Die 12 besten Tipps und Techniken zum Sichern des WordPress-Adminbereichs

In diesem Blog besprechen wir die besten Techniken, um den Admin-Bereich Ihrer WordPress-Websites effektiv zu sichern.

Die Leute denken oft, dass ihre Website zu klein ist, als dass Hacker sich dafür interessieren könnten. Aber das wäre ein massiver Fehler. Jede Website kann anfällig für Cyber-Bedrohungen wie Spam, Malware, Brute-Angriffe, SQL-Injections usw. sein. Darüber hinaus könnten Hacker Ihre Website sogar dazu verwenden, Malware auf andere Websites zu verbreiten.

Natürlich möchten Sie nicht eines Tages aufwachen und feststellen, dass Ihre Website gehackt wurde und alle Ihre sensiblen Daten durchgesickert sind. Daher ist es am besten, den Admin-Bereich Ihrer WordPress-Website mit einigen zuverlässigen Tools zu verstärken.

Beste Tipps & Techniken zur Sicherung des Admin-Bereichs Ihrer WordPress-Websites

Diese Sicherheitstipps sind sehr wichtig, um Websites vor Schwachstellen wie den folgenden zu schützen:

• Distributed Denial-of-Service (DDoS)-Angriff: DDoS legt Ihre Website lahm, indem es sie mit redundanten Verbindungen überschwemmt und zum Absturz bringt.
• SQL-Injection (SQLi): Führt böswillige SQL-Abfragen auf dem System aus, um Daten zu manipulieren.
• Local File Inclusion (LFI): LFI zwingt die Website, bösartige Dateien zu verarbeiten, die auf dem Webserver platziert sind.
• Cross-Site Request Forgery (CSRF): Es kann Webbenutzer dazu zwingen, unerwünschte Aktionen in einer zuverlässigen Webanwendung auszuführen.
• Authentifizierungsumgehung: Diese Sicherheitsbedrohung ermöglicht Hackern den Zugriff auf sensible Ressourcen Ihrer Website ohne Authentizitätsprüfung.
• Cross-Site-Scripting (XSS): XSS fügt bösartigen Code ein, um Malware über Ihre Website zu transportieren.

Um sicherzustellen, dass Ihre Website nicht anfällig für diese Sicherheitsbedrohungen ist, stellen Sie sicher, dass Sie die unten aufgeführten Tipps und Techniken implementieren:

Für Sie empfohlen: 10 Gründe, warum Ihre WordPress-Website gewartet werden muss.

1. Aktualisierung der WordPress-Version

Eine einfache Möglichkeit, die Sicherheit Ihrer Website zu erhöhen, besteht darin, WordPress und alle installierten Sicherheits-Plugins auf die neuesten Versionen zu aktualisieren. WordPress ist Open Source, daher arbeiten die Mitwirkenden unermüdlich daran, die Funktionen und die Sicherheit mit jeder neuen Version zu verbessern. Aus diesem Grund sollten Sie das CMS auf die neueste Version aktualisieren, um die Sicherheit der Website zu verbessern.

2. Sicherheits-Plugins

Eines der besten Dinge an WordPress ist, dass Sie ein Plugin für fast jede mögliche Funktion und Funktionalität der Website finden können. Allerdings wäre nicht jedes Sicherheits-Plugin geeignet, die Login-Seite zu schützen. Der beste Weg, die Sicherheit des Admin-Bereichs Ihrer Website zu erhöhen, wäre also durch WordPress-Plugins wie Sucuri, MalCare, Wordfence usw.

Diese Plugins helfen, schädlichen Datenverkehr zu blockieren, ohne die Leistung der Website auch nur im Geringsten zu beeinträchtigen.

3. Ändern Sie den Admin-Benutzernamen und das Passwort

Eine der ersten Möglichkeiten, die Website zu sichern, besteht darin, den Standardbenutzernamen und das Standardpasswort zu ändern. Für jede WordPress-Installation ist der erste Login-Benutzername standardmäßig Admin. Diese Art von Benutzernamen ist nur ein Köder für Hacker; danach müssten sie nur noch das Passwort vorhersagen.

Sie sollten also den Benutzernamen und das Passwort in etwas individuelleres ändern. Öffnen Sie zunächst das WordPress-Dashboard. Wählen Sie Benutzer und klicken Sie auf „Alle Benutzer“.

Sogar das Ändern des Benutzernamens von „admin“ in „mynameisadmin“ kann dazu beitragen, Ihre Website vor Hackern zu schützen. Wenn es um Passwörter geht, gibt es eine kleine Anzeige, die anzeigt, wie stark es ist. Probieren Sie also verschiedene Passwörter mit Kombinationen aus Groß- und Kleinbuchstaben, Symbolen und Ziffern aus, bis Sie mit einem zufrieden sind. Stellen Sie immer sicher, dass das Passwort so stark wie möglich ist, um die Website vor Hackern zu schützen. Experten schlagen sogar vor, in den Passwörtern Symbole und Zahlen anstelle von Buchstaben zu verwenden, um sie undurchsichtiger zu machen. Wenn Sie beispielsweise möchten, dass Ihr Passwort „Kalifornien“ lautet, verwenden Sie stattdessen etwas wie „[E-Mail-geschützt][E-Mail-geschützt]“. Das macht es schwieriger zu erraten.

Wenn Leute versuchen, sich irgendwo anzumelden, wo sie es nicht sollten, konzentrieren sie sich oft nur auf das Passwort und lassen den Benutzernamen bei verschiedenen Versuchen gleich. Es wäre also eine ausgezeichnete Idee, sowohl den Benutzernamen als auch das Passwort zu ändern.

4. Erstellen Sie eine benutzerdefinierte Anmelde-URL

Du kannst auf die Anmeldeseite jeder WordPress-Website zugreifen, indem du /wp-login.php nach ihrer URL schreibst. Wenn die URL Ihrer WordPress-Website beispielsweise www.mywebsitename.com lautet, können Sie über www.mywebsitename.com/wp-login.php auf die Anmeldeseite zugreifen.

Der einfache Zugriff auf die Anmeldeseite macht Ihre Website anfälliger für Cyber-Bedrohungen. Ändern Sie also den Login-URL-Slug durch Plugins wie WPS Hide Login in etwas Individuelleres. Dieses Plugin ändert die URL der Seite mit dem Anmeldeformular beliebig und macht das Verzeichnis wp-admin und die Seite wp-login.php unzugänglich. Es ist daher am besten, diese Seiten mit einem Lesezeichen zu versehen, da Sie sie möglicherweise verlieren.

Gehen Sie nach der Installation von WPS Hide Login zu Einstellungen und wählen Sie WPS Hide Login in Ihrem WordPress-Dashboard. Geben Sie dann eine neue URL in das Feld Anmelde-URL ein und speichern Sie die Änderungen. Danach sind die Admin-Seiten Ihrer Website nur noch über diese Seiten zugänglich.

Selbst wenn jemand Ihren Benutzernamen und Ihr Passwort ohne Ihr Wissen hat, kann er jetzt immer noch nicht auf Ihre Anmeldeseite zugreifen, was eine große Erleichterung darstellt. Aus diesem Grund sind personalisierte Anmelde-URLs immer in der benutzerdefinierten WordPress-Entwicklung enthalten.

5. Anmeldeversuche einschränken

Wussten Sie, dass Hacker Ihre Website hacken können, auch wenn sie das Passwort Ihrer Website möglicherweise nicht kennen? Durch automatisierte Skripte können sie in kürzester Zeit Tausende potenzieller Passwörter ausprobieren, um das richtige zu finden und schließlich erfolgreich zu sein. Um dies zu verhindern, können Sie die Anmeldeversuche auf Ihrer Website einschränken.

Zu diesem Zweck hat WordPress bestimmte Plugins wie Wordfence Security und Login Lockdown in der offiziellen Bibliothek, die hilfreich sein könnten. Nach der Installation eines dieser Plugins können Sie die Einstellungen festlegen, wie viele Anmeldeversuche zulässig sind und wie lange die Person nach Überschreiten des Anmeldelimits gesperrt wird.

Beispielsweise können Sie die Anzahl der Versuche auf 3 und die Sperrzeit auf 24 Stunden begrenzen. Wenn also jemand mehr als 3 fehlgeschlagene Versuche hat, wird seine IP für die nächsten 24 Stunden gesperrt, danach kann er es erneut versuchen.

6. Sichern Sie die Login-Seite & den Admin-Bereich mit einem SSL-Zertifikat

Manchmal müssen Sie sich möglicherweise in einem öffentlichen Netzwerk bei Ihrer Website anmelden, wodurch sie in einer willkürlichen Angriffssituation anfällig für Hacker wird. In einem öffentlichen Netzwerk können Hacker auf Ihre HTTP-Anfragen zugreifen und Ihre Anmeldedaten ganz einfach sehen.

Um diese willkürlichen Angriffe zu verhindern, können Sie ein SSL-Login verwenden, mit dem Sie über HTTPS auf Ihre Website zugreifen können. Normalerweise können Sie ein SSL-Anmeldezertifikat vom Hosting-Provider erhalten. Aber wenn nicht, müssen Sie einen kaufen und auf dem Server Ihrer Website einrichten.

Wenn du bereits ein SSL-Zertifikat auf deiner Website hast, das auf HTTPS ausgeführt werden soll, öffne deine wp-config.php-Datei und bearbeite sie wie folgt:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Mit FORCE_SSL_LOGIN wird Ihre Anmeldeseite nur auf HTTPS geöffnet und die sichere Verbindung wird im gesamten Admin-Bereich Ihrer Website aufrechterhalten. Wenn Sie also WordPress-Entwickler einstellen, ist eine der ersten Sicherheitseinstellungen, um die sie sich kümmern, die Verwendung eines SSL-Zertifikats für die Anmeldeseite und den Admin-Bereich.

Das könnte Ihnen gefallen: Möchten Sie eine WordPress-Website erstellen? Befolgen Sie diese 13 einfachen Schritte.

7. Sichere das Verzeichnis wp-admin mit einem Passwort

Der Passwortschutz des „wp-admin“-Verzeichnisses ist wie das Hinzufügen einer zweiten Sicherheitsebene auf Ihrer Website und ihrem WordPress-Adminbereich. Eine der besten Möglichkeiten, dies zu erreichen, wäre über die „Directory Privacy“-Einstellungen Ihres Hostings. Wenn Sie einen cPanel-Webhost verwenden, um Ihr wp-admin-Verzeichnis mit einem Passwort zu schützen, können Sie auch den cPanel-Passwortschutz für ein Verzeichnis verwenden.

8. Fügen Sie ein Captcha auf der Anmeldeseite ein

Captchas im Admin-Bereich können helfen, Brute-Force-Cyberangriffe zu verhindern, die von automatisierten Skripten angetrieben werden. Sie können Ihrer Anmeldeseite ein Captcha über WordPress-Plugins wie Google reCAPTCHA, reCaptcha von BestWebSoft, WPForms usw. hinzufügen.

Diese Technik ist sehr effektiv, um Hacking-Versuche durch automatisierte Skripte zu stoppen.

9. Entfernen Sie die Fehlermeldung von der Anmeldeseite

Ein Captcha eingeschlossen, gibt es drei Dinge, die die Hacker gleich machen wollen, um sich auf Ihrer Website anzumelden. Wenn sie versuchen, sich anzumelden und fehlschlagen, wird normalerweise eine Fehlermeldung angezeigt, die besagt, dass eine oder mehrere Anmeldeinformationen falsch sind.

Angenommen, die Hacker geben den Benutzernamen, das Passwort und das Captcha ein und eine der Anmeldeinformationen ist falsch. Sie sehen eine Fehlermeldung „Falscher Benutzername“ oder „Falsches Passwort“. In diesem Fall wissen sie, dass eine der Anmeldeinformationen richtig ist, und müssen nur an der anderen arbeiten.

Aber wenn Sie die Fehlermeldung entfernen, werden sie fehlgeleitet, ob sie einen oder beide falsch eingefügt haben. Dann werden sie wieder an beiden arbeiten. Wenn Sie jetzt zusätzlich zu dieser Strategie die Anzahl der Anmeldeversuche begrenzt haben, gewinnen Sie mehr Zeit gegen die Hacker.

Entfernen Sie also die Fehlermeldung von der Anmeldeseite.

10. Erlauben Sie bestimmten IPs, sich anzumelden

Sie können den Zugriff auf bestimmte statische IPs beschränken, um die Website zu sichern. Wenn du deine eigene IP-Adresse kennst, gib ihr Zugriff über die .htaccess-Datei aus dem wp-admin-Ordner.

Öffne einfach den Ordner wp-admin, bearbeite eine Datei namens .htaccess und füge diesen Code hinzu:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Sie müssen lediglich 99.99.99.99 durch Ihre IP oder diejenige ersetzen, auf die Sie Zugriff gewähren möchten.

Wenn also jetzt jemand ohne Zugriff versucht, sich anzumelden, wird ihm diese Nachricht angezeigt.

11. Fügen Sie eine zusätzliche Ebene durch Zwei-Faktor-Authentifizierung hinzu

Eine weitere Möglichkeit, die Sicherheit Ihrer Website zu erhöhen, besteht darin, ein WordPress-Plugin zu verwenden, um eine weitere Ebene mit Zwei-Faktor-Authentifizierung hinzuzufügen. Alles, was Sie tun müssen, ist ein Plugin wie WP 2FA zu installieren und einzurichten, und Ihre Website ist sicher vor Cyber-Bedrohungen wie automatisierten Skripten und Brute-Force-Angriffen.

12. Einmalpasswort (OTP)

Wie der Name schon sagt, können Sie sich mit Einmalpasswörtern mit einem Passwort, das nur einmal gültig ist, auf der Website anmelden. Sie erhalten diese Passwörter per Post oder Handynummer. Da die OTPs per Post und Handynummer gesendet werden und nur für eine Sitzung gültig sind, müssen Sie sich keine Sorgen machen, dass Ihr Hauptpasswort während der Anmeldung von Orten wie Cybercafes gestohlen wird. Natürlich können einige WordPress-Plugins dabei helfen, Ihrer Anmeldeseite eine OTP-Funktion hinzuzufügen.

Diese Techniken helfen, den Admin-Bereich Ihrer WordPress-Website vor Cyber-Bedrohungen wie Brute-Force-Angriffen, Spam, bösartigen Bots, SQL-Injektionen und vor allem automatisierten Skripten (zum Generieren von Passwörtern) zu schützen.

Das könnte Ihnen auch gefallen: Was ist Schema? Wie fügt man Schema-Markup zu seiner WordPress-Website hinzu?

Endlich!

Wenn Sie eine neue WordPress-Website entwerfen, ist der Gedanke, dass sie gehackt wird, weit entfernt. Aber es ist immer noch eine Möglichkeit. Sie müssen also die Sicherheit zu einem besonderen Bestandteil der benutzerdefinierten WordPress-Entwicklung machen, um den Admin-Bereich zu schützen und zu sichern, damit Hacker nicht auf die sensiblen Informationen Ihrer Website zugreifen können.

Deshalb haben wir diese Tipps und Techniken wie WordPress-Updates, Sicherheits-Plugins, OTP, verschlüsselte Passwörter, Zwei-Faktor-Authentifizierung, Captchas usw. aufgelistet, um sicherzustellen, dass Ihre Website vor Hackern sicher ist. Stellen Sie sicher, dass Sie diese Techniken besprechen, wenn Sie WordPress-Entwickler beauftragen, eine neue Website zu erstellen oder Ihre alte zu aktualisieren.

Autor: Palak Shah

Dieser Artikel wurde von Palak Shah geschrieben. Palak ist eine Qualitäts-Content-Autorin für WPWeb Infotech und sie liebt es, über WordPress, Technik und kleine Unternehmen zu schreiben. Sie ist eine unglaubliche Teamplayerin und arbeitet eng mit dem Team zusammen, um großartige Ergebnisse zu erzielen. Sie schaut sich Netflix an und liest Sachbücher, Selbsthilfe und Autobiographien großer Persönlichkeiten.