Teil 2: Wie man WordPress Sicherheits-Plugins einsetzt

Die nächste Methode, um die WordPress-Sicherheit zu verbessern, besteht darin, WordPress-Plugins zu verwenden. Das ist eine praktische Möglichkeit, deine Website zu schützen. Aber denk dran, nicht alle dieser Plugins auf ein Mal zu installieren, denn zu viele Plugins können deine Seite verlangsamen.

Zuerst musst du deine Bedürfnisse identifizieren, um die effektivsten Plugins für deine Website auszuwählen.

1. Zwei-Faktor-Authentifizierung für WP-Admin aktivieren

Aktiviere die Zwei-Faktor-Authentifizierung (2FA), um den Anmeldeprozess auf deiner WordPress-Website zu verstärken. Diese Authentifizierungsmethode fügt eine zweite Sicherheitsebene zur Anmeldeseite hinzu, da du einen einzigartigen Code eingeben musst, um den Anmeldeprozess abzuschließen.

Der Code ist nur für dich über eine Textnachricht oder eine Drittanbieter-Authentifizierungs-App verfügbar.

Um 2FA auf deiner WordPress-Site anzuwenden, installiere ein Login-Sicherheits-Plugin wie Wordfence Login Security. Zusätzlich musst du eine Drittanbieter-Authentifizierungs-App wie Google Authenticator auf deinem Handy installieren.

Tipp

Wenn du dir nicht sicher bist, welches Zwei-Faktor-Authentifizierungs-Plugin du verwenden sollst, wähle das am häufigsten aktualisierte und bewertete.

Sobald du das Plugin und die Authentifizierungs-App installiert hast, befolge diese Schritte, um die Zwei-Faktor-Authentifizierung zu aktivieren:

  1. Gehe zur Plugin-Seite auf deinem WordPress-Admin. Wenn du Wordfence Login Security verwendest, navigiere zum Login Security-Menü im linken Menübereich.
  2. Öffne den Tab Zwei-Faktor-Authentifizierung.
Screenshot der WordPress-Zwei-Faktor-Authentifizierungsbildschirm
Screenshot der WordPress-Zwei-Faktor-Authentifizierungsbildschirm
  1. Verwende die App auf deinem Handy, um den QR-Code zu scannen oder den Aktivierungsschlüssel einzugeben.
  2. Gib den auf deiner Handy-App generierten Code in das verfügbare Feld unter dem Abschnitt Wiederherstellungscodes ein.
  3. Klicke auf den Button ACTIVATE, um die Einrichtung abzuschließen.
  4. Lade außerdem die bereitgestellten Wiederherstellungscodes herunter, falls du den Zugang zum Gerät verlierst, auf dem die Authentifizierungs-App gespeichert ist.

2. WordPress regelmäßig sichern

Das regelmäßige Erstellen eines Backups deiner WordPress-Site ist eine wichtige Absicherungsaufgabe, da es dir hilft, deine Site nach Vorfällen wie Cyberangriffen oder physischen Schäden am Datenzentrum wiederherzustellen. Die Backup-Datei sollte deine gesamten WordPress-Installationsdateien, wie deine Datenbank und die WordPress-Kern-Dateien, enthalten.

Mit WordPress kann ein Backup der Seite mit einem Plugin wie UpdraftPlus erstellt werden. Befolge diese Schritte, um mit diesem Plugin eine Backup-Datei zu erstellen:

  1. Installiere und aktiviere das Plugin.
  2. Navigiere zum Menü UpdraftPlus im oberen Menübereich.
  3. Wähle Sicherung/Wiederherstellen aus.
  4. Klicke auf Jetzt sichern.
Screenshot, der den WordPress-Button Jetzt Sichern zeigt
Screenshot, der den WordPress-Button Jetzt sichern zeigt
  1. Sobald das Backup erstellt ist, erscheint es in einer Liste auf der Backups-Seite.

Tipp

Ich würde nicht empfehlen, Website-Backups auf einem persönlichen Computer zu speichern. Stattdessen verwende Speicheranwendungen wie Google Drive. Wenn du dich jedoch dafür entscheidest, wäre der beste Weg, es an mindestens drei Standorten zu speichern, wie zum Beispiel auf deinem Computer, einem USB-Stick und einem externen Speicher wie Dropbox.

3. Anmeldeversuche begrenzen

WordPress erlaubt seinen Nutzern eine unbegrenzte Anzahl von Anmeldeversuchen auf der Site. Leider können Hacker sich durch Brute-Force ihren Weg in deinen WordPress-Admin-Bereich bahnen, indem sie verschiedene Passwortkombinationen verwenden, bis sie die richtige finden.

Daher solltest du die Anmeldeversuche begrenzen, um solche Angriffe auf der Website zu verhindern. Das Begrenzen fehlgeschlagener Versuche hilft auch dabei, verdächtige Aktivitäten auf deiner Site zu überwachen.

Die meisten Nutzer brauchen nur einen einzigen Versuch oder einige fehlgeschlagene Versuche, daher solltest du misstrauisch gegenüber allen fragwürdigen IP-Adressen sein, die das Versuchslimit erreichen.

Eine Möglichkeit, die Anmeldeversuche zu begrenzen, um die WordPress-Sicherheit zu erhöhen, besteht darin, ein Plugin zu verwenden. Es gibt viele großartige Optionen, wie zum Beispiel:

  • Limit Login Attempts Reloaded – konfiguriert die Anzahl der fehlgeschlagenen Versuche für bestimmte IP-Adressen, fügt Nutzer zur sicheren Liste hinzu oder blockiert sie vollständig und informiert Website-Nutzer über die verbleibende Sperrzeit.
  • Loginizer – bietet Anmeldesicherheitsfunktionen wie 2FA, reCAPTCHA und Anmelde-Herausforderungsfragen.
  • Limit Attempts by BestWebSoft – blockiert automatisch IP-Adressen, die das Anmeldeversuchslimit erreichen, und fügt sie zu einer Sperrliste hinzu.

Eines der Risiken bei der Umsetzung dieser WordPress-Sicherheitsmaßnahme ist, dass ein legitimer Nutzer aus dem WordPress-Admin ausgesperrt wird. Du solltest dir jedoch keine Sorgen darüber machen, da es viele Möglichkeiten gibt, gesperrte WordPress-Konten wiederherzustellen.

4. Ändere die URL der WordPress-Anmeldeseite

Um einen Schritt weiter zu gehen, um deine Website vor Brute-Force-Angriffen zu schützen, solltest du in Erwägung ziehen, die URL der Anmeldeseite zu ändern.

Alle WordPress-Websites haben die gleiche Standard-Anmelde-URL – deineDomain.com/wp-admin. Wenn du die Standard-Anmelde-URL verwendest, wird es Hackern leicht gemacht, deine Anmeldeseite ins Visier zu nehmen.

Plugins wie WPS Hide Login und Change wp-admin Login ermöglichen benutzerdefinierte Anmelde-URL-Einstellungen.

Wenn du das Plugin WPS Hide Login verwendest, sind hier die Schritte, um die URL deiner WordPress-Anmeldeseite zu ändern:

  1. Gehe auf deinem Dashboard zu Einstellungen → WPS Hide Login.
  2. Fülle das Feld Login URL mit deiner benutzerdefinierten Anmelde-URL aus.
  3. Klicke auf den Button Änderungen speichern, um den Prozess abzuschließen.

5. Automatisches Abmelden inaktiver Nutzer

Viele Nutzer vergessen, sich von der Website abzumelden und lassen ihre Sitzungen laufen. Daher besteht die Möglichkeit, dass jemand anderes, der das gleiche Gerät verwendet, auf ihre Nutzerkonten zugreift und potenziell vertrauliche Daten ausnutzt. Dies gilt insbesondere für Nutzer, die öffentliche Computer in Internetcafés oder öffentlichen Bibliotheken verwenden.

Daher ist es wichtig, deine WordPress-Website so zu konfigurieren, dass inaktive Nutzer automatisch abgemeldet werden. Die meisten Bank-Websites verwenden diese Technik, um unbefugte Besucher daran zu hindern, auf ihre Websites zuzugreifen, und sicherzustellen, dass die Daten ihrer Kunden sicher sind.

Die Verwendung eines WordPress-Sicherheitsplugins wie Inactive Logout ist eine der einfachsten Möglichkeiten, inaktive Nutzerkonten automatisch abzumelden. Neben der Beendigung inaktiver Nutzer kann dieses Plugin auch eine benutzerdefinierte Nachricht senden, um inaktive Nutzer zu warnen, dass ihre Website-Sitzung bald enden wird.

6. Nutzeraktivität überwachen

Identifiziere unerwünschte oder schädliche Aktionen, die deine Website in Gefahr bringen, indem du die Aktivitäten in deinem Admin-Bereich verfolgst.

Wir empfehlen diese Methode für diejenigen, die mehrere Nutzer oder Autoren haben, die auf ihre WordPress-Website zugreifen. Denn Nutzer können Einstellungen ändern, die sie nicht ändern sollten, wie zum Beispiel Themes ändern oder Plugins konfigurieren.

Indem du ihre Aktivitäten überwachst, wirst du wissen, wer für diese unerwünschten Änderungen verantwortlich ist und ob eine unbefugte Person deine WordPress-Website verletzt hat.

Die einfachste Möglichkeit, die Nutzeraktivität zu verfolgen, besteht darin, ein WordPress-Plugin zu verwenden, wie zum Beispiel:

  • WP Activity Log – überwacht Änderungen in mehreren Website-Bereichen, einschließlich Beiträge, Seiten, Themes und Plugins. Es protokolliert auch neu hinzugefügte Dateien, gelöschte Dateien und Änderungen an jeder Datei.
  • Activity Log – überwacht verschiedene Aktivitäten auf deinem WordPress-Admin-Panel und lässt dich Regeln für E-Mail-Benachrichtigungen festlegen.
  • Simple History – zeichnet neben dem Aktivitätsprotokoll auf WordPress-Admin auch mehrere Drittanbieter-Plugins auf, wie WP Crontrol und Beaver Builder, und zeichnet alle Aktivitäten in Bezug auf sie auf.

7. Auf Malware prüfen

Das AV-TEST-Institut registriert täglich über 450.000 neue Malware und potenziell unerwünschte Anwendungen (PUA). Einige Malware hat sogar eine polymorphe Natur, das bedeutet, sie können sich selbst modifizieren, um die Sicherheitserkennung zu vermeiden.

Daher ist es wichtig, deine WordPress-Site regelmäßig auf Malware zu scannen, da Angreifer immer neue Arten von Bedrohungen entwickeln.

Glücklicherweise gibt es viele großartige WordPress-Hack-Scanner-Plugins, die Malware scannen und die WordPress-Sicherheit verbessern können.

Wir empfehlen diese Sicherheits-Plugins zur Installation auf deiner Website:

  • Wordfence – ein beliebtes WordPress-Sicherheits-Plugin mit Echtzeit-Malware-Signaturupdates und Alarmbenachrichtigungen, die dich informieren, wenn eine andere Seite deine wegen verdächtiger Aktivitäten auf die Blacklist gesetzt hat.
  • BulletProof Security – hilft, deine WordPress-Website mit einer Funktion zum Abmelden inaktiver Sitzungen, versteckten Plugin-Ordnern, die nicht im WordPress-Plugin-Bereich sichtbar sind, und Tools zur Datenbanksicherung und -wiederherstellung zu sichern.
  • Sucuri Security – eines der besten Sicherheits-Plugins auf dem Markt, das verschiedene SSL-Zertifikate, Remote-Malware-Scanning und Funktionen für Sicherheitsmaßnahmen nach einem Hack bietet.

Tipp

Wenn deine WordPress-Website mit Malware infiziert ist, befolge diese wichtigen Punkte:

  1. Stelle sicher, dass dein wp-admin-Bereich immer zugänglich ist, führe einen Scan durch und werde die Malware los.
  2. Stelle sicher, dass deine Plugins, Themes und WordPress-Kernsoftware auf dem neuesten Stand sind.
  3. Überprüfe auf Schwachstellen in deiner Datenbank, um zu sehen, ob deine Plugins oder Themes dort als Risiko aufgeführt sind.

8. Ändern der Standard-WordPress-Datenbank-Präfix

Die WordPress-Datenbank hält und speichert alle notwendigen Informationen, die für das Funktionieren deiner Seite benötigt werden. Daher zielen Hacker oft mit SQL-Injection-Angriffen auf die Datenbank ab. Diese Technik injiziert schädlichen Code in die Datenbank und kann WordPress-Sicherheitsmaßnahmen umgehen und den Datenbankinhalt abrufen.

Über 50% der Cyberangriffe bestehen aus SQL-Injection, was es zu einer der größten Bedrohungen macht. Hacker führen diesen Angriff aus, weil viele Benutzer vergessen, das Standard-Datenbankpräfix wp_ zu ändern.

Wichtig! Bevor du fortfährst, stelle sicher, dass du deine MySQL-Datenbank gesichert hast.

Ein einfacher Weg, um alle Tabellen in einer Website-Datenbank zu ändern und den Präfixtabellenwert in der wp-config.php der Website zu aktualisieren, besteht darin, das Plugin Brozzme DB Prefix & Tools Addon zu verwenden.

In den Einstellungen des Plugins siehst du dann das aktuelle WordPress-Datenbankpräfix und kannst ein neues auswählen oder das Plugin ein zufälliges erstellen lassen.

Wenn du die Änderung durchgeführt hast, zeigt dir das Plugin an, dass das Präfix der Datenbanktabelle geändert werden konnte und dass das Tabellenpräfix auch in der wp-config.php-Datei deiner Website geändert wurde. Danach kannst du das Plugin direkt wieder deaktivieren und entfernen.

Kennst du schon den ersten Teil unserer Serie? Wenn nein, dann lies die Allgemeinen Best Practices zur Verbesserung der Website-Sicherheit

Beitrag veröffentlicht

in

, ,

von

anna

Hilfe bei der Wartung deiner Website benötigt? Buche direkt unsere Angebote und lehne dich entspannt zurück.

Jetzt Angebote ansehen

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert