Die Sicherheit Ihrer WordPress-Website ist ein fortlaufender Prozess, ähnlich wie die Pflege Ihrer Gesundheit. Obwohl WordPress mit Blick auf Sicherheit entwickelt wurde, können immer noch Probleme auftreten. Diese Probleme können durch veraltete Plugins, schwache Passwörter oder sogar Einstellungen Ihres Webhostings verursacht werden.
Bei WPBeginner betrachten wir WordPress-Sicherheitsüberprüfungen als Website-Check-ups. Sie helfen Ihnen, Schwachstellen zu finden und zu beheben, bevor jemand sie ausnutzen kann. Sie halten Ihre Website gesund und schützen die darin enthaltenen Informationen.
Dieser Artikel zeigt Ihnen, wie Sie Ihre WordPress-Website auf Sicherheitsprobleme überprüfen, ohne Probleme oder Unterbrechungen zu verursachen.
Was ist ein WordPress-Sicherheitsaudit?
Eine Sicherheitsüberprüfung Ihrer WordPress-Website durchzuführen bedeutet, Ihre Website auf Anzeichen einer Sicherheitsverletzung zu überprüfen. Sie können eine WordPress-Prüfung durchführen, um nach verdächtigen Aktivitäten, bösartigem Code oder einem ungewöhnlichen Leistungsabfall zu suchen.
Wir zeigen Ihnen, wie Sie eine grundlegende Sicherheitsüberprüfung durchführen, indem Sie einfachen Schritten folgen, die Sie manuell ausführen können. Wir zeigen Ihnen auch, wie Sie WordPress-Sicherheitsüberprüfungstools und -dienste verwenden, um die Sicherheitsprüfungen automatisch durchzuführen.
Wenn Sie etwas Verdächtiges finden, können Sie es isolieren, entfernen und beheben.
Wann sollte eine WordPress-Sicherheitsüberprüfung durchgeführt werden
Sie sollten mindestens einmal im Quartal eine WordPress-Sicherheitsprüfung durchführen. Dies ermöglicht es Ihnen, den Überblick zu behalten und Sicherheitslücken schließen, noch bevor sie Probleme verursachen.
Sie sollten jedoch sofort eine Sicherheitsüberprüfung durchführen, wenn Sie etwas Verdächtiges bemerken, wie zum Beispiel:
- Ihre Website ist plötzlich langsam und träge.
- Sie stellen einen Rückgang des Website-Traffics fest.
- Es gibt verdächtige neue Konten, vergessene Passwortanfragen oder Anmeldeversuche auf Ihrer Website.
- Sie sehen verdächtige Links auf Ihrer Website erscheinen.
Nichtsdestotrotz wollen wir uns ansehen, wie man einfach eine WordPress-Sicherheitsüberprüfung durchführt.
Durchführung einer grundlegenden manuellen WordPress-Sicherheitsprüfung
Hier ist eine Checkliste mit einigen Schritten, die Sie unternehmen können, um eine grundlegende manuelle WordPress-Sicherheitsüberprüfung Ihrer Website durchzuführen.
1. WordPress-Core, Plugins und Themes aktualisieren
WordPress-Updates sind für die Sicherheit und Stabilität Ihrer Website sehr wichtig. Sie schließen Sicherheitslücken, bringen neue Funktionen und verbessern die Leistung.
Stellen Sie sicher, dass Ihre WordPress-Kernsoftware, alle Plugins und Themes auf dem neuesten Stand sind. Dies können Sie ganz einfach tun, indem Sie die Seite Dashboard » Updates im WordPress-Adminbereich besuchen.
WordPress prüft, ob Updates verfügbar sind, und listet sie dann für Sie zur Installation auf. Wenn Sie weitere Hilfe benötigen, lesen Sie unsere Anleitungen zum korrekten Aktualisieren von WordPress und zum korrekten Aktualisieren von WordPress-Plugins.
2. Benutzerkonten und Passwörter überprüfen
Als Nächstes müssen Sie die WordPress-Benutzerkonten überprüfen, indem Sie die Seite Benutzer » Alle Benutzer aufrufen. Achten Sie auf verdächtige Benutzerkonten, die nicht vorhanden sein sollten.
Wenn Sie einen Online-Shop, eine Mitgliederseite betreiben oder Online-Kurse verkaufen, haben Sie möglicherweise Benutzerkonten, bei denen sich Ihre Kunden anmelden können.
Wenn Sie jedoch einen Blog oder eine Geschäftswebsite betreiben, sollten Sie nur Benutzerkonten für sich selbst oder für andere Benutzer sehen, die Sie manuell hinzugefügt haben.
Wenn Sie verdächtige Benutzerkonten sehen, müssen Sie diese löschen.
Wenn Ihre Website keine Benutzerkonten erfordert, müssen Sie zur Seite Einstellungen » Allgemein gehen und sicherstellen, dass das Kontrollkästchen neben der Option „Jeder kann sich registrieren“ deaktiviert ist.
Als zusätzliche Vorsichtsmaßnahme müssen Sie Ihr WordPress-Admin-Passwort ändern. Wir empfehlen dringend, die Zwei-Faktor-Authentifizierung hinzuzufügen, um die Passwortsicherheit auf Ihrer Website zu erhöhen.
3. Führen Sie einen WordPress-Sicherheitsscan durch
Der nächste Schritt ist die Überprüfung Ihrer Website auf Sicherheitslücken. Glücklicherweise gibt es mehrere Online-Sicherheitsscanner, die Sie zur Überprüfung auf Malware verwenden können.
Wir empfehlen die Verwendung des IsItWP Security Scanner, der Ihre Website auf Malware und andere Sicherheitslücken überprüft.
Diese Tools sind gut, aber sie können nur die öffentlich zugänglichen Seiten Ihrer Website scannen. Wir zeigen Ihnen später in diesem Artikel, wie Sie tiefere Audits durchführen können.
4. Überprüfen Sie Ihre Website-Analysen
Website-Analysen helfen Ihnen, Ihren Website-Traffic zu verfolgen. Sie sind auch ein ziemlich guter Indikator für die Gesundheit Ihrer Website.
Wenn Ihre Website von Suchmaschinen auf die schwarze Liste gesetzt wurde, wird ein plötzlicher Rückgang Ihres Website-Traffics verzeichnet. Wenn Ihre Website langsam oder nicht reagiert, sinken Ihre gesamten Seitenaufrufe.
Wir empfehlen die Verwendung von MonsterInsights, um Ihren Website-Traffic zu verfolgen. Es zeigt nicht nur Ihre gesamten Seitenaufrufe an, sondern Sie können es auch verwenden, um registrierte Benutzer, Ihre WooCommerce-Kunden, Formular-Konversionen und mehr zu verfolgen.
5. WordPress-Backups einrichten und überprüfen
Wenn Sie dies noch nicht getan haben, müssen Sie sofort ein WordPress-Backup-Plugin einrichten. Dies stellt sicher, dass Sie immer ein Backup Ihrer Website haben, falls etwas schiefgeht.
Viele Anfänger vergessen ihr WordPress-Backup-Plugin, nachdem sie es eingerichtet haben. Manchmal können Backup-Plugins ohne Vorwarnung nicht mehr funktionieren. Es ist eine gute Idee, sicherzustellen, dass Ihr Backup-Plugin noch funktioniert und Backups speichert.
Durchführung einer automatischen WordPress-Sicherheitsüberprüfung
Die obige Checkliste ermöglicht es Ihnen, die wichtigsten Aspekte einer Sicherheitsüberprüfung durchzugehen. Es handelt sich jedoch nicht um einen sehr gründlichen Prozess, was bedeutet, dass Ihre Website möglicherweise immer noch anfällig ist.
Zum Beispiel ist es schwierig, alle Benutzeraktivitäten, Dateidifferenzen, verdächtigen Code und mehr manuell zu protokollieren. Hier benötigen Sie ein Plugin, um die Sicherheitsüberprüfung zu automatisieren und alles zu protokollieren.
Sie können diesen Prozess mit Hilfe einiger WordPress-Sicherheits-Plugins automatisieren.
1. Automatische Durchführung einer Sicherheitsprüfung mit WP Activity Log
WP Activity Log ist das beste WordPress-Aktivitätsprotokoll-Plugin auf dem Markt.
Es ermöglicht Ihnen, alle Benutzeraktivitäten auf Ihrer Website zu verfolgen. Sie können alle Benutzer-Logins, IP-Adressen und was sie auf Ihrer Website getan haben, einsehen.
Sie können WooCommerce-Benutzer, Redakteure, Autoren und andere Mitglieder verfolgen, die ein Konto auf Ihrer Website haben.
Sie können auch alle Ereignisse aktivieren, die Sie verfolgen möchten, und die Ereignisse deaktivieren, die Sie nicht überwachen möchten.
Das Plugin zeigt Ihnen auch eine Live-Ansicht aller Benutzer an, die auf Ihrer Website angemeldet sind. Wenn Sie ein verdächtiges Konto sehen, können Sie dessen Sitzung sofort beenden und es aussperren.
Mehr erfahren Sie in unserem Leitfaden zur Überwachung von Benutzeraktivitäten in WordPress mit WP Activity Log.
2. Automatische Durchführung einer Sicherheitsüberprüfung mit Sucuri
Sucuri ist das beste WordPress-Firewall-Plugin auf dem Markt und auch die beste All-in-One-WordPress-Sicherheitslösung, die Sie für Ihre Website erhalten können.
Es bietet Echtzeitschutz gegen DDoS-Angriffe, indem verdächtige Aktivitäten blockiert werden, noch bevor sie Ihre Website erreichen. Dies entlastet Ihren Server und verbessert die Geschwindigkeit/Leistung Ihrer Website.
Es wird mit einem integrierten Sicherheitspaket geliefert, das Ihre WordPress-Dateien auf verdächtigen Code überprüft. Sie erhalten auch einen detaillierten Einblick in die Benutzeraktivität auf Ihrer gesamten Website.
Am wichtigsten ist, dass Sucuri bei allen bezahlten Plänen die Entfernung von Malware kostenlos anbietet. Das bedeutet, dass ihre Sicherheitsexperten Ihre Website bereinigen, auch wenn sie bereits infiziert ist.
Expertenanleitungen zur WordPress-Sicherheit
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie eine WordPress-Sicherheitsüberprüfung für Ihre Website durchführen. Möglicherweise möchten Sie auch einige andere Anleitungen zur WordPress-Sicherheit sehen:
- So erzwingen Sie starke Passwörter für Benutzer in WordPress
- So schützen Sie Ihre WordPress-Website vor Brute-Force-Angriffen
- Top-Gründe, warum WordPress-Websites gehackt werden (& wie man sie verhindert)
- Anzeichen dafür, dass Ihre WordPress-Website gehackt wurde (Experten-Tipps)
- So scannen Sie Ihre WordPress-Site auf potenziell bösartigen Code
- So finden Sie eine Hintertür in einer gehackten WordPress-Website und beheben sie
- So erstellen Sie einen WordPress-Notfallwiederherstellungsplan
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Dennis Muthomi
Sie empfehlen Sucuri als All-in-One-WordPress-Sicherheitslösung. Ich frage mich, ob Sucuri den Bedarf an separaten Plugins wie WP Activity Log ersetzen könnte?
Ich möchte vermeiden, meine Website mit zu vielen Plugins zu überladen, wenn eines die Arbeit erledigen könnte.
WPBeginner Support
Es würde von der Funktion des Plugins abhängen, das Sie ersetzen möchten, aber Sucuri hat eine Aktivitätsprotokoll-Option.
Admin
Dennis Muthomi
Ein wichtiger Punkt ist, dass Sucuri meinen Bedürfnissen entspricht, je nachdem, welche Funktionalität ich suche. DANKE für die Antwort!
Eva
Der erste Schritt zur Bekämpfung täglicher Brute-Force-Angriffsversuche ist die Änderung der Standard-Login-URL.
WPBeginner Support
Anstatt die Anmelde-URL zu ändern, würden wir normalerweise empfehlen, ein Plugin wie „Limit Login Attempts“ zu verwenden, da das Ändern der Anmelde-URL für Anfänger eher Probleme verursachen kann.
Admin
Eva
Nun, ich mache beides! Und noch viel mehr. Sicherheit hat für mich oberste Priorität. Ich verstehe, was Sie meinen, aber die meisten Wörter sind meiner Meinung nach genauso leicht zu merken wie /wp-admin oder /wp-login, besonders für Anfänger.
WPBeginner Support
Es geht weniger darum, sich die Login-URL zu merken, als vielmehr darum, ob es Fehler gibt, wenn versucht wird, die URL zu ändern. Die meisten Anfänger verfügen nicht über die Werkzeuge, um die Login-Adresse zu reparieren.
Eva
Ich verstehe, guter Punkt! In vielen Fällen reicht es aus, das Plugin-Verzeichnis einfach per FTP umzubenennen, um es zu deaktivieren und wieder über /wp-login darauf zuzugreifen. Aber ich verstehe, es ist nicht anfängerfreundlich!
DW
Ja, das Anmelden über die Login-URI tut wirklich nicht viel. Es ist eine Technik, die als „Security by Obscurity“ bekannt ist – im Grunde Sicherheit durch „Verstecken“.
Wenn jemand entschlossen ist, in Ihre Website einzudringen, würden diese „Security by Obscurity“-Techniken sie im besten Fall um ein paar Minuten verlangsamen. Es ist kein wirklicher Ersatz für die ordnungsgemäße Sicherung Ihrer Website.
Es ist weitaus besser, Ihre Website ordnungsgemäß zu sichern. Techniken wie Plugins zur Verhinderung von Brute-Force-Angriffen, die Erzwingung starker Passwörter, die Erzwingung der Multi-Faktor-Authentifizierung zumindest für Admin-Konten und, wenn Sie das Glück haben, eine statische IP-Adresse zu haben, die Erstellung einer .htaccess-Datei, die den Zugriff auf die Admin-Seite nur von Ihrer IP-Adresse zulässt, sind alles weitaus bessere Lösungen.