Es gibt nichts Schlimmeres, als festzustellen, dass Ihre Website kompromittiert wurde. Der WordPress-Adminbereich ist der Haupteinstiegspunkt für Hacker und somit der kritischste Teil Ihrer Website, den es zu schützen gilt.
Wir wissen, dass es stressig sein kann, an Brute-Force-Angriffe oder Datendiebstahl zu denken. Viele Website-Besitzer befürchten, dass sie nicht über die technischen Fähigkeiten verfügen, um ihr Dashboard richtig abzusichern.
Die gute Nachricht ist, dass Sie kein Sicherheitsprofi sein müssen, um einen großen Einfluss zu erzielen. Aus unserer Erfahrung mit der Verwaltung Tausender von WordPress-Websites haben wir festgestellt, dass nur wenige einfache Änderungen ausreichen, um eine starke Verteidigung aufzubauen.
In diesem Leitfaden führen wir Sie durch die effektivsten Tipps zur Sicherung Ihres Admin-Bereichs. Diese einfachen Schritte geben Ihnen Sicherheit und halten Ihre Website sicher.
Wir werden viele Tipps behandeln, und Sie können die unten stehenden Schnelllinks verwenden, um zwischen ihnen zu springen:
- 1. Firewall verwenden
- 2. Passwortschutz für das WordPress-Admin-Verzeichnis
- 3. Verwenden Sie immer starke Passwörter
- 4. Verwenden Sie die Zwei-Faktor-Authentifizierung auf dem WordPress-Login-Bildschirm
- 5. Anmeldeversuche begrenzen
- 6. Anmeldezugriff auf IP-Adressen beschränken
- 7. Anmeldehinweise deaktivieren
- 8. Benutzer zur Verwendung starker Passwörter auffordern
- 9. Passwort für alle Benutzer zurücksetzen
- 10. WordPress aktuell halten
- 11. Benutzerdefinierte Anmelde- und Registrierungsseiten erstellen
- 12. WordPress-Benutzerrollen und Berechtigungen kennenlernen
- 13. Zugriff auf das WordPress-Dashboard einschränken
- 14. Abgemeldete inaktive Benutzer
- Häufig gestellte Fragen zur Absicherung des WordPress-Adminbereichs
- Zusätzliche Ressourcen für WordPress-Sicherheit
1. Firewall verwenden
Eine Website Application Firewall (WAF) überwacht den Datenverkehr Ihrer Website und blockiert verdächtige Anfragen, bevor sie Ihren Server erreichen können. Dies ist Ihre erste Verteidigungslinie gegen Hacking-Versuche.
Obwohl es mehrere WordPress-Firewall-Plugins gibt, empfehlen wir eine Firewall auf DNS-Ebene wie Cloudflare. Firewalls auf DNS-Ebene sind effektiver, da sie Bedrohungen am Netzwerkrand blockieren, sodass bösartiger Datenverkehr Ihre Website nie erreicht.
Bei WPBeginner verwenden wir den Enterprise-Plan von Cloudflare, um unsere Website vor Hacking-Versuchen, Malware und anderen bösartigen Aktivitäten zu schützen. Eine Schritt-für-Schritt-Anleitung finden Sie in unserem Artikel, wie Sie das kostenlose Cloudflare CDN für Ihre Website einrichten.
Eine weitere großartige Option ist Sucuri, das wir zuvor verwendet haben. Weitere Details finden Sie in unserem Artikel darüber, warum wir von Sucuri zu Cloudflare gewechselt haben.
2. Passwortschutz für das WordPress-Admin-Verzeichnis
Ein weiterer Tipp, der sich als äußerst effektiv erwiesen hat, ist das Hinzufügen eines Passwortschutzes für das WordPress-Admin-Verzeichnis. Dies fügt eine zweite Verteidigungsebene hinzu, die zwei separate Passwörter zum Zugriff auf Ihr Dashboard erfordert.
Sie können dies über Ihr WordPress-Webhosting-Kontrollfeld tun. Hier sind die Schritte für cPanel:
- Melden Sie sich bei Ihrem WordPress-Hosting-cPanel-Dashboard an und klicken Sie auf das Symbol „Verzeichnisschutz“.
- Wählen Sie Ihren
wp-admin-Ordner aus, der sich normalerweise im Verzeichnis/public_html/befindet. - Aktivieren Sie das Kontrollkästchen neben 'Dieses Verzeichnis mit einem Passwort schützen' und geben Sie ihm einen Namen.
- Klicken Sie auf „Speichern“ und gehen Sie dann zurück, um einen Benutzer mit einem neuen Benutzernamen und Passwort zu erstellen.
Jetzt sieht jeder, der versucht, auf Ihre Admin-Login-Seite zuzugreifen, zuerst eine Authentifizierungsaufforderung.
Dies blockiert die meisten automatisierten Bot-Angriffe.
Detailliertere Anweisungen finden Sie in unserem Leitfaden zum Schutz des WordPress-Admin-Verzeichnisses (wp-admin) mit einem Passwort. Bitte beachten Sie, dass diese Schritte für Hosts gelten, die cPanel verwenden. Wenn Sie ein anderes Control Panel verwenden, prüfen Sie die Dokumentation Ihres Hosts.
3. Verwenden Sie immer starke Passwörter
Sie müssen starke, komplexe Passwörter für alle Ihre WordPress-Konten verwenden. Schwache Passwörter sind einer der häufigsten Gründe, warum Websites gehackt werden.
Ein starkes Passwort verwendet eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (!, #, @, %, usw.). Je länger es ist, desto sicherer ist es.
Es ist fast unmöglich, sich Dutzende komplexer Passwörter zu merken. Deshalb nutzt unser gesamtes Team bei WPBeginner eine Passwort-Manager-App wie 1Password, um sicher eindeutige Passwörter für jeden Dienst zu generieren und zu speichern.
Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur besten Methode zur Verwaltung von Passwörtern für WordPress-Anfänger.
4. Verwenden Sie die Zwei-Faktor-Authentifizierung auf dem WordPress-Login-Bildschirm
Die Zwei-Schritt-Verifizierung, auch bekannt als Zwei-Faktor-Authentifizierung (2FA), fügt eine weitere kritische Sicherheitsebene hinzu. Wir verwenden 2FA nicht nur auf unseren WordPress-Websites, sondern auch auf all unseren Online-Konten, bei denen die Option verfügbar ist.
Nach der Eingabe Ihres Passworts müssen Sie auch einen zeitlich begrenzten Code eingeben, der von einer App auf Ihrem Telefon generiert wird, wie z. B. 1Password oder Authenticator. Selbst wenn ein Hacker Ihr Passwort stiehlt, kann er sich ohne Ihr Telefon nicht anmelden.
Für detaillierte Schritt-für-Schritt-Anleitungen siehe unseren Leitfaden zur Einrichtung der 2-Faktor-Authentifizierung in WordPress mit Google Authenticator: 2-Faktor-Authentifizierung in WordPress mit Google Authenticator einrichten.
5. Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress den Benutzern, sich beliebig oft anzumelden. Dies ermöglicht es Hackern, automatisierte Skripte zu verwenden, um Tausende von Passwortkombinationen in dem, was als „Brute-Force-Angriff“ bekannt ist, auszuprobieren.
Sie können dies leicht verhindern, indem Sie das Plugin Limit Login Attempts Reloaded installieren. Nach der Aktivierung gehen Sie zu Einstellungen » Limit Login Attempts, um zu konfigurieren, wie viele fehlgeschlagene Versuche erlaubt sind, bevor eine IP-Adresse vorübergehend gesperrt wird.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zur Begrenzung von Anmeldeversuchen in WordPress.
Um mehr über das Plugin zu erfahren, können Sie auch unsere detaillierte Limit Login Attempts-Bewertung lesen.
6. Anmeldezugriff auf IP-Adressen beschränken
Warnung: Dies ist eine fortgeschrittene Technik und sollte nur verwendet werden, wenn Sie eine statische (feste) IP-Adresse haben. Die meisten Heiminternetverbindungen verwenden dynamische IPs, die sich regelmäßig ändern. Wenn Sie diese Methode mit einer dynamischen IP verwenden, sperren Sie sich selbst von Ihrer eigenen Website aus.
Wenn Sie eine feste IP-Adresse haben, können Sie den Zugriff auf Ihren Admin-Bereich auf diese Adresse beschränken. Fügen Sie einfach diesen Code zu Ihrer .htaccess-Datei hinzu:
Vergessen Sie nicht, die 'xx'-Werte durch Ihre eigene IP-Adresse zu ersetzen. Sie können Ihre aktuelle IP-Adresse leicht finden, indem Sie bei Google nach „Was ist meine IP-Adresse“ suchen. Wenn Sie mehr als eine IP-Adresse verwenden, stellen Sie sicher, dass Sie diese ebenfalls hinzufügen.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zum Schränken des Zugriffs auf WordPress-Admin mit .htaccess.
7. Anmeldehinweise deaktivieren
Wenn ein Login fehlschlägt, teilt Ihnen WordPress mit, ob der Benutzername oder das Passwort falsch war. Obwohl dies für Benutzer hilfreich ist, bestätigen diese Hinweise auch einem Angreifer einen gültigen Benutzernamen und erleichtern ihm die Arbeit.
Sie können diese Hinweise ausblenden, indem Sie den folgenden Code zur Datei functions.php Ihres Themes hinzufügen. Wir empfehlen jedoch die Verwendung eines Code-Snippet-Plugins wie WPCode. Dies ist eine viel sicherere Methode, um benutzerdefinierten Code zu verwalten, ohne das Risiko von Website-Fehlern einzugehen.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Weitere Details finden Sie in unserem Leitfaden zum einfachen Hinzufügen von benutzerdefiniertem Code in WordPress, ohne Ihre Website zu beschädigen.
8. Benutzer zur Verwendung starker Passwörter auffordern
Wenn Sie eine WordPress-Website mit mehreren Autoren betreiben, kann ein einzelner Benutzer mit einem schwachen Passwort eine Schwachstelle für alle schaffen. Sie können eine Richtlinie für starke Passwörter erzwingen, um dies zu verhindern.
Um dies zu tun, können Sie das Plugin Solid Security (früher bekannt als iThemes Security), vom Team bei SolidWP, installieren und aktivieren.
Dann können Sie die Schritte in unserem vollständigen Leitfaden befolgen, wie Sie starke Passwörter für Benutzer in WordPress erzwingen.
9. Passwort für alle Benutzer zurücksetzen
Für Multi-User-WordPress-Sites können Sie die Sicherheit verbessern, indem Sie alle Benutzer zwingen, ihre Passwörter zurückzusetzen. Dies ist besonders nützlich, wenn Sie einen Sicherheitsverstoß vermuten oder einfach eine neue Passwortrichtlinie durchsetzen möchten.
Installieren und aktivieren Sie zuerst das Plugin Emergency Password Reset. Nach der Aktivierung gehen Sie zur Seite Benutzer » Emergency Password Reset und klicken Sie auf die Schaltfläche „Alle Passwörter zurücksetzen“.
Detaillierte Anweisungen finden Sie in unserem Leitfaden zum Zurücksetzen von Passwörtern für alle Benutzer in WordPress unter Zurücksetzen von Passwörtern für alle Benutzer in WordPress.
10. WordPress aktuell halten
WordPress veröffentlicht häufig neue Versionen, um Funktionen hinzuzufügen und Sicherheitslücken zu beheben. Das Ausführen einer veralteten Version von WordPress, Ihrer Plugins oder Ihres Themes ist eines der größten Sicherheitsrisiken, die Sie eingehen können.
Stellen Sie immer sicher, dass Sie die neueste Version der WordPress-Kernsoftware sowie aller Ihrer Plugins und Themes verwenden. Weitere Informationen hierzu finden Sie in unserem Leitfaden, warum Sie immer die neueste Version von WordPress verwenden sollten.
11. Benutzerdefinierte Anmelde- und Registrierungsseiten erstellen
Für Websites, die eine Benutzerregistrierung erfordern, wie z. B. Mitgliedschaftsseiten oder Online-Shops, sollten Sie benutzerdefinierte Anmelde- und Registrierungsseiten erstellen.
Dies verhindert, dass Nicht-Admin-Benutzer jemals den standardmäßigen WordPress-Login-Bildschirm sehen oder darauf zugreifen müssen. Es bietet eine professionellere Benutzererfahrung und ermöglicht es Ihnen, den Standardzugriff auf wp-admin vollständig zu sperren, ohne Ihre Mitglieder oder Kunden zu beeinträchtigen.
Der einfachste Weg, dies zu tun, ist mit einem Plugin wie WPForms, das ein leistungsstarkes User Registration Addon hat. Detaillierte Anweisungen finden Sie in unserem Leitfaden, wie Sie benutzerdefinierte Login- und Registrierungsseiten in WordPress erstellen.
12. WordPress-Benutzerrollen und Berechtigungen kennenlernen
WordPress verfügt über ein integriertes Benutzermanagementsystem mit verschiedenen Rollen und Berechtigungen. Die Zuweisung der falschen Rolle kann einem Benutzer weitaus mehr Berechtigungen erteilen, als er benötigt, und so ein potenzielles Sicherheitsrisiko darstellen.
Es ist wichtig zu verstehen, was jede Rolle tun kann, bevor Sie Benutzer zu Ihrer Website hinzufügen. Hier sind die 5 Standardrollen:
- Administrator: Hat vollen Zugriff auf alle Einstellungen und Inhalte der Website.
- Herausgeber: Kann alle Beiträge veröffentlichen und verwalten, einschließlich derer anderer Benutzer.
- Autor: Kann nur eigene Beiträge veröffentlichen und verwalten.
- Mitarbeiter: Kann eigene Beiträge schreiben und verwalten, aber nicht veröffentlichen.
- Abonnent: Kann sich nur anmelden und sein eigenes Profil verwalten.
Eine vollständige Aufschlüsselung finden Sie in unserem Anfängerleitfaden zu WordPress-Benutzerrollen und -berechtigungen.
13. Zugriff auf das WordPress-Dashboard einschränken
Auf manchen Websites benötigen bestimmte Benutzer überhaupt keinen Zugriff auf das WordPress-Dashboard. Standardmäßig kann sich jeder Benutzer anmelden und den Admin-Bereich sehen, auch wenn seine Berechtigungen eingeschränkt sind.
Um dies zu beheben, installieren und aktivieren Sie das Plugin Dashboard-Zugriff entfernen. Gehen Sie nach der Aktivierung zu Einstellungen » Dashboard-Zugriff und wählen Sie aus, welche Benutzerrollen auf den Admin-Bereich zugreifen dürfen. Andere können auf die Homepage oder eine andere URL umgeleitet werden.
Für detailliertere Anweisungen lesen Sie unseren Leitfaden unter So beschränken Sie den Dashboard-Zugriff in WordPress.
14. Abgemeldete inaktive Benutzer
Angemeldete Benutzer, die ihre Computer verlassen, können ein Sicherheitsrisiko darstellen. Wenn ihr Computer öffentlich oder gemeinsam genutzt wird, könnte jemand anderes auf ihr Konto zugreifen.
Sie können dies lösen, indem Sie das Plugin Inactive Logout installieren. Gehen Sie zu Einstellungen » Inactive Logout und legen Sie ein Zeitlimit fest. Nach Ablauf dieser Inaktivitätsperiode werden Benutzer automatisch abgemeldet.
Weitere Details finden Sie in unserem Artikel zur automatischen Abmeldung inaktiver Benutzer in WordPress.
Häufig gestellte Fragen zur Absicherung des WordPress-Adminbereichs
Was ist der wichtigste Schritt, um meinen WordPress-Adminbereich zu sichern?
Die Verwendung einer Web Application Firewall (WAF) ist der wichtigste erste Schritt. Eine gute Firewall, wie Cloudflare oder Sucuri, blockiert bösartigen Datenverkehr, bevor er Ihre Website erreicht, und verhindert so eine Vielzahl von Angriffen.
Ist es wirklich notwendig, das wp-admin-Verzeichnis mit einem Passwort zu schützen?
Obwohl nicht zwingend erforderlich, ist es sehr effektiv. Es fügt eine zweite Authentifizierungsebene hinzu, die fast alle automatisierten Bots stoppt, die versuchen, Ihre Anmeldeseite mit Brute-Force-Angriffen zu knacken. Es ist eine einfache Änderung, die die Sicherheit erheblich erhöht.
Kann ich mich durch Befolgen dieser Tipps von meiner eigenen Website aussperren lassen?
Ja, wenn Sie nicht vorsichtig sind. Der Tipp, den Login-Zugriff auf bestimmte IP-Adressen zu beschränken, ist nur für fortgeschrittene Benutzer mit einer statischen IP gedacht. Wenn Sie eine normale, dynamische IP-Adresse verwenden, sperren Sie sich selbst aus. Sichern Sie Ihre Website immer, bevor Sie Dateien wie .htaccess bearbeiten.
Zusätzliche Ressourcen für WordPress-Sicherheit
Wir hoffen, dieser Artikel hat Ihnen geholfen, einige neue Tipps und Tricks zum Schutz Ihres WordPress-Adminbereichs zu lernen.
Möglicherweise möchten Sie auch unsere anderen Expertenleitfäden zur Sicherung Ihrer Website lesen:
- Der ultimative Leitfaden zur WordPress-Sicherheit – Schritt für Schritt
- Die besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website (im Vergleich)
- So scannen Sie Ihre WordPress-Site auf potenziell bösartigen Code
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Danang Sukma
Danke für deinen Beitrag.
Ich benutze Passwortschutz für meinen wp-admin-Ordner in cPanel, reicht das aus?
mby
uh was für nützliche Infos Leute, das kann sicher helfen!!
Danke fürs Posten! ^_^
anthony
Das sind großartige Informationen, die ich so schnell wie möglich umsetzen werde! Ich hatte bereits erlebt, dass mein Blog gehackt wurde, und habe mir daher Sorgen um diese Probleme gemacht. Vielen Dank!!
shoaib hussain
Mann, ich bewege mich von einem Beitrag zum anderen in deinem Blog und es gefällt mir sehr gut. Vielen Dank. Ich schätze, ich muss mich jetzt abonnieren.
tzutzu
TOLLEr Beitrag!! Danke für diese Info
Marlin
Danke, schöne Liste, das wird sicherlich helfen, das WordPress-Admin-Panel zu sichern.
Abhilash Thekkel
Sehr nützliche Tipps. Danke
Jessica
Ich lerne gerade WP-Entwicklung. Ich möchte eine E-Commerce-Website mit WordPress unter Verwendung des WP e-Commerce-Plugins erstellen. Weiß jemand, ob diese Tipps meine E-Commerce-Website sicher halten werden?
Redaktion
Stellen Sie sicher, dass Sie SSL-Schutz für alle Transaktionen auf Ihrer E-Commerce-Website haben. Diese dienen nur zum Schutz Ihres Admin-Bereichs.
Admin
Ursula Comeau
Wow – das ist ein FANTASTISCHER Beitrag! Vielen Dank, dass Sie all diese Informationen – und auch einige großartige Plugins – geteilt haben!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Das Problem bei Plugins ist, dass sie nicht immer mit jeder Version kompatibel sind und nicht immer aktualisiert werden.
Redaktion
Die meisten Plugins sind mit neueren Versionen kompatibel, und wenn der Entwickler beschließt, die Entwicklung des Plugins einzustellen, greifen andere oft auf und erstellen ein Plugin mit Korrekturen für zukünftige Versionen. Sie müssen nur in der Community aktiv bleiben.
Admin
Smashing Themes
Ernsthaft Leute, ändert euren Seitennamen in WP ROCKER, ihr seid spitze. Ich habe drei Plugins installiert, um mein Admin-Panel zu schützen, nachdem ich diesen großartigen Beitrag gelesen habe.
Dagmar
Es gibt auch einige kostenpflichtige Plugins – z. B. „WP Secure“, das ebenfalls behauptet, Ihr WP vor Hackern zu schützen. Es basiert auch auf einigen der oben genannten Prinzipien – z. B. benutzerdefinierte Anmeldeseite, Bestätigung einer IP usw.
Lohnt sich der Kauf? = Weiß jemand, ob es für Nicht-Techniker einfacher zu bedienen ist als einige der oben genannten?
Redaktion
Wenn Sie die Arbeit kostenlos erledigen können, was ist dann der Sinn des Bezahlens?
Admin
iHacks
Link zu WordPress Firewall Plugin?
Redaktion
Es funktioniert jetzt.
Admin
Kjetil
Hallo
Vielen Dank für Ihre Tipps.
Bezüglich Tipp 8 frage ich mich, wie ich den Code einfügen kann
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Was ist die vollständige Funktion, die verwendet werden soll?
Ich würde es gerne ausprobieren, da ich AskApache Password Protect bereits verwende und dieses Plugin mit Secure WordPress inkompatibel ist.
Danke,
Kjetil
– http://www.dolcevita.no
Redaktion
Sie gehen zu functions.php und fügen diesen Code ein. Das ist alles, wenn wir Ihre Frage richtig verstanden haben. Wenn dies Ihre Frage nicht beantwortet hat, antworten Sie bitte auf den Kommentar und wir werden ihn uns sicher ansehen.
Admin
Robinoz
Vielen Dank für diese unschätzbaren Informationen. Ich hatte gerade einen Malware-Angriff, der meinen Blog für ein oder zwei Tage offline stellte, während mein WordPress-Programmierer ihn sortierte. Sehr unbequem.
Ich werde einige der von Ihnen vorgeschlagenen Änderungen in den nächsten Tagen umsetzen.
Robinoz
http://www.e1jobs-blog.com (Blog über alle Jobs"
sicherer Server
Gute Tipps zur Absicherung von WordPress. Mit der Zeit werden wir sehen, dass Hoster entweder strenger und sicherer werden oder CMS-Pakete bei der Installation einige zusätzliche Sicherheitsinitiativen implementieren müssen.
abbie
Hallo. Sie haben einen sehr guten Beitrag geschrieben.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Redaktion
Wir haben Ihnen eine E-Mail bezüglich dieser Angelegenheit gesendet. Wir erlauben keine vollständige Artikelübersetzung. Bitte fassen Sie ihn zusammen und verlinken Sie auf unseren Artikel, wenn Ihre Benutzer die vollständigen Tipps lesen möchten.
Admin
abbie
Thanks for your response.
I’ll revise my post.
Arie
Hallo..
Ich möchte Sie etwas fragen.
Außer Askimet, Captcha-Wort und starkem Passwort, gibt es noch andere Möglichkeiten für Hacker, unser Web zu sabotieren?
Das ist meine Frage, bitte antworten Sie auf meine E-Mail
Mit freundlichen Grüßen,
Arie
Redaktion
Ja, wenn Ihr Hoster Schwachstellen hat, kann der Hacker Sie ebenfalls lahmlegen.
John Macpherson
Ich habe ein paar Minuten gebraucht, um das hier herauszufinden, aber Sie haben die falschen Anführungszeichen um diese Funktion gesetzt
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Es sollte sein:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Ansonsten ein toller Beitrag.
jakesjohn
Was Sie von Wp-PreventCopyBlogs Wordpress Plugin erwarten können
1. Verfolgen Sie die Besucher, die versuchen, Ihre Inhalte zu kopieren.
2. Erfassen Sie die IP-Adresse des Benutzers, der versucht, betrügerische Kopien mit der Landingpage-URL Ihrer Website und der Referral-URL durchzuführen. Dies kann Ihnen helfen, notwendige Maßnahmen zu ergreifen, wenn Sie etwas Ungewöhnliches bemerken.
3. Nachricht anzeigen, die dem Benutzer bei seiner Wahl angezeigt wird.
4. Deaktivieren Sie die Auswahl Ihres Textes und die rechte Maustaste für Benutzer, je nach Option.
Srecko Bradic
Ich muss Ihnen zu diesem ausgezeichneten Artikel gratulieren!!! Um ehrlich zu sein, ich kannte einige Tipps, aber einige sehr wichtige Informationen waren mir bis jetzt unbekannt!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Brillanter Beitrag, ich glaube, ich werde heute Nacht besser schlafen!
Henry
Bezüglich Nr. 6: Wenn Sie die folgende .htaccess-Datei verwenden, können Sie sich in einem zweistufigen Prozess von anderen Standorten aus anmelden. Dies erfordert, dass Sie eine htpasswd-Datei hinzufügen (lesen Sie Ihre Serverdokumentation).
AuthUserFile ‘some htpasswd file’
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
Require valid-user
# Whitelist Syed's IP-Adresse
allow from xx.xx.xx.xxx
# Whitelist David's IP-Adresse
allow from xx.xx.xx.xxx
# Whitelist Amanda's IP-Adresse
allow from xx.xx.xx.xxx
# Whitelist Muhammad's IP-Adresse
allow from xx.xx.xx.xxx
# Whitelist Work IP-Adresse
allow from xx.xx.xx.xxx
Satisfy Any
Die Zeilen „require valid user“ und „satisfy any“ zwingen den Apache-Server, nach einem Benutzernamen und Passwort zu fragen, bevor Sie auf den WordPress-Login-Bildschirm zugreifen können. Bitte verwenden Sie NICHT denselben Benutzernamen und dasselbe Passwort in der htpasswd-Datei, das Sie für Ihren WordPress-Zugriff verwenden, sonst machen Sie den Zweck der zusätzlichen Sicherheitsebene zunichte.
Redaktion
Thanks for the suggestion. Post updated with a link to this way as well
Admin
Laura
Danke für den großartigen Artikel. Ich freue mich darauf, meinen eigenen Blog sicherer zu machen.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Redaktion
Thanks for the translation
Admin
Konstantin
Hallo, ich blogge seit 3 Jahren. Mein Blog wurde im Juni 2009 gehackt und für 30 Tage von Google gesperrt. Meine Seitenaufrufe fielen sofort von 800 pro Tag auf weniger als 100 pro Tag.
Ich empfehle dringend die Installation eines WordPress Firewall Plugins. Das Plugin sendet Ihnen jedes Mal eine E-Mail, wenn jemand versucht, Ihren Blog zu hacken, zusammen mit der IP-Adresse des Hackers. Das Plugin erkennt und blockiert seltsame Anfragen und leitet den Angriff auf die Homepage um.
Am Montag erhielt ich eine E-Mail über sechs versuchte Hackerangriffe am Wochenende. Der Hacker versuchte dreimal die Admin-Seite, als das fehlschlug, versuchte er, das wordspew-Plugin zu suchen, das ich nicht benutze.
Viel Glück an alle Neulinge
Redaktion
Thanks for suggesting this one. Its now added in the post
Admin
Renee Fischer
Sobald ein Hack erfolgreich ist, werden der Bot oder der menschliche Hacker Ihre Daten behalten und Ihre Website-Dateien immer wieder durchsuchen, um einen Weg zurückzufinden. Sie werden unerbittlich bleiben. Wenn sie es geschafft haben, Ihre E-Mail, Ihren Computer oder Ihren Server zu hacken, werden sie weitermachen, bis sie alles gehackt haben, was Sie berühren. Sie sind wie Kakerlaken, die Krümel gefunden haben, die zu Ihrem Haus führten.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Taifun
Wirklich ein sehr nützlicher Artikel. Ich habe ihn getwittert.
Übrigens möchte ich eine Sache fragen; Wie funktioniert Stealth Login für Gastautoren?
Redaktion
Sie geben ihnen die spezielle URL, die Sie erstellt haben, wenn Sie ihnen genug vertrauen. Zum größten Teil sollten Gastautoren nicht einmal auf das Admin-Panel zugelassen werden, es sei denn, sie sind Autoren Ihrer Website. Wenn jemand mehrere Beiträge für Ihre Website geschrieben hat, dann kann ihm vertraut werden, sodass Sie ihm die spezielle URL /login oder /googlogin oder was auch immer Sie erstellt haben, geben können.
Die meisten Top-Blogs nehmen Gastbeiträge per E-Mail entgegen und wenn diese Gastautoren zu Stammautoren werden, dürfen sie erst dann ins Admin-Panel.
Admin
Misao
Danke! Sehr hilfreicher Artikel. Ich werde Ihre Tipps und Tricks auf einigen meiner Blogs ausprobieren.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Hi
Schöne Liste! Vielleicht möchten Sie das nette "One time Password" Plugin für Wordpress hinzufügen:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Tolle Tipps.
Für die interessierten Leser gibt es eine Ungenauigkeit in Nr. 6.
Der Nachteil dieses Hacks ist, dass Sie, wenn Sie jemals von einem anderen Ort aus auf das Admin-Panel zugreifen möchten, dies nicht tun können, es sei denn, Sie fügen diese zusätzliche IP-Adresse in Ihre .htaccess-Datei ein.
Wenn die IP-Adresse, die Sie zulassen, eine Box ist, in die Sie sich per SSH einloggen können, können Sie einen SSH-Tunnel darüber legen (ich benutze FoxyProxy, weil es den Wechsel sehr einfach macht). Wenn Sie außerdem Nginx anstelle von Apache verwenden, können Sie die URI mit regulären Ausdrücken auswerten, um alles von wp-app.php bis wp-trackback.php zu blockieren (oder selektiv auszuwählen, welche Sie nicht blockieren möchten). Ich behandle dies unter http://www.phrison.com/securing-arbitrary-uris/, aber es ist nichts für Unerfahrene.
Ich habe eine große Sammlung von Aluhüten.
Redaktion
Sie haben Recht.
Warnung: Neue Benutzer sollten dies überhaupt nicht versuchen. Dies ist nur für erfahrene Benutzer.
Admin
SaigonNezumi(Kevin)
Danke für diesen Beitrag. Ich habe auf einen Artikel wie diesen gewartet. Das Hinzufügen einiger Ihrer Tipps wird helfen, meine WP-Sites zu sichern.
Nochmals vielen Dank.
Redaktion
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Admin
Dana DeFazio
Ich frage mich, ob es etwas Vergleichbares für meinen Blog gibt, da es sich um eine WordPress.com-Seite handelt und ich auch einen neuen Blog auf danaddiamond.BlogSpot.com habe.
Redaktion
WordPress.com erlaubt Ihnen nicht viele Privilegien, aber mit ihrem Server sind Sie größtenteils sicher.
Admin
Tinh
Ausgezeichnete Tipps und Tricks, ich habe nur 6 von 11 vorgeschlagenen Tipps angewendet, lassen Sie mich den Rest ausprobieren
Jo
Diese Seite ist ein glücklicher neuer Fund für mich (FYI, dank @Problogger auf Twitter) und ich freue mich auf weitere Erkundungen. Dieser Artikel ist die Art von straffer, klarer Schreibweise, die heutzutage zu selten ist. Danke für einige wirklich hilfreiche Informationen.
Redaktion
Wir freuen uns, dass Ihnen unsere Seite gefällt, und wir freuen uns auch sehr, dass Darren den Artikel für tweetenswert hielt. Wir hoffen, Sie folgen uns auf Twitter, damit Sie über alle schönen Tutorials auf dem Laufenden bleiben.
Admin
Marc
Wow – ich bin ziemlich neu bei WP und hatte keine Ahnung, dass es so viele Einfallstore für Hacker gibt. Ich bin sicher, dass sie nach dem Hinzufügen einiger dieser Dinge nicht mehr hineinkommen werden.
Danke.
Roger Duck
WordPress-Sicherheit ist ein wachsendes Problem und diese Schritte sind entscheidend für die Sicherung einer WordPress-Site. Die Erhöhung der Sicherheit hilft der gesamten Community sowie Ihrer eigenen Website, Zeit für die Umsetzung dieser Ideen zu nehmen. Gut gemacht.
Rob
Und um all Ihre harte Arbeit / Sicherheitsfunktionen vor Ihren Kunden zu schützen...
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
Eine gute Liste wichtiger Tipps zur Sicherung Ihrer Website. Besonders gut gefällt mir #8. Das habe ich noch nie gemacht, werde es aber von nun an tun!
Bezüglich #7 – Benutzernamen 'admin' entfernen:
Ich entferne den Admin-Benutzernamen nicht, ich erstelle ein neues Admin-Konto und ändere dann den Kontotyp des Benutzers 'admin' zu Abonnent.
Auf diese Weise ist das Konto nutzlos, selbst wenn jemand das Passwort knackt. Wenn Sie es entfernen, kann jemand diesen Benutzernamen registrieren...
Kathlene
Frage an James Morrison. Können Sie etwas mehr erklären, was Sie sagen und wie man es macht?
Für das Personal habe ich mehrmals versucht, eine Nummer für das Akisnet-Plugin zu bekommen, und scheine keine zu finden. Wie bekommt man eine?
Sehr schöner Beitrag. Ich werde diese direkt umsetzen. Einer meiner Blogs wurde zweimal innerhalb von 30 Tagen gehackt.
Danke für die tollen Infos.
James Morrison
Befolgen Sie diese Schritte:
1.) Erstellen Sie ein neues Benutzerkonto mit Administratorzugriff (z. B. ‚James‘)
2.) Melden Sie sich mit dem neuen Konto bei WP Admin an
3.) Bearbeiten Sie das Konto des Benutzers ‚admin‘ und ändern Sie den Zugriff auf Abonnent
Auf diese Weise können sie, selbst wenn jemand versucht, das Admin-Konto zu kompromittieren und erfolgreich ist, immer noch nichts Schlimmes mit Ihrer Website anstellen.
Um einen Akismet-Schlüssel zu erhalten, müssen Sie sich unter http://www.wordpress.com dafür anmelden.
Ich hoffe, das hilft!
Mathdelane
Sie können den Standardbenutzernamen „admin“ jederzeit über die phpMyadmin-Datenbank in einen beliebigen Namen ändern. Hier ist mein Beitrag dazu sowie meine Erfahrungen mit Blog-Hacking und Sicherheit:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Günstige Seiten
Vielen Dank für all die Vorschläge, ich arbeite an einigen großen Projekten und das wird sicherlich helfen, sobald die Blogs online sind.
Zum ersten Mal hier und ich liebe den Blog, gute Arbeit!
Dan
Redaktion
Schön, dass es Ihnen hier gefällt. Machen Sie gerne Vorschläge, wenn Sie Fragen haben oder ein bestimmtes Thema auf WPBeginner behandelt haben möchten.
Admin
Flow Interactive
Gute Tipps. Sie können Ihre wp_config.php-Datei auch außerhalb des Web-Roots verschieben, um eine zusätzliche Sicherheitsebene zu bieten.
Redaktion
Ja, das können Sie tun, aber in diesem Artikel sprachen wir nur über das WordPress-Admin-Panel und nicht über die gesamte Website im Allgemeinen. Es gibt viele andere Möglichkeiten, Ihre gesamte WordPress-Blog-Website zu schützen.
Admin
Shabayek
Aber was ist, wenn Sie Ihren Blog-Besuchern die Registrierung erlauben und sie zwingen, sich vor dem Kommentieren anzumelden?
Redaktion
Dann können Sie den IP-Schutz und andere nicht verwenden, aber Sie sollten immer noch die Limit-Sperre verwenden, keinen Admin-Benutzernamen verwenden und sichere Anmeldung verwenden.
Admin
Gerald Weber
Ich verwende die Begrenzung der Anmeldeanforderungen an meine IP-Adresse. Das bedeutet, dass jeder, der versucht, auf http://www.domainname.com/wp-admin zuzugreifen und dessen Anfrage nicht von meiner IP-Adresse stammt, einfach eine 404-Seite erhält.
Blogspot zu WordPress
Hey, sehr nützlicher Beitrag.
MOst INteresting IDeas blog
Nützlicher Beitrag für meinen Blog.
Dreyer
Eine hilfreiche Liste. Ich werde diese ausprobieren. Besser paranoid als bedauernd.
Rafi
Hallo, das ist eine wunderbare Sammlung von Tipps und Hacks, sehr nützlich. Ich empfehle jedem WP-Blogger, die Liste durchzugehen und die Schritte sowie alle anderen nützlichen Ressourcen, die anderswo verfügbar sind, zu befolgen. Schließlich haben wir unsere Blogs NICHT eingerichtet, damit jemand die Kontrolle über unser Leben übernimmt. Verdammt.
Danke fürs Teilen, WPBeginner.
Sergej Müller
Link zu WordPress AntiVirus Protection?
Redaktion
Egal wie oft Sie Korrektur lesen, einige Dinge werden immer übersehen. Gut, dass wir Benutzer wie Sie haben. Link hinzugefügt. Nochmals vielen Dank.
Admin
Lolic
Was ist mit Akismet und Captcha-Systemen?