WordPress: 10 Best Practices für die Website-Sicherheit

Linux Post Install

10 Minuten

WordPress: 10 Best Practices in Sicherheitsfragen

WordPress: 10 Best Practices in Sicherheitsfragen

WordPress (WP) ist bekannt als beliebtestes CMSunter anderem mit dem Schwerpunkt auf Zugänglichkeit, Leistung und Benutzerfreundlichkeit entwickelt und ständig weiterentwickelt (aktuelle Version 5.2), haben eine riesige Community von Benutzern in vielen Sprachen und eine riesige Anpassungskapazität durch die Verwendung eigener Themen oder Add-Ons (Plugins) von Drittanbietern.

Auch um sehr sicher zu seinDafür müssen jedoch wie in jeder Anwendung oder jedem System bewährte Verfahren befolgt werden, um eine sichere langfristige Implementierung zu erreichen. Und in diesem Beitrag möchten wir einige grundlegende Empfehlungen in dieser Hinsicht geben.

Einführung

WP ist das beliebteste CMS zum Erstellen von Websites, ist in der Regel auch ein häufiges Ziel von Computerangriffen, so dass abgesehen von seiner ständigen Aktualisierung, erfordert häufige Wartungs-, Aktualisierungs- und Sicherheitsverfahren für Vermeiden Sie daher Schwachstellen aufgrund von Schwachstellen in Add-Ons, schwachen Passwörtern, veralteter Software und vielen anderen Gründen, d. h. erreichen Reduzieren Sie Ihre Anfälligkeit für beabsichtigte oder unvorhergesehene Angriffe erheblich.

Darüber hinaus können Sie mit WP wie mit jedem anderen Content Management System (CMS) schnell und effizient eine Website erstellen und anschließend online stellen. Seine hohe Arbeits- und Wachstumsfähigkeit über Module und ergänzende Themen macht es einfacher als je zuvor, diese Aufgabe zu erfüllen, ohne dass dafür die langen Jahre des Lernens erforderlich sind.

Jedoch ein Nebeneffekt Daraus kann sich nichts Angenehmes ergeben, es kann sein, dass einige Manager dieses Tools normalerweise Bypass, die Maßnahmen, die erforderlich sind, um sicherzustellen, dass die erstellte oder gepflegte Website sicher ist. Aus diesem Grund ist es wichtig, einige allgemeine und spezifische Maßnahmen (bewährte Verfahren) in Bezug auf WP oder andere CMS und Websites zu berücksichtigen, um die Sicherheit zu gewährleisten.

Gute Praktiken

1.- Stärken Sie Ihre Sicherheit im Allgemeinen

WP übersteigt heute sicherlich leicht 30% der Basis aktiver Websites im InternetDies macht es zu einem bevorzugten Ziel für Angreifer und / oder Angreifer (Hacker / Cracker) mit guten oder schlechten Absichten. Daher wird eine bekannte und bereits erfolgreich ausgenutzte Sicherheitsanfälligkeit auf einer ähnlichen Site mit WP auf anderen ähnlichen Sites mit WP ausprobiert.

WordPress: 1. Gute Praxis

Wenn Sie also eine oder mehrere Websites mit WP verwalten und / oder verwenden, stellen Sie sicher, dass Sie vorsichtiger, gründlicher und sich ihrer Online-Sicherheit bewusst sind. Beachten Sie, dass die meisten Sicherheitsverletzungen, die auf Websites mit WP analysiert und gemeldet wurden, wenig oder gar nichts mit dem Kern der Anwendung selbst zu tun hatten, sondern viel mit allem, was mit ihrer Implementierung, Konfiguration und allgemeinen Wartung zu tun hat. von Entwicklern oder Administratoren falsch ausgeführt. '

WordPress: 2. Gute Praxis

2.- Kennen Sie Ihre Schwachstellen

WordPress hat ungefähr 4.000 bekannte Sicherheitslücken, die wie folgt verteilt sind: WP Core (37%), Plugins (52%) und Themes (11%)Laut einem aktuellen Bericht von der WPScans-Website, die jetzt aufgerufen wird WPSek (seit 01-05-2019). Untersuchen Sie die Sicherheitslücken Ihrer Website und finden Sie eine Lösung, um diese Probleme zu beheben. Vermeiden Sie es, unsichere Versionen von WP Core oder seiner Plugins und Themes auszuführen.

Konzentrieren Sie sich auf die folgenden Sicherheitsthemen in Ihrem WP oder auf Ihrer Website Die verschiedenen Arten von Angriffe von:

  • Rohe Gewalt: Verstärkung der Sicherheit auf Ihrer Anmeldeseite.
  • Dateieinschluss: Stärkung der Sicherheit Ihrer Konfigurationsdatei wp-config.php.
  • SQL-Injektion: Stärkung der Sicherheit Ihrer mit WP verbundenen MySQL-Datenbank.
  • Cross Site Scripting: Stärkung der Sicherheit gebrauchter WP-Plugins.
  • Malware-Infektion: Stärkung der allgemeinen Sicherheit Ihrer Website, um unbefugten Zugriff, das Einfügen von Malware und die anschließende Erfassung vertraulicher Daten durch diese Schadcodes zu verhindern. Die häufigsten Malware oder Angriffe sind normalerweise vom Typ: Backdoor, Spam-SEO, HackTool, Mailer, Defacement und Phishing. Schützen Sie Ihre Website vor jeder dieser Arten von Malware oder Angriffen.

Denken Sie daran, dass das SEO-Ranking einer Website leiden kann, sobald sie kompromittiert wird. Weil Suchmaschinen dazu neigen, gefährdete Websites schnell zu protokollieren, sodass Browser den Besuchern Warnzeichen signalisieren oder ihre Fähigkeit zur Navigation auf diesen Websites vollständig blockieren.

WordPress: 3. Gute Praxis

3.- Kennen Sie die Infrastruktur Ihres Hosting-Anbieters

Wenn Ihre Website externes Hosting verwendet, dh außerhalb Ihrer Infrastruktur gemietet wird, Sparen Sie nicht an den Kosten, um die Servicequalität Ihres Hosting-Anbieters sicherzustellen. Vor allem, wenn er seine Website im Rahmen des "Shared Hosting" -Programms hostet.

Seit Shared Hosting von schlechter Qualität kann Ihre Website anfälliger machen wenn eine der verschiedenen Websites, die auf demselben Server gespeichert sind, gefährdet ist. Das heißt, wenn eine Website auf einem Server mit "Shared Hosting" gehackt wird, können Angreifer auch auf andere Websites und deren Daten zugreifen.

WordPress: 4. Gute Praxis

4.- Kennen Sie die eWeb technische Spezifikationen von Ihrem Hosting-Anbieter

Bei der Bewertung eines Hosting-Anbieters ist seine Infrastruktur nicht alles. Wichtig sind auch die technischen Webspezifikationen, die von Ihrem Hosting-Anbieter verwendet werden, um eine bessere Sicherheit der gehosteten Websites zu erreichen. Stellen Sie sicher, dass die folgenden empfohlenen Sicherheitsrichtlinien für das Hosting Ihrer Website eingehalten werden:

  • Einfache Installation von SSL-Zertifikaten
  • Aktive Verwaltung von Webserver-Softwareversionen.
  • Firewallschutz
  • Aufzeichnung der Zugriffe auf die Website
  • Routinemäßige Sicherheitsüberprüfungen
  • Erkennung bösartiger Aktivitäten
  • Unterstützt mindestens SFTP (nicht nur FTP), TLS 1.2 und 1.3 sowie PHP 5.6, obwohl ab 7.0 empfohlen wird.

All dies ist mindestens erforderlich, um die Sicherheit Ihrer Website mit oder ohne WP als verwendetem CMS zu erhöhen.

WordPress - Themes und Plugins: Plugins

5.- Achten Sie auf verwendete Themen und Ergänzungen

Die installierten Plugins und Themes sind auf der Sicherheitsstufe von großer Bedeutung. Verwenden Sie nur offizielle WP- oder Community-zertifizierte Themen und Plugins, von bekannten kommerziellen Repositories oder direkt von seriösen Entwicklern. Da viele von ihnen (nicht zertifiziert) schädlichen Code enthalten können.

Es spielt keine Rolle, wie sehr Sie Ihre Website vor WP schützen, wenn Sie die Malware installieren. Machen Sie Ihre Recherchen, bevor Sie Themen und Plugins oder deren Entwickler- oder Promoter-Website herunterladen und installieren, und reservieren Sie bei den kostenlosen oder ermäßigten Themen.

WordPress: 5. Gute Praxis

6.- Versuchen Sie, Ihr CMS regelmäßig zu aktualisieren

Aktualisierungen Ihrer Webplattform sind für Ihre Sicherheit sehr wichtig. Entweder WP Ihr CMS oder nicht, veraltete Versionen Ihres Core, Themes oder Plugins können dazu führen, dass Sie bekannte Schwachstellen auf Ihrer Website haben. Im Fall von WP, das Open Source ist, gibt es im Kern der Anwendung ein Team, das sich speziell diesem Problem widmet.

Jede in WP entdeckte Sicherheitslücke wird sofort behoben und beseitigt um jedes neue Sicherheitsproblem zu lösen, das in WP entdeckt wurde. Wegen dieses Updates WP und alle seine Themen und Plugins für die neueste Version sind ein wesentlicher Bestandteil einer erfolgreichen Sicherheitsstrategie.

WordPress: 6. Gute Praxis

7.- Ich habe ein passendes Passwort gefunden

Die Qualität oder Stärke unserer Passwörter auf Websites ist sehr wichtig. Die Anmeldung bei unseren Websites ist ein bevorzugtes Ziel für die Ausnutzung von Sicherheitslücken, da sie den einfachsten Zugriff auf die Verwaltungsseite Ihrer Website bietet.

Brute-Force-Angriffe sind die häufigste Methode, um Ihr Login auszunutzenErmitteln der Kombinationen aus Benutzername und Passwort, um Zugriff auf die Website zu erhalten. Im speziellen Fall von WP wird die Anzahl der fehlgeschlagenen Anmeldeversuche, die jemand ausführen kann, standardmäßig nicht begrenzt. Am empfehlenswertesten ist daher die Verwendung eines komplexen Kennworts für die Anmeldung Ihres WP-Administrators.

Berücksichtigen Sie bei der Auswahl eines Kennworts diese drei grundlegenden Anforderungen, die auf dem CLU-Format basieren (Komplex, lang, einzigartig):

  • KOMPLEX: Passwörter sollten so zufällig wie möglich sein und sich am wenigsten auf den Webadministrator oder die Website beziehen.
  • LANGE: Passwörter müssen mindestens 12 Zeichen lang sein. Und verstärkt mit Einschränkungen oder Einschränkungen hinsichtlich der Anzahl fehlgeschlagener Verbindungsversuche.
  • NUR: Passwörter nicht wiederverwenden. Jedes Passwort muss zeitlich eindeutig sein. Diese einfache Regel begrenzt die Auswirkungen eines kompromittierten Passworts drastisch.

Empfehlung: Verwenden Sie einen Passwort-Manager wie "LastPass" (online) und "KeePass 2" (offline), um alle Ihre Passwörter in einem verschlüsselten Format zu generieren und zu speichern.

WordPress: 7. Gute Praxis

8.- Halten Sie immer Ihren Katastrophenschutzplan bereit

Wenn Sie WP verwenden, denken Sie daran, dass es kein eingebautes Backup-System hat. Fügen Sie eine als Priorität hinzu, damit Sie immer eine aktuelle Sicherung Ihrer Website haben. Backups sind wichtig und eine allgemeine Sicherheitsstrategie, die implementiert werden muss.

Vergiss nicht, dass du nicht nur solltest Sichern Sie Ihre verwendeten Websites und Datenbankenaber alles Einstellungen des gesamten Servers durch automatisierte Aufgaben mit Skript- oder geklonten Bildsystemen, um die erforderlichen Wiederherstellungen und Neuinstallationen in kürzester Zeit zu ermöglichen.

WordPress: 8. Gute Praxis

9.- Erhöhen Sie Ihre Sicherheit mit 2FA

Stärken Sie Ihr WP-Administrator-Login oder Ihre Website mithilfe des 2FA-Mechanismus (Two-Factor Authentication)Dies ist eine der besten Möglichkeiten, um Ihre Website heute zu sichern. Die Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz für Ihre Website-Anmeldung, da für die Verwendung Ihres Kennworts ein zusätzlicher zeitkritischer Code von einem anderen Gerät wie Ihrem Smartphone erforderlich ist, um sich erfolgreich anzumelden. .

Im Fall von WP Das bietet diese Funktionalität standardmäßig nicht Betten Sie dasselbe mit einem Plugin einwie iThemes Security, um das gleiche hinzuzufügen.

WordPress: 9. Gute Praxis

10.- Verwenden Sie das erforderliche Sicherheitszubehör

Die meisten CMS wie WP verwenden Plugins, um das Sicherheitspotenzial ihrer selbst zu erhöhen. Im speziellen Fall von WP wird die Verwendung des Sicherheits-Plugins iThemes Security empfohlen. um Ihrer Website noch mehr Schutz zu verleihen. Dieses Plugin blockiert WP, behebt bekannte Lücken, stoppt automatisierte Angriffe und stärkt die Benutzeranmeldeinformationen.

Es hat eine kostenlose Version (iThemes Security) und eine kostenpflichtige Version (iThemes Security Pro) Dies bietet offensichtlich mehr Sicherheitsfunktionen wie 2FA, geplante Malware-Scans und Benutzerregistrierung.

Fazit

Unabhängig davon, ob es sich um WP oder ein anderes CMS handelt, können Sie die meisten Sicherheitsprobleme auf Websites vermeiden, indem Sie einfach diese besten oder bewährten Sicherheitspraktiken befolgen. Ihre Website verdient und muss über die erforderlichen Sicherheitsmaßnahmen verfügen, um ihre Unverletzlichkeit in diesen Zeiten zu gewährleisten oder zu minimieren, die von der Aktivität von Hackern und Crackern betroffen sind.

Schließlich und als Ergänzung, Wir empfehlen Ihnen, diesen anderen Artikel in unserem Blog zu lesen zu dem Thema zur Stärkung der Sicherheit Ihrer Website, genannt: Linux-Berechtigungen für Systemadministratoren und Entwickler.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.