12 der gefährlichsten WordPress-Sicherheitslücken in diesem Jahr 2019

WordPress oder ein beliebiges CMS (Content-Management-System) ohne ausreichende Sicherheit zu betreiben, ist wie ein Lager zu besitzen und den Schlüssel für Diebe unter der Matte zu lassen. Aber trotz der Sicherheit wird es für viele Online-Geschäftsinhaber, Content-Publisher und digitale Vermarkter zur neuen Tatsache, gehackt zu werden.

Angreifer können leicht auf Ihre vertraulichen Daten und privaten Informationen zugreifen, sobald sie Ihr digitales Eigentum gehackt haben. Sie können sofort erhebliche Marktanteile verlieren, nachdem bekannt wurde, dass Ihre Websites und Apps kompromittiert wurden. Zum Beispiel das Vermögensbericht 2018 sagt, dass Facebook über 13 Milliarden US-Dollar an Aktienwert verloren hat, als Nachrichten über eine Datenschutzverletzung bekannt wurden, von der mehr als 29 Millionen Nutzer weltweit betroffen waren. Inzwischen behauptet The Manifest, dass ihre Forschungsprojekte Im vergangenen Jahr haben rund 44% aller Facebook-Nutzer begonnen, diese Social-Media-Plattform viel weniger zu besuchen, nachdem sie von diesem Sicherheitsproblem erfahren hatten.

Das Problem ist, dass wir uns im Allgemeinen nicht der potenziellen Risiken bewusst sind und uns nicht bewusst sind, wie einfach es für uns ist, die Sicherheit unseres digitalen Eigentums zu verbessern. Heute werden wir also 12 der größten Sicherheitsprobleme vieler WordPress-Betreiber in diesem Jahr untersuchen. Außerdem werden wir nach Möglichkeiten suchen, wie Sie die Sicherheit Ihrer Website verbessern können. Schließlich werden wir 6 der beliebtesten derzeit verfügbaren WordPress-Sicherheits-Plugins überprüfen.

Bevor wir uns jedoch mit verschiedenen Sicherheitsproblemen befassen, müssen wir verstehen, welche Teile von WordPress die meisten Schwachstellen bieten.

Quelle: woobro.com

Dieser Bericht besagt, dass 37 % der Hacks durch Probleme mit dem WordPress-Kern verursacht wurden. Die restlichen 63 % stammten von Tausenden von betrügerischen WordPress-Themes und manipulierten Plugins.

Top 12 WordPress-Sicherheitsprobleme des Jahres

Hacker finden immer mehr Möglichkeiten, die von uns vorhandene Sicherheit zu knacken. Und hier sind einige der häufigsten WordPress-Sicherheitsprobleme, mit denen wir dieses Jahr konfrontiert sind:

1. WordPress nicht auf dem neuesten Stand halten

Einige denken, dass eine WordPress-Site, sobald sie einmal in Betrieb ist, selbstverwaltbar ist. Dies könnte nicht weiter von der Wahrheit entfernt sein. Wenn Sie nicht ständig auf Ihrer Seite sind, finden Hacker ihren Weg. Dabei spielt es keine Rolle, ob Sie ein kleines oder großes Online-Unternehmen haben.

Außerdem bevorzugen viele cyberkriminelle Gruppen und unabhängige Hacker kleinere Unternehmen. Das liegt daran, dass viele von ihnen im Allgemeinen einfacher zu hacken sind.

WordPress aktualisiert viele seiner Funktionen automatisch. Sie müssen jedoch weiterhin sicherstellen, dass Ihre Website auf dem neuesten Stand ist. Wenn WordPress nicht aktualisiert wird, ist es anfällig für Malware.

Malware hört nicht unbedingt damit auf, bösartige Links in den Inhalt Ihrer digitalen Inhalte einzubetten, um die Geräte Ihrer Zuschauer zu infizieren. Es kann Ihre Webserver auch heimlich als Teil des Bot-Netzwerks des Autors verwenden, um andere unrechtmäßige Aktivitäten im Internet durchzuführen.

Schädliche Programme können auch auf die Datenbanken Ihrer Websites, Blogs, Mailinglisten und CRM-Server (Customer Relationship Management) zugreifen. Denken Sie daran, dass hier hauptsächlich die privaten Informationen und vertraulichen Daten von Kunden und Zuschauern gespeichert werden. Angreifer können auch automatisierte Massenmailing-Kampagnen konfigurieren, um mehr bösartige Programme an die Geräte Ihrer Abonnenten und Kunden zu verteilen.

Die aktuellste Version von WordPress ist 5.1.1, die im März dieses Jahres veröffentlicht wurde. Wenn Sie regelmäßig nach Updates suchen, können Sie Ihrer Site eine zusätzliche Sicherheitsebene hinzufügen. Es ist eine schnelle und einfache Arbeit. Sie müssen kein Computerfreak sein, und das kann Ihnen eine Menge Ärger ersparen.

2. Installieren von WordPress-Themes und -Plugins von geringer Qualität

Ein WordPress-Theme ermöglicht es Ihnen, das Erscheinungsbild Ihrer Website zu ändern. Bei Themen können Sie das Layout oder Design, die Navigation der Site oder auch nur das Farbschema ändern. Auf der anderen Seite sind Plugins kleine Programme, die Sie in Ihre WordPress-Site installieren können, um deren Funktionen zu erweitern.

Die Auswahl von Plugins oder Themes von geringer Qualität kann Ihre Website für mehrere Sicherheitsprobleme öffnen. Es ist, als würde man Hackern einen einfachen Zugriff bieten, insbesondere wenn man bedenkt, dass 63 % der Sicherheitsprobleme durch Plugins und Themes auftreten. Nun, dies ist ein wichtiges Detail, das Sie ernsthaft im Auge behalten sollten.

Unabhängige Entwickler und Unternehmen erstellen und vertreiben diese WordPress-Themes und Plugins. Da es sich bei vielen davon um Open-Source-Inhalte handelt, ist oft nicht immer klar, wie viele davon in Sicherheitsupdates integriert sind. Denken Sie außerdem daran, dass Cyberkriminelle betrügerische Themes und manipulierte Plugins für WordPress verteilen. Diese werden als legitime Versionen oder geknackte -Anwendungen getarnt, um ahnungslose dazu zu verleiten, diese bösartigen Inhalte auf ihren WordPress-Sites und -Blogs zu installieren.

3. Brute-Force--Angriffe

Wenn Sie versuchen, auf Ihre E-Mail- oder Online-Banking-Plattform zuzugreifen, haben Sie normalerweise drei Versuche, bevor Sie aufgrund zu vieler fehlgeschlagener Versuche gesperrt werden. Aber es gibt oft keine Begrenzung für die Anzahl der Versuche, die jemand versucht, sich bei einer WordPress-Site anzumelden. Dies ist einer der Hauptgründe, warum die WordPress-Anmeldeseite mehr gehackt wird als jede andere Standardseite einer WordPress-Site.

Ein weiteres Problem ist jedoch, dass viele keine sicheren wörter verwenden. Zeit veröffentlicht dies 2017 Bericht über die jährliche Liste der schlechtesten wörter von SplashData. Unglaublicherweise stand „123456“ ganz oben auf dieser Liste.“ Und an zweiter Stelle stand „wort“.

Außerdem gibt es viele Software-Tools, mit denen Millionen von Kombinationen von Benutzernamen und wörtern automatisch eingegeben werden können. Diese sind oft darauf ausgelegt, WordPress-Sites ohne Einschränkungen bei den Anmeldeversuchen und solche mit Standard- oder schwachen wörtern auszunutzen. Dies wird als Brute-Force-Angriff bezeichnet.

Denken Sie jedoch auch daran, dass die Verwendung Ihres lokalen Geräts, um mehrere Stunden mit langer Inaktivität bei Ihrer WordPress-Site eingeloggt zu bleiben, auch eine Hauptursache für Malware-Eindringungen, Hintertürinstallationen und Hackerangriffe ist. Das liegt daran, dass viele bösartige Programme so konzipiert sind, dass sie heimlich in lokale Computer wie Microsoft Windows-PCs, Mac OS X-Computer, UNIX-Systeme, iOS- und Android-Mobilgeräte eindringen und dort schlummern.

Erst beim Zugriff auf Ihre WordPress-Sites und andere digitale Eigenschaften wird diesen Malware-Komponenten signalisiert, dass sie Ihre Remote-Ressourcen aktivieren und infiltrieren. Denken Sie daran, ein Fehler in Facebooks „Anzeigen als“-Funktion war die Ursache für die bereits erwähnte massive Datenpanne, von der im vergangenen Jahr weltweit mehr als 29 Millionen Nutzer betroffen waren.

4. Kein WordPress-Sicherheits-Plugin verwenden

Sie könnten das Gefühl haben, dass Sie mehr als in der Lage sind, die Sicherheit Ihrer WordPress-Site zu verwalten. Es gibt jedoch verschiedene Sicherheits-Plugins, die Sie als beeindruckendere Lösung verwenden können. Wir wissen, dass WordPress einige Sicherheitsfunktionen bietet. Aber wenn man bedenkt, dass es heute das am stärksten zielgerichtete CMS ist, lohnt es sich, weitere Schutzebenen gegen die diesjährigen größten Bedrohungen und Risiken für den Datenschutz hinzuzufügen.

Ohne ein gutes Sicherheits-Plugin ist Ihre Website immer noch offen für Brute-Force-Angriffe und Malware. Sie haben begrenzte Standardoptionen, um potenziell bösartige Aktivitäten auf Ihren WordPress-Sites und Datenservern automatisch zu überwachen, zu scannen, zu erkennen und zu blockieren. Das ist, als würde man ein Haus kaufen und keine Versicherung abschließen.

Eines der wichtigsten Dinge bei einem Sicherheits-Plugin ist, dass viele dieser Programme sofortige Benachrichtigungen bereitstellen. Ein Unternehmen zu führen ist zeitaufwendig. Manchmal vergessen wir, unsere WordPress-Sites, Blogs und andere digitale Eigenschaften zu aktualisieren und zu überprüfen.

Hier können Probleme ohne unser Wissen auftreten. Wenn Sie jedoch sofortige Benachrichtigungen auf Ihrem Mobilgerät oder Echtzeit-E-Mail-Benachrichtigungen von einem Plugin über potenziell bösartige Aktivitäten auf Ihrer WordPress-Site erhalten, ist es viel wahrscheinlicher, dass Sie das Problem sofort beheben können, bevor es sich verschlimmert.

5. Mangel an beeindruckenden Firewall-Anwendungen

Ein typischer Computer, den viele häufig verwenden, verfügt normalerweise nicht über beeindruckende Standard-Firewall-Anwendungen. Dies sind in der Regel Softwareprogramme, die an Sicherheitsfunktionen das Nötigste bieten.

Wenn Sie von Ihrem Mac OSX-Computer oder Microsoft Windows-PC aus arbeiten, verfügt Ihr System normalerweise über eine integrierte Firewall. Einige Breitbandrouter verfügen auch über eingebettete Firewalls. Obwohl diese möglicherweise nicht ausreichen, entscheiden sich einige Leute dafür, eine zusätzliche Firewall von einem glaubwürdigen Drittanbieter für die Entwicklung von Sicherheitssoftware zu verwenden.

Eine gute Firewall-Anwendung untersucht jedoch Datenpakete, die über das Internet und auch von und zu Ihrem Intranet (Ihrem lokalen Netzwerk) gesendet werden. Diese Firewall-Programme von Drittanbietern funktionieren oft sowohl auf Hardware- als auch auf Softwareebene. Denken Sie also daran, dass beim Anfordern des Zugriffs auf eine Website ein Token generiert und eine Nachricht gesendet wird, um zu überprüfen, ob Sie eine gültige Berechtigung zum Betreten haben. Wenn Sie nicht über die richtigen Authentifizierungstoken verfügen, können Sie nicht auf die Site zugreifen.

Erwägen Sie, die allgemeine Sicherheit in Ihrem Unternehmen zu erhöhen, indem Sie in Lösungen wie investieren SIEM, was dazu beitragen kann, Bedrohungen für Ihre Netzwerke abzuschwächen. 

6. WordPress-Plugin & Theme-Hoarding

Bei so vielen Plugins und Themes, die in WordPress verfügbar sind, ist es ganz normal, dass Sie diese Programme installieren und testen möchten, um die Funktionen zu verbessern und das visuelle Erscheinungsbild Ihrer Site von Zeit zu Zeit zu ändern. Aber Sie können manchmal vergessen, Ihre älteren Plugins und Themes zu deinstallieren, die in Ihrer WordPress-plattform ungenutzt bleiben.

Außerdem sind diese älteren Plugins und Themes in der Regel veraltete Versionen. Das liegt daran, dass Sie sie wahrscheinlich nicht auf die neueste Version aktualisieren, wenn Sie vergessen haben, sie von Ihrer WordPress-Plattform zu entfernen. So werden sie zu Schwachstellen in Ihren WordPress-Sites, die Angreifer ausnutzen können.

Abgesehen von diesen Sicherheitsrisiken kann die Verwendung von Plugins und Designs Ihre Website oft verlangsamen. Wenn das Laden eines Blogs lange dauert, findet ein potenzieller Kunde möglicherweise einfach einen anderen. Sie können also auch viele Einnahmen verlieren, wenn Sie dies tun.

7. Keine Kontrolle über Ihre -Benutzer

Viele stellen Remote-Mitarbeiter ein, um ihre Kampagnen für digitale Werbung, Multimedia-Marketing und Content-Publishing für ihre WordPress-Sites durchzuführen. Sie stellen ihren Mitarbeitern häufig Benutzerkonten mit rechten zur Verfügung. Viele tun dies entweder unwissentlich oder bewusst.

Hier können Probleme auftreten. Der Verge erklärte in diesem Bericht vom Oktober 2018 dass die Identitäten von Verdächtigen für die massive Facebook-Datenpanne im letzten Jahr vom FBI zurückgehalten wurden. Sie behaupteten, das FBI schließe die Möglichkeit nicht aus, dass auch die Mitarbeiter von Facebook die Möglichkeit hätten, in diesem Datensicherheitsskandal eine Rolle zu spielen.

Denken Sie also daran, dass es verschiedene Rollen mit eingeschränkten rechten gibt, die Sie Ihren Mitarbeitern zuweisen können. Diese sind:

• SEO Editor
• SEO-Manager
• Teilnehmer
• Beiträger
• Autorin
• Herausgeber

Die Auswahl der richtigen Rollen für jedes Ihrer Mitarbeiter kann Ihnen mehr Kontrolle über die Sicherheit Ihrer WordPress-Sites und -Datenbanken geben. Wir werden später mehr auf jede dieser Rollen eingehen.

8. Shared Hosting statt Managed WordPress Hosting

Wie der Name schon sagt, verwenden Sie beim Shared Hosting zusammen mit Hunderten anderer denselben Webserver, um Ihre Sites, Blogs und verschiedene digitale Objekte zu hosten. Dies bedeutet jedoch auch, dass Ihre eigenen gehosteten Ressourcen erheblich von Datenschutzverletzungen und Malware-Infektionen betroffen sein können, die auf Websites und Tools anderer auftreten, die denselben Server verwenden, und umgekehrt.

Auf der anderen Seite ist Managed WordPress Hosting eine andere Reihe von Paketen, die viele Webhosting-Unternehmen n anbieten, die WordPress für ihre digitalen Eigenschaften verwenden möchten. Dies kann Ihnen eine viel bessere Kontrolle über Ihre WordPress-Installation und Serverressourcen geben.

Der Hauptvorteil von Managed WordPress Hosting ist die Auswahl an Sicherheitsoptimierungen, die speziell für das WordPress CMS, Themes und Plugins entwickelt wurden. Dazu gehören nützliche Add-Ons wie Firewalls und Malware-Scans. Es bietet auch -Sicherheitsprotokolle, um Brute-Force-Angriffe zu verhindern.

Einige entscheiden sich oft für Shared Hosting, da sie kostengünstigere Optionen benötigen. Sie profitieren jedoch nicht von zusätzlicher Sicherheit oder zusätzlichen Funktionen, die Sie von einem verwalteten WordPress-Hosting-Plan erhalten, wie z. B. automatische Updates und Backups. Außerdem haben Sie keinerlei Kontrolle darüber, wie ernst andere die Sicherheit ihrer Websites und digitalen Eigenschaften nehmen, die auf demselben Webserver gehostet werden.

9. Fehler beim Sichern Ihrer WordPress-Sites und -Datenbanken

Nehmen wir an, Sie haben Hunderte von Beiträgen und Seiten, herunterladbaren Inhaltsmaterialien, selbst gehosteten Videos, Mailinglisten und CRM-Daten in Ihrer WordPress-Plattform und in Ihren Datenbanken gespeichert. Nehmen wir auch an, Sie haben alle zuvor besprochenen Möglichkeiten sorgfältig befolgt, um Risiken zu minimieren Ihre WordPress-Site vor Malware-Bedrohungen, Datenschutzrisiken und Datenschutzverletzungen.

Aber was ist, wenn Ihre Site und Ihr Server plötzlich gehackt werden? Was ist, wenn die Angreifer Malware auf Ihrem Server installiert haben, die alle Ihre Ressourcen kopiert, bevor sie vollständig gelöscht werden? Das ist richtig – Sie haben jetzt keine Möglichkeit mehr, Ihre Inhalte, CRM-Daten, Mailinglisten usw. wiederherzustellen.

Es sei denn, Sie haben einen Schnappschuss der neuesten Version Ihrer gesamten Website und der digitalen Eigenschaften an einem sicheren Ort als Sicherungsdatei gespeichert. Jetzt müssen Sie nur noch Ihren Server von allen schädlichen Codes befreien, diese Sicherungsdatei wiederherstellen und Ihr Online-Geschäft ist jetzt wieder voll funktionsfähig. Obwohl natürlich alle privaten Daten und vertraulichen Informationen in Ihren Datenbanken und Servern kompromittiert wurden, ist das ein weiteres Problem.

Einfach ausgedrückt können WordPress-Backup-Dienste dabei helfen, einen Teil der Site oder sogar die gesamte Site wiederherzustellen. Aber vergessen Sie nicht, dass Sie Ihre Backup-Dateien immer an einem sicheren Ort oder sogar auf einem anderen Offline-Computer speichern sollten.

Webhosting-Unternehmen bieten oft die Möglichkeit, automatische und manuelle Backups für Ihre WordPress-Sites, Datenbanken und andere digitale Eigenschaften zu konfigurieren. Aber wenn du einen hast Shared-Hosting-Plan, dann ist es wahrscheinlich, dass diese Funktionen nicht im Paket enthalten sind.

10. Nicht das Beste aus den Standard-Sicherheitsfunktionen von WordPress herausholen

Ihre WordPress-Datenbank ist wie das Gehirn Ihrer Website. Sie haben vielleicht bemerkt, dass alle Tabellen in Ihrer WordPress-Datenbank mit dem Präfix „wp_“ beginnen. Dies macht es Hackern und Malware-Autoren jetzt einfacher, Tabellennamen zu erraten. Realistischerweise machen Sie einen großen Fehler, wenn Sie diese Einstellungen nicht anen.

Eine einfache Möglichkeit, dieses Problem zu beheben, besteht darin, dieses Präfix „wp_“ zu ändern, entweder zum Zeitpunkt der Installation von WordPress oder wenn die Site mithilfe eines Sicherheits-Plugins in Betrieb ist. Sie können dies auch manuell tun, falls Sie über ausreichende technische Erfahrung verfügen.

Das Ändern des Präfixes ist keine Aufgabe für Anfänger. Bei nicht ordnungsgemäßer Ausführung besteht die Gefahr, dass Ihre Website beschädigt wird. Wenn Sie also Zweifel an Ihren Programmierfähigkeiten haben, wird empfohlen, professionelle Ressourcen einzustellen.

11. Unzureichendes Scannen

SiteLock Website Security Insider hat 6 Millionen Websites analysiert und veröffentlicht Q2017-Bericht 4. Ihre Ergebnisse zeigen, dass eine Website im Jahr 2017 durchschnittlich rund 44 Mal pro Tag angegriffen wurde. Das sind 16,060 Angriffe pro Jahr.

Viele SEO-Profis sagen auch, dass sie, sobald eine Website gehackt wurde, bemerkt haben, dass viele dieser Websites aus den Google-Suchergebnissen deindexiert werden. Dies bedeutet, dass Sie in diesem Fall eine erhebliche Anzahl neuer Zuschauer und potenzieller Kunden verlieren können.

Es steht also zur Debatte, wie oft Sie Ihre Website auf potenziell bösartige Aktivitäten scannen sollten. Aber viele Cyber-Sicherheitsexperten empfehlen Ihnen, dies mindestens einmal pro Woche zu tun.

Wenn Sie einen Scan ausführen, sollten Sie ihn so konfigurieren, dass er jeden Ort überprüft, einschließlich Orte wie Ihre Datenbanken, Designs, Plugins und .htaccess-Dateien. Ein Scan sollte auch Malware-bezogene Schlüsselwörter wie „base64“ enthalten.

Regelmäßiges Scannen wird oft vergessen oder meist ignoriert. Viele wissen nicht, dass dies Sicherheitsvorteile bieten kann und auch, wie das Scannen ernsthaftere Probleme auf lange Sicht verhindern kann.

12. Hintertüren

Die meisten sind sich des Schadens bewusst, den Malware ihren digitalen Eigenschaften, Datenbanken, Client- und Server-Apps zufügen kann. Aber die Sucuri Remediation Group hat dies veröffentlicht 2017 Bericht, was darauf hinweist, dass 71 % von 34,371 infizierten Websites PHP-basierte Hintertüren haben. Da WordPress hauptsächlich ein PHP-basiertes CMS ist, weist derselbe Bericht darauf hin, dass 81% dieser infizierten Websites auf dieser Plattform laufen.

Das bedeutet auch, dass der bösartige Code, den Hacker hinterlassen, um Hintertüren bereitzustellen, oft wie eine normale WordPress-Datei aussieht. Dies macht es n mit Anfänger- bis durchschnittlicher Erfahrung in der Remote-Systemsicherheit schwierig, diese Malware-Komponenten aus ihren WordPress-Installationen zu erkennen und zu entfernen. Um Ihnen zu helfen – hier sind drei der Hauptbereiche, in denen Sie nach Hintertüren in Ihrer WordPress-Site suchen sollten:

• In Kern-Wordpress-Ordnern;
• In neuen Ordnern (auch wenn sie nicht schädlich aussehen); und
• In Plugins und Themes.

8 schnelle und einfache Möglichkeiten zum Schutz von WordPress

Viele der oben genannten Probleme können durch einige DIY-Lösungen (Do it yourself) verhindert werden. Diese können die Sicherheitsmaßnahmen und Schutzprotokolle Ihrer WordPress-Sites erheblich verbessern. Außerdem sind keine Expertenkenntnisse in Webprogrammierung und technischer Cybersicherheit erforderlich, um diese schnellen und einfachen Möglichkeiten zu implementieren:

1. WordPress Plugins & Themes testen

Eine der besten Möglichkeiten, die Qualität Ihrer Plugins zu überprüfen, besteht darin, a Plugin-Test. Dadurch wird überprüft, ob Ihr Plugin Codefehler aufweist oder Ihre Site wahrscheinlich langsamer macht. Tests sind in der Lage, Codeblöcke zu überprüfen, um sicherzustellen, dass sie das tun, was sie tun sollen.

Plugin Security Scanner ist ein Plugin zum Testen von Plugins! Es überprüft alle Ihre Plugins mit dem in der WPScan-Sicherheitslückendatenbank. Der tägliche Scan überprüft Plugins und Themes auf mögliche Sicherheitsprobleme.

Eine weitere gute Option ist es, die Bewertungen zu überprüfen, die die Leute zu einem bestimmten Plugin oder Thema hinterlassen haben. Dazu braucht es mehr als nur zu sehen, wie viele Sterne das Plugin oder Theme hat. Versuchen Sie, die guten und die schlechten Bewertungen durchzulesen.

Folgen Sie den Kommentaren zur Überprüfung. Manchmal gibt eine Person eine schlechte Bewertung ab, weil sie nicht wusste, wie man die Funktionen richtig verwendet, oder weil sie ein bestimmtes Problem mit der von ihnen entwickelten Website hatte. Es bedeutet nicht, dass Ihnen dasselbe ieren wird. Es ist immer ein gutes Zeichen, wenn der Ersteller des Plugins oder Themes einen Kommentar zur Bewertung abgegeben hat. Es zeigt, dass ihnen ihr Produkt am Herzen liegt.

Nur weil ein Plugin kostenlos oder billig ist, heißt das nicht, dass es nicht sicher ist. Aber es lohnt sich, es zu überprüfen, bevor Sie es in Ihrer WordPress-Site installieren.

2. Frühjahrsputz deiner WordPress-Plugins

Das Horten von Plugins kann zu mehr als nur Sicherheitsproblemen führen. Es kann Ihre WordPress-Site verlangsamen und auch bestimmte Kompatibilitätsprobleme mit Ihren aktiven Plugins und Themes verursachen. Da es so viele Optionen gibt, die Sie Ihrer WordPress-Site hinzufügen können, ist es einfach, nichts mit denen zu tun, die nicht mehr verwendet werden.

Aber das Deaktivieren von Plugins reicht nicht aus. Dadurch wird es nicht aus Ihrer Datenbank entfernt. Die einzige Möglichkeit, ein Plugin aus der Datenbank zu entfernen, besteht darin, es vollständig zu löschen. Das Löschen der Unordnung aus Ihrer Datenbank ist eine Möglichkeit, mehr Speicherplatz auf Ihrer Site freizugeben. Und denken Sie daran, ruhende, veraltete Plugins sind ein Traum von Hackern, da sie diese ausnutzen können, um leicht auf Ihre Website zuzugreifen.

Um ein Plugin zu löschen, das nicht verwendet wird, gehen Sie zuerst zu den installierten Plugins im Abschnitt Plugins Ihres Dashboards. Sie können die nicht verwendeten Plugins sehen, indem Sie auf "inaktiv" klicken. Von hier aus können Sie ein Plugin auswählen und es löschen.

Wenn Sie sich beim Löschen eines Plugins nicht sicher sind, weil Sie nicht wissen, ob Sie seine Funktionen auf Ihrer Website noch verwenden, können Sie alle Plugins aktualisieren. Durch die Automatisierung dieses Prozesses können Sie sowohl aktive als auch ruhende Plugins aktualisieren. Aber Vorsicht vor dieser Option, da nicht alle Updates für Themes und Plugins miteinander kompatibel sein werden.

3. Rollen in WordPress verwalten

Es ist wichtig, die Zugriffsrechte Ihrer Mitarbeiter für Ihre WordPress-Sites, Datenbanken und Webserver einzuschränken. Auf viele der Rollen, die Sie ihnen zuweisen, kann zugegriffen werden, ohne Ihr Super-wort zu teilen.

Außerdem ist es viel besser, weniger Benutzer mit Konten und verschiedenen Zugriffsrechten auf Ihre Ressourcen zu haben. Hier finden Sie weitere Informationen zu den verfügbaren Rollen in WordPress, die Ihnen bei der Auswahl des am besten geeigneten Kontotyps für jedes Ihrer Mitarbeiter helfen:

• – Der hat die größte Kontrolle über Ihre Site. Sie können Beiträge hinzufügen, bearbeiten und löschen sowie Plugins installieren und löschen. Aus Sicherheitsgründen können sie neue Benutzer hinzufügen und wörter verwalten.
• Editor — Ein Redakteur kann Beiträge ändern, bestehende Beiträge hinzufügen oder löschen. Sie haben keinen Zugriff auf Plugins oder Benutzerrollenkonfigurationen.
• Autor – Ein Autor kann seine eigenen Beiträge erstellen und seine Beiträge basierend auf jeder vorhandenen Kategorie veröffentlichen, bearbeiten oder löschen.
• Mitwirkender – Sie können Beiträge hinzufügen und bearbeiten. Aber sie können keine Inhalte veröffentlichen.
• Abonnent – ​​Das einzige, was ein Abonnent wirklich tun kann, ist sich bei Ihrer Website anzumelden, um sein Profil zu aktualisieren.
• SEO-Editor oder SEO-Manager — Beide Rollen dienen der Suchmaschinenoptimierung. Aber der SEO-Manager hat Zugriff auf mehr Einstellungen.

Wenn Sie Ihrer WordPress-Site Benutzer hinzufügen, stellen Sie sicher, dass Sie ihnen Konten unter den Rollen bereitstellen, die am besten für die Zugriffsberechtigungen geeignet sind, die sie zur Ausführung ihrer Aufgaben benötigen.

4. Sicherstellen, dass WordPress aktualisiert wird

Hiernach 2018 Bericht, sind etwa 72 % aller WordPress-Installationen weltweit (Stand des letzten Jahres) nicht auf die neueste Version aktualisiert. Dies bedeutet, dass diese die Arbeit eines Hackers fast viel einfacher machen.

Aber wussten Sie, dass dies schnell und einfach geht? Es gibt sogar 2 Möglichkeiten, WordPress auf dem neuesten Stand zu halten. Sprechen wir also über den bequemsten, den automatischen Weg. Um automatisierte Updates einzurichten, benötigen Sie ein Backup-System für den Fall, dass etwas schief geht. Sie müssen dann ein Plugin auswählen, das automatische Updates verwaltet.

Einfacher Update-Manager ist eines der beliebtesten Plugins für den Job. Sobald Sie das Plugin haben, können Sie die Einstellungen dieses Plugins so konfigurieren, dass sie Ihren Anforderungen am besten entsprechen.

Der andere Weg ist die manuelle Methode. Um WordPress manuell zu aktualisieren, kannst du entweder in deinem Dashboard auf „Updates“ klicken oder auf die beiden Pfeile klicken, die einen Kreis bilden. Denken Sie jedoch daran, dass Sie, wenn Sie dies manuell tun, daran denken müssen, dies von Zeit zu Zeit tatsächlich zu tun. Vergessen Sie auch nicht diese Hinweise, wenn Sie den Kern Ihrer WordPress-Installation aktualisieren:

• Sichern Sie Ihre Site;
• Plugins deaktivieren;
• Dateien abrufen;
• Aktualisieren Sie die Root-Installation;
• WP-Inhalt aktualisieren;
• Aktualisieren Sie alles andere;
• wp-Konfiguration prüfen;
• Aktualisieren Sie die Datenbank; und
• Plugins reaktivieren.

5. Umstellung auf Managed WordPress Hosting

Shared Hosting kann in Ordnung sein, wenn Sie gerade erst anfangen. aber das macht Ihre Site anfällig für die gleichen Sicherheitsrisiken wie alle anderen, die denselben Server teilen. Es lohnt sich also, so schnell wie möglich auf Managed WordPress Hosting umzusteigen.

Domainnamen.

Auf der anderen Seite kostet SiteGround etwa 3.95 USD im Monat. Sie sind für etwa 10,000 Besuche pro Monat geeignet. Obwohl Sie keinen kostenlosen Domainnamen erhalten, beträgt die durchschnittliche Ladezeit für eine Seite einer gehosteten WordPress-Site nur 0.74 Sekunden. Sowohl Bluehost als auch SiteGround bieten verwaltete WordPress-Hosting-Pläne an, die mit kostenlosen Backups gebündelt sind.

Und wenn Sie einen verwalteten WordPress-Hosting-Anbieter mit mehr Vorteilen bevorzugen, dann sind Kinsta oder WP Engine sehr empfehlenswerte Optionen. Diese Hosting-Unternehmen ermöglichen es Ihnen, Ihr Dashboard so anzuen, dass es einfacher und an Ihre Bedürfnisse anget ist. Kinsta kostet etwa 30 USD pro Monat, während WP Engine etwa 31.50 USD pro Monat kostet.

Die Managed-Hosting-Pläne von WP Engine sind etwas teurer, aber diese Pläne können ungefähr 25,000 Besuche pro Monat bewältigen. Dies sind 5000 mehr als das, was Kinsta über ihre verwalteten WordPress-Hosting-Pakete bietet. Außerdem haben Sie mit WP Engine mit 10 GB den doppelten Speicherplatz.

6. Verstärken von WordPress-s

Wie bereits beschrieben, verwenden Hacker automatisierte Tools, um innerhalb von Sekunden Tausende von möglichen Kombinationen aus Benutzername und wort einzugeben. Dies nennt man Brute-Force-Angriffe. WordPress blockiert standardmäßig einen Benutzer nicht automatisch nach einer bestimmten Anzahl von fehlgeschlagenen Versuchen.

Es wird daher empfohlen, eine Kontosperrungsrichtlinie einzurichten. Dadurch werden alle weiteren Versuche nach einer bestimmten Anzahl fehlgeschlagener Versuche blockiert. Und um Fehlalarme zu reduzieren, können Sie eine Sperrrichtlinie mit einer Zeitverzögerung einrichten. Nach jedem X-Versuch gibt es also einige Minuten Verzögerung, bevor der Benutzer erneut versuchen kann, sich bei Ihrer WordPress-Site anzumelden. Jeder fehlgeschlagene Versuch verlängert die Verzögerungszeit.

Außerdem sind das Kontrollkästchen „Ich bin kein Roboter“ und Tools wie reCAPTCHA großartige Möglichkeiten, Brute-Force-Angriffe zu stoppen. Wählen Sie außerdem nicht nur ein wort, das leicht zu erraten ist, denn die Chancen stehen gut, es ist auch leicht zu hacken. Kombinieren Sie also Groß- und Kleinbuchstaben, fügen Sie mindestens eine Zahl hinzu, verwenden Sie keine fortlaufenden Zahlen und verwenden Sie Sonderzeichen. Wenn Sie ein Problem mit dem Merken von wörtern haben, können Sie einen wort-Manager verwenden.

7. Sichern Sie Ihre WordPress-Sites und -Datenbanken

Wie bereits erwähnt, verfügt WordPress über eine Funktion, mit der Sie ein Backup Ihrer gesamten Site und Ihrer Datenbanken erstellen können, einschließlich der Konfigurationen von Themes und Plugins.

Dies ist jedoch nicht gut, wenn WordPress ein technisches Problem hat, das Sie daran hindert, diese Funktion zu verwenden oder auf Ihre neuesten Sicherungsdateien zuzugreifen. Daher ist es immer eine gute Idee, ein Backup Ihrer Website an verschiedenen Orten zu haben.

Einige entscheiden sich mit Bedacht dafür, ihre Sicherungsdateien auf Offline-Computern aufzubewahren, die sie vollständig kontrollieren. Andere entscheiden sich, diese in zu speichern Cloud-Server von Drittanbietern wie Dropbox und Google Drive. In der Zwischenzeit entscheiden sich einige für eines der vielen Plugins, die von WordPress verfügbar sind. Hier ein paar Beispiele:

• UpdraftPlus — Ein kostenloser Dienst, der von über 2 Millionen Websites genutzt wird;
• VaultPress — Es kostet 3.50 USD pro Monat, aber Sie erhalten Cloud-Backups in Echtzeit; und
• Blogtresor — Es sichert Ihre WordPress-Site und ermöglicht auch eine einfache Wiederherstellung. Sie müssen 89 USD pro Jahr bezahlen, um dies zu nutzen.

8. Maximierung der integrierten WordPress-Sicherheitsfunktionen

Abgesehen von Sicherheits-Plugins bietet WordPress eine Reihe von Möglichkeiten, die Sicherheit Ihrer Website zu verbessern. Hier sind einige Ideen, die Sie leicht umsetzen können:

• Ändern Sie den Standardbenutzernamen „“. Dadurch wird es für Brute-Force-Angriffe schwieriger, sich in Ihre Websites und Datenbanken einzudringen.
• Aktivieren Sie die Zwei-Faktor-Authentifizierung. Benutzer müssen sich mit einem Benutzernamen und einem wort anmelden und auch einen eindeutigen Authentifizierungscode eingeben. Dies ist ein bisschen wie der Code, den Sie auf Ihrem Handy oder per E-Mail erhalten, um eine Online-Zahlung zu bestätigen.
• Fügen Sie eine Sicherheitsfrage hinzu. Der WordPress-Anmeldebildschirm bietet die Möglichkeit, eine Sicherheitsfrage hinzuzufügen. Dies verbessert die Sicherheit Ihrer WordPress-Site; und
• Führen Sie Malware- und Sicherheitsscanner aus, selbst wenn Sie ein Sicherheits-Plugin haben. Es würde nicht schaden, Ihre Website über einen Online-Scanner eines glaubwürdigen Cybersicherheitsunternehmens zu betreiben.

Die Liste sieht zwar anstrengend aus, aber die meisten davon sind einmalige Jobs. Andere brauchen nicht viel Zeit. Aber alle von ihnen sind einfacher und billiger als gehackt zu werden.

Top 6 WordPress-Sicherheits-Plugins in diesem Jahr 2019

Es gibt viele Sicherheits-Plugins für WordPress. Aber wir haben heute 6 der beliebtesten ausgewählt. Obwohl sie meistens ähnliche Funktionen haben, haben einige mehr als andere einzigartige Funktionen, die Ihren Bedürfnissen am besten entsprechen. Außerdem sind die meisten dieser Plugins kostenlos, während einige sowohl kostenlose als auch Pro-Versionen haben:

1. Sucuri Sicherheit

Sucuri Inc. ist ein Unternehmen, das für seine Expertise in der Website-Sicherheit, insbesondere in WordPress, bekannt ist. Viele betrachten dies als eines der besten kostenlosen Sicherheits-Plugins heute. Die kostenlose Version optimiert die WordPress-Sicherheit und scannt Ihre Website auf Bedrohungen. Auf der anderen Seite verfügt die kostenpflichtige Version über eine Firewall, die Brute-Force-Angriffe und Malware blockiert. Hier sind einige seiner Hauptmerkmale:

• Überwachungsoptionen für Sicherheitsaktivitäten
• Überwachung der Dateiintegrität
• Nach Remote-Malware-Elementen und -Komponenten suchen
• Überwachung von Websites auf der schwarzen Liste
• Optimieren von Sicherheitsprotokollen
• Automatische Post-Hack-Sicherheitslösungen
• Warnungen und Benachrichtigungen zu wichtigen möglichen Sicherheitsproblemen

Sie bieten auch einen Bereinigungsservice an, wenn Ihre Website infiziert wurde. Besonders gut gefällt uns die Funktion „Fehlgeschlagene Anmeldungen“, die automatisch eine E-Mail an den Site- sendet, nachdem ein Benutzer eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche unternommen hat.

Die Installation des Sucuri-Plugins kann auch die Leistung und Geschwindigkeit Ihrer Website steigern. Die mit der kostenpflichtigen Version verfügbare Firewall ist laut vielen n weltweit eine der besten auf dem Markt.

2. iThemes Security

Das iThemes WordPress-Sicherheits-Plugin bietet viele Optionen zur Sicherung Ihrer Website. Diese schließen ein:

• Dateiintegritätsprüfungen
• Sicherheitshärtung
• Protokollversuche begrenzen
• Durchsetzung starker wörter
• 404 Erkennungen
• Brute-Force-Schutz

Wenn Sie sich für die Pro-Version entscheiden möchten, haben Sie auch eine Zwei-Faktor-Authentifizierung und einen Zeitplan für den Malware-Scan. wortablauf, Google reCAPTCHA und ein Dashboard-Widget sind auch in der Pro-Version verfügbar, um nur einige zu nennen.

Und dank des neuesten Updates ist das Konfigurationsfenster dieses WordPress-Sicherheits-Plugins jetzt viel einfacher zu bedienen. Aber denken Sie daran, wenn Sie neu in der WordPress-Sicherheit sind, lohnt es sich, die grundlegenden Konfigurationen durchzugehen, bevor Sie zu den erweiterten Einstellungen übergehen.

Außerdem bietet iThemes Sicherungsoptionen für Ihre WordPress-Datenbank. Aber um Ihre gesamte Site zu sichern, wird das BackupBuddy-Plugin dringend empfohlen.

3. WP-Backup

WP Backup ist ein leistungsstarkes Sicherheits-Plugin für WordPress. Es kann Brute-Force-Angriffe verhindern, verfügt über die Dateiintegrität und die Überwachung von Benutzerkonten. Es wird nach verdächtigen Mustern in Ihrer Datenbank suchen. Einige der anderen Funktionen dieses Plugins sind:

• Funktioniert problemlos auch in Umgebungen mit wenig Speicher und „Shared Host“-Umgebungen;
• Verwaltet mehrere Zeitpläne;
• Eine Option, um sich jede Sicherungsdatei per E-Mail zusenden zu lassen;
• Verwendet Zip und MySQL für schnellere Backups, falls sie verfügbar sind;
• Funktioniert auf Linux- und Windows-Server; und
• Ermöglicht Ihnen, bestimmte Dateien und Ordner von Ihren Backups auszuschließen.

Es ist ein einfach zu bedienendes Sicherheits-Plugin. Vorher müssen Sie nichts einrichten. Sie haben auch ein wirklich gutes -Team, das Ihnen hilft.

Darüber hinaus wird WP Backup in 12 weitere Sprachen übersetzt. Sie können Ihre Website jedoch gemäß dem neuesten Update nicht mehr auf Dropbox oder Google Drive sichern. WP Backup schlägt daher vor, Updraft Plus zu verwenden, wenn Sie Ihre gesamte Site sichern möchten.

4. WP All-in-One-Sicherheit und Firewall

Das Tolle an dem All-in-One-Sicherheits- und Firewall-Plugin ist, dass alles kostenlos ist. Es gibt keine -Versionen, also was Sie sehen, ist das, was Sie bekommen. Es ist voll von Grafiken und Messgeräten, die Ihre Sicherheitseinstellungen leicht ablesbar machen.

Jede der Einstellungen dieses Plugins ist in grundlegende, mittlere und erweiterte Konfigurationen unterteilt. Auf diese Weise können Sie Ihre Sicherheitseinstellungen bequem ändern, ohne sich Gedanken über eine falsche Konfiguration machen zu müssen, die Ihre Site beschädigen könnte. Einige der herausragendsten Funktionen dieses Plugins sind wie folgt:

• Blacklist-Tool, falls Sie Benutzer blockieren müssen;
• .htaccess- und wp-config-Dateien sichern;
• Schutz vor Brute-Force-Angriffen und Anzeige fehlgeschlagener Anmeldeversuche;
• Google reCAPTCHA hinzufügen; und
• Firewalls, um zu verhindern, dass Malware auf Ihre Website gelangt.

Dieses Plugin hat zum Zeitpunkt dieses Schreibens insgesamt mehr als 800,000 Installationen. Sie können es in Englisch oder einer der 9 anderen Sprachen herunterladen. Insgesamt ist es ein ausgezeichnetes Sicherheits-Plugin für Anfänger.

5. Wordfence

Wordfence ist ein sehr beliebtes Sicherheits-Plugin mit über 3 Millionen Installationen. Die kostenlose Version enthält einen leistungsstarken Malware-Scanner und eine Reihe von Funktionen zur Exploit-Erkennung und Bedrohungsbewertung. Dieses Plugin wird auch sofort alarmieren und Ihnen Anweisungen zur Behebung geben, falls die böswillige Aktivität auf Ihrer WordPress-Site entdeckt wurde.

Die -Version von Wordfence kostet 99 USD, aber wenn Sie planen, mehrere Websites zu betreiben, können Sie auf ermäßigte Preise zugreifen. Denken Sie jedoch daran, dass die kostenlose Version für kleinere WordPress-Sites leistungsstark genug ist. Die kostenlose Version beinhaltet:

• Webanwendungs-Firewall;
• Überprüft Ihre Website auf bekannte Schwachstellen und warnt Sie vor möglichen Sicherheitsproblemen;
• Scannt nach gefährlichen URLs;
• Zwei-Faktor-Authentifizierung;
• -Seite CAPTCHA; und
• Überwacht Plugins, um Sie zu informieren, wenn sie nicht mehr verfügbar sind.

Wenn Sie möchten, können Ihre Sicherheitswarnungen per E-Mail, SMS oder sogar Slack gesendet werden. Wordfence ist auch in Englisch und Spanisch verfügbar.

6. Bulletproof

Bulletproof bietet eine erstaunliche Reihe von Funktionen, sowohl durch das kostenlose Plugin als auch durch die kostenpflichtige Version. Ersteres verfügt über einen Anti-Exploit-Guard und den Online-Base64-Decoder, was viele Entwickler attraktiv finden. Für diejenigen, die nicht ganz Experten sind, können Sie den Einrichtungsassistenten verwenden, um den Vorgang zu vereinfachen. Weitere Vorteile sind:

• -Tracking, Überwachung und Sicherheitsverbesserungen;
• Wiederherstellung und Sicherung von Datenbanken;
• Anti-Hacking- und Spam-Filtertools;
• MScan Malware-Scanner;
• Automatische Erstellung von Sicherheitsprotokollen;
• Versteckte Plugin-Ordner; und
• Wartungsmodus.

Wenn Sie auf die Pro-Version upgraden möchten, zahlen Sie einmalig 69.95 USD. Bulletproof bietet außerdem eine 30-tägige Geld-zurück-Garantie. Die Liste der -Funktionen ist riesig, und einige davon umfassen:

• Datenbanküberwachung, Backup und Status & Info;
• Abmelden von Leerlaufsitzungen;
• Frontend- und Backend-Wartung; und
• HTTP- und PHP-Fehlerprotokollierung.

Bulletproof deckt mehr potenzielle Sicherheitsprobleme ab als andere Sicherheits-Plugins. Dies gilt sowohl für die kostenlose als auch für die kostenpflichtige Version.