Vor etwa einem Monat bemerkten wir eine riesige Anzahl fehlgeschlagener Versuche, auf die Login-Seite und die wp-admin-Seite von WPBeginner zuzugreifen. Wir wurden extrem vorsichtig. Vom Schutz des wp-admin-Verzeichnisses mit einem Passwort bis hin zum Hinzufügen einer Zwei-Schritt-Verifizierung haben wir versucht, alles selbst zu tun. Wir erkannten jedoch schnell, dass unsere Fähigkeiten und unser Wissen ziemlich begrenzt waren. Wir haben bereits eine vollständige Backup-Lösung mit VaultPress, daher brauchten wir nur jemanden, der unsere Website kontinuierlich auf ungewöhnliches Verhalten überwacht. Jemand, der wusste, was er tat. Jemand mit einem guten Ruf. Nach einiger Recherche kristallisierte sich nur ein Name heraus. Es war Sucuri. Als wir die Website besuchten, stellten wir fest, dass dies dieselbe Website ist, die einen kostenlosen Website-Scanner anbietet, den wir bei der Malware-Bereinigung für die Website eines unserer Kunden verwendet hatten. Wir haben uns sofort ein Konto für unsere Websites besorgt. Während der Einrichtung kam uns nur der Gedanke: „WOW“. Dies sollte ein MUSS für jeden sein. In diesem Artikel zeigen wir Ihnen, warum wir Sucuri verwenden und wie es unsere WordPress-Sicherheit wirklich verbessert.
1. Überwachung der Website-Integrität
Im Gegensatz zu ihrem kostenlosen Scanner, den Sie manuell ausführen müssen, prüft die Website-Malware- und Blacklist-Warnung die Website alle 3 Stunden, um sicherzustellen, dass Ihre Website frei von Malware, bösartigen JavaScripts, bösartigen iframes, verdächtigen Weiterleitungen, Spam-Link-Injektionen usw. ist. Sie stellen auch sicher, dass Ihre Website nicht von beliebten Diensten wie Google, Norton, AVG, Phishtank, Opera und anderen auf die schwarze Liste gesetzt wird. Wie nützt das? Nun, es erhält Ihren Ruf intakt, sodass Ihre Benutzer keine Warnungen wie „Warnung, hier stimmt etwas nicht“ sehen.
2. Serverseitiges Scannen
Das Website-Monitoring prüft Ihre Website also nur im Frontend. Aber was ist, wenn Sie es mit einem cleveren Hacker zu tun haben, dem es egal ist, ob er Ihre Benutzer mit Malware infiziert? Sie fügen einfach Bannerwerbung in Ihre älteren Beiträge ein, von denen Sie nichts wissen. Was ist, wenn sie bereits einen Backdoor-Zugang eingerichtet haben, den sie nutzen können, um Ihre Affiliate-Links durch ihre eigenen zu ersetzen und Ihre Einnahmen zu stehlen? Diese Art von Hack kann mit ihrem kostenlosen Website-Scanner nicht erkannt werden. Für zahlende Kunden gibt es jedoch die Option „Serverseitiges Scannen“, die genau das tut. Es scannt Ihren Server, um sicherzustellen, dass keine verdächtigen Dateien auf Ihrem Server vorhanden sind. Es prüft auch Ereignisse wie Dateiänderungen und dergleichen, um Sie auf dem Laufenden zu halten.
Man würde denken, dass man eine Art aufgeblähte Software auf seinem Server installieren müsste, um diese Scans durchzuführen. Alles, was Sie tun müssen, ist eine einfache PHP-Datei hochzuladen, und das war's.
3. WordPress Audit Log Plugin
Da es von Leuten entwickelt wurde, die WordPress genauso lieben wie wir, gibt es ein spezielles Plugin für WordPress-Benutzer. Dieses Plugin ist ein Juwel für Anfänger und fortgeschrittene Benutzer gleichermaßen. Es protokolliert alle Ereignisse, die auf Ihrer WordPress-Website stattfinden. Dateiänderungen, neue Beitragszusätze usw.
Oft versuchen Hacker, ihre gehackten Backdoor-Zugriffsdateien mit WordPress-Dateinamen zu tarnen. So kann es sich um eine Datei in Ihrem wp-includes-Ordner handeln, die wp-user.old.php heißt oder etwas, das ein durchschnittlicher Benutzer nicht als bösartige Datei verdächtigen würde. Das Sucuri WordPress-Plugin stellt sicher, dass die Integrität aller Kerndateien intakt ist. Wenn sich also eine verdächtige Datei darunter befindet, wird es Sie sofort alarmieren. Oft versuchen Hacker, die Malware in Ihrer wp-config.php-Datei zu verstecken. Dies ist eine Kerndatei. Dieses Plugin prüft all das.
1-Klick-Härtung
Wenn Sie ein neuer Benutzer sind, sehen Sie verschiedene Sicherheitsposts in verschiedenen Blogs. Sie versuchen, sich an all diese auf Ihrer nächsten Website und der danach usw. zu erinnern. Einige der Härtungstricks werden nicht einmal erwähnt. Nun, Sucuri gibt Ihnen die Möglichkeit, Ihre Sicherheit zu verbessern, indem Sie Ihre WordPress-Installation härten. Mit einem Klick können Sie Ihr Upload-Verzeichnis schützen. Oft verstecken Hacker ihre bösartigen Dateien gerne in Ihrem Upload-Ordner. Da der Upload-Ordner nach Jahr und Monat organisiert ist, ist er ein einfacher Ort für Hacker, um Dinge zu verstecken. Die meisten Leute überprüfen niemals ihren Upload-Ordner. Mit einem einfachen Klick macht dieses Plugin Ihr Upload-Verzeichnis unbrowsable und verbietet die PHP-Ausführung. Es tut dasselbe für das wp-content-Verzeichnis und das wp-includes-Verzeichnis. Mit einem Klick können Sie auch Ihre wp-config-Datei ein Verzeichnis nach oben verschieben. Mit einem Klick werden Ihre readme.html-Datei und andere entfernt.
Derzeit gibt es keine Möglichkeit, das Standard-Datenbankpräfix mit einem Klick zu ändern, aber es heißt, dass es in zukünftigen Versionen verfügbar sein wird. In der Zwischenzeit können Sie unser Tutorial unter Ändern des WordPress-Datenbankpräfixes verwenden.
Last but certainly not the least, dieses Plugin fügt eine Web-Firewall hinzu, die Spammer blockiert und ihre IPs auf die schwarze Liste setzt. Wir haben viele der IPs überprüft, die versucht haben, auf Bereiche zuzugreifen, in die sie nicht gelangen sollten, und es handelt sich um bekannte IP-Adressen auf der schwarzen Liste. Für WordPress-Benutzer ist dieses Plugin das Beste, was es je gab.
4. Benachrichtigungen
Der wichtigste Teil der Überwachung sind Benachrichtigungen. Sucuri ermöglicht es Ihnen, E-Mail-Benachrichtigungen, Twitter-Benachrichtigungen, IM-Benachrichtigungen, SMS-Benachrichtigungen und RSS-Benachrichtigungen zu konfigurieren. Das ist großartig, denn wenn es jemals zu einem Hack kommt, werden Sie der Erste sein, der es erfährt.
Neben der Überwachung von Malware und Blacklists bieten sie auch Überwachung für DNS-Änderungen, Whois-Änderungen usw. an. Kürzlich wurden viele beliebte Domains von ihren Webmastern gestohlen, und diese Art der Überwachung kann Sie auf dem Laufenden halten.
5. Malware-Bereinigungsdienst
Obwohl alle oben genannten Gründe die Kosten rechtfertigen, bieten sie auch einen Malware-Bereinigungsdienst ohne Seitenlimits sowie eine Entfernung von Blacklists an. Wir mussten diesen Teil des Dienstes noch nicht in Anspruch nehmen, aber können Sie sich vorstellen, Sicherheitsexperten bei der Bereinigung Ihrer Website zu haben. Normalerweise berechnen einige dieser Leute 250 $/Stunde für Beratung. Nehmen wir an, Ihre Website wird gehackt und Sie haben deren Überwachung, dann kümmern sie sich um die Bereinigung. Die Chancen stehen gut, dass dies erkannt wird, bevor Google und andere Dienste Sie auf die Blacklist setzen. Aber wenn Sie auf die Blacklist gesetzt wurden, helfen sie Ihnen bei der Entfernung von der Blacklist.
Wir haben den Power-Plan, der 189,99 $/Jahr kostet und 5 Websites abdeckt. Die monatlichen Kosten belaufen sich auf etwa 3 $ pro Website. Wir würden lieber 3 $ pro Website bezahlen und diese sicher halten, anstatt gehackt zu werden und jemanden $$$$ für die Bereinigung unserer Website zu bezahlen.
Fazit
Das Web ist ein wirklich beängstigender Ort. Tag für Tag hören wir Geschichten von Menschen und Websites, die gehackt werden. Nachdem wir zahlreichen Menschen bei der Bereinigung ihrer Websites von Malware geholfen haben, können wir ehrlich sagen, dass Sucuri mit Abstand der beste und kostengünstigste Sicherheitsdienst in der WordPress-Branche ist. Es ist viel besser, von einem Überwachungsdienst zu erfahren, dass Ihre Website gehackt wurde, als von Ihren Nutzern oder besser noch von Google, wenn sie Ihre Website auf die Blacklist setzen.
Wir nutzen Sucuri und wenn Ihnen die Sicherheit Ihrer Website am Herzen liegt, dann sollten Sie das auch tun. Es gibt einen Grund, warum große Publikationen wie CNN, USAToday, PC World, TechCrunch, TheNextWeb und andere diese Jungs empfehlen. Nachdem wir persönlich mit einem ihrer Mitbegründer Dre Armeda gesprochen haben, wissen wir, dass wir in guten Händen sind.
jesse
Ich hatte ständig Ausfallzeiten mit Sucuris Firewall… hatte 48 Stunden Ausfallzeit durch 2 Ausfälle. Ihr technischer Support ist wirklich inkompetent. Ich empfehle ihren Service NICHT.
Vinny
Wie viel hat Sucuri Ihnen bezahlt, um sie auf Ihre Liste zu setzen? Ich sage nicht, dass sie schlecht sind, aber ich würde eher Wordfence oder sogar iThemes Security verwenden, die beide 6x mehr aktive Nutzer haben als Sucuri.
Redaktion
Sucuri hat uns keinen einzigen Cent bezahlt. Zum Zeitpunkt des Schreibens hatte iThemes Security einen anderen Namen und WordFence war der einzige Hauptkonkurrent. Der Malware-Bereinigungsdienst und die aktive Überwachung von Sucuri gaben ihnen den Vorteil. Wir sind dabei, auf deren neue WAF umzusteigen, worüber wir dann ein Update schreiben werden.
Sucuris WAF ist den von Ihnen genannten Plugins weit überlegen, da es sich um eine aktive Cloud-basierte DNS-Firewall handelt und nicht um eine gehostete für Ihre WP-Site. Außerdem sind 6x mehr aktive Nutzer hauptsächlich darauf zurückzuführen, dass die anderen kostenlos sind.
Administrator
butterkitten
Ich mag die Empfehlung, aber ich kann mir Sucuri im Moment nicht leisten. Gibt es andere Plugins, die Sie empfehlen können und die erschwinglich sind?
Chris Bunting
Obwohl es mittlerweile verschiedene Sicherheit-Plugins gibt, bevorzuge ich immer noch Securi! Ich betreibe eine Website, bei der der Traffic nicht so sehr das Problem ist, sondern eher die Art der Besucher. Hackerangriffe sind bei uns an der Tagesordnung. Aber Securi hat die besten Benachrichtigungen und die beste Einrichtung, die ich bisher gefunden habe!
Der wirkliche Schutz Ihrer Website geht weit über ein Plugin hinaus. Lassen Sie sich nicht vom Hype täuschen! Wenn Sie einen dedizierten Server / VPS nutzen, müssen Sie beim Betriebssystem beginnen. Wenn Sie auf einem Shared-Hosting-Konto mit automatischen Installationsskripten sind, sollten Sie sich mit der Absicherung Ihrer Website beschäftigen, bevor Sie überhaupt daran denken, WordPress abzusichern.
Thomas Zickell
Sucuri CloudProxy ist jetzt verfügbar und ich benutze es seit seiner Einführung. Ich muss sagen, es ist eines der besten Tools, die ich je benutzt habe. Die Website-Geschwindigkeit ist schneller, Sie haben echten Schutz gegen alle Brute-Force-Angriffe, sogar DDoS 7-Schutz ist in ihrem Basisangebot enthalten, mit vollem DDoS 3,4 &7 in ihrem professionellen Angebot. Es ist wirklich ein herausragendes Werkzeug für jeden, der kein verwaltetes WordPress-Hosting nutzt (ich nutze sowohl verwaltetes WordPress als auch Terremark, FireHost, Linode & Digital Ocean). Es ist eine großartige Ergänzung, besonders für jeden, der einen sehr schnellen, zuverlässigen und sicheren Server sucht, gepaart mit Digital Ocean, und Sie haben etwas Erstaunliches.
Sean
Gute Bewertung, wir sind gerade dabei, uns bei ihnen anzumelden. Wenn man unter den Angriffen von Hackern gelitten hat und so viele Leute diese Jungs empfehlen, weiß man, dass es das Richtige ist.
Thomas Zickell
Ich mag die neuen Sucuri-Backups wirklich. Sie kosten 5 US-Dollar pro Monat und Sie haben unbegrenzten Speicherplatz. Ich stimme zu, dass VaultPress ein ausgezeichneter Dienst ist, aber nachdem ich die 15 US-Dollar pro Monat von VaultPress im Vergleich zu Sucuri & CodeGuard verglichen habe, wähle ich Sucuri. Alles, was Sie brauchen, ist SFTP/FTP/MySQL, was einer reinen Plugin-Methode vorzuziehen ist.
Ich besonders wegen des Services, den Sie von Sucuri erhalten, sie helfen Ihnen sogar, die Website für Sie wiederherzustellen, und ja, Sie müssen entweder Live-Chat nutzen, der 24/7 verfügbar ist.
Sie können Ihrem Kunden täglich, wöchentlich oder monatlich eine E-Mail mit einem Backup-Link zum Herunterladen senden.
Wenn Sie Suchmaschinenoptimierung, Webentwicklung und Content-Erstellung betreiben, wie ich.
Kunden müssen eine Möglichkeit haben zu wissen, dass Sie eine ehrliche Person sind, damit sie, wenn Sie verschwinden, ihre Website erhalten, auch wenn sie auf Ihrer Hosting-Plattform liegt.
Aus diesem Grund, der mir seltsam erscheint, ihn anzusprechen, aber er ist wichtig, weil Sie nicht möchten, dass Ihr Kunde, der vielleicht nicht so webaffin ist wie Sie selbst, mit Plugins oder irgendetwas herumspielt, wenn Sie der Webmaster sind.
Sucuri hat sich wirklich ins Zeug gelegt, ich benutze sie seit Jahren und sie sind eine fantastische Firma.
Ich sage, CodeGuard ist in Ordnung
Ich würde das Geld lieber für Sucuri-Backup ausgeben und mir nie Gedanken über den Speicherplatz machen
Phil Alcock
Als ich den Sucuri-Check für unsere Domain durchführte, kam er als sauber zurück, aber im Abschnitt Webanwendungsversion hatte er ein Warnsymbol für
Wordpress interner Pfad: /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
Ohne Angabe, was das bedeutet. Irgendwelche Ideen?
oj wickliffe
Hallo,
Ich bin schon einmal auf diese Seite gestoßen und sie hat tatsächlich geholfen, einige Malware zu entdecken.
Eigentlich habe ich ein Problem, bei dem ich eine Empfehlung brauche. Meine Seite scheint gehackt worden zu sein, da dort ein Ordner ist, den ich nicht erstellt habe. Aber jedes Mal, wenn ich ihn lösche, kommt er aus meinem cPanel-Dateimanager zurück.
Was kann ich tun?
Danke.
WPBeginner-Support
Ein Ordner bedeutet nicht unbedingt, dass er auf Ihrer Website auf Malware oder einen Trojaner zurückzuführen ist. Viele WordPress-Plugins erstellen auch Ordner zum Speichern von Daten. Um sicherzustellen, dass nicht ein Plugin diesen Ordner erstellt, deaktivieren Sie zuerst alle Ihre Plugins und löschen Sie dann den Ordner. Sehen Sie, ob der Ordner zurückkommt. Wenn ja, liegt es wahrscheinlich an einem bösartigen Skript oder einer Malware. Wenn er nicht zurückkommt, bedeutet dies, dass eines der Plugins auf Ihrer Website diesen Ordner benötigt, um ordnungsgemäß zu funktionieren.
Administrator
TOrben Heikel Vinther
Tolle Bewertung! Heute nutze ich das kostenlose Plugin Better WP Security auf meinen Websites, aber wenn ich von Sucuri lese, klingt es, als wäre es noch besser! Wenn ich das Sucuri-Plugin kaufe, erhalte ich dann den gleichen Schutz (oder mehr) als mit Better WP Security?
Empfehlen Sie andere Sicherheit-Plugins, die mit Sucuri zusammenarbeiten, z. B. Wordfence, oder wäre das zu viel Überschneidung?
Redaktion
Sucuri ist eine ziemlich umfassende Lösung, daher sollten Sie sie nicht mit Wordfence und ähnlichem kombinieren müssen. Ein klarer Vorteil von Sucuri ist die Garantie, dass sie Ihre Website reparieren, wenn etwas schief geht. Jeder, der den Schmerz der Bereinigung einer gehackten Website kennt, wird das Abonnement sofort kaufen. Die Beauftragung eines guten Sicherheitsberaters kostet Hunderte von Dollar pro Stunde. Sucuri verfügt auch über serverseitiges Scannen, das Sie warnt. Es überwacht Dateiänderungen und ähnliches.
Administrator
Frithjof
Danke für die tolle Bewertung! Bevor ich mich anmelde, eine „Bonus“-Frage: Ersetzt das serverseitige Scannen die Notwendigkeit der Uptime-Überwachung?
Redaktion
Sie haben die Möglichkeit, Benachrichtigungen für die Uptime zu erhalten.
Administrator
Maggie
Ich habe meinen Blog letzten Monat gestartet und es ist immer noch eine sehr kleine Seite, die täglich nicht mehr als 10 Leute besuchen.
Bedeutet das, dass die Chance geringer ist, dass jemand meine Website hackt?
Sollte ich warten, bis meine Website belebter wird?
Ich nehme meinen Blog sehr ernst, bin mir aber nicht sicher, ob er am Anfang viel Investition wert ist.
Mary
Hallo,
Ich wollte Ihnen nur antworten, weil ich Brute-Force-Angriffe auf meine Websites habe und diese alle neu sind und sehr wenig Traffic haben.
„Login in security“ ist ein kostenloses Plugin, das mir diese Informationen liefert und auf dieser Website besprochen wurde.
Updates und ein starkes Passwort sind ebenfalls wichtig.
Aber ich schaue mir Sucuri an und werde über den Link auf dieser Seite kaufen, weil diese Jungs großartig sind.
Viel Glück!
Maggie
Vielen Dank für deine Antwort Mary. Das klingt beängstigend!
Ich habe gerade „Limit Login Attempts“ installiert und werde Sucuri noch einmal überdenken.
Mary
Hallo, danke für diesen Artikel
Ich verstehe nicht alle Details, die hier oder in den Kommentaren stehen
Also habe ich mich das gefragt. Wenn ich Sucuri bekomme, muss ich
1) entscheiden, was ich von dem Angebot brauche (ich wüsste es nicht)
2) ist es schwer, ist es für einen NICHT-VERSTEHER wie mich zu installieren?
3) gibt es Code? Ich habe meine Website schon einmal durch Hinzufügen von Code beschädigt
4) und werden weitere Sicherheitsmaßnahmen erforderlich sein?
Danke für Ihre Website! Mary
Redaktion
Hallo Mary,
1. Nein, Sie kaufen einfach den Plan (er ist all-inclusive).
2. Ziemlich einfach zu installieren. Ihr Team wird Ihnen helfen, wenn Sie es brauchen.
3. Nö. Kein Code beteiligt.
4. Die Verwendung eines sicheren Passworts ist immer notwendig
Administrator
Keith Davis
Hallo Syed
Ich wollte dich nur wissen lassen, dass Sucuri jetzt eine hat – Klick-Datenbankpräfix-Änderung – großartig!
Redaktion
Super… Wusste nicht, dass sie das hinzugefügt haben.
Administrator
Keith Davis
Schaue mir Sucuri für 5 bis 8 Websites ernsthaft an.
Irgendwelche Rabattcodes?
Ahmed
Nun, ich denke, ich werde diesen Jungs eine Chance geben!
Brad Dalton
Meine Website wurde heute gehackt und der Sucuri-Scan war sauber, bevor ich sie repariert habe.
Wordfence hat es erkannt, als ich mit diesem Plugin gescannt habe.
Redaktion
Brad, hast du ihren kostenlosen Scanner oder den kostenpflichtigen Server-Scan verwendet? Ihr kostenloser Scanner prüft keine Dateien auf deinem Server. Er prüft lediglich auf öffentlich angezeigten bösartigen Code.
Administrator
Jason H
Die positive Bewertung endet mit dieser Zeile:
„Es gibt keinen Grund, warum große Publikationen wie CNN, USAToday, PC World, TechCrunch, TheNextWeb und andere diese Jungs empfehlen.“
Redaktion
Wow, totale Übersehen unsererseits. Es sollte heißen „Es gibt einen Grund“. Danke, dass du darauf hingewiesen hast.
Administrator