Ist Ihre WordPress-Website anfällig für Brute-Force-Angriffe? Diese Angriffe können nicht nur Ihre Website verlangsamen und den Zugriff erschweren, sondern auch Hackern ermöglichen, Ihre Passwörter zu knacken und Malware zu installieren. Dies kann Ihre Website und Ihr Geschäft schwer beschädigen.
Bei WPBeginner verlassen wir uns stark auf Sicherheitstools wie Sucuri und Cloudflare, um unsere Website sicher zu halten. Sucuri half uns einst, 450.000 WordPress-Angriffe in einem Zeitraum von 3 Monaten abzuwehren.
In diesem Artikel zeigen wir Ihnen, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können.
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine Hacking-Methode, die durch Ausprobieren versucht, in eine Website, ein Netzwerk oder ein Computersystem einzudringen.
Die häufigste Art von Brute-Force-Angriffen ist das Raten von Passwörtern. Hacker verwenden automatisierte Software, um immer wieder Ihre Anmeldeinformationen zu erraten, damit sie Zugriff auf Ihre Website erhalten.
Diese automatisierten Hacking-Tools können sich auch tarnen, indem sie verschiedene IP-Adressen und Standorte verwenden, was es schwieriger macht, verdächtige Aktivitäten zu identifizieren und zu blockieren.
Ein erfolgreicher Brute-Force-Angriff kann Hackern Zugriff auf den Admin-Bereich Ihrer Website verschaffen. Sie können Malware installieren, Benutzerinformationen stehlen und alles auf Ihrer Website löschen.
Selbst erfolglose Brute-Force-Angriffe können verheerende Auswirkungen haben, indem sie zu viele Anfragen an Ihre WordPress-Hosting-Server senden und Ihre Website verlangsamen oder sogar komplett zum Absturz bringen.
Nichtsdestotrotz wollen wir uns ansehen, wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können. Hier sind die Schritte, die wir befolgen werden:
- Installieren Sie ein WordPress-Firewall-Plugin
- WordPress-Updates installieren
- WordPress-Admin-Verzeichnis schützen
- Zwei-Faktor-Authentifizierung in WordPress hinzufügen
- Verwenden Sie eindeutige und starke Passwörter
- Verzeichnis-Browsing deaktivieren
- PHP-Dateiausführung in bestimmten WordPress-Ordnern deaktivieren
- Installieren und Einrichten eines WordPress-Backup-Plugins
1. Installieren Sie ein WordPress Firewall Plugin
Brute-Force-Angriffe belasten Ihre Server stark. Selbst erfolglose Angriffe können Ihre Website verlangsamen oder den Server komplett zum Absturz bringen. Deshalb ist es wichtig, sie zu blockieren, bevor sie Ihren Server erreichen.
Dazu benötigen Sie eine Website-Firewall-Lösung. Eine Firewall filtert bösartigen Datenverkehr heraus und blockiert ihn am Zugriff auf Ihre Website.
Es gibt zwei Arten von Website-Firewalls, die Sie verwenden können:
- Anwendungs-Firewalls untersuchen den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist nicht so effizient, da ein Brute-Force-Angriff immer noch die Serverauslastung beeinträchtigen kann.
- DNS-Level-Website-Firewalls leiten Ihren Website-Traffic über ihre Cloud-Proxy-Server. Dies ermöglicht es ihnen, nur echten Traffic an Ihren Haupt-Webhosting-Server zu senden und gleichzeitig Ihre WordPress-Geschwindigkeit und -Leistung zu verbessern.
Wir empfehlen die Verwendung von Sucuri. Sie sind der Branchenführer in Sachen Website-Sicherheit und die beste WordPress-Firewall auf dem Markt. Da sie eine Website-Firewall auf DNS-Ebene haben, bedeutet dies, dass der gesamte Website-Traffic über ihren Proxy geleitet wird, wo bösartiger Traffic herausgefiltert wird.
Wir verwenden Sucuri auf unserer Website und Sie können unseren vollständigen Sucuri-Bericht lesen, um mehr zu erfahren.
2. WordPress-Updates installieren
Einige gängige Brute-Force-Angriffe zielen aktiv auf bekannte Schwachstellen in älteren Versionen von WordPress, beliebten WordPress-Plugins oder Themes ab.
Der WordPress-Kern und die meisten beliebten WordPress-Plugins sind Open Source, und Schwachstellen werden oft sehr schnell mit einem Update behoben. Wenn Sie jedoch Updates nicht installieren, lassen Sie Ihre Website anfällig für diese alten Bedrohungen.
Gehen Sie einfach im WordPress-Adminbereich zur Seite Dashboard » Updates, um nach verfügbaren Updates zu suchen. Auf dieser Seite werden alle Updates für Ihren WordPress-Kern, Plugins und Themes angezeigt.
Weitere Details finden Sie in unseren Anleitungen zum Thema sicheres Aktualisieren von WordPress und richtiges Aktualisieren von WordPress-Plugins.
3. Schützen Sie das WordPress-Admin-Verzeichnis
Die meisten Brute-Force-Angriffe auf eine WordPress-Site versuchen, Zugriff auf den WordPress-Adminbereich zu erhalten. Sie können Ihren WordPress-Admin-Verzeichnis auf Serverebene mit einem Passwort schützen. Dies blockiert unbefugten Zugriff auf Ihren WordPress-Adminbereich.
Melden Sie sich einfach in Ihrem WordPress-Hosting-Kontrollfeld (cPanel) an und klicken Sie im Abschnitt „Dateien“ auf das Symbol „Verzeichnisschutz“.
Hinweis: Wir verwenden in unserem Screenshot Bluehost, aber ähnliche Einstellungen sind auch bei anderen Top-Hosting-Unternehmen wie HostGator verfügbar.
Als Nächstes müssen Sie den wp-admin-Ordner finden.
Sobald Sie ihn gefunden haben, sollten Sie auf die Schaltfläche „Bearbeiten“ klicken.
Auf der nächsten Seite können Sie die Sicherheitseinstellungen für den Ordner festlegen.
Zuerst müssen Sie das Feld 'Dieses Verzeichnis mit einem Passwort schützen' aktivieren. Als Nächstes können Sie einen Namen für das geschützte Verzeichnis eingeben.
Als Nächstes werden Sie aufgefordert, einen Benutzernamen und ein Passwort anzugeben.
Sie werden nach diesen Informationen gefragt, wann immer Sie versuchen, auf dieses Verzeichnis zuzugreifen.
Nachdem Sie diese Informationen eingegeben haben, klicken Sie auf die Schaltfläche 'Speichern', um Ihre Einstellungen zu speichern.
Ihr WordPress-Admin-Verzeichnis ist jetzt passwortgeschützt.
Sie sehen eine neue Anmeldemaske, wenn Sie Ihren WordPress-Adminbereich aufrufen.
Wenn Sie auf einen 404-Fehler oder eine Meldung wie zu viele Weiterleitungen stoßen, müssen Sie die folgende Zeile zu Ihrer WordPress .htaccess-Datei hinzufügen:
ErrorDocument 401 default
Weitere Details finden Sie in unserem Artikel darüber, wie Sie das WordPress-Admin-Verzeichnis mit einem Passwort schützen.
4. Zwei-Faktor-Authentifizierung in WordPress hinzufügen
Zwei-Faktor-Authentifizierung fügt Ihrer WordPress-Anmeldeseite eine zusätzliche Sicherheitsebene hinzu. Benutzer benötigen ihre Telefone, um einen Einmal-Passcode zusammen mit ihren Anmeldedaten zu generieren, um auf den WordPress-Adminbereich zuzugreifen.
Die Zwei-Faktor-Authentifizierung erschwert Hackern den Zugriff, selbst wenn sie Ihr WordPress-Passwort knacken.
Detaillierte Schritt-für-Schritt-Anleitungen finden Sie in unserem Leitfaden unter so fügen Sie die Zwei-Faktor-Authentifizierung in WordPress hinzu.
5. Verwenden Sie eindeutige und starke Passwörter
Passwörter sind die Schlüssel zum Zugriff auf Ihre WordPress-Site oder Ihren E-Commerce-Shop. Sie müssen für alle Ihre Konten eindeutige, starke Passwörter verwenden. Ein starkes Passwort ist eine Kombination aus Zahlen, Buchstaben und Sonderzeichen.
Es ist wichtig, dass Sie starke Passwörter nicht nur für Ihre WordPress-Benutzerkonten, sondern auch für Ihren FTP-Client, Ihr Webhosting-Kontrollfeld und Ihre WordPress-Datenbank verwenden.
Viele Anfänger fragen uns, wie sie sich all diese einzigartigen Passwörter merken können. Nun, das müssen Sie nicht. Es gibt ausgezeichnete Passwort-Manager-Apps, die Ihre Passwörter sicher speichern und sie automatisch für Sie ausfüllen.
Um mehr zu erfahren, lesen Sie unseren Leitfaden für Anfänger über die besten Wege zur Verwaltung von Passwörtern für WordPress.
6. Verzeichnis-Browsing deaktivieren
Standardmäßig, wenn Ihr Webserver keine Indexdatei (wie index.php oder index.html) findet, zeigt er automatisch eine Indexseite mit dem Verzeichnisinhalt an.
Während eines Brute-Force-Angriffs können Hacker das Verzeichnis-Browsing wie dieses nutzen, um nach anfälligen Dateien zu suchen. Um dies zu beheben, müssen Sie die folgende Zeile am Ende Ihrer WordPress .htaccess-Datei mit einem FTP-Dienst hinzufügen:
Options -Indexes
Weitere Details finden Sie in unserem Artikel darüber, wie Sie das Verzeichnis-Browsing in WordPress deaktivieren.
7. Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Ordnern
Hacker möchten möglicherweise ein PHP-Skript in Ihren WordPress-Ordnern installieren und ausführen. WordPress ist hauptsächlich in PHP geschrieben, was bedeutet, dass Sie dies nicht in allen WordPress-Ordnern deaktivieren können.
Es gibt jedoch einige Ordner, die keine PHP-Skripte benötigen, wie z. B. Ihr WordPress-Uploads-Ordner unter /wp-content/uploads.
Sie können die PHP-Ausführung im Uploads-Ordner sicher deaktivieren, da Hacker dort häufig Hintertüren verstecken.
Zuerst müssen Sie einen Texteditor wie Notepad auf Ihrem Computer öffnen und den folgenden Code einfügen:
<Files *.php>
deny from all
</Files>
Speichern Sie diese Datei nun als .htaccess und laden Sie sie mit einem FTP-Client in die Ordner /wp-content/uploads/ Ihrer Website hoch.
8. Installieren und richten Sie ein WordPress-Backup-Plugin ein
Backups sind das wichtigste Werkzeug in Ihrem WordPress-Sicherheitsarsenal. Wenn alles andere fehlschlägt, können Sie mit Backups Ihre Website wiederherstellen.
Die meisten WordPress-Hosting-Unternehmen bieten begrenzte Backup-Optionen. Diese Backups sind jedoch nicht garantiert, und Sie sind allein für die Erstellung Ihrer eigenen Backups verantwortlich.
Es gibt mehrere großartige WordPress-Backup-Plugins, mit denen Sie automatische Backups planen können.
Wir empfehlen die Verwendung von Duplicator. Es ist anfängerfreundlich und ermöglicht Ihnen, schnell automatische Backups einzurichten und sie an entfernten Orten wie Google Drive, Dropbox, Amazon S3, OneDrive und mehr zu speichern.
Es gibt auch eine kostenlose Version von Duplicator, die Sie für den Anfang nutzen können.
Für Schritt-für-Schritt-Anleitungen können Sie dieser Anleitung auf Anleitung zur Sicherung Ihrer WordPress-Website mit Duplicator folgen.
Alle oben genannten Tipps helfen Ihnen, Ihre WordPress-Site vor Brute-Force-Angriffen zu schützen. Für eine umfassendere Sicherheitskonfiguration sollten Sie die Anweisungen in unserem ultimativen WordPress-Sicherheitsleitfaden für Anfänger befolgen.
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen können. Möglicherweise möchten Sie auch unseren Leitfaden zum Beheben einer gehackten WordPress-Site und unsere Expertenauswahl der besten WordPress-Firewall-Plugins sehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Olaf
Dies sind sehr wertvolle Tipps. Ein Brute-Force-Angriff kann sehr gefährlich sein, insbesondere wenn der Hosting-Anbieter keine Hintergrundlösungen hat und vor allem, wenn Benutzer schwache Passwörter haben, die aus einfachen Phrasen bestehen. Persönlich beginnt alles immer mit dem Passwort. Zeichen, Symbole, Zahlen… das ist die einzig richtige Kombination. Namen und Phrasen sind das Schlimmste. Wenn die Leute das verstehen, sind sie weitgehend geschützt, vorausgesetzt, die Passwörter sind mindestens acht Zeichen lang. Es ist jedoch schwer, den Leuten das beizubringen, da sie Passwörter wollen, an die sie sich erinnern können. Deshalb ist es gut, sich Eselsbrücken für Passwörter zu merken. Ich benutze Passwörter, die keinen Sinn ergeben, aber ich merke sie mir durch Eselsbrücken. Das Hinzufügen einer zusätzlichen Sicherheitsebene verbessert nur die allgemeine Sicherheit, und ich halte die Zwei-Faktor-Authentifizierung für die beste zweite Ebene. Damit wird die Wahrscheinlichkeit eines Einbruchs fast minimal.
Dayo Olobayo
Dies ist eine großartige Anleitung zur Sicherung Ihrer WordPress-Site! Ein zusätzlicher Tipp, den ich empfehlen würde, ist die regelmäßige Überwachung Ihrer Anmeldeversuche. Viele Sicherheits-Plugins bieten detaillierte Protokolle, in denen Sie Anmeldeversuche, einschließlich der Ursprungs-IP-Adressen, verfolgen können. Dies kann Ihnen helfen, verdächtige Aktivitäten zu erkennen und bösartige IPs potenziell zu blockieren.
Mrteesurez
Vielen Dank für Ihre Empfehlung.
Ich habe früher die Protokolldetails überprüft, um die IP-Adresse der Anmeldeversuche zu identifizieren. Aber gibt es eine Möglichkeit, eine Benachrichtigung für Anmeldeversuche direkt per E-Mail zu erhalten?
Kennen Sie ein Plugin, das das tut?
Dayo Olobayo
Ich glaube, das Plugin Limit Login Attempts Reloaded kann E-Mail-Benachrichtigungen für Anmeldeversuche senden. Sie können es sich ansehen.
Mrteesurez
Ok, danke für deine Antwort, Dayo. Es ist schwierig und zeitaufwendig, sich häufig anzumelden, um fehlgeschlagene Anmeldeversuche auf mehreren Websites zu überprüfen. Deshalb habe ich es vorgezogen, E-Mails bei jedem Versuch zu erhalten. Danke.
Jiří Vaněk
Mir ist aufgefallen, dass Sie die Option zum Ändern der URL der WordPress-Administration nicht in die Liste aufgenommen haben. Gibt es dafür einen Grund? Es ist auch eine sehr gute Methode, um Angriffe zu verhindern, da Angreifer die URL der Administration der Website nicht kennen.
WPBeginner Support
Wir empfehlen dies nicht, da dies zu Problemen mit Plugins und beim Debugging führen kann und die Sicherheit einer Website nicht wesentlich erhöht.
Admin
Jiří Vaněk
Nun, Sie haben wahrscheinlich Erfahrung damit. Ich benutze es auf meinem Blog und hatte noch nie Probleme auf allen Websites. Ich ging davon aus, dass die Änderung der URL die Verwaltung sicherer machen könnte, da der Angreifer die URL nicht kennt, aber ich werde Ihren Rat befolgen.
Moinuddin Waheed
Dies ist ein sehr häufiges Problem für WordPress-Benutzer. Meistens schenken wir dem Schutz unserer Website oder unseres Blogs wenig bis gar keine Beachtung und beschweren uns dann, wenn so etwas passiert.
Ich war 2017 Opfer eines solchen Brute-Force-Angriffs und seitdem habe ich sichergestellt, dass ich Backups meiner gesamten Website verwende und mich mit Zwei-Faktor-Authentifizierung anmelde.
Gibt es eine Möglichkeit, festzustellen, ob bösartige Software installiert wurde oder ob unser Dashboard kompromittiert wurde?
WPBeginner Support
Sie können einige der Scanner-Optionen verwenden, die wir in unserem Artikel unten empfehlen!
https://www.wpbeginner.com/plugins/how-to-scan-your-wordpress-site-for-potentially-malicious-code/
Admin
Moinuddin Waheed
Vielen Dank für Ihre Antwort und die Empfehlung des Tutorials.
Ich erkunde diese Anleitungen, um eine erfolgreiche WordPress-Website-Agentur aufzubauen.
Ich möchte sicherstellen, dass die Websites, die ich für meine Kunden erstelle, absolut sicher sind.
Renuga
Hallo,
Für den Admin-Schutz von Schritt 3 müssen wir die Anmeldung nur im WP-Admin anzeigen, aber sie wird auch auf der Website angezeigt. Helfen Sie uns bitte, wie wir sie nur im WP-Admin anzeigen können.
WPBeginner Support
Wenn Sie meinen, dass es in Ihrem Widget-Bereich ist, sollten Sie nach einem Meta-Widget unter Darstellung>Widgets suchen
Admin
Dreamandu
Ich werde gerade von verschiedenen IPs mit einem Brute-Force-Angriff angegriffen. Was kann ich tun, um meine Website jetzt zu schützen?
WPBeginner Support
Sie können jede der Methoden in diesem Artikel verwenden, um den Brute-Force-Angriff zu bekämpfen
Admin
Chidubem Ezenwa
Noch ein hilfreicher Leitfaden. Danke, Leute.