Tutorials

So schützen Sie Ihre WordPress-Site vor Brute-Force-Angriffen (Schritt für Schritt)

So schützen Sie Ihre WordPress-Site vor Brute-Force-Angriffen (Schritt für Schritt) / Tutorials

Möchten Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen? Diese Angriffe können Ihre Website verlangsamen, sie unzugänglich machen und sogar Ihre Kennwörter knacken, um Malware auf Ihrer Website zu installieren. In diesem Artikel zeigen wir Ihnen, wie Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen können.

Was ist ein Brute-Force-Angriff??

Brute Force Attack ist eine Hacking-Methode, die Versuchs- und Fehlertechniken einsetzt, um in eine Website, ein Netzwerk oder ein Computersystem zu gelangen.

Hacker verwenden automatisierte Software, um eine große Anzahl von Anforderungen an das Zielsystem zu senden. Bei jeder Anfrage versucht diese Software, die Informationen zu erraten, die für den Zugriff erforderlich sind, wie Passwörter oder PIN-Codes.

Diese Tools können sich auch verschleiern, indem sie unterschiedliche IP-Adressen und Standorte verwenden. Dies erschwert es dem Zielsystem, diese verdächtigen Aktivitäten zu erkennen und zu blockieren.

Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Verwaltungsbereich Ihrer Website gewähren. Sie können Backdoor installieren, Malware installieren, Benutzerinformationen stehlen und alles auf Ihrer Website löschen.

Selbst erfolglose Brute-Force-Angriffe können zu Chaos führen, indem zu viele Anfragen gesendet werden, die Ihre WordPress-Hosting-Server verlangsamen und sogar zum Absturz bringen.

Lassen Sie uns einen Blick darauf werfen, wie Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen können.

Schritt 1. Installieren Sie ein WordPress Firewall Plugin

Brute-Force-Angriffe belasten Ihre Server stark. Selbst die erfolglosen können Ihre Website verlangsamen oder den Server vollständig zum Absturz bringen. Aus diesem Grund ist es wichtig, sie zu blockieren, bevor sie Ihren Server erreichen.

Dazu benötigen Sie eine Website-Firewall-Lösung. Eine Firewall filtert schlechten Datenverkehr und verhindert den Zugriff auf Ihre Site.

Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können.

Firewall auf Anwendungsebene - Diese Firewall-Plugins untersuchen den Verkehr, sobald er Ihren Server erreicht hat, aber bevor die meisten WordPress-Skripts geladen werden. Diese Methode ist nicht so effizient, da ein Brute-Force-Angriff die Serverauslastung dennoch beeinflussen kann.

Website-Firewall auf DNS-Ebene - Diese Firewall leitet Ihren Website-Verkehr über ihre Cloud-Proxy-Server weiter. Auf diese Weise können sie nur echten Datenverkehr an Ihren Webhosting-Server senden und gleichzeitig die Geschwindigkeit und Leistung Ihres WordPress steigern.

Wir empfehlen die Verwendung von Sucuri. Es ist der Branchenführer in Sachen Website-Sicherheit und die beste WordPress-Firewall auf dem Markt. Da es sich um eine Website-Firewall auf DNS-Ebene handelt, bedeutet dies, dass der gesamte Website-Traffic über den Proxy-Server geleitet wird, wo der schlechte Traffic herausgefiltert wird.

Wir verwenden Sucuri auf unserer Website und Sie können unsere vollständige Sucuri-Bewertung lesen, um mehr zu erfahren.

Schritt 2. Installieren Sie WordPress-Updates

Einige häufige Brute-Force-Angriffe richten sich aktiv gegen bekannte Sicherheitsanfälligkeiten in älteren Versionen von WordPress, bekannten WordPress-Plugins oder Designs.

WordPress Core und die gängigsten WordPress-Plugins sind Open Source, und Schwachstellen werden durch ein Update oft sehr schnell behoben. Wenn Sie jedoch keine Updates installieren, bleibt Ihre Website anfällig für diese alten Bedrohungen.

Einfach auf gehen Dashboard »Updates Seite im WordPress-Adminbereich, um nach verfügbaren Updates zu suchen. Auf dieser Seite werden alle Updates für Ihren WordPress-Kern, Ihre Plugins und Designs angezeigt.

Weitere Informationen finden Sie in unserem Handbuch zur korrekten Aktualisierung von WordPress-Plugins.

Schritt 3. WordPress Admin Directory schützen

Die meisten Brute-Force-Angriffe auf einer WordPress-Site versuchen, auf den WordPress-Adminbereich zuzugreifen. Sie können den Kennwortschutz für Ihr WordPress-Administrationsverzeichnis auf Serverebene hinzufügen. Dies würde den unbefugten Zugriff auf Ihren WordPress-Administrationsbereich blockieren.

Melden Sie sich einfach bei Ihrem WordPress-Hosting-Kontrollfeld (cPanel) an und klicken Sie unter Dateien auf das Symbol 'Directory Privacy'.

Hinweis: Wir verwenden Bluehost in unserem Screenshot, aber ähnliche Einstellungen sind auch bei anderen Top-Hosting-Unternehmen wie SiteGround, HostGator usw. verfügbar.

Als Nächstes müssen Sie den Ordner wp-admin suchen und auf den Ordnernamen klicken.

cPanel fordert Sie nun auf, einen Namen für den eingeschränkten Ordner, den Benutzernamen und das Kennwort anzugeben. Nachdem Sie diese Informationen eingegeben haben, klicken Sie auf die Schaltfläche Speichern, um Ihre Einstellungen zu speichern.

Ihr WordPress-Admin-Verzeichnis ist jetzt durch ein Passwort geschützt. Wenn Sie Ihren WordPress-Admin-Bereich besuchen, wird eine neue Anmeldeaufforderung angezeigt.

Wenn Sie einen 404-Fehler oder eine zu viele Umleitungsnachricht erhalten, müssen Sie der WordPress-.htaccess-Datei die folgende Zeile hinzufügen. 

 ErrorDocument 401 Standard

Weitere Informationen finden Sie in unserem Artikel zum Kennwortschutz für das WordPress-Administrationsverzeichnis.

Schritt 4. Fügen Sie die Zwei-Faktor-Authentifizierung in WordPress hinzu

Die Zwei-Faktor-Authentifizierung fügt Ihrem WordPress-Anmeldebildschirm eine zusätzliche Sicherheitsschicht hinzu. Grundsätzlich benötigen Benutzer ihre Telefone, um einen einmaligen Passcode zusammen mit ihren Anmeldeinformationen für den Zugriff auf den WordPress-Adminbereich zu generieren.

Durch die Zwei-Faktor-Authentifizierung wird Hackern der Zugriff erschwert, selbst wenn sie Ihr WordPress-Passwort knacken können.

Detaillierte Schritt-für-Schritt-Anweisungen finden Sie in unserem Handbuch zum Hinzufügen der Zwei-Faktor-Authentifizierung in WordPress

Schritt 5. Verwenden Sie eindeutige sichere Kennwörter

Passwörter sind die Schlüssel, um Zugriff auf Ihre WordPress-Site zu erhalten. Sie müssen eindeutige sichere Kennwörter für alle Ihre Konten verwenden. Ein sicheres Kennwort ist eine Kombination aus Zahlen, Buchstaben und Sonderzeichen.

Es ist wichtig, dass Sie sichere Kennwörter nicht nur für Ihre WordPress-Benutzerkonten verwenden, sondern auch für FTP, das Webhosting-Kontrollfeld und Ihre WordPress-Datenbank.

Die meisten Anfänger fragen uns, wie wir uns an all diese einzigartigen Passwörter erinnern können. Nun, das musst du nicht. Es gibt hervorragende Passwort-Manager-Apps, die Ihre Passwörter sicher speichern und automatisch für Sie ausfüllen.

Weitere Informationen finden Sie in unserem Anfängerhandbuch, wie Sie Kennwörter für WordPress am besten verwalten können.

Schritt 6. Deaktivieren Sie die Verzeichnissuche

Wenn Ihr Webserver keine Indexdatei (d. H. Eine Datei wie index.php oder index.html) findet, zeigt er standardmäßig automatisch eine Indexseite mit dem Inhalt des Verzeichnisses an.

Während eines Brute-Force-Angriffs können Hacker mithilfe des Verzeichnisbrowsers nach verwundbaren Dateien suchen. Um dieses Problem zu beheben, müssen Sie die folgende Zeile am unteren Rand Ihrer WordPress-.htaccess-Datei hinzufügen. 

 Optionen -Indexes

Weitere Informationen finden Sie in unserem Artikel zum Deaktivieren der Verzeichnissuche in WordPress.

Schritt 7. Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Ordnern

Hacker möchten möglicherweise ein PHP-Skript in Ihren WordPress-Ordnern installieren und ausführen. WordPress ist hauptsächlich in PHP geschrieben, was bedeutet, dass Sie das nicht in allen WordPress-Ordnern deaktivieren können.

Es gibt jedoch einige Ordner, die keine PHP-Skripts benötigen. Beispielsweise lädt Ihr WordPress-Ordner den Ordner / wp-content / uploads.

Sie können die Ausführung von PHP sicher im Upload-Ordner deaktivieren, wo Hacker häufig Backdoor-Dateien verbergen.

Zunächst müssen Sie einen Texteditor wie Notepad auf Ihrem Computer öffnen und den folgenden Code einfügen:

  abgelehnt von allen

Speichern Sie diese Datei nun als .htaccess und laden Sie sie mit einem FTP-Client in die Ordner / wp-content / uploads / Ihrer Website hoch.

Schritt 8. Installieren und Einrichten eines WordPress-Backup-Plugins

Backups sind das wichtigste Werkzeug in Ihrem WordPress-Sicherheitsarsenal. Wenn alles andere fehlschlägt, können Sie Ihre Website mithilfe von Sicherungen problemlos wiederherstellen.

Die meisten WordPress-Hosting-Unternehmen bieten begrenzte Sicherungsoptionen an. Diese Sicherungen können jedoch nicht garantiert werden, und Sie sind allein für die Erstellung Ihrer eigenen Sicherungen verantwortlich.

Es gibt mehrere großartige WordPress-Backup-Plugins, mit denen Sie automatische Backups planen können.

Wir empfehlen die Verwendung von UpdraftPlus. Es ist für Anfänger geeignet und ermöglicht Ihnen das schnelle Einrichten automatischer Sicherungen und das Speichern dieser Dateien an entfernten Orten wie Google Drive, Dropbox, Amazon S3 usw..

Schrittweise Anweisungen finden Sie in unserem Handbuch, wie Sie Ihre WordPress-Site mit UpdraftPlus sichern und wiederherstellen können

Alle oben genannten Tipps helfen Ihnen, Ihre WordPress-Site vor Brute-Force-Angriffen zu schützen. Für ein umfassenderes Sicherheits-Setup sollten Sie die Anweisungen in unserem ultimativen WordPress-Sicherheitshandbuch für Anfänger befolgen.

Wir hoffen, dass Sie mit diesem Artikel erfahren haben, wie Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen können. Vielleicht möchten Sie auch nach Anzeichen Ausschau halten, dass Ihr WordPress gehackt wurde, und wie Sie eine gehackte WordPress-Site reparieren.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unsere Video-Tutorials für unseren YouTube-Kanal für WordPress. Sie finden uns auch auf Twitter und Facebook.