Menu
Sicherheit von WordPress WebSites

Sicherheit von WordPress-Websites

Als beliebtestes Content-Management-System ist WordPress anfällig für vermehrte Hackerangriffe. Sie verwenden Bots, die das Internet nach Installationen mit Schwachstellen durchsuchen. Anschließend nutzen sie diese Schwachstellen zu ihrem Vorteil aus. Wie können Sie die Sicherheit Ihrer WordPress-Website beeinflussen und sich vor Angriffen schützen? Darum soll es in diesem Artikel gehen.

Wie Sie auf dem beigefügten Bild sehen können, das nur einen Ausschnitt des aufgezeichneten Datenverkehrs zeigt, kommen die Angriffe aus der ganzen Welt. Innerhalb weniger Stunden haben wir Bot-Angriffe aus 10 Ländern beobachtet. Wir fügen noch ein paar Zahlen hinzu: Unten sehen Sie die Statistiken zur Angriffsabwehr für 4 unserer Websites. Dies wird durch das Wordfence-Plugin unterstützt.

Es sieht so aus, als ob die Anzahl der Angriffe direkt mit der Menge des Datenverkehrs auf der Website zusammenhängt. Ganz unten im Bild – für alle, die es gerne etwas genauer wissen wollen – eine Grafik, die die Kämpfe des gesamten Wordfence-Netzwerks zeigt, d. h. alle abgewehrten Angriffe von bestehenden Installationen auf der ganzen Welt. Dies vermittelt eine Vorstellung davon, womit wir es zu tun haben.

Deshalb tun wir unser Bestes, um unsere WordPress-Sites zu schützen. Natürlich bieten wir auch die Möglichkeiten, die Websites unserer Kunden zu schützen.

FAKTOREN, DIE DIE SICHERHEIT IHRER WORDPRESS-SITE BEEINFLUSSEN:

– Wir verwenden nur getestete Vorlagen und Plugins und begrenzen deren Anzahl.

– Wir aktualisieren sehr häufig und halten WordPress, Plugins und Vorlagen praktisch immer auf dem neuesten Stand der Versionen.

– Wir beobachten regelmäßig, was auf unseren Websites passiert, z. B. durch Sicherheitsberichte.

– Die Daten unserer Kunden sind dank regelmäßiger Backups sicher.

– Ein Sicherheits-Plugin – Wordfence – in jeder WordPress-Seite.

– Wir verwenden nur zuverlässige Serveranbieter.

– Wenn eine Störung auftritt, kümmern wir uns mit höchster Priorität, diese zu beheben.

Sicherheit von WordPress-Websites – nur geprüfte Vorlagen und Plugins in begrenzter Anzahl

Die Sicherheit unserer Websites wird unter anderem durch die richtige Auswahl der von uns verwendeten Tools gewährleistet. Dank unserer langjährigen Erfahrung haben wir eine sorgfältige Auswahl von Plugins und Vorlagen getroffen, die den Anforderungen unserer Qualitätspolitik entsprechen. Andernfalls – wenn ein Plugin oder eine Vorlage von einem nicht verifizierten Autor/einer verdächtigen Quelle stammt – erhöht sich die Wahrscheinlichkeit, dass der Code eine Sicherheitslücke aufweist, die ein Hacker ausnutzen kann.

Aus diesem Grund verwenden wir in unseren Projekten grundsätzlich nur Astra (Brainstorm Force) und Themify-Vorlagen. Sie sind schnell, hoch konfigurierbar und zuverlässig.

Die genannten Unternehmen verfügen außerdem über eine Reihe leistungsstarker Plug-ins, die es uns ermöglichen, die grafischen Vorlagen unserer Websites frei zu erweitern und andere notwendige Tools hinzuzufügen.

Was uns jedoch am meisten interessiert – wir haben Vertrauen in diese Softwareentwickler. Wir sind mit der bisherigen Zusammenarbeit sehr zufrieden. Wir wissen, dass eventuelle Lücken sofort behoben werden, denn bei einem so großen Unternehmen kann man sich keine Fehler leisten. Die Produkte von Astra werden von mehr als 1 600 000 WP-Installationen genutzt, und Themify kann sich einer riesigen Zahl von Nutzern erfreuen. Das sind bis zu 113.873 Menschen, die ihre Dienste seit 2010 nutzen.

Plug-ins auf ein Minimum beschränken

Wir achten nicht nur auf die Quelle und die vertrauenswürdige Urheberschaft, sondern versuchen auch, die Anzahl der verwendeten Plug-ins auf das notwendige Minimum zu beschränken. Im Moment sind das etwa 20 Plug-ins. Im Allgemeinen achten wir darauf, was wir auf unseren Websites installieren, und überladen sie nicht unnötig. Wenn wir etwas ohne Plug-ins tun können, tun wir es gerne. Denn bei der Installation von Plug-ins müssen wir auf ihre Aktualisierungen achten und ihre Quelle überprüfen. Jedes Plug-in ist ein potenzielles Einfallstor für Hacker, die versuchen, in Ihre Website einzudringen.

Häufige Updates sind der Schlüssel zu einer sicheren WordPress-Website

Sehr häufige Aktualisierungen sind zeitaufwändig, aber für den Seelenfrieden unerlässlich. Es erfordert Wachsamkeit, ein methodisches Vorgehen und einen kühlen Kopf 🙂 .

Was tun wir nicht alles unseren Kunden zuliebe? Sehr selten geht bei einer Aktualisierung etwas schief, aber Probleme lassen sich nicht völlig ausschließen. Wenn doch einmal etwas passiert, erfordert es eine schnelle Reaktion und Kenntnis von WordPress. Wir nehmen jeden Fehler sehr ernst, lassen alles stehen und liegen und beheben das Problem schnellstmöglich. Um ein Backup brauchen Sie sich nicht zu kümmern, das dauert in der Regel nicht lange.

Wir stellen den stabilen Betrieb der Website wieder her, dann ist es an der Zeit, sie zu analysieren und Schlussfolgerungen zu ziehen.

Eine weitere Ebene des Schutzes der Daten unserer Kunden sind Backups. Diese werden regelmäßig durchgeführt und ermöglichen uns die Wiederherstellung von Dateien oder Datenbanken bis zu 14 Tage, bevor das Problem bemerkt wurde.

Wir arbeiten mit zuverlässigen Serverdienstleistern zusammen. Wenn etwas schief geht, haben wir direkten Kontakt zu ihnen. Dies gilt insbesondere dann, wenn das Problem mit der Umgebung des Rechners und seiner Software zusammenhängt, auf dem die Website physisch installiert ist.

Sicherheitsberichte

Wir behalten regelmäßig ein Auge darauf, was auf unseren Websites passiert, zum Beispiel durch Sicherheitsberichte. Und hier kommen wir langsam zur letzten Komponente – das Wordfence-Plugin. Es blockiert die Ausführung von bösartigen Skripten auf unserer Website. Es schützt WP-Schwachstellen, sichert sensible Ordner/Dateien und führt viele weitere Funktionen aus.

Jede unserer Websites verfügt über ein optimal konfiguriertes Wordfence-Plugin, das nicht nur ad hoc hilft – zum Beispiel durch On-Demand-Scans oder Live-Tracking des Sicherheitsverkehrs auf der Website – sondern auch langfristig. Langfristig hilft es, indem es Berichte mit Informationen über verdächtige Aktivitäten und Probleme mit z. B. einem veralteten Plug-in sendet. Auf diese Weise werden wir sehr schnell gewarnt, wenn etwas Schlimmes auf unserer Website passiert, und können das Problem ausdrücklich beheben.

Da wir viele Projekte durchgeführt haben, ist das Wordfence Central-Tool sehr nützlich. Es macht es einfach, Dutzende von Websites in kurzer Zeit zu überprüfen, da sie an einem Ort aufgelistet sind und kurz angezeigt wird, ob etwas passiert, das Aufmerksamkeit erfordert.

Wordfence – Was ist das?

Wordfence ist ein WordPress-spezifisches Plugin, das die Sicherheit von Websites, die auf diesem CMS gehostet werden, verbessern soll. Die kostenlose Version von Wordfence bietet umfangreiche Funktionen wie eine Firewall, einen Sicherheitsscanner, die Sicherung von WordPress-Logins mit zweistufiger 2FA-Authentifizierung und die Sperrung des Zugriffs auf bestimmte IPs.

Im letzten Teil des Artikels werde ich versuchen darzustellen, warum sich so viele Menschen für Wordfence entschieden haben. Zum Zeitpunkt der Erstellung dieses Artikels hat Wordfence über 4 Millionen aktive Installationen. Im Vergleich dazu wird der zweitgrößte Marktteilnehmer iThemes Security (ehemals Better WP Security), der seit einigen Jahren dem hier besprochenen Plugin unterlegen ist, in rund 1 Million aktiven Worpdress-Systemen eingesetzt. Es übertrifft auch seinen zweitgrößten Konkurrenten auf dem Markt für Sicherheitsplugins, Sucuri Security, in Bezug auf seine Popularität.

Wie alles in unserem Leben haben auch die genannten Plug-ins ihre Vor- und Nachteile, und in diesem Artikel geht es nicht darum, zu entscheiden, ob das beliebteste das beste ist. Wenn wir vor dieser Wahl stehen, muss die Entscheidung daher auf der Grundlage dessen getroffen werden, was wir und die von uns unterstützten Websites am meisten benötigen.

Wordfence-Funktionen:

  • WordPress-Firewall
  • Sicherheits-Scanner
  • Signaturdatenbank für Scanner und Firewall
  • Schutz vor BruteForce-Angriffen
  • Sichere Protokollierung
  • Wordfence-Zentrale
  • Überwachung von Bedrohungen in Echtzeit

WORDFENCE-FIREWALL

Enthält eine Web Application Firewall (WAF), die bösartigen Datenverkehr, Code und Inhalte identifiziert und blockiert. Schützt vor Brute-Force-Angriffen durch Begrenzung der Anmeldeversuche, Erzwingung starker Passwörter und andere Sicherheitsmaßnahmen für die Anmeldung, z. B. die zweistufige Authentifizierung (2FA).

SICHERHEITSSCANNER

Überprüft Dateien, Themes und Plugins auf Malware, schlechte URLs, Backdoors, SEO-Spam, bösartige Weiterleitungen und Code-Injektionen. Überwacht Sicherheitsschwachstellen, verlassene und nicht unterstützte Plugins, prüft Dateien auf Integrität, prüft die Sicherheit von Dateiinhalten, Beiträgen und Kommentaren.

SIGNATURDATENBANK FÜR SCANNER UND FIREWALL

Rüstet das Plugin mit Firewall-Regeln, Malware-Signaturen und bösartigen IP-Adressen aus. Da Wordfence eine so große Anzahl von Websites schützt, hat es einen beispiellosen Zugang zu Informationen darüber, wie Hacker in Websites eindringen, woher Angriffe kommen und welchen bösartigen Code sie hinterlassen.

SCHUTZ VOR BRUTEFORCE-ANGRIFFEN

Bei BruteForce-Angriffen wird eine große Anzahl von wiederholten Versuchen unternommen, einen Benutzernamen und ein Passwort zu erraten, um Zugriff auf den WordPress-Verwaltungsbildschirm zu erhalten. Diese Angriffe sind automatisiert und die zum Erraten verwendeten Benutzernamen und Passwörter stammen in der Regel aus großen Datenlecks. Wordfence begrenzt die Anzahl der Anmeldungen und blockiert Benutzer, die versuchen, einen ungültigen Benutzernamen zu verwenden. Darüber hinaus bietet es Schutz durch Funktionen wie die Erzwingung starker Passwörter, die Verhinderung der Erkennung von Benutzernamen oder die Sperrung der Verwendung von Passwörtern, die bei Datenschutzverletzungen durchgesickert sind, usw.

SICHERES LOGIN

Mit dieser Lösung haben wir Zugriff auf Funktionen wie die Zwei-Faktor-Authentifizierung, XML-RPC-Schutz und eine CAPTCHA-Anmeldeseite.

– Zwei-Faktor-Authentifizierung – Die Zwei-Faktor-Authentifizierung (2FA) fügt den Benutzerkonten eine zweite Sicherheitsebene hinzu. Sie erfordert nicht nur die Eingabe eines Passworts, sondern auch eine zweite Information, auf die nur der Benutzer Zugriff hat.

– XML-RPC-Schutz – XML-RPC ist die Schnittstelle, über die WordPress mit anderen Anwendungen kommuniziert, und ist ein Ziel für Angriffe, die die Sicherheit der Website gefährden. Der Wordfenc-Anmeldeschutz ermöglicht es Ihnen, XML-RPC zu sichern, indem Sie es mit 2FA schützen oder es vollständig deaktivieren.

– CAPTCHA-Logins – Wordfence Login Security ermöglicht es Ihnen, CAPTCHAs auf Login- und Registrierungsseiten zu aktivieren und damit eine wichtige Sicherheitsebene für Ihre Website zu schaffen.

WORDFENCE CENTRAL

Bietet eine effiziente Möglichkeit, die Sicherheit mehrerer WordPress-Websites über ein einziges Dashboard zu verwalten, das Ihnen die Anzeige und Verwaltung von Sicherheitsergebnissen sowie die Konfiguration des Wordfence-Plugins ermöglicht.

ECHTZEIT-BEDROHUNGSÜBERWACHUNG

Zeichnet Datenverkehr auf Serverebene auf, z. B. Besuche von Google/Bing-Robotern, Hacking-Versuche und andere Besuche, bei denen kein Javascript-Code ausgeführt wird.

Die oben aufgeführten Komponenten machen es lohnenswert, Wordfence als Haupttool für die Sicherheit unserer WordPress-Sites einzusetzen.

Wenn wir die richtigen Schritte unternehmen und den Status unserer WordPress-Site regelmäßig überwachen, können wir Unannehmlichkeiten vermeiden und die Sicherheit unserer Site gewährleisten. Denn der Schlüssel zu einer sicheren Website liegt in der ständigen Wartung des Backends und der Verwendung einer mehrstufigen Sicherheit. Wenn auch Sie möchten, dass wir uns um die Sicherheit Ihrer Website kümmern, füllen Sie bitte das Kontaktformular aus. Fast jeder, der über Grundkenntnisse verfügt, kann eine Website einrichten. Profis können sich um die Sicherheit kümmern.

Related Posts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WhatsApp Kontentiert