WP-Site zu erhalten.
  • Ordner hochladen: In den meisten Szenarien müssen Sie sich nie um das Überprüfen des Upload-Ordners kümmern, da dieser Ordner nur die von Ihnen hochgeladenen Dateien enthält. Einige Hacker bevorzugen diesen Ordner jedoch, da sie die schädliche Datei leicht unter Hunderten oder Tausenden von Dateien verstecken können, die in verschiedenen Ordnern verteilt sind. Da der Ordner beschreibbar ist, erfüllt er auch seinen Zweck.
  • Beinhaltet Ordner: Dies ist ein weiterer Ordner, der von den meisten Benutzern häufig ignoriert wird. Infolgedessen legen Hacker die Hintertür in diesen Ordner und erhalten vollständigen Zugriff auf Ihre Website.
  • wp-config.php Datei: Es ist sehr häufig, dass sich in dieser Datei bösartiger Code versteckt. Da die Datei jedoch sehr bekannt ist, vermeiden anspruchsvolle Hacker die Verwendung dieser Datei. 

Sie möchten sich nicht mit bösartigen Skripten die Hände schmutzig machen? Versuchen iThemes security und lass es die Drecksarbeit machen.

Die einzige Möglichkeit, die Hintertür loszuwerden, besteht darin, den Schadcode von der Website zu entfernen. Es gibt mehrere Plugins, mit denen Sie Ihre Website nach bösartigem Code durchsuchen können.

Unter ihnen sind die folgenden Premium-Plugins eine gute Wahl:  iThemes SecuritySucuri SicherheitWPMUDev Verteidiger sind gute Möglichkeiten.

Das Folgende sind ebenfalls gute Optionen, aber beachten Sie, dass beide seit der Aktualisierung dieses Artikels seit mehr als 3 Jahren nicht mehr aktualisiert wurden. Dies bedeutet, dass sie möglicherweise nicht mehr so ​​zuverlässig sind wie früher:  Scanner ausnutzenund Thema Authentizitätsprüfung.

Mit diesen kostenlosen Plugins können Sie unerwünschte Änderungen an den Themen, Plugins und Kerndateien Ihrer Website erkennen. Wenn Sie es jedoch ernst meinen, Ihre Website zu reparieren, empfehlen wir Ihnen dringend, sich für eines der Premiumprodukte zu entscheiden. 

Sie sind aktueller und im Allgemeinen zuverlässiger als alle kostenlosen Produkte.

Erfolgssicherheits-Plugin

Wenn die Plugins verdächtige Dateien finden, erstellen Sie eine vollständige Sicherung und löschen Sie die Datei oder sehen Sie, welche Vorgehensweise das Plugin vorschlägt. Wenn Sie ein Backup erstellen, stellen Sie außerdem sicher, dass Sie ein Backup einer gehackten Site erstellen.

Und wenn ein Thema oder Plugin kompromittiert ist, entfernen Sie es von Ihrer Website. Laden Sie die neueste Kopie herunter und laden Sie sie auf Ihre Website hoch.

Falls die Änderung in einer der Kerndateien festgestellt wird, sollten Sie eine Neuinstallation von WordPress herunterladen und ein manuelles Update durchführen (dh alle Dateien mit den neuen überschreiben).

Alternativ können Sie eine neue Kopie der aktuellen WordPress-Version herunterladen und nur die gefährdeten Dateien ersetzen.

5. Überprüfen Sie die WordPress-Benutzer

Es ist wahrscheinlich, dass Ihre Website mehrere Benutzer enthält. Wie Sie bereits wissen, verfügen sie je nach Benutzerrolle über unterschiedliche Funktionen.

Manchmal erstellen WordPress-Hacker einen neuen Benutzer mit den erforderlichen Berechtigungen, damit sie sich auf Ihrer Website anmelden können, selbst wenn sie die Hintertür verlieren.

Oder sie verwenden tatsächlich einen Benutzernamen mit einem schwachen Passwort, um Ihre Website zu hacken.

Um dies zu verhindern, gehen Sie im Dashboard zu Einstellungen> Benutzer. Überprüfen Sie alle Benutzer und ihre Rollen. Setzen Sie außerdem ALLE Kennwörter ALLER Benutzer zurück.

Stellen Sie vor allem sicher, dass keinem nicht autorisierten Konto die Administratorrolle zugewiesen ist. Bei zweifelhaften Konten löschen Sie diese sofort. Wenn es sich um gültige Benutzer handelt, können Sie die Konten später jederzeit neu erstellen.

Hier sind einige weitere bewährte Methoden, die Sie befolgen sollten:

6. Ändern Sie die geheimen Schlüssel

Geheime Schlüssel sind eine praktische Sicherheitsfunktion von WordPress.

Diese Schlüssel enthalten zufällig generierten Text, der bei der Verschlüsselung der in Cookies gespeicherten Informationen hilft. Sie sollten das folgende Verfahren verwenden, um zu überprüfen, ob Sie sie auf Ihrer Site haben. Wenn Sie sie nicht haben, können Sie sie erstellen.

Selbst wenn Sie sie bereits haben und Ihre Website gehackt wurde, ist es jetzt ein guter Zeitpunkt, sie zu ändern.

Generieren Sie zunächst einen Satz geheimer Schlüssel mit  diesen Link. Der Zufallscodegenerator erstellt jedes Mal, wenn Sie die Seite aktualisieren, einen neuen Satz eindeutiger Codes.

Gehen Sie jetzt zu Ihrer Website und öffnen Sie die wp-config.php Datei. Gehen Sie in Richtung Linie 49 und Sie werden so etwas wie das Folgende sehen. Die Zeilennummer kann in Ihrer Datei variieren, Sie müssen jedoch den folgenden Abschnitt herausfinden:

WordPress-Sicherheitsschlüssel

Kopieren Sie den Wert aus den Werten, die Sie gerade über den obigen Link generiert haben, und fügen Sie ihn ein. Speicher die Datei. Dadurch werden alle Cookies und angemeldeten Benutzer zurückgesetzt. Wenn Sie also beim Administrator angemeldet waren, werden Sie aufgefordert, sich erneut anzumelden.

7. Ändern Sie ALLE Ihre Passwörter

Dies ist ein häufiger, aber kritischer Schritt bei der Wiederherstellung einer gehackten WordPress-Website. Setzen Sie alle Ihre Passwörter zurück. Die gängigen Passwörter sind WP-Administrator, cPanel, MySQL, FTP usw.

Setzen Sie alle diese Passwörter zusammen mit den Passwörtern aller auf der Website verwendeten Dienste von Drittanbietern zurück. 

So ändern Sie die Passwörter:

  • Um das Kennwort zu ändern, gehen Sie im Dashboard zu Benutzer> Ihr Profil. Das neue Passwortfeld finden Sie im Abschnitt 'Account Management'.
  • Melden Sie sich zum Ändern der cPanel-, MySQL- und FTP-Kennwörter in der Systemsteuerung Ihres Hosting-Kontos an und befolgen Sie die verfügbaren Optionen. Wenn Sie verwirrt sind, wenden Sie sich an den Hosting-Support, um Hilfe zu erhalten.

Stellen Sie beim Zurücksetzen oder Ändern der Kennwörter sicher, dass Sie jetzt ein sicheres Kennwort verwenden. Sie sollten Ihre vorhandenen Benutzer auch dazu zwingen, ein Zurücksetzen des Kennworts für ihre Konten durchzuführen.

Sie können das Plugin verwenden Notfallkennwort zurücksetzen um ein Zurücksetzen des Passworts für alle Benutzer zu erzwingen.

WordPress Password Strength Checker

 

Zukünftige Schritte, um nicht gehackt zu werden

Die oben genannten Schritte helfen Ihnen zwar bei der Wiederherstellung Ihrer Website. Sie sollten dies jedoch als Warnzeichen betrachten. Hier sind einige wichtige Schritte, die Sie unternehmen sollten, um sicherzustellen, dass Ihre Website auch in Zukunft vor anderen WordPress-Hackversuchen geschützt bleibt:

Erstellen Sie einen Sicherungszeitplan

Wie Sie jetzt feststellen, ist eine regelmäßige Sicherung Ihrer Website von entscheidender Bedeutung. Backups können Sie retten, wenn Ihre Site gehackt wurde. Mehrere Backups sind sogar noch besser, da Sie so rechtzeitig zu einem Snapshot der Site zurückkehren können, bevor der Hack stattgefunden hat.

updraftvault Screenshot

 

Glücklicherweise müssen Sie dies nicht manuell tun. Es gibt viele kostenlose und Premium-Plugins, mit denen Sie regelmäßig Backups Ihrer Website erstellen können. UpdraftPlus ist ein beliebtes Backup-Plugin, während BackupBuddy und Jetpack einige sehr empfohlene Premium-Backup-Lösungen sind.

Alles aktualisieren

Wir müssen wohl nicht betonen, wie wichtig es ist, Ihre Website auf dem neuesten Stand zu halten. Sie sollten den WordPress-Kern, aktive Themes, Plugins und alles andere aktualisieren, da die Möglichkeit zum Aktualisieren besteht. Stellen Sie gleichzeitig sicher, dass Sie auch die nicht verwendeten Themen und Plugins löschen.

Richten Sie ein Sicherheits-Plugin ein

Wenn Sie die Sicherheit Ihrer Website verbessern möchten, sollten Sie ein Härtungs-Plugin wie verwenden iThemes Security, Wordfence Security oder Defender. Mit diesen Plugins können Sie eine Firewall erstellen, um böswilligen Datenverkehr zu verhindern, Angreifer zu blockieren und mit anderen Bedrohungen umzugehen. Sie können auch die Installation von a in Betracht ziehen vollständige Webanwendungs-Firewall wie Sucuri Firewall.

Betrachten Sie ein verwaltetes Hosting

Wenn Sie sich für ein verwaltetes Hosting entscheiden, kümmern sich diese um die Sicherheit, Wartung, Leistung und andere Probleme Ihrer Website. Das bedeutet, dass Sie sich nicht um all diese Schritte kümmern müssen. Einige zuverlässige Managed Hosting-Anbieter sind InMotion, WPEngine, und Kinsta.

Limit Login Attempts 

Standardmäßig erlaubt WordPress jedem, unbegrenzte Passwörter für jedes Konto auszuprobieren. Dies führt zu Brute-Force-Angriffen und möglichen Sicherheitslücken auf der Website. Zum Glück gibt es einige kostenlose Plugins wie Einloggen LockDown . Loginizer-Sicherheit um Ihnen zu helfen, die Anmeldeversuche einzuschränken.

Deaktivieren Sie die PHP-Ausführung 

In den meisten Fällen erstellen Hacker Backdoors, indem sie PHP-Dateien erstellen, die wie Kerndateien aussehen. Sie können diese Bedrohungen verhindern, indem Sie die PHP-Ausführung in den entsprechenden Verzeichnissen wie den Ordnern für Uploads und Includes deaktivieren. Hier ist ein Schritt-für-Schritt-Anleitung das zu tun.

Fügen Sie ein zusätzliches Passwort für den Administrator hinzu

Ein weiterer praktischer Trick, um die Sicherheit Ihrer Website zu gewährleisten, besteht darin, ein zusätzliches Kennwort für den Zugriff auf den Administratorbereich zu verwenden. Dies ist in cPanel sehr einfach. Folgen Dieses Tutorial um das Passwort in Ihrem WP-Administrator hinzuzufügen.

Bevorzugen Sie Video? Sehen Sie sich dieses Video von Sucuri an

Wenn Sie etwas Zeit haben, um das folgende Video durchzugehen, das Ihnen dabei helfen kann, von WordPress gehackte Websites zu identifizieren und zu beheben. Wir haben Sucuri in diesem Artikel einige Male erwähnt. Dieses Video von Sucuri bietet eine vollständige Übersicht über gehackte Websites.

a6UwUU-3B3w

Letzte Worte: Wie Sie Ihre gehackte Website reparieren können

Ein Opfer einer von WordPress gehackten Site zu sein, ist eine schreckliche Erfahrung, besonders wenn dies das erste Mal ist. Nachdem Sie diesen Artikel gelesen haben, sollten Sie jedoch eine klare Vorstellung von den notwendigen Schritten haben, um Ihre gehackte Website wiederherzustellen.

Fühlen Sie sich frei, diesen Artikel mit einem Lesezeichen zu versehen und zu teilen, damit auch andere über die Schritte informiert werden.

Fazit

Wenn Sie verwirrt sind, entscheiden Sie sich einfach für eine verwaltete Hosting-Lösung und lassen Sie es jemand anderes für Sie erledigen.

Dies ist nur der Anfang. Während sich das Web weiterentwickelt, werden sich auch die Hacker und ihre Versuche, Ihre Website zu infiltrieren und Sie rauszuschmeißen, weiterentwickeln. Bleiben Sie einen Schritt voraus, indem Sie mehr über Ihr freundliches CMS erfahren, über Updates auf dem Laufenden bleiben und stets über die Sicherheit von WordPress informiert sind - dies stellt sicher, dass Sie das Hacken von Websites verhindern.

Bleib sicher.

Benötigen Sie Hilfe bei der Bereinigung Ihrer Website? Probieren Sie diese erstklassigen, erschwinglichen Gigs auf Fiverr aus!

fiverr-Logo

Klicken Sie hier Experten zu finden WordPress-Sicherheit.

Klicken Sie hier ein erstellen vollständige WordPress-Website.

 

Über den Autor
David Attard
Autor: David AttardWebsite: https://www.linkedin.com/in/dattard/
David arbeitet seit 18 Jahren in oder um die Online- / Digitalbranche. Er verfügt über umfangreiche Erfahrung in der Software- und Webdesignbranche mit WordPress, Joomla und den sie umgebenden Nischen. Als digitaler Berater konzentriert er sich darauf, Unternehmen durch die Kombination ihrer Website und der heute verfügbaren digitalen Plattformen einen Wettbewerbsvorteil zu verschaffen.

Eine Sache noch... Wussten Sie, dass Leute, die nützliche Dinge wie diesen Beitrag teilen, auch FANTASTISCH aussehen? ;-);
Bitte kontaktieren Sie uns lass a nützlich Kommentieren Sie mit Ihren Gedanken und teilen Sie dies dann Ihren Facebook-Gruppen mit, die dies nützlich finden würden, und lassen Sie uns gemeinsam die Vorteile nutzen. Vielen Dank für das Teilen und nett zu sein!

Disclosure: Diese Seite enthält möglicherweise Links zu externen Websites für Produkte, die wir lieben und von ganzem Herzen empfehlen. Wenn Sie Produkte kaufen, die wir vorschlagen, können wir eine Empfehlungsgebühr verdienen. Solche Gebühren haben keinen Einfluss auf unsere Empfehlungen und wir akzeptieren keine Zahlungen für positive Bewertungen.

Autor (en) Empfohlen am:  Inc Magazin Logo   Sitepoint-Logo   CSS Tricks Logo    Webdesignerdepot-Logo   WPMU DEV Logo   und viele mehr ...