Werbung
Das Betreiben einer WordPress-basierten Website ist oft ein Vergnügen, sodass Sie sich auf Inhalte konzentrieren und Beziehungen zu Lesern und anderen Websites aufbauen können.
Allerdings ist nicht jeder im Web so freundlich wie Sie. Irgendwo da draußen gibt es eine Liste mit dem Namen Ihres Blogs, in der es sich befindet und darauf wartet, von Hackern angegriffen zu werden. Wenn sie zu Ihrem Blog gelangen, versuchen sie verschiedene Taktiken, um Zugriff darauf zu erhalten, möglicherweise mit dem Ziel, legale Drogen zu verkaufen oder die Computer Ihrer Besucher mit Malware zu infizieren.
Glücklicherweise gibt es verschiedene Möglichkeiten, wie Sie Ihr WordPress-Blog vor Hackern schützen können.
Aktualisieren Sie WordPress regelmäßig
Eine der leistungsstärksten, aber häufig übersehenen Lösungen, um WordPress vor Hackern zu schützen, besteht darin, sicherzustellen, dass es regelmäßig aktualisiert wird.
Offensichtlich hat dies einen Nachteil - einige von Ihnen besten WordPress-Plugins Die besten WordPress Plugins Weiterlesen
funktioniert möglicherweise nicht mehr, wenn WordPress aktualisiert wird - aber gleichzeitig sollte dies als Gelegenheit dazu angesehen werden Aktualisieren Sie Ihre Plugins, finden Sie Ersatz, der selbst sicher und zuverlässig ist, und optimieren Sie Ihre Website im Grunde oder Blog. Das Festhalten an Plugins im WordPress-Verzeichnis ist auch eine gute Möglichkeit, die Dinge unter Kontrolle zu halten.Das Aktualisieren von WordPress ist über das Dashboard möglich. Erstellen Sie jedoch immer eine Sicherungskopie Ihrer Datenbank, bevor Sie dies tun.
Führen Sie regelmäßige Backups durch
Ein wichtiges Verfahren für alle WordPress-Blog-Besitzer besteht darin, sicherzustellen, dass regelmäßig Backups erstellt werden und dass sie im schlimmsten Fall problemlos wiederhergestellt werden können.
Es gibt viele Lösungen, aber Cloudsafe365 ist eines der leistungsstärksten, das Cloud-Backup (Dropbox kann verwendet werden) mit kombiniert Verschiedene sichere Schutzwerkzeuge gegen Techniken wie Cross Site Scripting, SQL Injection und sogar die Überwachung von Inhalten Diebstahl.
Cloudsafe365, erhältlich bei der WordPress Plugins Seitekommt in drei Geschmacksrichtungen. Eine kostenlose Option deckt die oben aufgeführten Punkte ab, während die kostenpflichtigen Optionen weitere Funktionen wie den Schutz vor Code-Injection und Brute-Force-Angriffen bieten.
Installieren Sie ein verschlüsseltes Login-Plugin
Der Schutz der tatsächlichen Anmeldung bei Ihrer WordPress-basierten Website erfolgt am besten mithilfe eines verschlüsselten Anmelde-Plugins, da die Website-Software diese Funktion standardmäßig nicht bietet. Die wahrscheinlich beste Lösung dafür - perfekt, um Ihre Blog-Anmeldedaten vor Paket-Sniffern in drahtlosen Netzwerken zu schützen - ist Kapitel Sichere Anmeldung, der den SHA-256-Algorithmus verwendet, um Ihren Benutzernamen und Ihr Passwort zu schützen.
Inzwischen die Anmeldesperre Das Plugin ist eine nützliche Methode zum Blockieren von IPs, die wiederholte fehlgeschlagene Versuche auf Ihre Site aufzeichnen.
Weitere Anmeldeschutzschritte, die Sie ausführen können, sind die Installation eines starken CAPTCHA-Plugins. RetinaPost ist ein besonders beeindruckendes Plugin, bei dem Benutzer hervorgehobene Zeichen aus einer Phrase eingeben müssen, anstatt zu versuchen, fehlerhafte Textbilder zu entschlüsseln oder mathematische Herausforderungen zu bewältigen. Alle Versuche, Ihr Blog mithilfe des Kommentarsystems zu stören, können mit diesem Plugin deutlich reduziert werden.
"Powered by WordPress" ausblenden
Hacker haben eine andere Taktik für jede der verschiedenen Arten von Website-Software, die verwendet wird, aber Sie können die Dinge schwieriger machen, indem Sie nicht dafür werben, dass Ihre Website „Powered by WordPress ”.
Standardmäßig finden Sie diese Informationen in der Datei footer.php. Sie erreichen sie, indem Sie das Dashboard Ihres Blogs aufrufen und auswählen Aussehen> Editor im Browserfenster bearbeiten. Unterschiedliche Themen erfordern unterschiedliche Methoden zum Entfernen dieses Textes. Sie sollten daher online nach dem besten Ansatz suchen (wenn zum Anzeigen der Legende einfacher Text verwendet wird, löschen Sie diesen; Wenn PHP-Code verwendet wird, gehen Sie vorsichtig vor, es sei denn, Sie wissen, was Sie tun.
Ändern Sie den Administrator-Benutzernamen
Eine Möglichkeit, wie Hacker einen Weg in Ihre Website finden können, ist die Verwendung von Brute-Force-Software, die dies versucht Mehrfachanmeldungen mit gemeinsamen Wörtern und Phrasen als Passwörtern, gepaart mit einer Auswahl offensichtlicher Benutzernamen.
Der Administrator-Benutzername in WordPress kann ausgewählt werden, wenn die Software eingerichtet wird. In der Eile, Dinge zu erledigen, belassen viele Benutzer die Standardeinstellung "admin". Bei offensichtlichen Benutzernamen steht dies ganz oben auf der Liste, weshalb es wichtig ist, es zu ändern.
Es gibt zwei Möglichkeiten, den Administrator-Benutzernamen zu ändern. Zunächst können Sie ein zweites Administratorkonto mit einem nicht offensichtlichen Benutzernamen erstellen und dann den ursprünglichen Benutzer löschen. Beachten Sie jedoch, dass dies Auswirkungen auf Artikel haben kann, die unter dem Administratorkonto geschrieben wurden (sie werden möglicherweise erst veröffentlicht, wenn ein neuer Name festgelegt wurde, oder es wird ein Fehler auf der Postseite angezeigt).
Der wahrscheinlich effektivste Weg, dies zu tun, besteht darin, auf phpMyAdmin Ihrer Site zuzugreifen und WordPress auszuwählen Suchen Sie in der Datenbank nach der Tabelle wp_users ("wp_" ist ein Standardpräfix, das möglicherweise bei der Installation geändert wurde) und benutze die Durchsuche Symbol, um den Benutzernamen "admin" zu finden.
Suchen Sie nach der Spalte user_login und klicken Sie auf bearbeiten Klicken Sie in der entsprechenden Zeile auf die Schaltfläche und ändern Sie "admin" in den bevorzugten Anmeldenamen Ihres Administratorkontos. Klicken Sie dazu auf Gehen wenn du fertig bist.
Verschieben Sie die wp-config-Datei
Ein eklatantes Problem bei WordPress ist, dass die wichtigsten Sicherheitsdetails in einer einzigen, unverschlüsselten Datei gespeichert sind, die gehackt und zur Kontrolle Ihres Blogs verwendet werden kann. Die Datei wp-config.php enthält die Anmeldedaten des Administrators sowie den Benutzernamen und das Kennwort für die MySQL-Datenbank.
Daher ist die Sicherung dieser Datei von größter Bedeutung, wenn Sie die Site vor Hackern schützen möchten.
Eine Sache, die Sie jedoch nicht tun sollten, ist das Löschen von wp-config - dies würde Ihre Site unbrauchbar (und eher leer) machen. Wie schützen Sie Ihre Website vor dieser bizarren Sicherheitsanfälligkeit?
Seit der Veröffentlichung von WordPress 2.8 haben Blog-Besitzer die Möglichkeit, die Datei in das Stamm-Webverzeichnis auf dem Server zu verschieben. Dies bedeutet beispielsweise, dass Sie Ihre Site installiert haben www.mysite.com/wordpressDie Datei wp-config.php kann eine Ebene höher in das Verzeichnis mysite verschoben werden.
Fazit
Unabhängig davon, wie technisch oder nicht technisch Sie sind, gibt es beim Betreiben eines WordPress-Blogs keine Entschuldigung, einige oder alle dieser Tools nicht zu implementieren, um Ihre Website vor Hackern zu schützen.
Was bringt es, all diese harte Arbeit zu investieren, um festzustellen, dass jemand die Website übernommen hat und Sie jetzt Ihre regelmäßigen Besucher durch Werbung für Viagra kostet?
Diese Schritte können in nur wenigen Stunden ausgeführt werden - vielleicht an einem einzigen Wochenendmorgen, wenn Sie unter Zeitdruck stehen - also ignorieren Sie nicht, handeln Sie jetzt.
Christian Cawley ist stellvertretender Redakteur für Sicherheit, Linux, DIY, Programmierung und Tech Explained. Er produziert auch The Really Useful Podcast und verfügt über umfangreiche Erfahrung im Desktop- und Software-Support. Christian ist ein Mitarbeiter des Linux Format Magazins und ein Bastler von Raspberry Pi, Lego-Liebhaber und Retro-Gaming-Fan.
