14 wichtige Tipps zum Schutz Ihres WordPress-Admin-Bereichs (aktualisiert)
Sehen Sie viele Angriffe auf Ihren WordPress-Adminbereich? Wenn Sie den Admin-Bereich vor unbefugtem Zugriff schützen, können Sie viele gängige Sicherheitsbedrohungen blockieren. In diesem Artikel zeigen wir Ihnen einige wichtige Tipps und Hacks zum Schutz Ihres WordPress-Administrationsbereichs.
1. Verwenden Sie eine Website-Anwendungsfirewall
Eine Firewall für eine Website-Anwendung oder ein WAF überwacht den Website-Verkehr und verhindert, dass verdächtige Anfragen auf Ihre Website gelangen.
Obwohl es mehrere WordPress-Firewall-Plugins gibt, empfehlen wir die Verwendung von Sucuri. Hierbei handelt es sich um einen Website-Sicherheits- und Überwachungsdienst, der eine Cloud-basierte WAF zum Schutz Ihrer Website bietet.
Der gesamte Datenverkehr Ihrer Website wird zuerst über den Cloud-Proxy geleitet. Dort wird jede Anfrage analysiert und verdächtige Anfragen daran gehindert, jemals Ihre Website zu erreichen. Dadurch wird verhindert, dass Ihre Website Hackerversuche, Phishing, Malware und andere schädliche Aktivitäten durchführt.
Für weitere Informationen erfahren Sie, wie Sucuri uns half, 450.000 Angriffe in einem Monat zu blockieren.
2. Passwortschutz für WordPress Admin Directory
Ihr WordPress-Adminbereich ist bereits durch Ihr WordPress-Passwort geschützt. Durch das Hinzufügen eines Kennwortschutzes zu Ihrem WordPress-Admin-Verzeichnis wird Ihrer Website jedoch eine weitere Sicherheitsebene hinzugefügt.
Melden Sie sich zunächst in Ihrem WordPress-Hosting-cPanel-Dashboard an und klicken Sie dann auf das Symbol "Kennwortschutz für Verzeichnisse" oder "Verzeichnis-Datenschutz".
Als Nächstes müssen Sie Ihren WP-Admin-Ordner auswählen, der sich normalerweise im Verzeichnis / public_html / befindet.
Auf dem nächsten Bildschirm müssen Sie das Kontrollkästchen neben der Option "Kennwort schützen dieses Verzeichnis" aktivieren und einen Namen für das geschützte Verzeichnis angeben.
Danach klicken Sie auf die Schaltfläche "Speichern", um die Berechtigungen festzulegen.
Als Nächstes müssen Sie die Zurück-Taste drücken und dann einen Benutzer erstellen. Sie werden aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. Klicken Sie anschließend auf die Schaltfläche Speichern.
Wenn nun jemand versucht, das WordPress-Admin- oder WP-Admin-Verzeichnis auf Ihrer Website aufzurufen, werden Sie aufgefordert, den Benutzernamen und das Kennwort einzugeben.
Detaillierte Anweisungen finden Sie in unserem Handbuch zum Kennwortschutz für das WordPress-Administrationsverzeichnis (wp-admin).
3. Verwenden Sie immer starke Passwörter
Verwenden Sie immer sichere Kennwörter für alle Ihre Online-Konten, einschließlich Ihrer WordPress-Site. Wir empfehlen, in Ihren Passwörtern eine Kombination aus Buchstaben, Zahlen und Sonderzeichen zu verwenden. Dies erschwert es Hackern, Ihr Passwort zu erraten.
Wir werden oft von Anfängern gefragt, wie sie sich all diese Passwörter merken können. Die einfachste Antwort ist, dass Sie nicht brauchen. Es gibt einige wirklich großartige Passwort-Manager-Apps, die Sie auf Ihrem Computer und Telefon installieren können.
Weitere Informationen zu diesem Thema finden Sie in unserem Handbuch, wie Sie Kennwörter für WordPress-Anfänger am besten verwalten können.
4. Verwenden Sie die Bestätigung in zwei Schritten für den WordPress-Anmeldebildschirm
Durch die Bestätigung in zwei Schritten wird Ihren Passwörtern eine weitere Sicherheitsebene hinzugefügt. Anstatt nur das Passwort zu verwenden, werden Sie aufgefordert, einen Bestätigungscode einzugeben, der von der Google Authenticator-App auf Ihrem Telefon generiert wird.
Selbst wenn jemand in der Lage ist, Ihr WordPress-Passwort zu erraten, benötigt er dennoch den Google Authenticator-Code, um sich anzumelden.
Detaillierte Schritt-für-Schritt-Anweisungen finden Sie in unserem Handbuch zum Einrichten der 2-Schritt-Überprüfung in WordPress mithilfe von Google Authenticator.
5. Anmeldeversuche einschränken
Standardmäßig können Benutzer in WordPress beliebig oft Passwörter eingeben. Dies bedeutet, dass jemand versuchen kann, Ihr WordPress-Kennwort durch Eingabe verschiedener Kombinationen zu erraten. Außerdem können Hacker mithilfe von automatisierten Skripts Passwörter knacken.
Um dies zu beheben, müssen Sie das Login LockDown-Plugin installieren und aktivieren. Nach der Aktivierung gehen Sie zu Besuch Einstellungen "Login LockDown Seite, um die Plugin-Einstellungen zu konfigurieren.
Detaillierte Anweisungen finden Sie in unserem Handbuch, warum Sie die Anmeldeversuche in WordPress begrenzen sollten.
6. Beschränken Sie den Anmeldezugriff auf IP-Adressen
Eine weitere gute Möglichkeit, um das WordPress-Login zu sichern, besteht darin, den Zugriff auf bestimmte IP-Adressen zu beschränken. Dieser Tipp ist besonders nützlich, wenn Sie oder wenige vertrauenswürdige Benutzer auf den Admin-Bereich zugreifen müssen.
Fügen Sie diesen Code einfach Ihrer .htaccess-Datei hinzu.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin-Zugriffskontrolle" AuthType Standardauftrag verweigern, von allen # Whitelist zulassen. Syeds IP-Adresse von xx.xx.xx.xxx zulassen .xx.xxx
Vergessen Sie nicht, xx-Werte durch Ihre eigene IP-Adresse zu ersetzen. Wenn Sie mehr als eine IP-Adresse für den Zugriff auf das Internet verwenden, stellen Sie sicher, dass Sie auch diese hinzufügen.
Detaillierte Anweisungen finden Sie in unserem Handbuch zur Beschränkung des Zugriffs auf WordPress-Administrator mithilfe von .htaccess.
7. Deaktivieren Sie die Anmeldehinweise
Bei einem fehlgeschlagenen Anmeldeversuch zeigt WordPress Fehler an, die den Benutzern mitteilen, ob der Benutzername oder das Kennwort falsch ist. Diese Anmeldehinweise können von jemandem für böswillige Versuche verwendet werden.
Sie können diese Anmeldungshinweise leicht ausblenden, indem Sie diesen Code zur Datei functions.php Ihres Themas oder zu einem site-spezifischen Plugin hinzufügen.
function no_wordpress_errors () return 'Etwas stimmt nicht!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Benutzer müssen sichere Kennwörter verwenden
Wenn Sie eine WordPress-Site mit mehreren Autoren ausführen, können diese Benutzer ihr Profil bearbeiten und ein schwaches Kennwort verwenden. Diese Passwörter können geknackt werden und geben jemandem Zugriff auf den WordPress-Adminbereich.
Um dies zu beheben, können Sie das Plugin Force Strong Passwords installieren und aktivieren. Es funktioniert sofort, und Sie müssen keine Einstellungen konfigurieren. Nach der Aktivierung werden Benutzer davon abgehalten, schwächere Kennwörter zu speichern.
Die Kennwortstärke für vorhandene Benutzerkonten wird nicht geprüft. Wenn ein Benutzer bereits ein schwaches Kennwort verwendet, kann er sein Kennwort weiterhin verwenden.
9. Setzen Sie das Kennwort für alle Benutzer zurück
Besorgt über die Kennwortsicherheit auf Ihrer WordPress-Website für mehrere Benutzer? Sie können alle Benutzer auffordern, ihre Kennwörter zurückzusetzen.
Zuerst müssen Sie das Plugin für das Zurücksetzen von Notfallkennwörtern installieren und aktivieren. Nach der Aktivierung gehen Sie zu Besuch Benutzer »Notfall-Passwort zurücksetzen Klicken Sie auf die Schaltfläche "Alle Kennwörter zurücksetzen".
Detaillierte Anweisungen finden Sie in unserem Handbuch zum Zurücksetzen von Kennwörtern für alle Benutzer in WordPress
10. Halten Sie WordPress auf dem neuesten Stand
WordPress veröffentlicht häufig neue Versionen der Software. Jede neue Version von WordPress enthält wichtige Fehlerbehebungen, neue Funktionen und Sicherheitsupdates.
Durch die Verwendung einer älteren Version von WordPress auf Ihrer Website können Sie bekannte Exploits und potenzielle Schwachstellen erkennen. Um dies zu beheben, müssen Sie sicherstellen, dass Sie die neueste Version von WordPress verwenden. Weitere Informationen zu diesem Thema finden Sie in unserem Handbuch, warum Sie immer die neueste Version von WordPress verwenden sollten.
Ebenso werden WordPress-Plugins häufig aktualisiert, um neue Funktionen einzuführen oder Sicherheits- und andere Probleme zu beheben. Stellen Sie sicher, dass Ihre WordPress-Plugins ebenfalls auf dem neuesten Stand sind.
11. Erstellen Sie benutzerdefinierte Anmelde- und Registrierungsseiten
Bei vielen WordPress-Sites müssen sich Benutzer registrieren. Beispielsweise benötigen Mitgliederwebsites, Lernverwaltungssites oder Online-Shops Benutzer, um ein Konto zu erstellen.
Diese Benutzer können sich jedoch mit ihren Konten im WordPress-Admin-Bereich anmelden. Dies ist kein großes Problem, da sie nur die Funktionen ausführen können, die ihre Benutzerrolle und ihre Fähigkeiten zulassen. Sie können jedoch den Zugriff auf Anmelde- und Registrierungsseiten nicht ordnungsgemäß einschränken, da diese Seiten für die Benutzer erforderlich sind, um sich anzumelden, ihr Profil zu verwalten und sich anzumelden.
Sie können dies ganz einfach beheben, indem Sie benutzerdefinierte Anmelde- und Registrierungsseiten erstellen, sodass sich Benutzer direkt von Ihrer Website aus anmelden und anmelden können.
Detaillierte Schritt-für-Schritt-Anweisungen finden Sie in unserem Handbuch zum Erstellen benutzerdefinierter Anmelde- und Registrierungsseiten in WordPress.
12. Lernen Sie die Benutzerrollen und Berechtigungen von WordPress kennen
WordPress verfügt über ein leistungsstarkes Benutzerverwaltungssystem mit verschiedenen Benutzerrollen und -funktionen. Beim Hinzufügen eines neuen Benutzers zu Ihrer WordPress-Site können Sie eine Benutzerrolle für sie auswählen. Diese Benutzerrolle definiert, was sie auf Ihrer WordPress-Site tun können.
Durch die Zuweisung einer falschen Benutzerrolle können die Benutzer mehr Funktionen erhalten, als sie benötigen. Um dies zu vermeiden, müssen Sie wissen, welche Funktionen in WordPress unterschiedliche Benutzerrollen haben. Weitere Informationen zu diesem Thema finden Sie in unserem Anfängerhandbuch zu den Benutzerrollen und Berechtigungen von WordPress.
13. Begrenzen Sie den Dashboard-Zugriff
Einige WordPress-Sites haben bestimmte Benutzer, die Zugriff auf das Dashboard benötigen, und andere, die dies nicht tun. Sie können jedoch standardmäßig alle auf den Admin-Bereich zugreifen.
Um dies zu beheben, müssen Sie das Plugin Remove Dashboard Access installieren und aktivieren. Gehen Sie nach der Aktivierung zu Einstellungen "Dashboard-Zugriff und wählen Sie aus, welche Benutzerrollen Zugriff auf den Admin-Bereich Ihrer Site haben.
Detaillierte Anweisungen finden Sie in unserem Handbuch zur Beschränkung des Dashboard-Zugriffs in WordPress.
14. Melden Sie sich im Leerlauf ab
WordPress meldet Benutzer nicht automatisch ab, bis sie sich explizit abmelden oder das Browserfenster schließen. Dies kann ein Problem für WordPress-Sites mit vertraulichen Informationen sein. Aus diesem Grund werden Websites und Apps von Finanzinstituten automatisch abgemeldet, wenn sie nicht aktiv waren.
Um dieses Problem zu beheben, können Sie das Plug-In für die Abmeldung im Leerlauf installieren und aktivieren. Gehen Sie nach der Aktivierung zu Einstellungen "Idle User Logout und geben Sie die Zeit ein, nach der Benutzer automatisch abgemeldet werden sollen.
Weitere Informationen finden Sie in unserem Artikel zum automatischen Abmelden von inaktiven Benutzern in WordPress.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, einige neue Tipps und Hacks zum Schutz Ihres WordPress-Administrationsbereichs zu erlernen. Vielleicht möchten Sie auch unseren ultimativen, schrittweisen WordPress-Sicherheitsleitfaden für Anfänger sehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unsere Video-Tutorials für unseren YouTube-Kanal für WordPress. Sie finden uns auch auf Twitter und Facebook.