Angriffe auf Seiten, auf denen das Content-Management-System WordPress läuft, sind trotz des gut gesicherten Kerns des Systems mittlerweile an der Tagesordnung. Im folgenden Beitrag bieten wir Ihnen einige einfache Tipps, die ihre böswilligen Absichten erheblich erschweren können.
Benutzernamen „admin“ ändern
Dies ist der Standardname bei der Installation von WordPress, der niemals in seiner ursprünglichen Form bleiben sollte. Hacker verwenden diesen Fehler ziemlich oft, und die beste Verteidigung besteht darin, ein neues Administratorkonto zu erstellen und das Standardkonto zu entfernen.
Verwenden Sie ein starkes Passwort
Telefonnummer, Geburtsdatum oder sogar Ihr Name: Ein Passwort in Form eines einfachen Satzes gibt einem Angreifer die Möglichkeit, innerhalb von Minuten die Kontrolle über Ihre Website zu übernehmen. Eine ideale Option ist die Verwendung eines nicht im Wörterbuch verfügbaren Ausdrucks (ein Standardwerkzeug für sogenannte Brute-Force-Angriffe) und eine Kombination aus Buchstaben und Zahlen, z. B. 1d34ln3-h3sl0 .
Bearbeiten Sie die .htaccess -Datei
Änderungen in .htaccess erfordern zumindest minimale Kenntnis des Problems, da sonst die Gefahr einer Fehlfunktion der Seite oder ihrer Komponenten besteht, daher ist es ratsam, vor der Bearbeitung eine Sicherungskopie der Originaldatei zu erstellen. Das folgende Beispiel zeigt, wie es möglich ist, den Zugriff auf das WordPress-Administrationspanel für alle außer definierten IP-Adressen auf einfache, aber effektive Weise zu sperren. Füge die modifizierte .htaccess in das Verzeichnis wp-admin ein .
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
Aktualisieren Sie das System
Ein Klick, um das potenzielle Risiko zu eliminieren, dass Ihre Website durch versteckte Systemfehler kompromittiert wird. Die Kernel-Entwickler des Systems beheben ständig Fehler, und Sie sollten keinen Moment zögern, insbesondere bei Sicherheitsupdates.
Laden Sie nur „saubere“ Dateien hoch
Stellen Sie sicher, dass die Dateien, die Sie auf den Server hochladen möchten, keinen Virus enthalten. Ihr Hosting-Provider würde Ihnen für so ein Stück bestimmt nicht danken, und Sie wollen sicher keine „Belohnung“ von Google in Form einer roten Seite mit einer Warnung vor gefährlichen Inhalten, oder?
Installieren Sie das Sicherheitsmodul
Das Better WP Security -Modul bietet einen sehr anständigen Service in seiner Kategorie und kombiniert viele Sicherheitsfunktionen und -techniken in einem Paket. BulletProof Security hilft Ihnen beim Schutz vor XSS-, RFI-, CRLF-, CSRF-, Base64-, Code-Injection- und SQL-Injection-Angriffen. Wordfence Security bietet eine integrierte Lösung, einen Scanner für Viren und bösartige URLs sowie eine Echtzeit-Datenüberwachung als umfassende Lösung.
Verwenden Sie keine veralteten Module
Wenn Sie eines der im offiziellen WordPress-Repository gespeicherten Module verwenden, werden Sie jedes Mal, wenn es längere Zeit nicht aktualisiert wurde, einen starken Hinweis auf diese Tatsache finden (siehe Abbildung unten). Es liegt an Ihnen, ob Sie eine mögliche Inkompatibilität oder ein Sicherheitsproblem riskieren möchten.
Sichern Sie regelmäßig
Wer nichts dem Zufall überlassen möchte, sollte diesen Schritt auf keinen Fall ignorieren. Je seltener der Inhalt Ihrer Website ist, desto öfter sollten Sie den Inhalt sichern, aber die allgemeine Empfehlung lautet „einmal am Tag“. Konzentrieren Sie sich hauptsächlich auf die MySQL-Datenbank und das verwendete Thema, diese beiden Elemente sind die häufigsten Angriffsziele (insbesondere die Datei index.php und die Datenbanktabellen wp-user und wp-usermeta ).
Natürlich sind die genannten 8 Punkte keine Zusammenfassung aller verfügbaren Optionen zur Absicherung von WordPress. Möglicherweise kennen Sie andere Möglichkeiten, sich gegen Angriffe auf die Website zu verteidigen, und wir würden uns freuen, wenn Sie uns diese in Kommentaren kurz beschreiben.
War dieser Artikel hilfreich für Sie? Unterstützen Sie mich bitte durch Teilen. 👍
