48 Möglichkeiten zum Erstellen einer sicheren WordPress -Site

Key Takeaways

• regelmäßig aktualisieren: Halten Sie WordPress, Themen und Plugins aktualisiert, um sich vor Schwachstellen zu schützen.
• Starke Passwörter und Benutzernamen: Vermeiden Sie Standard -Benutzernamen und erstellen Sie komplexe Kennwörter, um die Anmeldesicherheit zu verbessern.
• Sicherheits -Plugins verwenden: Installieren Sie seriöse Sicherheits -Plugins wie Wordfence oder Ithemes Security, um die Abwehrkräfte zu stärken.
• Implementieren Sie die SSL -Verschlüsselung: Verwenden Sie SSL, um die Datenübertragung auf Ihrer Website zu sichern und sowohl die Sicherheits- als auch die SEO -Rangliste zu steigern.
• Hosting -Angelegenheiten: Wählen Sie einen Hosting -Anbieter aus, der die Sicherheit mit Funktionen wie regulären Backups und erweiterten Firewall -Schutz priorisiert.
• Backup häufig: Sichern Sie regelmäßig Ihre WordPress -Site, um sich schnell von potenziellen Sicherheitsverletzungen zu erholen.

Dieser Artikel ist Teil einer Serie, die in Zusammenarbeit mit SiteGround erstellt wurde. Vielen Dank, dass Sie die Partner unterstützt haben, die SitePoint ermöglichen.

Hacker. Schwachstellen. Brute-Force. Malware. Leugnung des Dienstes. Mann-in-the-Middle. Phishing. Alle gruseligen Worte. Wir leben in einer gefährlichen Online -Welt!

Wurde Ihre Website gehackt? Ich habe und wir sind nicht allein. Im Jahr 2012 waren mehr als 70% der WordPress -Sites anfällig für Angriffe, und seitdem hat sich nicht viel geändert. Was haben Sie getan, um zu schützen, stellen Sie sicher, dass Sie eine sichere WordPress -Site haben?

In diesem Artikel haben wir Sicherheits -Tipps aus früheren SitePoint -Artikeln, unserer eigenen Erfahrung und aus dem Internet zusammengestellt und sie auf eine Weise organisiert, die ich hoffe, dass Sie nützlich und verständlich finden. Und vor allem leicht zu reagieren.

All-in-One-WordPress-Sicherheits-Plugins sind nützlich (und wir werden sie in unserem nächsten Artikel abdecken), aber die Sicherheit erfordert mehr als nur ein Plugin und das Weggehen. Es erfordert eine sorgfältige Strategie und eine ständige Wachsamkeit. Proaktiv sein, nicht reaktiv. Mit anderen Worten, gehen Sie nicht davon aus, dass Ihre Website sicher ist - einen Sicherheitsplan , bevor Sie gehackt werden!

Das gibt es nicht, dass es keine 100% ige Sicherheit gibt. Was Sie erreichen können, ist die Risikominderung und finden Sie das Gleichgewicht (für Sie) zwischen Sicherheit und Bequemlichkeit.

In der Sicherheit geht es nicht um perfekte Systeme. So etwas könnte durchaus unpraktisch sein oder unmöglich zu finden und/oder aufrechtzuerhalten. Sicherheit ist jedoch die Risikominderung, nicht die Risiko -Eliminierung. Es geht darum, alle Ihnen zur Verfügung stehenden Steuerelemente zu verwenden, mit denen Sie Ihre allgemeine Haltung verbessern können, um die Wahrscheinlichkeit zu verringern, sich zu einem Ziel zu machen und anschließend gehackt zu werden. " - codex.wordpress.org

Wohin sollten Sie Ihre Aufmerksamkeit konzentrieren? In einem Artikel im vergangenen Jahr berichtete WP White Security über die folgenden Statistiken über gehackte Websites:

• 41% wurden durch eine Sicherheitsanfälligkeit auf ihrer Hosting -Plattform
durch eine Sicherheitsanfälligkeit gehackt.
29% wurden über ein Sicherheitsproblem in dem WordPress -Thema gehackt, das sie verwendet haben
22% wurden über ein Sicherheitsproblem in den WordPress -Plugins gehackt, die sie verwendeten
8% wurden gehackt, weil sie ein schwaches Passwort hatten

Hier befinden sich die Löcher in Ihrer Verteidigung. Denken Sie daran, während Sie Ihre Sicherheitsstrategie erstellen.

ok. Vor diesem Hintergrund können Sie Ihre WordPress -Site bei 40 Möglichkeiten schützen. Wählen Sie diejenigen, die für Sie und Ihre Website sinnvoll sind.

sicheres WordPress

1. Halten Sie WordPress auf dem neuesten Stand

Die neueste von WordPress ist höchstwahrscheinlich sicherer als die letzte und weist weniger Schwachstellen auf. Halten Sie es also auf dem neuesten Stand-es ist eine Operation mit einem Klick. Stellen Sie sicher, dass Sie zuerst Ihre Website sichern!

WordPress -Updates verursachen selten Probleme, aber wenn Sie vorsichtig sein möchten, aktualisieren Sie es zuerst auf einem Testserver. Oder wenden Sie den folgenden Code auf Ihre WP-config.php-Datei an:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

, wenn Sie nur WordPress für automatisch hochdatieren möchten:

Wenn Sie Ihre WordPress nicht manuell aktualisieren möchten, sollten Sie einen Hosting-Anbieter wie unseren Partner-SiteGround in Betracht ziehen, das über ein spezielles Auto-Update-Tool für alle Pläne steht.

2. Sichern Sie Ihre Website regelmäßig

Stellen Sie sicher, dass Sie regelmäßige Sicherungen Ihrer WordPress -Site erstellen. Eine Sicherung von WordPress -Daten und -dateien kann eine entscheidende Rolle in einem Notfall spielen. Wenn alles andere fehlschlägt, müssen Sie nicht von vorne anfangen!

Planen Sie Ihre Backups, damit Sie sie nicht vergessen und von Zeit zu Zeit eine Testwiederherstellung durchführen.

Weiteres Lesen:
• 5 WordPress -Plugins für Backups und Migrationen
• Die besten WordPress -Backup -Plugins verglichen
• So sichern Sie Ihre WordPress -Website manuell

Ihre reguläre Checkliste für WordPress -Wartung

3. Aktivieren Sie SSL für WordPress Data Security

Aktivieren Sie SSL, um Ihre WordPress -Site zu sichern. Eine sichere Sockets-Layer verschlüsselt alle Informationen, die an und von Ihrer Website gesendet werden, sie privat und verhindern, dass Man-in-the-Middle-Angriffe, bei denen ein Dritter die Kommunikation zwischen dem Client und dem Server hört oder diese ändert. Als Bonus kann es auch Ihren Google Pagerank steigern.

Die Adresse einer SSL-zertifizierten Site beginnt mit einem HTTPS, während eine SSL-zertifizierte Website mit HTTP beginnt. Es ist am besten, HTTPS zu aktivieren, bevor Sie WordPress installieren. Es ist jedoch möglich, Ihre WordPress -Einstellungen zu aktualisieren, wenn Sie es später hinzufügen. Hosting -Anbieter wie SiteGround bieten kostenlose SSL -Zertifikate an.

Weiteres Lesen:

sichern WordPress mit SSL

4. Sichern Sie wp-config.php

sperren Sie wp-config.php-es ist ein einziger Ort, an dem eine Fülle von kritischen Daten zu Ihrer Datenbank, Ihrem Benutzernamen und Ihrem Kennwort enthält. Nur Sie sollten Zugang haben.

Um Zugriff auf diese Datei zu verweigern, sollten Sie den folgenden Code oben in der .htaccess -Datei hinzufügen:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

5. Bewegen Sie wp-config.php

Verschieben Sie die Datei wp-config.php in den Ordner über Ihrer WordPress-Installation. Dies macht es für jeden, der einen Browser benutzt, unzugänglich, was bedeutet, dass ein Cracker weniger Chance hat, ihn zu lokalisieren.

Weiteres Lesen:

• Der einfachste WordPress -Sicherheitstipp aller Zeiten!

6. Verstecken Sie die WordPress -Versionsnummer

Einige Versionen von WordPress haben Schwachstellen gekannt. Jemand, der mit diesen Schwachstellen vertraut ist, kann feststellen, welche Version Sie verwenden, da sie im HTML -Kopf jeder Seite angezeigt wird.

Entfernen Sie diese Informationen, indem Sie die folgende Zeile zu den Funktionen Ihres Themas hinzufügen.

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

Sie sollten auch die LEADME.HTML -Datei entfernen, die auch die WordPress -Versionsnummer enthält.

7. Entfernen Sie WordPress -Referenzen aus Ihrem Thema

Jemand wird nur versuchen, WordPress zu hacken, wenn er weiß, dass Sie es verwenden. Also halte es geheim! Entfernen Sie alle Verweise auf WordPress von Ihren Themendateien.

Finden und löschen Sie die Referenzen aus dem Header.php, die so aussehen:

remove_action('wp_head', 'wp_generator');

8. Deaktivieren Sie die PHP -Fehlerberichterstattung

Hacker können Fehlermeldungen zu ihrem Vorteil verwenden. Beispielsweise kann ein Fehler von einem Thema oder Plugin Ihren Serverpfad anzeigen.

Um die Fehlerberichterstattung zu deaktivieren, fügen Sie Ihren folgenden Code Ihrer WP-config.php-Datei hinzu:

<meta name="generator" content="WordPress" />

9. Ändern Sie die Standard -Geheimschlüssel

Wenn Sie WordPress installieren, werden vier geheime Schlüssel in Ihre Datei wp-config.php geschrieben. Sie verbessern die Verschlüsselung von Informationen, die in den Cookies des Benutzers gespeichert sind, und erschweren es, Ihr Passwort zu knacken.

Verwenden Sie WordPress 'Secret Code Generator, um einige neue Schlüssel zu erhalten, und kopieren Sie sie in Ihre Datei wp-config.php.

sichern Sie Ihre Themen und Plugins

51% der gehackten Websites sind auf Sicherheitsprobleme mit Themen und Plugins. Betrachten Sie diesen Abschnitt besondere Berücksichtigung!

10. Halten Sie Ihre Themen und Plugins auf dem neuesten Stand

Aktualisieren Sie nicht nur WordPress, stellen Sie sicher, dass auch Ihre Themen und Plugins auf dem neuesten Stand sind. Jeder ist eine potenzielle Hintertür zu Ihrer Website, und jede neue Version hat wahrscheinlich weniger Schwachstellen.

11. Wählen Sie Themen und Plugins, die aktiv gepflegt und regelmäßig aktualisiert werden

Wenn in einem Thema oder Plugin Sicherheitslücken in Sicherheitslücken enthalten sind, möchten Sie, dass es so schnell wie möglich angesprochen wird. Das wird nicht mit einem Thema oder Plugin passieren, das nicht mehr gepflegt ist. Stellen Sie nach Möglichkeit sicher, dass die von Ihnen verwendeten Themen und Plugins aktiv aufrechterhalten werden.

Weiteres Lesen:

wie Sie sich vor Rogue WordPress -Plugins schützen

12. Löschen Sie Themen und Plugins, die Sie

nicht verwenden

Wenn jedes Thema und jedes Plugin eine potenzielle Hintertür ist, reduzieren Sie das Risiko so weit wie möglich. Wenn Sie es nicht verwenden, entfernen Sie es. Deaktivierende Plugins reicht nicht aus - klicken Sie auf "Delete"!

13. Beschränken Sie den Zugriff auf Ihr Plugins -Verzeichnis

Einschränken Sie den Zugriff auf Ihr WordPress-Plugins-Verzeichnis: www.your-domain.com/wp-content/plugins/. Andernfalls kann jemand im Ordner sehen, welche Plugins Sie verwenden, und erkunden Sie sie nach potenziellen Schwachstellen.

Zugriff verweigern, indem Sie eine leere Index.html -Datei in das Verzeichnis hochladen. Alternativ fügen Sie die folgende Zeile am Start in Ihrer .htaccess -Datei im Stammordner hinzu:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

14. Beseitigen Sie das Plugin- und Theme -Editor

Auf dem WordPress-Dashboard befindet sich ein integriertes Plugin- und Theme-Editor. Dieser Editor kann verwendet werden, um Ihre gesamte Website zu senken, wenn eines Ihrer Benutzerkonten gehackt wird.

Wenn Sie den Editor nicht regelmäßig verwenden, deaktivieren Sie ihn am besten. Fügen Sie Folgendes in Ihre WP-config.php-Datei ein:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

sichern Sie Ihre Anmeldungen

8% der gehackten Websites werden durch schwache Passwörter verursacht. Hier sind einige Techniken zur Verbesserung der Sicherheit Ihrer Anmeldeverfahren.

15. Ändern Sie den Admin -Benutzernamen

Vermeiden Sie den Standard -Administrator -Benutzernamen oder offensichtliche Namen wie "Administrator", den Namen Ihrer Website oder Ihren eigenen Namen. Sie sind zu leicht zu erraten und ein gehacktes Administratorkonto ist gefährlicher als ein Autorenkonto.

Wählen Sie einen geeigneten Admin -Benutzernamen, wenn Sie WordPress festlegen. Wenn Ihre Website bereits "Admin" verwendet, erstellen Sie einen neuen Administratorbenutzer, löschen

16. Verwenden Sie ein sicheres Passwort

Wählen Sie ein komplexes Kennwort aus, das aus Buchstaben, Zahlen und Zeichen besteht. Hier sind einige Hinweise:

Wählen Sie kein Passwort, das Ihrem Benutzernamen ähnelt.
Wählen Sie kein Passwort, das Ihrem Website -Namen ähnelt.
Wählen Sie kein Passwort, das ein gemeinsames Wort mit einigen einfachen Änderungen ist.
Vermeiden Sie Wörterbuchwörter.
Erwägen Sie eine zufällige Zeichenfolge von Zeichen.
Verwenden Sie ein gutes Kennwortverwaltungs -Tool, um ein komplexes Kennwort sicher zu speichern.

Hier sind einige Tools, mit denen ein sicheres Passwort für Sie generiert werden kann:

phonetisches Passwortgenerator
Norton Password Generator
Starker Passwortgenerator

Stellen Sie schließlich sicher, dass Sie nicht dasselbe Passwort wie Sie an anderer Stelle verwenden. Alle Passwörter sollten eindeutig sein.

17. Zwingen Sie alle Benutzer, starke Passwörter

zu haben

Es ist nicht gut, wenn Sie ein starkes Passwort verwenden, aber der Rest des Teams ist nicht so fleißig. Sie möchten keine schwachen Glieder in der Kette.

Sie können sicherstellen, dass jeder ein starkes Kennwort verwendet, indem Sie ein Plugin wie starke Kennwörter verwenden.

18. Ändern Sie Ihr Passwort regelmäßig

Je länger Sie dasselbe Passwort verwenden, desto mehr Zeit geben Sie Hackern, um es zu knacken. Verkürzen Sie das Fenster der Chancen!

Ändern Sie Ihr Passwort mindestens ein paar Mal im Jahr. Und ermutigen Sie Ihre anderen Benutzer, dasselbe zu tun.

19. Verwenden Sie die 2-Faktor-Authentifizierung (2FA)

Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit beim Anmelden, indem zusätzlich zu einem Benutzernamen und Kennwort einen eindeutigen Code benötigt. Der Code wird von einer App für einmalige Verwendung generiert und über SMS an ein Gerät/ein Smartphone gesendet.

Weiteres Lesen:

• 2-Schritt-Überprüfung für WordPress mit Google Authenticator

20. Begrenzung Anmeldeversuche

Geben Sie Hackern weniger Gelegenheit, Ihr Passwort zu erraten und Ihre Website vor Brute-Force-Angriffen zu schützen, indem Sie die Anzahl der möglichen Anmeldeberichte einschränken. Dadurch blockiert der Anmeldebildschirm nach einer konfigurierbaren Anzahl von Versuchen automatisch und informiert den Administrator per E -Mail.

Sie können Anmeldeversuche mit einem dieser Plugins einschränken:

• WP Limit Login -Versuche
• Login Lockdown

21. Verwenden Sie Captcha oder Recaptcha auf Ihrem Login -Bildschirm

Verwenden Sie zusätzlich zu einem Benutzernamen und Passwort Captcha oder Recaptcha auf Ihrem Anmeldebildschirm. Der Benutzer wird gebeten, das, was er in einem Bild als Text sieht, einzugeben, was eine nützliche Möglichkeit ist, Botnets daran zu hindern, sich von brutaler Kraft anzumelden.

Weiteres Lesen:

• Keine Captcha Recaptcha -Integration mit WordPress

22. Fügen Sie Ihrem Anmeldebildschirm

eine Sicherheitsfrage hinzu

Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress -Anmeldebildschirm erschwert es jemandem, nicht autorisierten Zugriff zu erhalten. Sie können dies tun, indem Sie das WP -Sicherheitsfragen -Plugin installieren.

23. Melden Sie sich automatisch im Leerlauf -Benutzer

an

Benutzer können manchmal vom Bildschirm wegwandern, wenn sie angemeldet sind, ein Sicherheitsrisiko darstellen. Möglicherweise können sie ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.

Sie können automatisch inaktive Benutzer mit dem Leerlaufbenutzer -Logout -Plugin anmelden.

24. Weisen Sie den Benutzern die niedrigstmögliche Rolle

zu

Benutzer sind der schwächste Punkt eines Systems. Dieser Schwachpunkt ist am gefährlichsten, wenn sie Administratorrechte haben.

wenige benötigen tatsächlich administrative Zugriff. WordPress bietet eine Reihe alternativer Rollen zur Auswahl:

• Editor: Jemand, der seine eigenen und die Beiträge anderer Personen veröffentlichen und verwalten kann
• Autor: Jemand, der seine eigenen Beiträge veröffentlichen und verwalten kann
• Mitwirkender: Jemand, der seine eigenen Beiträge schreiben und verwalten kann, aber nicht veröffentlichen kann.

25. Verwenden Sie erzwungene SSL für Anmeldungen

erzwungene SSL ist eine relativ einfache Veränderung, die einen großen Unterschied bewirken kann. Auch wenn Sie Ihre gesamte Website nicht verschlüsseln, stellen Sie sicher, dass Ihre Benutzer eine sichere Anmeldeseiten haben. Sie benötigen ein aktuelles SSL-Zertifikat, um dies zu gewährleisten.

26. Entfernen Sie Fehlermeldungen von Ihrer Anmeldeseite

Bei jedem fehlgeschlagenen Anmeldeversuch können Fehlermeldungen auf Ihrer Anmeldeseite Hacker Hinweise geben. Entfernen Sie sie, indem Sie die folgende Codezeile in Ihren Themenfunktionen hinzufügen.php Datei:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

27. Ändern Sie Ihre WordPress -Login -URL

Da die WordPress-Administrator-URL WP-Admin ist, kann jeder Hacker problemlos mit einem Brute-Force-Angriff beginnen. Reduzieren Sie das Risiko, durch Änderung dieser URL angegriffen zu werden, damit Hacker es nicht finden können.

WPS -Ausblendenanmeldung ist das einfachste Plugin, um dies zu erreichen.

28. Autorin Benutzernamen

verstecken

Um sich bei WordPress anzumelden, benötigen Sie einen Benutzernamen und ein Passwort. Standardmäßig erleichtert WordPress die Benutzernamen Ihrer Autoren. Laut DreamHost ist es eine gute Idee, den Benutzernamen des Autors zu verbergen, um sicherzustellen, dass Sie den Job des Hackers nicht erleichtern.

, um dies zu tun, kopieren und fügen Sie Folgendes in Ihre Funktionen.php -Datei:

ein und fügen Sie sie ein.

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

29. Passwort schützen wp-login.php

Dies ist für fortgeschrittene Benutzer. Sie können eine weitere Sicherheitsebene bereitstellen, indem Sie eine serverseitige Anmeldung benötigen, bevor der WordPress-Anmeldebildschirm angezeigt wird.

Erfahren Sie hier mehr:

• Brute -Force -Angriffe gegen WordPress -Websites
verhindern

30. Schützen Sie das WP-Admin-Verzeichnis

Wenn Sie sich nur (oder Ihre Autoren, jedoch nicht Mitglieder oder Leser) anmelden müssen, beschränken Sie den Zugriff auf Ihre / wp-admin / ordner oder wp-login.php-Datei.

Wenn Sie sich nur von Ihrem Heimcomputer anmelden, beschränken Sie das Anmeldebildschirm nur auf diesen Computer. Schnappen Sie sich Ihre Home -IP -Adresse (mithhatisMyip.com oder ähnlich) und fügen Sie diese Zeilen der .htaccess -Datei in Ihrem WordPress -Administratorordner hinzu (ersetzen Sie xx.xxx.xxx.xxx mit Ihrer IP -Adresse):

remove_action('wp_head', 'wp_generator');

Um Zugriff auf mehrere Computer (Office/Home/Laptop oder User1/User2/User3) zu ermöglichen, fügen Sie eine weitere Zulassung von xx.xxx.xxx.xxx in einer neuen Zeile hinzu.

.

31. Deaktivieren Sie XML-RPC

Mit

XML-RPC können Benutzer über Blogging-Clients remote eine Verbindung zu WordPress herstellen und für Trackbacks und Pingbacks verwendet werden. Es wurde standardmäßig seit WordPress 3.5 aktiviert.

Leider können Hacker es für DDOS-Angriffe verwenden. Wenn Sie diese Funktionen nicht verwenden, sollten Sie XML-RPC deaktivieren.

Dies kann mit einem der folgenden Plugins erfolgen:
• XML-RPC Pingback
deaktivieren

XML-RPC

deaktivieren

sichern Sie Ihre WordPress -Datenbank & Dateien

32. Verwenden Sie starke MySQL -Datenbanknamen

Vermeiden Sie es, Ihre Datenbank „WordPress“ mit einer Benutzer -ID von „Benutzer“ und einem Kennwort „Kennwort“ zu benennen. Sie haben die Datenbank nur einmal eingestellt, also machen Sie sie so komplex, wie Sie möchten. Wenn Sie sie vergessen, können Sie die Details in wp-config.php.

überprüfen

33. Legen Sie starke Passwörter für Ihre Datenbank

fest

Verwenden Sie ein starkes Passwort, damit WordPress auf die Datenbank zugreift. Siehe unsere Passwort Hinweise in #16 oben.

34. Ändern Sie das Präfix der WordPress -Datenbanktabelle

Wenn Sie WordPress installieren, verwenden Tabellen die Tabellenpräfixe wie wp_ standardmäßig. Wenn Sie dies wissen, können Hacker mit automatisierten Tools Ihre Datenbankstruktur ausarbeiten. Ändern Sie das Präfix so, dass es schwieriger wird, SQL -Injektionsanfragen und andere Angriffe auszuführen.

35. Verwenden Sie SFTP, um eine Verbindung zu Ihrem Server herzustellen

Verwenden Sie eine SFTP -Verbindung (Secure FTP), wenn Sie eine Verbindung zu Ihrem Server herstellen. Dies sorgt dafür, dass die Kommunikation zwischen Ihrer Maschine und dem Server geschützt ist. Die meisten Gastgeber wie Siteground bieten SFTP an.

Weiteres Lesen:

• Erläuterung der FTP- und SFTP -Protokolle

36. Beschränken Sie die Dateiberechtigungen

Schützen Sie die Sicherheit Ihrer Website, indem Sie Ihre Dateiberechtigungen auf das minimale Mindestangebot festlegen:

• Setzen Sie den Chmod -Wert für Ordner auf 755. Nur der Eigentümer hat Schreibberechtigungen, und andere werden Berechtigungen gelesen und ausgeführt.
• Setzen Sie den CHMOD -Wert für Dateien auf 644. Die Eigentümer haben die Lesen und Schreibberechtigungen, und andere können nur die Dateien lesen.

37. Überwachen Sie für Malware

Wenn ein Verstoß stattfindet, möchten Sie nicht wissen, dass Ihre Besucher nicht wissen. Sie benötigen eine Lösung, die regelmäßig nach infizierten Dateien scannt.

Es gibt mehrere serverseitige Scanlösungen, einschließlich Sucuri. Einige Hosting -Anbieter, wie SiteGround, haben es aus der Box eingerichtet.

Wählen Sie einen sicheren Hosting -Anbieter

41% der gehackten Websites sind auf Sicherheitslücken auf der Hosting -Plattform zurückzuführen. Seien Sie also besondere Vorsicht bei der Auswahl oder Änderung von Yuour -Hosting -Anbietern.

38. Wählen Sie den besten Hosting -Plan, den Sie sich leisten können

Ihre WordPress -Site ist nur so sicher wie Ihr Hosting -Konto. Wenn es eine alte, verletzliche Version von PHP ausführt, spielt es keine Rolle, was Sie tun, um WordPress zu sichern.

Es ist wichtig, dass Sie einen Hosting -Anbieter auswählen, der die Sicherheit priorisiert. Einige der Funktionen, nach denen Sie suchen sollten, sind:

• Unterstützung für die neuesten PHP- und MySQL -Versionen
• Kontoisolation
• Webanwendung Firewall
• Intrusion Detecting System
• proaktive Updates und Patches
• Schnelle Serverüberwachung
• tägliche Backups

SiteGround, unser bevorzugter Hosting -Anbieter, bietet all das und mehr.

Weiteres Lesen:

• Die ultimative Anleitung zur Auswahl eines Hosting -Anbieters

39. Nutzen Sie die Sicherheitslösungen Ihres Hosting -Anbieters

Mehrere Unternehmen bieten jetzt ein sicheres, verwaltetes WordPress -Hosting mit hervorragenden Sicherheitslösungen wie WP Engine, SiteGround und Media Temple an. Sie verbringen Zeit, Mühe und Fachwissen, um ihre Tools für maximale Effektivität zu konfigurieren.

zum Beispiel aktualisiert die WP Engine automatisch WordPress- und Schlüsselplugins und deaktiviert Plugins, von denen bekannt ist, dass sie Leistung und Sicherheitsprobleme verursachen. Sie bieten Hardware -basierte Firewalls und Konfiguration, um sicherzustellen, dass Angriffe für verteilte Denial -of -Service (DDOs) Ihre Website nicht abbauen.

SiteGround bietet automatische Updates für den WordPress-Kern und die Plugins, eine effiziente CH-Root-Konto-Isolation für alle Konten auf gemeinsam genutzten Servern und anspruchsvolle Systeme, die böswillige Bots und Angreifer blockieren.

Sicherheits -Plugins

40. Installieren Sie gute Sicherheits -Plugins

Wir haben uns auf hoch bewertete Plugins konzentriert, die eine Reihe von Sicherheitsfunktionen abdecken, und nicht auf ein Trick-Wunder. Wenn Ihr Hosting -Anbieter noch keine umfassende Sicherheitslösung hat, wäre die Installation eines dieser diese ein guter erster Schritt in Ihrer Sicherheitsstrategie.

Haben wir Ihr Lieblings -Sicherheits -Plugin verpasst? Lassen Sie es uns in den Kommentaren wissen.

41. Wordfence

• Kosten: kostenlos, Prämie von 99 USD/Jahr
• aktive Installationen: 2 Millionen
• Bewertung: 4,8 von 5 Sternen (3.048 Bewertungen)

Wordfence -Sicherheit ist 100% frei und Open Source. Wir bieten auch einen Premium-API-Schlüssel an, mit dem Sie Premium-Support, Country-Blockierung, geplante Scans, Kennwortprüfungen, Echtzeit-Updates für den Bedrohungsverteidigungs-Feed, die Zwei-Faktor-Authentifizierung und sogar überprüfen, ob Ihre Website-IP-Adresse verwendet wird Spamververtize.

Wordfence enthält diese Sicherheitsfunktionen:

• Firewall. WAF mit automatisch aktualisierten Firewall -Regeln, die gemeinsame WordPress -Sicherheitsbedrohungen blockieren.
• Blockierungsfunktionen. Echtzeitsperrung von bekannten Angreifern und böswilligen Netzwerken und anderen Sicherheitsbedrohungen.
• Login -Sicherheit. Zwei-Faktor-Authentifizierung, erzwungene Kennwörter, die Sicherheit, um Brute-Force-Angriffe auszuschließen.
• Sicherheitsscannen. Scans Core -Dateien, Themen und Plugins für Malware und Hintertoors sowie Überprüfungen nach geänderten Dateien.
• Überwachung. Überwacht der Verkehr in Echtzeit einschließlich Bots und umgekehrter DNS, Monitore für DNS -Änderungen und Speicherplatz.

42. Alles in einer WP Security & Firewall

• Kosten: kostenlos
• aktive Installationen: 500.000
• Bewertung: 4,8 von 5 Sternen (669 Bewertungen)

Ein umfassendes, einfach zu bedienendes, stabiles und gut unterstütztes Sicherheits -Plugin… reduziert das Sicherheitsrisiko, indem sie nach Schwachstellen prüft und die neuesten empfohlenen WordPress -Sicherheitspraktiken und -techniken implementieren und durchsetzen.

Alles in einer WP Security & Firewall enthält diese Sicherheitsfunktionen:

• Benutzerkonten Sicherheit. Ändern Sie den Standard -Administrator -Benutzernamen, prüfen Sie, ob Benutzerantriebsnamen wie Benutzernamen, Kennwortstärke -Tool entsprechen, die Benutzeraufzählung stoppen.
• Benutzeranmeldung Sicherheit. Login Lockdown (Brute Force Protection), melden Sie sich in den Nutzungsnutzern an, fehlgeschlagen Anmeldeversuche, Whitelist IP -Adressen, sehen Sie an, wer angemeldet ist, captcha.
• Sicherheit für Benutzerregistrierung. Aktivieren Sie die manuelle Genehmigung, Captcha, Honeypot.
• Datenbanksicherheit. Setzen Sie das Standard -WP -Präfix, planen Sie automatische Sicherungen.
• Dateisystemsicherheit. Identifizieren und beheben Sie unsichere Berechtigungen, deaktivieren Sie die Dateibearbeitung von WP Admin, überwachen Systemprotokolle.
• htaccess und wp-config.php Dateisicherung und Wiederherstellung. Einfach sicherstellen, wiederherstellen und ändern Sie diese wichtigen Dateien.
• Blacklist -Funktionalität. Verbieten Sie Benutzer basierend auf der IP -Adresse oder einem Bereich oder durch Angeben von Benutzern.
• Firewall. Fügen Sie Firewall -Schutz über htaccess hinzu, Firewall -Regeln, die böswillige Skripte stoppen.
• Brute Force Login und Angriffsprävention. Cookie-basierte Anmeldungsprävention, Captcha auf Anmeldeformular, Rahmenanmeldebildform URL, Honeypot.
• whois such. Holen Sie sich vollständige Details zu einem verdächtigen Wirt.
• Sicherheitsscanner. Dateiwarnungswarnungen ändern, Datenbanktabellen für verdächtige Zeichenfolgen scannen.
• Kommentar Spam Security. Block IP -Adressen von Spammer, fügen Sie Captcha zum Kommentarformular hinzu.
• Front-End-Textkopieschutz. Klicken Sie mit der rechten Maustaste, der Textauswahl und der Option Kopie.

43. IThemes Sicherheit

• Kosten: kostenlos, pro: 2 Websites $ 80/Jahr, 10 Sites $ 100/Jahr, unbegrenzte Websites $ 150/Jahr, Gold $ 297 Lebenszeit.
• zuvor als besser bezeichneter WP Security
• aktive Installationen: 800.000
• Bewertung: 4,7 von 5 Sternen (3.812 Bewertungen)

iThemes Security Pro nimmt die Vermutung aus WordPress -Sicherheit heraus. Sie sollten kein Sicherheitsfachmann sein, um ein Sicherheits -Plugin zu verwenden.

Die kostenlose Version bietet Ihnen einen gewissen Schutz, aber die Pro -Version enthält folgende Sicherheitsfunktionen:

• Zwei-Faktor-Authentifizierung. "Verwenden Sie eine mobile App wie Google Authenticator oder Authy, um einen Code zu generieren, oder lassen Sie einen generierten Code per E -Mail an Sie gesendet."
• WordPress -Salze und Sicherheitsschlüssel. „Das Ithemes Security Plugin erleichtert die Aktualisierung Ihrer WordPress -Schlüssel und -Salze.“
• Malware -Scanplanung. „Lassen Sie Ihre Website jeden Tag automatisch nach Malware gescannt. Wenn ein Problem gefunden wird, wird eine E -Mail mit den Details gesendet. “
• Passwortsicherheit. "Generieren Sie starke Passwörter direkt aus Ihrem Profilbildschirm."
• Kennwortablauf. „Legen Sie ein maximales Kennwort -Alter fest und zwingen Sie die Benutzer, ein neues Passwort auszuwählen. Sie können alle Benutzer auch zwingen, ein neues Passwort sofort auszuwählen (falls erforderlich). ”
• Google Recaptcha. "Schützen Sie Ihre Website vor Spammer."
• Benutzeraktionsmeldung. „Verfolgen Sie, wenn Benutzer Inhalte bearbeiten, anmelden oder melden.“
• Einstellungen import/exportieren. "Sparen Sie Zeit, mehrere WordPress -Sites einzurichten."
• Dashboard -Widget. „Wichtige Aufgaben wie Benutzerverbots und Systemscans aus dem WordPress -Dashboard verwalten.“
• Online -Dateivergleich. „Wenn eine Dateiänderung erkannt wird, scannt sie den Ursprung der Dateien, um festzustellen, ob die Änderung böswillig war oder nicht. Derzeit funktioniert nur in WordPress Core, aber Plugins und Themen kommen. ”
• Temporäre Privilegien Eskalation. „Geben Sie einem Auftragnehmer oder einer anderen Person Temporary Admin oder Editor Zugriff auf Ihre Website, die sich automatisch selbst zurücksetzt.“
• WP-CLI-Integration. "Verwalten Sie die Sicherheit Ihrer Website aus der Befehlszeile."

44. Sucuri Security

• Kosten: kostenlos, grundlegend $ 199/Jahr, pro 299 USD/Jahr, Geschäft 499 USD/Jahr
• aktive Installationen: 300.000
• Bewertung: 4,6 von 5 Sternen (260 Bewertungen)

wir halten Ihre Website sicher und hackfrei! Die Sucuri -Plattform ist eine Reihe von Tools, die für die vollständige Sicherheit der Website entwickelt wurden. Die Sucuri -Plattform ist ohne zusätzliche Kosten oder versteckte Gebühren erschwinglich, einfach zu entsorgen und von einem Team von Fachleuten zu unterstützen, die Ihnen zur Verfügung stehen.

Sucuri ist Teil der Sicherheitslösung vieler Qualitäts -Hosting -Anbieter, einschließlich SiteGround. Es ist ein wertvolles Instrument für SiteGround, um die Websites seiner Kunden vor Malware zu schützen, da es jeden Link scannt, der täglich von der Website -Homepage zugänglich ist. Es enthält die folgenden Sicherheitsfunktionen:

• Hacked -Websites reinigen und reparieren. "Professionelle Reaktion des professionellen Sicherheitsvorfälles verfügbar 24/7/365."
• Angriff und Hackprävention. „Eine Cloud-basierte WAF/IPS-Lösung, die zum Anhalten von Hacks und Angriffen entwickelt wurde.“
• kontinuierliche Überwachung. "Kontinuierliche Überwachung und Alarmierung von Sicherheitsgründen."

Das kostenlose WordPress Security -Plugin enthält folgende Funktionen:

• Sicherheitsaktivitätsprüfung Protokollierung
• Dateiintegritätsüberwachung
• Remote Malware Scanning
• Überwachung der Blacklist
• Effektive Sicherheitshärten
• Sicherheitsaktionen nach dem Hack
• Sicherheitsbenachrichtigungen

45. Jetpack, der jetzt Vaultpress

enthält

• Kosten: kostenlos, persönlich (39 USD/Jahr), Prämie (99 USD/Jahr), Profi (299 USD/Jahr)
• aktive Installationen: 3 Millionen
• Bewertung: 4,1 von 5 Sternen (1.330 Bewertungen)

Jetpack (von Automattic, der Ihnen WordPress bringt) macht mehr als nur Sicherheit. Grundsätzlich bringt es die Merkmale von WordPress.com an den Rest von uns, was ansprechend ist. Für die Sicherheit und die Sicherung der bezahlten Pläne umfassen Vaultpress.

Vaultpress ist ein von Automattic entworfener und erstellter Scan-Service in Echtzeit, das gleiche Unternehmen, das Millionen von Websites auf WordPress.com betreibt (und sichtbar!).

vaultpress wird jetzt von Jetpack betrieben und unterstützt mühelos jeden Beitrag, Kommentar, Mediendatei, Revision und Dashboard -Einstellung auf Ihrer Website auf unsere Server. Mit Vaultpress sind Sie vor Hackern, Malware, versehentlichem Schaden und Hostausfällen geschützt.

vaultpress enthält diese Sicherheitsfunktionen:

• Backups. „Umfassende tägliche oder in Echtzeit automatisierte Backups, die in unserem digitalen Offsite-Vault gespeichert sind, optimiert für WordPress und besser als Ihr Host.“
• restauriert. „Selbst in den stressigsten Momenten haben wir Ihren Rücken. Stellen Sie Ihre gesamte Online -Präsenz schnell und einfach wieder her, ohne Ihren Host zu benötigen. “
• Dateiscannen. „Erkennen und beseitigen automatisch Viren, Malware und andere ausblockable Sicherheitsprobleme, die sich auf Ihrer Website verstecken können.“
• automatisierte Dateireparatur. „Reparieren Sie erkannte Viren, Malware und andere gefährliche Bedrohungen mit einem einzigen Klick.“
• Spam -Verteidigung. „Schützen Sie Ihre SEO, Leser und Markenreputation, indem Sie automatisch alle Spammer blockieren.“

46. Kugelsichere Sicherheit

• Kosten: kostenlos, pro $ 59.95 (einmaliger Kauf)
• aktive Installationen: 100.000
• Bewertung: 4,7 von 5 Sternen (302 Bewertungen)

Bulletproof Security Pro hat eine erstaunliche Erfolgsbilanz. BPS Pro ist seit 5 Jahren öffentlich verfügbar und ist weltweit auf über 30.000 Websites installiert. Keine einzige dieser 30.000 Websites in 5 Jahren wurde gehackt.

100% Hack Free Website -Garantie. Wenn Ihre Website nach der Installation von BPS Pro gehackt wird, werden wir Ihre gehackte Website kostenlos bereinigen. Wir können dieses großartige Angebot problemlos anbieten, da Ihre Website niemals gehackt wird, wenn Sie BPS Pro installiert haben.

Die kostenlose Version enthält diese Sicherheitsfunktionen:

• Ein-Klick-Setup-Assistent
• .htaccess Website Sicherheitsschutz (Firewalls)
• versteckte Plugin -Ordner / Dateien Cron (HPF)
• Login -Sicherheit und Überwachung
• leitende Sitzungsmeldung (ISL)
• Auth Cookie Ablauf (ACE)
• DB -Sicherung: Voll/teilweise, manuell/geplant, E -Mail/ZIP, Cron alte Backups, Protokollierung
• dB Tabelle Präfixwechsler
• Sicherheitsprotokollierung
• HTTP -Fehlerprotokollierung

Die Pro -Version fügt folgende Funktionen hinzu:

• Autorestore Intrusion Detection & Prevention System (ARQ IDPS)
• Quarantäne Intrusion Detection & Prevention System (ARQ IDPS)
• Echtzeitdatei Monitor (IDPS)
• DB Monitor Intrusion Detection System (IDS)
dB Diff -Tool: Datenvergleichswerkzeug
DB Status & Info
Plugin -Firewall (IP -Firewall): automatisierte Whitelisting & IP -Adresse Aktualisierung in Echtzeit
JTC Anti-Spam/Anti-Hacker
Laden Sie den Ordner Anti-Exploit Guard (UAEG)
• hoch.
• benutzerdefinierte php.ini Website Sicherheit
• F-Lock: Lesen Sie nur Dateisperrung
• Zusätzliche Protokollierungsoptionen
• s-monitor: Überwachung und Alarmierung von Kern

Pro Tools: 16 Mini-Plugins

47. Secupress
• Kosten: kostenlos, 1 Seite 57,60 USD/Jahr, 3 Websites $ 144/Jahr, 10 Websites $ 288/Jahr, unbegrenzte Websites $ 479/Jahr
• aktive Installationen: 5.000

Bewertung: 4,8 von 5 Sternen (19 Rezensionen)

Schützen Sie Ihre WordPress mit Malware Scans, Blocks und verdächtigen IPs. Holen Sie sich kostenlos oder als Pro -Plugin ein komplettes WordPress Security Toolkit.

Wenn Sie proaktiv sind, ist unser kostenloses WordPress Security -Plugin eine gute Wahl! Keine Zeit, wöchentliche Scans zu aktivieren? Dann ist Secupress Pro der richtige Weg. Unser Plugin kümmert sich um alles mit automatisierten Aufgaben.

secupress enthält folgende Funktionen:
• Anti -Brute -Kraft -Login
• blockierte iPS
• Firewall
• Sicherheitswarnungen
• Malware Scan (Pro)
• Blockland durch Geolokalisierung
blockieren
• Schutz von Sicherheitsschlüssel
• Blockbesuche von schlechten Bots
blockieren
• gefährdete Plugins & Themes -Erkennung (Pro)

Sicherheitsberichte im PDF -Format (Pro)

48. Sicherheit Ninja
• Kosten: Einzelseite $ 29 (1 Jahr Updates/Support), Multi -Site 79 $ (1 Jahr Updates/Support), Forever Unimited $ 199
• aktive Installationen: 6.000

Bewertung: 5 von 5 Sternen (6 Bewertungen)

Security Ninja hilft Tausenden, durch Sicherheitsprobleme sicher zu bleiben und Ausfallzeiten zu verhindern. 50 Tests bieten einen umfassenden Überblick über die Sicherheit Ihrer Website.

Mit der kostenlosen Version können Sie Folgendes erreichen:

• Führen Sie 50 Sicherheitstests durch, einschließlich Brute-Force-Angriffe.
• Überprüfen Sie Ihre Website auf Sicherheitslücken und Löcher.
• ergreifen vorbeugende Maßnahmen gegen Angriffe.
• Verhindern Sie 0-Tage-Exploit-Angriffe.
• Verwenden Sie die enthaltenen Code -Snippets für schnelle Korrekturen.
• Brute-Force-Angriff auf Benutzerkonten, um die Kennwortstärke zu testen.
• zahlreiche Installationsparametertests.
• Dateiberechtigungen.
• Version versteckt.
• 0-Tage-Exploitentests.
• Tests für die Debug- und Auto-Update-Modi.
• Datenbankkonfigurationstests.
• Apache und PHP -bezogene Tests
• WP -Optionenstests.

Sie können mit diesen Pro -Modulen noch mehr Schutz:

• Kernscanner. „Überwachen Sie einfach den Status Ihrer WP -Kerndateien. Eine klare Ansicht von Dateien haben, die geändert werden, aber nicht sein sollten, und stellen Sie sie mit einem einzigen Klick wieder her. ”
• Malware -Scanner. „Leichter heuristischer Malware -Scan -Algorithmus überprüft alle Ihre Themen, Plugins, hochgeladene Dateien und Optionen für verdächtige Inhalte.“
• Auto Fixer. "Wenn Sie nicht gerne Backups erstellen, Dateien bearbeiten, mit Code herumspielen und Ihre Hände schmutzig machen - Security Ninja Pro macht alles für Sie. Behebung von Sicherheitsproblemen mit einem Klick. ”
• Ereignislogger. „Überwachen, verfolgen und protokollieren Sie mehr als 50 Ereignisse auf der Website ausführlich. Von Benutzeraktionen bis hin zur Veröffentlichung von Änderungen und Widget -Änderungen - Ereignisse Logger sieht alles. ”
• geplanter Scanner. „Lassen Sie die Sicherheit von Ninja automatisch, regelmäßige Scans Ihrer Websites, einschließlich Scans von Kerndateien. Wenn Änderungen vorliegen, werden Sie per E -Mail benachrichtigt. "

häufig gestellte Fragen zur Sicherheit von WordPress Site

Was sind die besten Praktiken für die Sicherung meiner WordPress -Site? ein zuverlässiges Sicherheits -Plugin. Die regelmäßige Unterstützung Ihrer Website ist ebenfalls von entscheidender Bedeutung, sodass Sie sie im Falle von Sicherheitsverletzungen wiederherstellen können. Erwägen Sie außerdem, einen sicheren Hosting -Anbieter zu verwenden, der Funktionen wie SSL -Zertifikate, Firewalls und reguläre Site -Scans anbietet. beinhaltet mehrere Schritte. Stellen Sie zunächst sicher, dass Sie ein starkes, eindeutiges Passwort für Ihr WordPress -Administratorkonto haben. Halten Sie zweitens Ihren WordPress -Kern, Plugins und Themen auf den neuesten Versionen aktualisiert, da sie häufig Sicherheitspatches enthalten. Installieren Sie ein Sicherheits -Plugin, mit dem Ihre Website auf verdächtige Aktivitäten überwacht und potenzielle Bedrohungen blockiert werden kann. Verwenden Sie schließlich einen sicheren Hosting -Anbieter, der erweiterte Sicherheitsfunktionen bietet.

Welche Rolle spielt ein Hosting -Anbieter in der WordPress -Sicherheit? Ein guter Hosting -Anbieter bietet Funktionen wie regelmäßige Backups, Firewalls, Malware -Scan und Entfernung, SSL -Zertifikate und Schutz vor DDOS -Angriffen an. Sie stellen auch sicher, dass ihre Server immer mit den neuesten Sicherheitspatches aktualisiert werden.

Wie kann ich sicherstellen, dass meine WordPress -Plugins sicher sind? Rufliche Quellen wie das WordPress -Plugin -Repository. Halten Sie Ihre Plugins immer auf der neuesten Version auf dem Laufenden, da Updates häufig Sicherheitspatches enthalten. Löschen Sie Plugins, die Sie nicht verwenden, da sie weiterhin ein Sicherheitsrisiko darstellen können.

Was ist ein SSL Layer) Zertifikat ist ein digitales Zertifikat, das eine sichere Verbindung zwischen einer Website und dem Browser eines Besuchers enthält. Für die Sicherheit von WordPress ist es wichtig, da sie die zwischen dem Benutzer und der Website übertragenen Daten verschlüsselt und Hacker daran hindern, sie abzufangen und zu missbrauchen. Google bewertet auch Websites mit SSL -Zertifikaten in ihren Suchergebnissen höher. Plugin, das diese Funktion bietet. Dies hilft, Brute -Force -Angriffe zu verhindern, bei denen Hacker versuchen, Zugriff auf Ihre Website zu erhalten, indem Sie Ihr Passwort erraten.

Wie oft sollte ich meine WordPress -Site sichern? Oft aktualisieren Sie Ihre Website. Wenn Sie Ihre Website täglich aktualisieren, werden tägliche Backups empfohlen. Wenn Sie jedoch nur einmal pro Woche Änderungen an Ihrer Website vornehmen, sollten wöchentliche Backups ausreichen. Regelmäßige Sicherungen stellen sicher, dass Sie Ihre Website im Falle von Sicherheitsverletzungen schnell wiederherstellen können.

Was ist eine Firewall und wie schützt sie meine WordPress -Site? und steuert eingehender und ausgehender Netzwerkverkehr basierend auf vorgegebenen Sicherheitsregeln. Es fungiert als Hindernis zwischen einem vertrauenswürdigen Netzwerk und einem nicht vertrauenswürdigen Netzwerk. Es kann Ihre WordPress -Site schützen, indem Sie böswilligen Verkehr blockieren und den unbefugten Zugriff auf Ihre Website verhindern. Kann mit einem Sicherheits -Plugin durchgeführt werden, das Malware -Scannen und -entferner bietet. Wenn Ihre Website mit Malware infiziert ist, benachrichtigt das Plugin Sie und gibt häufig Schritte zum Entfernen an.

Was sind die Anzeichen, dass meine WordPress -Site gehackt wurde? T erstellen, eine langsame oder nicht reagierende Website und Benachrichtigungen von Ihrem Webhost oder Google über böswillige Aktivitäten auf Ihrer Website. Wenn Sie eines dieser Zeichen bemerken, ergreifen Sie sofortige Maßnahmen, um Ihre Website zu sichern.

Das obige ist der detaillierte Inhalt von48 Möglichkeiten zum Erstellen einer sicheren WordPress -Site. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!