Wie man die Sicherheit von WordPress ohne Plugin erhöht

Schwachstellen und Sicherheitsverstöße sind fast immer auf menschliches Fehlverhalten zurückzuführen. Der beste Weg, die Sicherheit Ihrer Website zu verbessern, ist also, auf ein paar Dinge zu achten! Hier erfahren Sie, wie Sie die Sicherheit von WordPress ohne ein Plugin erhöhen können.

10 Schritte zur Erhöhung der WordPress-Sicherheit ohne Plugins

Schritt 1: Halten Sie Ihre Website auf dem neuesten Stand und entfernen Sie unnötige Plugins und Themes

Laut der WPScan-Datenbank gehen 95 % der WordPress-Sicherheitslücken auf Themes und Plugins zurück. 

Und 95 % dieser 95 % stammen tatsächlich von kostenlosen Themes und Plugins. 

Der beste Weg, Ihre Website vor Hackern zu schützen, besteht darin, Ihre Plugins und Ihr Thema auf dem neuesten Stand zu halten. Außerdem sollten Sie alle unnötigen Plugins, die auf Ihrer Website installiert sind, entfernen.

Schritt 2: PHP-Fehler überwachen und beheben

Dieser Tipp könnte schwieriger zu implementieren sein, wenn Sie mit der Sprache PHP nicht vertraut sind.

Plugins und Themes können eine Vielzahl von PHP-Fehlern erzeugen.

Die meisten von ihnen sind harmlos, aber einige können Ihre Website gefährden und zu Ausfallzeiten führen.

Um zu erfahren, welche Plugins PHP-Fehler erzeugen, müssen Sie auf das WordPress-Fehlerprotokoll zugreifen.

Der einfachste Weg, dies zu tun, ist die Installation von WP Umbrella.

Gehen Sie auf die Registerkarte PHP-Überwachung und aktivieren Sie die erweiterte Ansicht.

Von hier aus können Sie auf alle Fehler und die zugehörigen Informationen zugreifen, die zur Fehlerbehebung und zur Verbesserung der Sicherheit Ihrer WordPress-Website erforderlich sind.

Schritt 3: Wählen Sie Ihren Hosting-Anbieter sorgfältig aus

Natürlich sollte auch die Auswahl eines sicheren Hostings eine Ihrer obersten Prioritäten sein.

Bevor Sie sich mit Sicherheits-Plugins beschäftigen, sollten Sie sicherstellen, dass Ihr WordPress-Hosting über umfangreiche Sicherheitsmaßnahmen verfügt.

Hier sind einige der Sicherheitsmaßnahmen, die Ihnen ein guter WordPress-Hosting-Anbieter bieten sollte:

• Zwei-Faktor-Authentifizierung;
• GeoIP-Blockierung;
• Hardware-Firewalls;
• Verschlüsselte SFTP- und SSH-Verbindungen;
• Automatische Backups;

Kinsta, unser Hosting-Provider, bietet alle diese Dienste an.

Schritt 4: Legen Sie ein sicheres und eindeutiges Passwort für jede Website und jeden Dienst fest.

Die Verwendung des gleichen Passworts für jede Website ist der beste Weg, um gehackt zu werden.

Nicht alle Websites sind sicher. Wenn Sie überall dasselbe Passwort verwenden und es einem Hacker gelingt, es zu bekommen, hat er Zugang zu all Ihren Konten.

Sie müssen für jede Website, die Sie nutzen, ein anderes Passwort wählen. Am einfachsten ist es, einen sicheren Passwortgenerator wie den Norton Passwortgenerator zu verwenden .

Schritt 5: Verwenden Sie sichere Passwörter

Wenn Ihre Website mehrere Benutzer hat, sollte jeder Benutzer ein sicheres Passwort haben und es regelmäßig ändern. Sie sollten Ihr Team zwingen, die Passwörter von Zeit zu Zeit zurückzusetzen. Dies ist von größter Bedeutung, wenn es um die Sicherheit von WordPress geht.

Schritt 6: SSL-Zertifikat installieren

Secure Socket Layer (SSL) stellt eine verschlüsselte Verbindung zwischen einem Server und einem Benutzer her, so dass die Daten sicher zwischen ihnen übertragen werden können. 

Abgesehen davon, dass es sich um eine kluge Sicherheitspraxis handelt, verlangt Google, dass Websites SSL verwenden. Eine Website, die über HTTP statt HTTPS läuft, wird in der Regel vom Browser bestraft, indem er "Nicht sicher" anstelle des angenehmen grünen Schlosses anzeigt. Dies wird das Vertrauen Ihrer Besucher und Ihrer Marke zerstören. 

Früher war die Installation eines SSL-Zertifikats ziemlich schwierig. Dank Really Simple SSL können Sie jetzt in weniger als 5 Minuten SSL zu WordPress hinzufügen. 

Schritt 7: Begrenzen Sie die Anmeldeversuche für den WP-Admin

Es ist kein Zufall, dass Bank-Websites ihren Nutzern nur drei Versuche geben, ihren Benutzernamen und ihr Passwort richtig einzugeben. Danach werden Ihre Konten für eine kurze Zeit gesperrt. 

Auf diese Weise können Brute-Force-Angriffe reduziert und Hacker effektiver behindert werden.

In WordPress sind die Anmeldeversuche standardmäßig unbegrenzt. Sie können die Sicherheit Ihrer Website erhöhen, indem Sie die Anmeldeversuche begrenzen, damit Hacker nicht Tausende von Kombinationen ausprobieren können, um Zugang zu erhalten.

Dieser kleine Codeschnipsel kann manuell in die Datei wp-content > Themes > functions.php eingefügt werden, um einen begrenzten Anmeldeschutz zu gewährleisten.

function check_attempted_login( $user, $username, $password ) {

    if ( get_transient( ‘attempted_login’ ) ) {

        $datas = get_transient( ‘attempted_login’ );

        if ( $datas[‘tried’] >= 3 ) {

            $until = get_option( ‘_transient_timeout_’ . ‘attempted_login’ );

            $time = time_to_go( $until );

            return new WP_Error( ‘too_many_tried’,  sprintf( __( ‘ERROR: You have reached authentication limit, you will be able to try again in %1$s.’ ) , $time ) );

        }

    }

    return $user;

}

add_filter( ‘authenticate’, ‘check_attempted_login’, 30, 3 ); 

function login_failed( $username ) {

    if ( get_transient( ‘attempted_login’ ) ) {

        $datas = get_transient( ‘attempted_login’ );

        $datas[‘tried’]++;

        if ( $datas[‘tried’] <= 3 )

            set_transient( ‘attempted_login’, $datas , 300 );

    } else {

        $datas = array(

            ‘tried’     => 1

        );

        set_transient( ‘attempted_login’, $datas , 300 );

    }

}

add_action( ‘wp_login_failed’, ‘login_failed’, 10, 1 ); 

function time_to_go($timestamp)

{

    // converting the mysql timestamp to php time

    $periods = array(

        “second”,

        “minute”,

        “hour”,

        “day”,

        “week”,

        “month”,

        “year”

    );

    $lengths = array(

        “60”,

        “60”,

        “24”,

        “7”,

        “4.35”,

        “12”

    );

    $current_timestamp = time();

    $difference = abs($current_timestamp – $timestamp);

    for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

        $difference /= $lengths[$i];

    }

    $difference = round($difference);

    if (isset($difference)) {

        if ($difference != 1)

            $periods[$i] .= “s”;

            $output = “$difference $periods[$i]”;

Schritt 8: Blockieren Sie die PHP-Ausführung in nicht vertrauenswürdigen Ordnern.

Das ist ein harter Brocken, also werde ich versuchen, die Dinge so einfach wie möglich zu halten.

Zunächst sollten Sie verstehen, dass PHP eine Skriptsprache ist, die für die Webentwicklung verwendet wird. Funktionen in PHP sind Codeblöcke, die in einem Programm ausgeführt werden können, um eine bestimmte Funktion zu erfüllen. 

Der zweite Punkt, den Sie verstehen müssen, ist, dass eine WordPress-Website aus Dateien und Ordnern besteht. Es ist jedoch wichtig zu wissen, dass nur bestimmte Dateien und Ordner PHP-Funktionen verwenden. Es ist möglich, dass Hacker neue Ordner auf Ihrer Website erstellen oder ihre PHP-Funktionen in bestehende Ordner kopieren und einfügen. Dies würde sich nachteilig auf Ihre Website auswirken. Ohne das richtige Tool könnten Sie Wochen damit verbringen, ohne zu merken, dass Ihre Website beschädigt ist.

Sie können einen solchen Hack verhindern, indem Sie PHP-Funktionen aus unbekannten Ordnern blockieren oder einfach PHP-Ausführungen dort deaktivieren, wo sie nicht stattfinden sollen.

Suchen Sie dazu die .htaccess-Datei auf Ihrem FTP-Server und öffnen Sie sie. Wenn sie nicht vorhanden ist, können Sie sie mit Ihrem HTML-Editor erstellen. Vergessen Sie nicht, sie als .htaccess zu speichern.

Fügen Sie diese Codezeilen in die Datei ein:

<Files *.php>
deny from all
</Files>

Schritt 9: WordPress-Datei-Editor deaktivieren

Sie können WordPress-Theme- und Plugin-Dateien direkt im Admin-Bereich mit dem integrierten Code-Editor von WordPress bearbeiten.

Den Theme-Editor finden Sie unter Erscheinungsbild " Theme-Editor. Dort wird eine Liste der Dateien angezeigt, die sich auf Ihr derzeit aktives Thema beziehen.

Den Plugin-Editor finden Sie ebenfalls unter Plugins " Plugin-Editor. Dort wird Ihnen automatisch das erste auf Ihrer Website installierte Plugin in alphabetischer Reihenfolge angezeigt.

Wenn sich ein Hacker Zugang zu Ihrem WordPress-Administrationsbereich verschafft, kann er über den integrierten Editor auf alle Ihre Daten zugreifen.

Außerdem können Hacker Ihre WordPress-Website nutzen, um Malware zu verbreiten oder Denial-of-Service-Angriffe zu starten.

Es wird empfohlen, die eingebauten Datei-Editoren vollständig aus WordPress zu entfernen, um die Sicherheit zu verbessern.

Um den WordPress-Theme-Editor zu entfernen, müssen Sie die Datei wp-config.php bearbeiten.

Fügen Sie diese Codezeile hinzu:

define( ‘DISALLOW_FILE_EDIT’, true );

Direkt über der Zeile mit der Aufschrift /* Das war's, Schluss mit der Bearbeitung! Viel Spaß beim Veröffentlichen. */

Stellen Sie sicher, dass Sie Ihre Änderungen speichern, bevor Sie den Editor schließen.

Schritt 10: Sicherheitsschlüssel und Salzes ändern

Um Benutzernamen und Passwörter zu verschlüsseln, verwendet WordPress Salts oder Sicherheitsschlüssel. Die Zeichenfolgen werden zum Hashing Ihrer Anmeldedaten verwendet. Folglich können Ihre Anmeldedaten nicht gestohlen oder für die Anmeldung auf Ihrer Website verwendet werden, da sie nicht von zufälligen Zeichen unterschieden werden können. 

Die Begriffe WordPress-Salts und WordPress-Sicherheitsschlüssel beziehen sich beide auf die gleichen 8 Zeichenfolgen. Jedem der 4 Sicherheitsschlüssel entspricht ein Salt. Die 4 WordPress-Sicherheitsschlüssel sind: 

• AUTH_KEY
• SECURE_AUTH_KEY
• LOGGED_IN_KEY
• NONCE_KEY

Im WordPress-Sicherheitssystem sind die Schlüssel und Salts zufällige Zeichenfolgen, was sie sowohl stark als auch einzigartig macht. Dennoch kann es sein, dass sie gelegentlich geändert werden müssen.

Wenn Sie z. B. Malware entfernen, sollten Sie anschließend die Salzschlüssel ändern.

Es ist auch eine kluge Sicherheitspraxis, die WordPress-Salzschlüssel von Zeit zu Zeit zu aktualisieren, so wie Sie Ihre Passwörter aktualisieren würden. Hacker haben es schwerer, die Sicherheit Ihrer Website zu durchbrechen, wenn die Anmeldedaten regelmäßig geändert werden. 

Das Ändern von Sicherheitsschlüsseln und Salts ist ein einfacher Vorgang:

1. Verwenden Sie den WordPress-Generator für geheime Schlüssel, um neue Schlüssel und Salts zu erzeugen.
2. Ersetzen Sie die alten Authentifizierungsschlüssel und Salts in der Datei wp-config.php durch die neuen.

Schritt 11: Sichern Sie die Datei wp-config.php.

Die Datei wp-config.php ist für Hacker am wertvollsten. Sie enthält alle Ihre Anmeldeinformationen. Sie ist das Herzstück Ihrer Website, und deshalb müssen Sie ihre Sicherheit verstärken.

Die beste Möglichkeit, die Datei wp-config.php zu schützen, besteht darin, ihr den Zugriff zu verweigern.

Fügen Sie dazu den folgenden Code am Anfang Ihrer .htaccess-Datei ein: 

<files wp-config.php>
order allow,deny
deny from all
</files>

Verwandt: Liste der 30+ besten WordPress-Sicherheitspraktiken für die Sicherheit Ihrer Website.

Schlussfolgerung

Keiner der oben genannten Schritte ist für sich genommen komplex, aber sie wirken zusammen, um die Angriffsfläche Ihrer Website zu verkleinern und Ihre Umgebung vorhersehbar und deutlich schwerer angreifbar zu machen. Unabhängig davon, ob Sie eine einzige Website oder ein ganzes Portfolio verwalten, ist dies die Grundlage für eine sichere WordPress-Einrichtung. Und wenn Sie einen Überblick über Fehler, Aktualisierungen, Betriebszeiten oder Backups haben möchten, helfen Ihnen Tools wie WP Umbrella dabei, Probleme zu erkennen, bevor sie eskalieren, ohne die hier geschaffenen Grundlagen zu ersetzen.

Lesen Sie als Nächstes das beste Sicherheits-Plugin für WordPress.