6 Dinge, die Sie tun können, um Ihr WordPress vor Hackern zu schützen
Das Betreiben einer WordPress-basierten Website ist oft eine Freude, da Sie sich auf den Inhalt konzentrieren und Beziehungen zu Lesern und anderen Websites aufbauen können.
Allerdings ist nicht jeder im Web so freundlich wie Sie. Irgendwo da draußen gibt es eine Liste mit dem Namen Ihres Blogs, auf der er sich befindet und darauf wartet, von Hackern angegriffen zu werden. Wenn sie zu Ihrem Blog kommen, versuchen sie verschiedene Taktiken, um Zugang zu dem Blog zu erhalten, vielleicht mit dem Ziel, legale Drogen zu verkaufen oder die Computer Ihrer Besucher mit Malware zu infizieren.
Glücklicherweise gibt es verschiedene Möglichkeiten, wie Sie Ihren WordPress-Blog vor Hackern schützen können.
Aktualisieren Sie regelmäßig WordPress
Eine der mächtigsten, aber oft übersehenen Lösungen, um WordPress vor Hackern zu schützen, besteht darin, sicherzustellen, dass WordPress regelmäßig aktualisiert wird.
Offensichtlich gibt es einen Nachteil: Einige der besten WordPress-Plugins funktionieren möglicherweise nicht mehr, wenn WordPress aktualisiert wird. Gleichzeitig sollte dies jedoch als eine Gelegenheit betrachtet werden, um die Plugins aufzufrischen und nach Ersetzungen zu suchen, die selbst sicher und zuverlässig sind und im Grunde Ihre Website oder Blog straffen. Das Beibehalten von Plugins im WordPress-Verzeichnis ist auch eine gute Möglichkeit, die Dinge unter Kontrolle zu halten.
Das Aktualisieren von WordPress ist vom Dashboard aus möglich. Erstellen Sie jedoch immer eine Sicherungskopie Ihrer Datenbank, bevor Sie dies tun.
Bewahren Sie regelmäßige Sicherungen auf
Ein wichtiges Verfahren für alle Besitzer eines WordPress-Blogs ist es, sicherzustellen, dass regelmäßig Sicherungskopien erstellt werden und dass sie bei schlechtem Zustand problemlos wiederhergestellt werden können.
Es gibt zahlreiche Lösungen, aber Cloudsafe365 ist eine der leistungsfähigsten und kombiniert Cloud-Backup (Dropbox kann verwendet werden) mit verschiedenen sicheren Schutztools gegen Techniken wie Cross Site Scripting, SQL-Injection und sogar die Überwachung von Inhaltsdiebstahl.
Cloudsafe365, verfügbar auf der WordPress-Plugins-Site, ist in drei Ausführungen erhältlich. Eine kostenlose Option deckt die oben aufgeführten Dinge ab, während die kostenpflichtigen Optionen weitere Funktionen wie Schutz vor Code-Injektion und Brute-Force-Angriffen bieten.
Installieren Sie ein verschlüsseltes Login-Plugin
Der eigentliche Anmeldevorgang bei Ihrer WordPress-basierten Website wird am besten mit einem verschlüsselten Login-Plugin durchgeführt, da die Website-Software standardmäßig nicht über diese Funktion verfügt. Die wahrscheinlich beste Lösung - ideal zum Schutz Ihrer Blog-Anmeldedaten vor Paketsniffern in drahtlosen Netzwerken - ist Chap Secure Login, die den SHA-256-Algorithmus zum Schutz Ihres Benutzernamens und Kennworts verwendet.
Das Login Lockdown-Plugin ist eine nützliche Methode, um IPs zu blockieren, die wiederholte fehlgeschlagene Versuche des Zugriffs auf Ihre Site aufzeichnen.
Zu den weiteren Schritten des Anmeldeschutzes gehört die Installation eines starken CAPTCHA-Plugins. RetinaPost ist ein besonders eindrucksvolles Plugin, bei dem der Benutzer markierte Zeichen aus einer Phrase eingeben muss, anstatt versaute Textbilder zu entschlüsseln oder mathematische Aufgaben zu lösen. Alle Versuche, Ihr Blog mithilfe des Kommentarsystems zu unterbrechen, können mit diesem Plugin deutlich reduziert werden.
verbergen “Unterstützt von WordPress”
Für Hacker gibt es unterschiedliche Taktiken für die verschiedenen Arten von Website-Software, die verwendet werden. Sie können jedoch die Dinge härter machen, indem Sie die Tatsache nicht werben, dass Ihre Website dies ist “Unterstützt von WordPress”.
Standardmäßig finden Sie diese Informationen in der Datei footer.php, die Sie über das Dashboard Ihres Blogs erreichen und auswählen Aussehen> Editor innerhalb des Browserfensters bearbeiten. Für verschiedene Themen sind unterschiedliche Methoden erforderlich, um diesen Text zu entfernen. Sie sollten daher online nach dem besten Ansatz suchen (wenn Text zur Anzeige der Legende verwendet wird, löschen Sie diese; wenn Sie PHP-Code verwenden, sollten Sie vorsichtig vorgehen, wenn Sie nicht wissen, was Sie benötigen. wieder tun.
Admin-Benutzername ändern
Eine Möglichkeit, wie Hacker einen Weg in Ihre Website finden können, ist die Verwendung von Brute-Force-Software, bei der mehrere Anmeldungen mit gebräuchlichen Wörtern und Phrasen als Passwörtern sowie mit einer Auswahl offensichtlicher Benutzernamen versucht werden.
Der Administrator-Benutzername in WordPress kann ausgewählt werden, wenn die Software eingerichtet wird. In der Eile, damit die Dinge erledigt werden können, belassen viele Benutzer den Standardwert “Administrator”. Da offensichtliche Benutzernamen vorhanden sind, steht dies ganz oben auf der Liste, weshalb es wichtig ist, es zu ändern.
Es gibt zwei Möglichkeiten, den Admin-Benutzernamen zu ändern. Zunächst können Sie ein zweites Administratorkonto mit einem Benutzernamen erstellen, der nicht offensichtlich ist, und dann den ursprünglichen Benutzer löschen. Beachten Sie jedoch, dass dies Auswirkungen auf alle Artikel haben kann, die unter dem Administratorkonto geschrieben wurden (sie werden möglicherweise nicht veröffentlicht, bis ein neuer Name festgelegt wird oder ein Fehler auf der Postseite angezeigt wird.).
Der effektivste Weg, dies zu tun, ist der Zugriff auf phpMyAdmin Ihrer Site, die Auswahl der WordPress-Datenbank und die Suche nach der Tabelle wp_users (“wp_”ist ein Standardpräfix, das bei der Installation möglicherweise geändert wurde Durchsuche Symbol, um das zu finden “Administrator” Nutzername.
Suchen Sie nach der Entdeckung die Spalte user_login und klicken Sie auf bearbeiten Schaltfläche in der entsprechenden Zeile und ändern Sie dann “Administrator” Klicken Sie auf, um den Anmeldenamen Ihres bevorzugten Administratorkontos anzuzeigen Gehen wenn du fertig bist.
Verschieben Sie die wp-config-Datei
Ein krasser Punkt bei WordPress ist, dass die wichtigsten Sicherheitsdetails in einer einzigen, unverschlüsselten Datei gespeichert werden, die gehackt werden kann und verwendet wird, um die Kontrolle über Ihr Blog zu übernehmen. Die Datei wp-config.php enthält die Anmeldedaten des Administrators sowie den Benutzernamen und das Kennwort für die MySQL-Datenbank.
Daher ist das Sichern dieser Datei von größter Bedeutung, wenn Sie die Site vor Hackern schützen möchten.
Eine Sache, die Sie jedoch nicht tun sollten, ist das Löschen von wp-config - dies würde Ihre Site unbrauchbar (und eher leer) lassen. Wie schützen Sie Ihre Website vor dieser bizarren Sicherheitsanfälligkeit??
Seit der Veröffentlichung von WordPress 2.8 haben Blogbesitzer die Möglichkeit, die Datei in das Stammverzeichnis des Webs auf dem Server zu verschieben. Dies bedeutet beispielsweise, dass Sie Ihre Site in installiert haben www.mysite.com/wordpress, Die Datei wp-config.php kann um eine Ebene in das Verzeichnis mysite verschoben werden.
Fazit
Unabhängig davon, wie technisch oder nicht technisch Sie sind, wenn Sie einen WordPress-Blog betreiben, gibt es keine Entschuldigung, keines oder alle dieser Tools zu implementieren, um Ihre Website vor Hackern zu schützen.
Was ist der Sinn, all diese harte Arbeit einzusetzen, um herauszufinden, dass jemand die Website übernommen hat und Sie jetzt Ihre regelmäßigen Besucher durch die Werbung für Viagra kostet?
Diese Schritte können in nur wenigen Stunden implementiert werden. Wenn Sie unter Zeitdruck stehen, ist dies vielleicht ein Wochenende am Morgen. Sie sollten es also nicht ignorieren.
Erfahren Sie mehr über: Webmaster-Tools, Wordpress-Plugins.