Sie kennen wahrscheinlich bereits die offensichtlichen Sicherheitsmaßnahmen zum Schutz Ihrer WordPress-Website.

Möglicherweise wissen Sie, dass Sie das Kennwort Ihrer Website als "stark" festlegen müssen (eine Mischung aus Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Zahlen). Sie sollten "admin" nicht als Benutzernamen verwenden, und Sie sollten die Kennwörter häufig ändern. Sie verwenden wahrscheinlich bereits die Zwei-Faktor-Authentifizierung auf Ihrer WordPress-Site und lassen Ihre Site sichern. Und du lädst niemals Premium-Plugins kostenlos oder aus unbekannten Quellen herunter. Was gibt es sonst noch?

Hier werden wir ein paar mehr WordPress Sicherheits-Tipps mit wenig bekannten, aber zutiefst effektive Methoden diskutieren, die Sie verwenden können und sollten, um Ihre WordPress-Website zu schützen.

1. Benennen Sie Ihre Anmeldeseite um oder verschieben Sie sie

Die Standardanmeldeseite für Ihre Site lautet "www.websitename.com/wp-login.php" (oder "www.websitename.com/wp-admin"). Eine der Möglichkeiten, Ihre Website zu schützen, besteht darin, die Anmeldeseite zu verbergen oder zu verbergen, damit Hacker sie nicht einfach finden können. Die Kontrolle des Anmeldezugriffs durch die Begrenzung der Anzahl der Anmeldeversuche und die Zeitspanne zwischen den Anmeldeversuchen würde ebenfalls die Sicherheit verbessern.

Wenn Sie bereits Jetpack installiert haben, können Sie das Modul "Brute Force Protection" aktivieren. Wenn dieses Modul aktiviert ist, aktualisiert Jetpack das Dashboad mit der Anzahl der böswilligen Anmeldeversuche für Ihre Website. Sie haben auch die Möglichkeit, eine Reihe von IP-Adressen auf die weiße Liste zu setzen. Von Jetpack gehen Sie zu "Einstellungen" und dann zu "Schützen", gefolgt von "Konfigurieren", und Sie werden sehen, was wie das Bild unten aussieht.

Cerber Security und Limit Login Attempt ist ein alternatives Plugin zu Jetpack. Wenn Sie Jetpack nicht verwenden möchten, ist die Limit-Anmeldung eine Option. Zum Zeitpunkt der Erstellung des Plugins wurde das Plug-In über 40.000 Mal installiert und hat einen nahezu makellosen Ruf, da 108 von 111 Nutzern es mit fünf Sternen bewerteten.

Limit Login ist ziemlich einfach zu benutzen, aber die Konfiguration des "Hardening" Bereichs verbessert die Sicherheit Ihrer Seite. Der gesamte Zugriff auf den XML-RPC-Server, einschließlich Trackbacks und Pingbacks, ist standardmäßig blockiert. Wenn Sie aus irgendeinem Grund auf die Rest-API von WordPress zugreifen möchten (z. B. die Android- oder iOS-App Ihres Blogs benötigt), dann lassen Sie WP rest API und XML-RPC zugänglich sein.

2. Host, wo es sicher ist

Da sage und schreibe einundvierzig Prozent der Sicherheitslücken der WordPress-Websites vom Host-Ende stammen und nicht von der Website selbst, ist es vernünftig, sicherzustellen, dass Ihr Host sicher ist. In der Tat, Hosting hat das größte Gewicht, wenn es um Sicherheit geht. Nur acht Prozent der Hacks passieren aufgrund von schwachen Passwörtern, neunundzwanzig Prozent aufgrund von Themen und zweiundzwanzig Prozent aufgrund von Plugins. So hängt etwa die Hälfte der Sicherheit Ihrer Website vom Hosting ab.

Stellen Sie sicher, dass Ihr Konto die Kontoisolierung enthält, wenn Sie Shared Hosting verwenden. Ihr Konto wird vor allem geschützt, was auf den Websites anderer Personen geschieht. Es empfiehlt sich jedoch, einen Dienst zu verwenden, der speziell für WordPress-Benutzer entwickelt wurde. Solche Dienste würden eine WordPress-Firewall, Zero-Day-Malware-Angriffsschutz, aktualisierte MySQL und PHP, spezialisierte WordPress-Server und einen WordPress-erfahrenen Kundenservice umfassen. Hosts wie WP Engine, Siteground und Pagely haben starke Sicherheitsbilanz.

3. Bleiben Sie auf dem Laufenden und verwenden Sie nur aktualisierte Software

Sie wissen, dass Sie aktualisierte Antiviren- und andere relevante Anti-Malware-Schutz für Ihren Computer verwenden müssen. Diese Vorsichtsmaßnahme gilt auch für Plugins und Themes. Halten Sie sie auf dem neuesten Stand und entfernen Sie sie, wenn Sie in Ihrem Repository Themen oder Plug-ins verwenden, die nicht verwendet werden. Wenn es für Ihre Website richtig ist, sollten Sie Ihre Plug-ins und Designs so einstellen, dass sie automatisch aktualisiert werden. Um automatische Updates einzurichten, geben Sie etwas Code in Ihre wp-config.php ein. Das Folgende ist der Code für Plugins:

 add_filter ('auto_update_plugin', '__return_true');

Und für Themen verwende diesen Code:

 add_filter ('auto_update_theme', '__return_true');

Wenn Sie die Wartung Ihrer Website manuell durchführen möchten, sollten Sie WordPress-Updates automatisieren. Beachten Sie jedoch, dass das Einrichten eines automatischen Updates Ihre Website beschädigen kann, insbesondere wenn Plug-ins, die mit dem neuesten WordPress-Update nicht kompatibel sind, auf Ihrer Website ausgeführt werden. Um ein automatisches Update für Ihre WordPress-Site einzurichten, fügen Sie den folgenden Code in Ihre wp-config.php- Datei ein:

 # Aktivieren Sie alle wichtigen Aktualisierungen, einschließlich der Neben- und Hauptversionen: define ('WP_AUTO_UPDATE_CORE', true);

4. Entfernen Sie den Plugin-Theme-Editor und die PHP-Fehlerberichterstattung

Deaktivieren Sie den integrierten Editor für Plugins und Designs, wenn Sie die Einstellungen nicht routinemäßig anpassen und ändern (oder andere Wartungsarbeiten an Ihren Plugins und Designs ausführen). Dies dient der Sicherheit Ihrer Website.

Autorisierte WordPress-Benutzer haben Zugriff auf diesen Editor, wodurch Ihre Website anfällig für Sicherheitsverletzungen wird, wenn ihre Konten gehackt werden. In der Tat können Hacker Ihre Website durch Ändern des Codes in diesem Editor abbauen. Um den Editor zu deaktivieren, fügen Sie den folgenden Code in Ihre wp-config.php ein :

 define ('DISALLOW_FILE_EDIT', true);

Fehlerberichte sind gut. Es hilft Ihnen bei der Fehlersuche. Das einzige Problem (und es ist ein großes Problem) ist, dass Fehlermeldungen auch Ihren Serverpfad mit sich führen. Hacker könnten sich Ihren Serverpfad ansehen und einfach die Struktur Ihrer Website verstehen. Obwohl die PHP-Fehlerberichterstattung gut ist, ist sie insgesamt deaktiviert. Benutze das Code-Snippet unten für deine wp-config.php Datei:

 Fehlerbericht (0); @ini_set ('display_errors', 0);

5. Verwenden Sie .htaccess, um spezielle Dateien zu schützen

Die .htaccess-Datei ist wichtig, weil es das Herz Ihrer WordPress-Website ist. Diese Datei ist für die Struktur und Sicherheit Ihrer Website verantwortlich. Außerhalb der #BEGIN WordPress und #END WordPress Tags gibt es keine Begrenzung für die Anzahl der Code-Snippets, die Sie in Ihre .htaccess-Datei einfügen können, um die Sichtbarkeit von Dateien im Verzeichnis Ihrer Website zu ändern.

Wenn Sie dies noch nicht getan haben, blenden Sie die Datei wp-config.php Ihrer Site aus. Diese Datei ist ausschlaggebend für die Aktivitäten Ihrer Website und enthält Ihre persönlichen Informationen sowie andere wichtige Details, die für Ihre Website relevant sind. Sie können das folgende Code-Snippet verwenden, um es auszublenden.

 Ordnung erlauben, Leugnen von allen verweigern

Um den Administratorzugriff zu beschränken, erstellen Sie einfach eine neue .htaccess-Datei und laden Sie sie in Ihr Verzeichnis "wp-admin" hoch. Danach füge diesen Code ein:

 Befehl verweigern, erlauben erlauben von 192.168.5.1 allen verweigern

Geben Sie Ihre IP-Adresse an der richtigen Stelle ein. Um den Zugriff auf Ihren wp-admin von mehreren IP-Adressen aus zu ermöglichen, listen Sie diese IP-Adressen auf, jeweils in einer separaten Zeile, wie allow from IP Address . Sie können den Zugriff auf Ihre wp-login.php ähnlich einschränken. Füge dieses Code-Snippet einfach in deine .htaccess ein:

 Order Deny, erlaube Deny von allen # erlauben Zugriff von meiner IP-Adresse erlaubt von 192.168.5.1

Wenn Sie nicht alle IP-Adressen blockieren möchten, sondern nur bestimmte IP-Adressen, die Zugriff auf Ihren wp-admin oder wp-login.php erhalten möchten, können Sie einzelne IP-Adressen mit diesem Code blockieren:

 Befehl erlauben, verweigern verweigern von 456.123.8.9 erlauben von allen

Sie können Personen auch daran hindern, Ihr Website-Verzeichnis anzuzeigen, indem Sie verhindern, dass sie durchsucht werden können. Sie können dieses Code-Snippet verwenden, um das zu tun:

 Optionen Alle -Indexe

Fazit

Dies ist ein umsetzbarer Leitfaden, der Ihnen hilft, die Sicherheit Ihrer WordPress-Website zu verbessern. Die wichtigste dieser Optionen ist eine, die jetzt ganz einfach zu implementieren ist: Suchen Sie einen Host mit einem makellosen Ruf für die Sicherheit, da die Hälfte der Sicherheit Ihrer Site auf Ihrem Host liegt.

Welcher Sicherheitstipp war für Sie am nützlichsten und warum? Haben Sie weitere Sicherheitstipps, die hier nicht aufgeführt sind? Erwähnen Sie es (oder sie) in den Kommentaren.