Die 12 besten Tipps und Techniken zum Sichern des WordPress-Admin-Bereichs

In diesem Blog besprechen wir die besten Techniken, um den Admin-Bereich Ihrer WordPress-Websites effektiv zu sichern.

Die Leute denken oft, ihre Website sei zu klein, als dass Hacker Interesse daran hätten. Aber das wäre ein gewaltiger Fehler. Jede Website kann anfällig für Cyber-Bedrohungen wie Spam, Malware, Brute-Angriffe, SQL-Injections usw. sein. Darüber hinaus könnten Hacker Ihre Website sogar dazu nutzen, Malware auf andere Websites zu verbreiten.

Natürlich möchten Sie nicht eines Tages aufwachen und feststellen, dass Ihre Website gehackt wurde und alle Ihre sensiblen Daten verloren gegangen sind. Daher wäre es am besten, den Admin-Bereich Ihrer WordPress-Website mit einigen zuverlässigen Tools zu verstärken.

Beste Tipps und Techniken zum Sichern des Admin-Bereichs Ihrer WordPress-Websites

Diese Sicherheitstipps sind sehr wichtig, um Websites vor Schwachstellen wie den folgenden zu schützen:

• Distributed Denial-of-Service (DDoS)-Angriff: DDoS legt Ihre Website lahm, indem es sie mit redundanten Verbindungen überschwemmt und zum Absturz bringt.
• SQL-Injection (SQLi): Es führt zwangsweise bösartige SQL-Abfragen auf dem System aus, um Daten zu manipulieren.
• Local File Inclusion (LFI): LFI zwingt die Site, schädliche Dateien zu verarbeiten, die auf dem Webserver abgelegt werden.
• Cross-Site Request Forgery (CSRF): Es kann Webbenutzer dazu zwingen, unerwünschte Aktionen in einer zuverlässigen Webanwendung auszuführen.
• Authentifizierungsumgehung: Diese Sicherheitsbedrohung ermöglicht Hackern den Zugriff auf sensible Ressourcen Ihrer Website ohne Authentizitätsprüfung.
• Cross-Site-Scripting (XSS): XSS schleust bösartigen Code ein, um Malware über Ihre Website zu transportieren.

Um sicherzustellen, dass Ihre Website nicht anfällig für diese Sicherheitsbedrohungen ist, stellen Sie sicher, dass Sie die unten aufgeführten Tipps und Techniken umsetzen:

Für Sie empfohlen: 10 Gründe, warum Ihre WordPress-Website gewartet werden muss.

1. Aktualisierung der WordPress-Version

Eine einfache Möglichkeit, die Sicherheit Ihrer Website zu erhöhen, besteht darin, WordPress und alle installierten Sicherheits-Plugins auf die neuesten Versionen zu aktualisieren. Da WordPress Open Source ist, arbeiten die Mitwirkenden unermüdlich daran, die Funktionen und die Sicherheit mit jeder neuen Version zu verbessern. Deshalb sollten Sie das CMS auf die neueste Version aktualisieren, um die Sicherheit der Website zu verbessern.

2. Sicherheits-Plugins

Eines der besten Dinge an WordPress ist, dass Sie für fast alle möglichen Features und Funktionen der Website ein Plugin finden können. Allerdings wäre nicht jedes Sicherheits-Plugin zum Schutz der Anmeldeseite geeignet. Der beste Weg, die Sicherheit des Admin-Bereichs Ihrer Website zu erhöhen, wären also WordPress-Plugins wie Sucuri, MalCare, Wordfence usw.

Diese Plugins helfen dabei, böswilligen Datenverkehr zu blockieren, ohne die Leistung der Website auch nur im Geringsten zu beeinträchtigen.

3. Ändern Sie den Admin-Benutzernamen und das Passwort

Eine der ersten Möglichkeiten, die Website zu sichern, besteht darin, den Standardbenutzernamen und das Standardkennwort zu ändern. Für jede WordPress-Installation ist der erste Login-Benutzername standardmäßig Admin. Diese Art von Benutzernamen ist nur ein Köder für Hacker; Danach müssten sie nur noch das Passwort vorhersagen.

Daher sollten Sie den Benutzernamen und das Passwort in etwas individuelleres ändern. Öffnen Sie zunächst das WordPress-Dashboard. Wählen Sie Benutzer aus und klicken Sie auf „Alle Benutzer“.

Selbst die Änderung des Benutzernamens von „admin“ in „meinnameisadmin“ kann dazu beitragen, Ihre Website vor Hackern zu schützen. Bei Passwörtern gibt es eine kleine Anzeige, die anzeigt, wie sicher das Passwort ist. Probieren Sie also verschiedene Passwörter mit Kombinationen aus Groß- und Kleinbuchstaben, Symbolen und Zahlen aus, bis Sie mit einem zufrieden sind. Stellen Sie immer sicher, dass das Passwort so sicher wie möglich ist, um die Website vor Hackern zu schützen. Experten schlagen sogar vor, in den Passwörtern Symbole und Zahlen anstelle von Buchstaben zu verwenden, um sie unverständlicher zu machen. Wenn Sie beispielsweise möchten, dass Ihr Passwort „Kalifornien“ lautet, wählen Sie stattdessen etwas wie „[email protected][email protected]“. Das wird es schwieriger machen, es zu erraten.

Wenn Leute versuchen, sich an einem Ort einzuloggen, an dem sie sich nicht anmelden sollten, konzentrieren sie sich oft nur auf das Passwort und behalten den Benutzernamen bei verschiedenen Versuchen bei. Daher wäre es eine ausgezeichnete Idee, sowohl den Benutzernamen als auch das Passwort zu ändern.

4. Erstellen Sie eine benutzerdefinierte Anmelde-URL

Sie können auf die Anmeldeseite jeder WordPress-Website zugreifen, indem Sie /wp-login.php nach der URL schreiben. Wenn die URL Ihrer WordPress-Website beispielsweise www.meinwebsitename.com lautet, können Sie über www.meinwebsitename.com/wp-login.php auf die Anmeldeseite zugreifen.

Ein solch einfacher Zugriff auf die Anmeldeseite macht Ihre Website anfälliger für Cyber-Bedrohungen. Ändern Sie also den Login-URL-Slug durch Plugins wie WPS Hide Login in etwas, das individueller angepasst werden kann. Dieses Plugin ändert die URL der Anmeldeformularseite in eine beliebige URL und macht den Zugriff auf das wp-admin-Verzeichnis und die Seite wp-login.php unzugänglich. Daher ist es am besten, diese Seiten mit einem Lesezeichen zu versehen, da Sie sie sonst verlieren könnten.

Gehen Sie nach der Installation von WPS Hide Login zu Einstellungen und wählen Sie WPS Hide Login in Ihrem WordPress-Dashboard aus. Geben Sie dann eine neue URL in das Feld „Anmelde-URL“ ein und speichern Sie die Änderungen. Danach sind die Admin-Seiten Ihrer Website nur noch über diese Seiten zugänglich.

Selbst wenn also jemand Ihren Benutzernamen und Ihr Passwort ohne Ihr Wissen kennt, kann er dennoch nicht auf Ihre Anmeldeseite zugreifen, was eine große Erleichterung darstellt. Aus diesem Grund sind personalisierte Anmelde-URLs in der benutzerdefinierten WordPress-Entwicklung immer enthalten.

5. Begrenzen Sie Anmeldeversuche

Wussten Sie, dass Hacker Ihre Website hacken können, auch wenn sie das Passwort Ihrer Website nicht kennen? Durch automatisierte Skripte können sie in kürzester Zeit Tausende potenzieller Passwörter ausprobieren, um das richtige zu finden und schließlich erfolgreich zu sein. Um dies zu verhindern, können Sie die Anmeldeversuche auf Ihrer Website begrenzen.

Zu diesem Zweck verfügt WordPress in der offiziellen Bibliothek über bestimmte Plugins wie Wordfence Security und Login Lockdown, die hilfreich sein können. Nach der Installation eines dieser Plugins können Sie festlegen, wie viele Anmeldeversuche zulässig sind und wie lange die Person nach Überschreiten des Anmeldelimits gesperrt wird.

Beispielsweise können Sie die Anzahl der Versuche auf 3 und die Sperrzeit auf 24 Stunden begrenzen. Wenn jemand also mehr als drei fehlgeschlagene Versuche hat, wird seine IP für die nächsten 24 Stunden gesperrt, danach kann er es erneut versuchen.

6. Sichern Sie die Anmeldeseite und den Admin-Bereich mit einem SSL-Zertifikat

Manchmal müssen Sie sich möglicherweise in einem öffentlichen Netzwerk bei Ihrer Website anmelden, wodurch sie in einer willkürlichen Angriffssituation anfällig für Hacker wird. In einem öffentlichen Netzwerk können Hacker auf Ihre HTTP-Anfragen zugreifen und Ihre Anmeldeinformationen ganz einfach einsehen.

Um diese willkürlichen Angriffe zu verhindern, können Sie einen SSL-Login verwenden, über den Sie über HTTPS auf Ihre Website zugreifen können. Normalerweise können Sie ein SSL-Anmeldezertifikat vom Hosting-Anbieter erhalten. Wenn nicht, müssen Sie eines kaufen und auf dem Server Ihrer Website einrichten.

Wenn Sie auf Ihrer Website bereits über ein SSL-Zertifikat zur Ausführung auf HTTPS verfügen, öffnen Sie Ihre wp-config.php-Datei und bearbeiten Sie sie wie folgt:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Mit FORCE_SSL_LOGIN wird Ihre Anmeldeseite nur über HTTPS geöffnet und die sichere Verbindung wird im gesamten Admin-Bereich Ihrer Website aufrechterhalten. Wenn Sie WordPress-Entwickler engagieren, ist daher eine der ersten Sicherheitseinstellungen, um die sie sich kümmern, die Verwendung eines SSL-Zertifikats für die Anmeldeseite und den Admin-Bereich.

Vielleicht gefällt Ihnen: Möchten Sie eine WordPress-Website erstellen? Befolgen Sie diese 13 einfachen Schritte.

7. Sichern Sie das wp-admin-Verzeichnis mit einem Passwort

Der Passwortschutz des „wp-admin“-Verzeichnisses ist so, als würde man Ihrer Website und ihrem WordPress-Administrationsbereich eine zweite Sicherheitsebene hinzufügen. Eine der besten Möglichkeiten, dies zu erreichen, wären die „Verzeichnis-Datenschutz“-Einstellungen Ihres Hostings. Wenn Sie einen cPanel-Webhost verwenden, um Ihr wp-admin-Verzeichnis mit einem Passwort zu schützen, können Sie den cPanel-Passwortschutz auch für ein Verzeichnis verwenden.

8. Fügen Sie ein Captcha auf der Anmeldeseite ein

Captchas im Admin-Bereich können dazu beitragen, Brute-Force-Cyberangriffe durch automatisierte Skripte zu verhindern. Sie können über WordPress-Plugins wie Google reCAPTCHA, reCaptcha von BestWebSoft, WPForms usw. ein Captcha zu Ihrer Anmeldeseite hinzufügen.

Diese Technik ist sehr effektiv, um Hacking-Versuche durch automatisierte Skripte zu stoppen.

9. Entfernen Sie die Fehlermeldung von der Anmeldeseite

Einschließlich eines Captchas gibt es drei Dinge, die die Hacker richtig machen wollen, um sich auf Ihrer Website anzumelden. Wenn der Anmeldeversuch fehlschlägt, wird normalerweise eine Fehlermeldung angezeigt, die besagt, dass mindestens eine Anmeldeinformation falsch ist.

Angenommen, die Hacker geben den Benutzernamen, das Passwort und das Captcha ein und einer der Anmeldedaten ist falsch; Sie erhalten die Fehlermeldung „Falscher Benutzername“ oder „Falsches Passwort“. In diesem Fall wissen sie, dass eine der Anmeldeinformationen richtig ist, und müssen nur an der anderen arbeiten.

Wenn Sie jedoch die Fehlermeldung entfernen, werden sie nicht darüber informiert, ob sie eines oder beide falsch eingefügt haben. Dann werden sie wieder mit der Arbeit an beiden beginnen. Wenn Sie nun zusätzlich zu dieser Strategie die Anzahl der Anmeldeversuche begrenzt haben, verschaffen Sie sich mehr Zeit gegen die Hacker.

Entfernen Sie daher die Fehlermeldung von der Anmeldeseite.

10. Erlauben Sie bestimmten IPs, sich anzumelden

Sie können den Zugriff auf bestimmte statische IPs beschränken, um die Website zu sichern. Wenn Sie Ihre eigene IP-Adresse kennen, gewähren Sie ihr Zugriff über die .htaccess-Datei aus dem wp-admin-Ordner.

Öffnen Sie einfach den Ordner „wp-admin“, bearbeiten Sie eine Datei mit dem Namen „.htaccess“ und fügen Sie diesen Code hinzu:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Sie müssen lediglich 99.99.99.99 durch Ihre IP oder diejenige ersetzen, auf die Sie Zugriff gewähren möchten.

Wenn also jemand ohne Zugriff versucht, sich anzumelden, wird ihm diese Meldung angezeigt.

11. Fügen Sie eine zusätzliche Ebene durch die Zwei-Faktor-Authentifizierung hinzu

Eine weitere Möglichkeit, die Sicherheit Ihrer Website zu erhöhen, besteht darin, mithilfe eines WordPress-Plugins eine weitere Ebene mit Zwei-Faktor-Authentifizierung hinzuzufügen. Sie müssen lediglich ein Plugin wie WP 2FA installieren und einrichten, und schon ist Ihre Website vor Cyberbedrohungen wie automatisierten Skripten und Brute-Force-Angriffen geschützt.

12. Einmalpasswort (OTP)

Wie der Name schon sagt, können Sie sich mit Einmalpasswörtern mit einem Passwort auf der Website anmelden, das nur einmal gültig ist. Sie erhalten diese Passwörter per Post oder Handynummer. Da die OTPs per E-Mail und Mobiltelefonnummer gesendet werden und nur für eine Sitzung gültig sind, müssen Sie sich keine Sorgen machen, dass Ihr Hauptpasswort beim Anmelden an Orten wie Cybercafés gestohlen wird. Selbstverständlich können einige WordPress-Plugins dabei helfen, Ihrer Anmeldeseite eine OTP-Funktion hinzuzufügen.

Diese Techniken tragen dazu bei, den Admin-Bereich Ihrer WordPress-Website vor Cyberbedrohungen wie Brute-Force-Angriffen, Spam, Bad Bots, SQL-Injections und vor allem automatisierten Skripten (zum Generieren von Passwörtern) zu schützen.

Vielleicht gefällt Ihnen auch: Was ist Schema? Wie füge ich Schema-Markup zu Ihrer WordPress-Website hinzu?

Endlich!

Wenn Sie eine neue WordPress-Website entwerfen, ist der Gedanke, dass sie gehackt wird, noch lange nicht in der Ferne. Aber es ist immer noch eine Möglichkeit. Daher müssen Sie die Sicherheit zu einem klaren Bestandteil der benutzerdefinierten WordPress-Entwicklung machen, um den Admin-Bereich zu schützen und zu sichern, damit Hacker nicht auf die vertraulichen Informationen Ihrer Website zugreifen können.

Aus diesem Grund haben wir diese Tipps und Techniken wie WordPress-Updates, Sicherheits-Plugins, OTP, verschlüsselte Passwörter, Zwei-Faktor-Authentifizierung, Captchas usw. aufgelistet, um sicherzustellen, dass Ihre Website vor Hackern sicher ist. Stellen Sie sicher, dass Sie diese Techniken besprechen, wenn Sie WordPress-Entwickler damit beauftragen, eine neue Website zu erstellen oder Ihre alte zu aktualisieren.

Autor: Palak Shah

Dieser Artikel wurde von Palak Shah geschrieben. Palak ist eine hochwertige Content-Autorin für WPWeb Infotech und liebt es, über WordPress, Technologie und kleine Unternehmen zu schreiben. Sie ist eine unglaubliche Teamplayerin und arbeitet eng mit dem Team zusammen, um großartige Ergebnisse zu erzielen. Sie schaut sich Netflix an und liest Sachbücher, Selbsthilfebücher und Autobiografien großer Persönlichkeiten.