Eine der frustrierendsten und stressigsten Situationen, in die Sie als WordPress-Site-Besitzer jemals geraten könnten, ist das Herausfinden, dass Ihre Site gehackt wurde. In einer Minute brummt Ihre Website und bringt Traffic und hoffentlich Einnahmen. Und dann, das nächste, was Sie wissen, entdecken Sie, dass etwas mit Ihrer WordPress-Site sehr falsch ist.
Leider muss die Realität, dass Ihre WordPress-Site gehackt werden könnte, so effizient und effektiv wie möglich behandelt werden, um sicherzustellen, dass dies niemals geschieht. Denn wenn Sie mit einer gehackten Website konfrontiert sind, werden Sie sich wahrscheinlich fragen, warum insbesondere Ihre Website das Ziel eines böswilligen Angriffs war und wie Sie sie so schnell wie möglich zurückbekommen können.
WordPress-Hacks gibt es in vielen Formen, Formen und Größen. Dies bedeutet, dass es als WordPress-Site-Besitzer wichtig ist, alle häufigen Gründe zu kennen, warum WordPress-Sites erfolgreich gehackt werden können. In diesem Handbuch besprechen wir die häufigsten Gründe, warum WordPress-Websites gehackt werden, sowie einfache Schritte, die Sie ergreifen können, um Ihre Website zu sichern.
Ertappen Sie sich dabei, wie Sie fragen: "Ist meine WordPress-Site gehackt?" bedeutet, dass Sie einige schnelle Antworten wünschen. In diesem Beitrag behandeln wir sieben Anzeichen einer Infektion und was zu tun ist, wenn Sie feststellen, dass Sie gehackt wurden.
Je schneller Sie die Anzeichen eines Website-Verstoßes bemerken, desto schneller können Sie Ihre Website bereinigen. Je schneller Sie Ihre Website reinigen können, desto weniger Schaden kann der Hack Ihrer Website zufügen. Hinweis: Zwei Dinge, die wir in diesem Beitrag ziemlich oft erwähnen, sind die Bedeutung einer soliden WordPress-Backup- und WordPress-Sicherheitslösung. Wir empfehlen dringend, eine WordPress-Sicherheits-Plugin und WordPress-Backup-Plugin Sobald als möglich.
7 Anzeichen dafür, dass Ihre WordPress-Site gehackt wurde
Nicht alle Hacks haben das gleiche Ziel, daher hängen die Anzeichen einer Website-Kompromittierung vom Motiv des Angreifers ab. Hier sind 7 verschiedene Symptome, auf die Sie achten müssen, wenn Sie den Zustand Ihrer Website überwachen.
1. Ihre Homepage ist anders
Änderungen an Ihrer Homepage scheinen ein offensichtliches Zeichen zu sein. Aber wie oft führen Sie tatsächlich eine gründliche Überprüfung Ihrer Homepage durch? Ich weiß, dass ich normalerweise direkt zu meiner Anmelde-URL gehe und nicht zu meiner Home-URL. Von dort aus melde ich mich an, aktualisiere meine Website oder bearbeite einen Beitrag. Nachdem ich beendet habe, wozu ich gekommen bin, gehe ich oft, ohne auf die Homepage meiner Website zu schauen.
Das Hauptziel einiger Hacks ist es, eine Website zu trollen oder Bekanntheit zu erlangen. Also ändern sie Ihre Homepage nur zu etwas, das sie lustig finden oder um eine gehackt von Visitenkarte.
Wenn Sie eine Änderung an Ihrer Homepage bemerken, können Sie Ihre Website schnell und einfach wiederherstellen, indem Sie eine Sicherungsdatei verwenden, die mit einem vertrauenswürdigen WordPress-Backup-Plugin wie BackupBuddy.
2. Die Leistung Ihrer Website ist gesunken
Ihre Website kann sich träge anfühlen, wenn sie eine Infektion hat. Sie können Verlangsamungen auf Ihrer Website erleben, wenn Sie Erfahrung machen Brute-Force-Angriffe oder wenn ein schädliches Skript vorhanden ist, das Ihre Serverressourcen für Kryptowährungs-Mining. In ähnlicher Weise ist ein DDoS (oder Denial-of-Service-Angriff) tritt auf, wenn ein Netzwerk von IPs gleichzeitig Anfragen an Ihre Website sendet, um sie zum Absturz zu bringen.
Wenn Ihre Website langsam ausgeführt wird, überprüfen Sie die Serverzugriffsprotokolle auf eine unerwartete Anzahl von Anforderungen. Sie können auch eine Web Application Firewall wie die von Sucuri um Ihre Website vor einem DDoS-Angriff zu schützen.
Beachten Sie jedoch, dass ein Leistungsabfall nicht unbedingt bedeutet, dass jemand Ihre Website gehackt hat. Möglicherweise benötigen Sie nur einige Tipps zu So beschleunigen Sie eine WordPress-Site. Das iThemes Security Plugin WordPress Malware-Scan -Funktion hilft, verdächtige Skripte zu identifizieren.
3. Ihre Website enthält bösartige oder Spam-Popup-Anzeigen
Es besteht eine gute Chance, dass ein Hacker Ihre Website kompromittiert hat, wenn Ihre Besucher Popups sehen, die sie auf eine bösartige Website umleiten. Das Ziel dieser Art von Angriff besteht darin, den Datenverkehr von Ihrer Website auf die Website des Angreifers zu lenken, damit er Benutzer mit Spam oder Klicken Sie auf Betrug für Pay-per-Click-Werbung.
Das Frustrierendste an dieser Art von Hack ist, dass Sie die Popups möglicherweise nicht sehen können. Ein Popup-Hack kann so gestaltet werden, dass er für angemeldete Benutzer nicht angezeigt wird, was die Wahrscheinlichkeit verringert, dass Websitebesitzer sie sehen. Selbst wenn sich der Websitebesitzer abmeldet, werden die Popups nie angezeigt.
Ihre Sicht auf die Popups kann auch eingeschränkt sein, wenn Sie eine Werbeblocker-Erweiterung in Ihrem Browser verwenden. Für ExaMple, ein Kunde, meldete einen Popup-Hack und teilte Screenshots und ein Video der Popups. Nachdem ich Stunden damit verbracht hatte, ihre Website durchzugehen, war ich nicht in der Lage, irgendetwas neu zu erstellen, was sie berichteten. Ich war überzeugt, dass ihr PC gehackt worden war und nicht die Website. Schließlich dämmerte es mir, warum ich die Popups nicht sehen konnte. Ich hatte eine Werbeblocker-Erweiterung in meinem Browser installiert. Sobald ich die Werbeblocker-Erweiterung deaktiviert hatte, konnte ich überall Popups sehen. Ich teile diese peinliche Geschichte, um Sie hoffentlich davor zu bewahren, in den gleichen Fehler zu geraten.
Ein WordPress-Sicherheits-Plugin wie das iThemes Security Plugin ermöglicht es Ihnen, die Sicherheitsprotokolle Ihrer Website für Dateiänderungen, Anmeldungen und Änderungen von Benutzern im Auge zu behalten.
4. Sie bemerken einen Rückgang des Website-Traffics
Wenn Sie sich in Ihr Google Analytics-Konto einloggen und einen starken Rückgang des Website-Traffics feststellen, könnte Ihre WordPress-Site gehackt werden. Ein Rückgang des Website-Traffics verdient eine Untersuchung. Es könnte ein bösartiges Skript auf Ihrer Website geben, das Besucher von Ihrer Website wegleitet, oder Google könnte bereits Ihre Website als bösartige Website auf die schwarze Liste setzen.
Das erste, wonach Sie suchen möchten, ist der ausgehende Traffic Ihrer Website. Bis Tracking Ihrer Website mit Google Analytics, müssen Sie Ihre Website so konfigurieren, dass der Traffic, der Ihre Website verlässt, nachverfolgt wird. Der einfachste Weg, den ausgehenden Datenverkehr auf Ihrer WordPress-Site zu überwachen, ist die Verwendung eines WordPress Google Analytics-Plugin. Ein gutes Google Analytics-Plugin ermöglicht es Ihnen, bestimmte Aktivitäten mit einem Klick auf eine Schaltfläche zu verfolgen. Wenn Sie feststellen, dass Ihre Website bereits von Google auf die schwarze Liste gesetzt wurde, führen Sie die folgenden Schritte aus, um So entfernen Sie die Google-Blacklist-Warnung.
5. Unerwartete Dateiänderungen
Wenn Dateien auf Ihrer Website geändert, hinzugefügt oder entfernt wurden, kann dies ein Zeichen dafür sein, dass Ihre Website kompromittiert wurde. Aus diesem Grund ist es wichtig, über ein Benachrichtigungssystem zu verfügen, das Sie über Änderungen der Website-Datei informiert. Sie können unerwartete Änderungen untersuchen, indem Sie die geänderte Datei mit einer Version in einer aktuellen Sicherung vergleichen. Die iThemes Security Pro-Funktion zum Scannen von Dateiänderungen benachrichtigt Sie über alle Änderungen, die an Ihrer Website vorgenommen wurden.
Die Verwendung eines WordPress-Sicherheits-Plugins wie iThemes Security kann Ihnen helfen, Dateiänderungen zu verfolgen. Aufgrund der Anzahl der Benachrichtigungen, die diese Einstellung generieren kann, können Sie Dateien und Verzeichnisse in den Einstellungen für die Dateiänderungserkennung ausschließen. Es ist in Ordnung, Verzeichnisse auszuschließen, von denen Sie wissen, dass sie regelmäßig aktualisiert werden. Sicherungs- und Cache-Dateien sind ein perfektes Beispiel dafür, und wenn Sie sie ausschließen, wird die Anzahl der Benachrichtigungen, die Sie erhalten, reduziert.
6. Unerwartete neue Benutzer
Wenn Ihre Website unerwartete Registrierungen neuer Admin-Benutzer enthält, ist dies ein weiteres Zeichen dafür, dass Ihre WordPress-Site gehackt wurde. Durch einen Exploit eines kompromittierten Benutzers kann ein Angreifer einen neuen Admin-Benutzer erstellen. Mit seinen neuen Administratorrechten ist der Hacker bereit, Ihrer Website großen Schaden zuzufügen.
Im November 2018 hatten wir mehrere Berichte über neue Admin-Benutzer, die auf Kundenwebsites erstellt wurden. Hacker nutzten eine Schwachstelle im WP GDPR Compliance-Plugin (Schwachstelle in Version 1.4.3 gepatcht), um neue Admin-Benutzer auf WordPress-Sites zu erstellen, auf denen das Plugin ausgeführt wird. Der Plugin-Exploit ermöglichte es nicht autorisierten Benutzern, die Benutzerregistrierung zu ändern, um die Standardrolle für neue Benutzer von einem Abonnenten zu einem Administrator zu ändern. Leider war dies nicht die einzige Schwachstelle und Sie können nicht einfach die neuen Benutzer entfernen, die der Angreifer erstellt hat, und das Plugin patchen.
Wenn Sie WP GDPR Compliance und WooCommerce installiert hatten, wurde Ihrer Website möglicherweise bösartiger Code injiziert. Die Angreifer konnten das Hintergrundinstallationsprogramm des WooCommerce-Plugins verwenden, um ein Backdoor-Installationsprogramm in die Datenbank einzufügen. Wenn auf Ihrer Website eine Hintertür installiert ist, sollten Sie sich an einen Hack-Reparaturspezialisten wenden. Eine andere Möglichkeit besteht darin, eine Sicherungsdatei zu verwenden, um vor dem Verstoß mit einer vorherigen Sicherung auf eine Kopie Ihrer Website zurückzusetzen.
7. Admin-Benutzer entfernt
Wenn Sie sich auch nach einem Zurücksetzen des Passworts nicht bei Ihrer WordPress-Site anmelden können, kann dies ein ernstes Anzeichen einer Infektion sein.
Wenn die Gentoo Github Repo wurde gehackt Das erste, was der Angreifer tat, war, alle Admin-Benutzer zu löschen. Wie ist dieser Hacker überhaupt in sein Github-Konto gekommen? Das Passwort eines Gentoo Admin-Benutzers wurde auf einer anderen Website entdeckt. Ich vermute, dass der Benutzername und das Passwort entweder durch Scraping oder einen Datenbank-Dump entdeckt wurden. Obwohl das Passwort des Administrators für sein Gentoo Github-Konto anders war als eines, das für das kompromittierte Konto verwendet wurde, war es sehr ähnlich. Das wäre so, als würde ich iAmAwesome2017 als Passwort für eine Unterkunft verwendenunt und iAmAwesome2019 auf einer anderen Website. So konnten die Hacker mit ein wenig Aufwand das Passwort herausfinden. Wie wir sehen können, sollten Sie für jedes Konto ein eindeutiges Passwort verwenden. Eine einfache Variation Ihrer Passwörter reicht nicht aus. Benutzend LastPasskönnen Sie starke, eindeutige Passwörter für jede Website generieren und sicher speichern.
Sie können auch die Schaltfläche Vertrauenswürdige Geräte -Funktion in iThemes Security Pro, um die Administratorfunktionen für Anmeldungen von nicht vertrauenswürdigen Geräten einzuschränken. Wenn sich ein Angreifer erfolgreich bei Ihrer Website als vorhandener Administratorbenutzer anmeldet – entweder durch einen Brute-Force-Angriff oder wenn die Anmeldeinformationen des Benutzers Teil eines Datenbank-Dumps waren – verfügt er nicht über vollständige Administratorfunktionen.
Selbst wenn das Passwort kompromittiert wurde, hätte dieser Verstoß verhindert werden können, wenn der Administrator die Zwei-Faktor-Authentifizierung verwendet hätte. Die Zwei-Faktor-Authentifizierung erfordert einen zusätzlichen Code zusammen mit Ihrem Benutzernamen und Ihren Kennwortanmeldeinformationen, um sich anzumelden. Mit iThemes Security Pro können Sie WordPress Zwei-Faktor Verwenden Sie eine mobile App oder E-Mail, um Ihren zusätzlichen Zugangscode zu erhalten.
Warum zielen Hacker auf WordPress-Sites ab?
Zunächst ist es wichtig zu verstehen, dass Hacker nicht nur nach Websites suchen, die auf dem WordPress-CMS (Content-Management-System) Plattform. In der Tat ist es sicher zu sagen, dass jede Website im Internet, ob mit WordPress erstellt oder nicht, ihre eigenen Schwachstellen hat und offen für das Potenzial für Hacking und andere böswillige Angriffe ist.
WordPress-Websites sind jedoch aus einem einfachen Grund das häufigste Hacking-Ziel: WordPress ist mit Abstand das am häufigsten verwendete Website-Building-Tool der Welt. Tatsächlich betreibt WordPress derzeit 40% aller bekannten Websites.Dies bedeutet, dass es Hunderte von Millionen von WordPress-basierten Websites gibt, die derzeit das Internet überschwemmen. Die immense Popularität der WordPress-Plattform gibt Hackern mit bösen Absichten eine einfache Möglichkeit, Websites zu finden, denen es an geeigneten Sicherheitsprotokollen mangelt, und sie dann zu ihrem eigenen Vorteil auszunutzen.
Hacker neigen dazu, verschiedene Motive zu haben, wenn sie sich entscheiden, sich in Websites zu hacken. Einige Hacker lernen gerade "den Handel" und zielen auf Websites ab, die am wenigsten sicher und anfällig sind. Andere Hacker nähern sich ihren Bemühungen mit höchst böswilliger Absicht, z. B. der Verbreitung von WordPress-Malware auf Ihrer Website oder der Verwendung Ihrer Website, um andere ahnungslose Websites anzugreifen.
Wieder andere Hacker nutzen ihre Bemühungen, unerwünschte Informationen im Internet zu spammen. Die meisten von uns haben diese Art von Spam-Nachrichten in Blog-Kommentarbereichen oder in unseren E-Mail-Postfächern gesehen, nachdem ein erfolgreicher Hack die Benutzer-E-Mail-Liste einer Website ausgenutzt hat.
Indem sie in der Lage sind, sensible und private Informationen zu erhalten, können Hacker sie dann für ein Einkommen verkaufen oder sogar das Datenlösegeld halten, was im Wesentlichen dazu führt, dass die Menschen dafür bezahlen, dass ihre Informationen wieder in sichere Hände gelangen.
Also, was ist die Hauptmotivation von Hackern? An Cashflow schaffen für sich selbst. Das Internet ist ein lukrativer Ort, der allen Lebensbereichen die Möglichkeit bietet, einen existenzsichernden Lohn zu erwirtschaften. Das bedeutet jedoch nicht, dass jeder dies auf legale, moralistische Weise angeht. Eine Vielzahl von Hackern macht selbst mit der kleinsten Website hohe Gewinne.
Geld ist die ganze Motivation, die sie brauchen, aber einige genießen das Gefühl der Macht, das sie bekommen, wenn sie erfolgreich eine Website durchbrechen, aber die überwiegende Mehrheit ist nur wegen des Geldes im Geschäft.
Was ist eine WordPress-Schwachstelle?
Eine WordPress-Schwachstelle ist eine Schwachstelle oder ein Fehler in einem Theme, Plugin oder WordPress-Kern, der von einem Hacker ausgenutzt werden kann. Mit anderen Worten, WordPress-Schwachstellen schaffen einen Einstiegspunkt, den ein Hacker verwenden kann, um bösartige Aktivitäten durchzuführen.Denken Sie daran, dass Website-Hacking fast vollständig automatisiert ist. Aus diesem Grund können Hacker in kürzester Zeit in eine große Anzahl von Websites eindringen. Hacker verwenden spezielle Tools, die das Internet scannen und nach bekannten Schwachstellen suchen.
Hacker mögen einfache Ziele, und eine Website zu haben, auf der Software mit bekannten Schwachstellen ausgeführt wird, ist wie einem Hacker die Schritt-für-Schritt-Anweisungen zu geben, um in Ihre WordPress-Website, Ihren Server, Ihren Computer oder ein anderes mit dem Internet verbundenes Gerät einzudringen.
Unsere wöchentliche WordPress-Schwachstellenbericht deckt alle öffentlich bekannt gegebenen WordPress-Kern, WordPress-Pluginund WordPress-Theme Schwachstellen. In diesen Berichten teilen wir den Namen des anfälligen Plugins oder Themes, die betroffenen Versionen und den Schwachstellentyp.
Gängige Methoden, um sich in WordPress-Websites zu hacken
Hacker nutzen verwundbare Einstiegspunkte, um Zugang zu Websites zu erhalten. Zu diesen Einstiegspunkten gehören schwache Hosting-Server, Backdoors und sogar die WordPress-Anmeldeseite über Brute-Force-Angriffe.
- Hintertüren – Hacker können auch eine Website Hintertür Eintrag zu Ihrer WordPress-Site. Dies bedeutet, dass sie einen Einstiegspunkt erstellen, ohne die Standard-WordPress-Anmeldeseite durchlaufen zu müssen. Es gibt verschiedene Möglichkeiten, einen Backdoor-Eintrag zu erstellen, um unbefugten Zugriff auf eine WordPress-Site zu erhalten.
- Brute-Force-Angriffe – Diese Form des Angriffs nutzt die einfachste Methode aus, um Zugang zu einer Website zu erhalten: indem sie versucht, Benutzernamen und Passwörter immer wieder zu erraten, bis sie erfolgreich sind. WordPress-Sites sind besonders anfällig für Brute-Force-Angriffe Standardmäßig weil das System unbegrenzte Anmeldeversuche zulässt.
- Websiteübergreifende Skripterstellung – Websiteübergreifende Skripterstellung (XSS) ist eine Art Malware-Angriff, der ausgeführt wird, indem Cross-Site-Schwachstellen auf jeder WordPress-Site ausgenutzt werden. In der Tat ist es der häufigste Weg für WordPress-Sites, gehackt zu werden, weil es so viele WordPress-Plugins gibt, die XSS-Schwachstellen haben.
- Remotecodeausführung – Zum Begriff Remotecodeausführung (RCE) bezieht sich auf mehrere verschiedene Hacking-Techniken und Cyberangriffe, aber sie alle haben eine wichtige Gemeinsamkeit. RCE, manchmal auch als Code-Injection bezeichnet, ist eine immer häufigere Methode für Hacker, Websites aller Art zu kompromittieren, einschließlich Websites, auf denen WordPress als Content-Management-System ausgeführt wird.
- SQL-Injektionen – Eine SQL-Injection (SQLi) ist ein Angriff, der es einem Hacker ermöglicht, eine anfällige SQL-Abfrage zu nutzen, um seine eigene Abfrage auszuführen. SQL-Injektionen treten auf, wenn ein Angreifer in der Lage ist, sein eigenes SQL auf einem Server auszuführen.
Warum werden WordPress-Sites gehackt?
Es gibt mehrere häufige Gründe dafür, warum WordPress-Websites gehackt werden. Lassen Sie uns jeden von ihnen umpacken.
Hosting von schlechter Qualität
Nicht alle Webhosts sind gleich und die Wahl eines einzigen Hosts nur nach dem Preis kann Sie auf lange Sicht mit Sicherheitsproblemen viel mehr kosten. Die meisten Shared-Hosting-Umgebungen sind sicher, aber einige trennen Benutzerkonten nicht richtig.
Ihr Host sollte wachsam sein, wenn es darum geht, die neuesten Sicherheitspatches anzuwenden und andere wichtige Best Practices für die Hosting-Sicherheit im Zusammenhang mit der Server- und Dateisicherheit zu befolgen.Wie bei jeder anderen Website der Welt werden Websites, die auf der WordPress-Plattform ausgeführt werden, alle auf Webservern gehostet. Es gibt einige Hosting-Unternehmen, auf die Sie stoßen können, die ihre Plattform nicht richtig oder vollständig vor böswilligen Angriffen schützen.
Wenn Ihre Website bei einem unsicheren Hosting-Unternehmen gehostet wird, ist Ihre Website nicht nur offen für das Potenzial von Hacks, sondern auch jede andere Website, die auf ihren Servern gehostet wird.
Die Auswahl eines hochwertigen WordPress-Hosting-Anbieters hilft sicherzustellen, dass Ihre Website sicher und nicht offen für Hacking-Versuche ist, die außerhalb Ihrer Kontrolle liegen. Tatsächlich kann ein Server, der ordnungsgemäß gesichert wurde, viele der häufigsten WordPress-Hacking-Versuche blockieren, bevor sie für Sie sichtbar werden.
Um so viel Schutz vor Hacks zu erhalten, wie Sie von Ihrem Hosting-Provider erhalten können, sollten Sie einen Anbieter verwenden, der einen zuverlässigen Managed WordPress-Hosting-Plan anbietet.
Wählen Sie einen seriösen Host für Ihre Website mit einer soliden Sicherheitsbilanz. WordPress-Hosting zu finden, dem Sie vertrauen können, ist die erste der WordPress-Sicherheitslücken, die Sie versuchen sollten, zu mildern.
Schwache Passwörter
Schwache Passwörter sind der wahr gewordene Traum eines Hackers. Aus diesem Grund sind sichere Passwörter einer der wichtigsten Schlüssel, um Ihre WordPress-Site frei von Hacking-Erfolgen zu halten.
Es ist von entscheidender Bedeutung, dass Sie für jedes der folgenden Konten sehr eindeutige und sichere Kennwörter verwenden. Jeder von ihnen könnte es einem Hacker mit schlechten Absichten ermöglichen, Zugang zu Ihrer Website zu erhalten und Ihrem Ruf und Ihrer Marke Schaden zuzufügen:
- Alle WordPress-Administratorkonten
- Ihr Website-Hosting-Control-Panel- oder cPanel-Konto
- Alle FTP-Konten
- Das WordPress-Datenbank die verwendet wird, um Ihre Website zu betreiben
- Alle E-Mail-Konten, die für Ihr Hosting-Konto verwendet werden, oder WordPress-Administrator
Jedes einzelne dieser Schlüsselkonten ist passwortgeschützt und muss ein eindeutiges und unzerbrechliches Passwort haben.
Wenn Sie schwache Passwörter verwenden, die leicht erraten werden können, ist es für böswillige Hacker ganz einfach,Unsere Passwörter sind weit offen mit sehr einfachen Hacking-Tools, die fast jedem mit einer Internetverbindung zur Verfügung stehen.
Dieses Hauptproblem kann leicht vermieden werden, indem einfach starke Kennwörter verwendet werden, die für jeden dieser Kontoanmeldungen völlig eindeutig sind.
Wenn Sie noch keinen haben, sollten Sie einen zuverlässigen Passwort-Manager installieren, mit dem Sie alle Ihre Passwörter auf dem neuesten Stand halten können, ohne sie alle in einem Notizbuch aufschreiben zu müssen. Natürlich, wenn Sie Schwierigkeiten haben, starke und einzigartige Passwörter zu finden, können Sie auch einen eingebauten starken Passwortgenerator verwenden oder den Begriff "unzerbrechlicher Passwortgenerator" googeln, um verschiedene kostenlose Online-Tools zu finden, die Ihnen helfen können.
Denken Sie daran, dass Ihre WordPress-Anmeldung ist die am häufigsten angegriffene WordPress-Sicherheitslücke, da sie den einfachsten Zugriff auf die Admin-Seite Ihrer Website bietet. Brute-Force-Angriffe sind die gebräuchlichste Methode, um Ihr WordPress-Login auszunutzen.
Ein Brute-Force-Angriff ist ein Versuch, Benutzernamen- und Passwortkombinationen richtig zu erraten, um Zugriff auf das Backend Ihrer WordPress-Site zu erhalten. Brute-Force-Angriffe können effektiv sein, da WordPress die Anzahl der Anmeldeversuche, die jemand unternehmen kann, nicht begrenzt.
Sie können die Sicherheit Ihres WordPress-Logins erhöhen, indem Sie ein WordPress-Sicherheits-Plugin wie iThemes Security Pro verwenden, um die Anzahl der Anmeldeversuche zu begrenzen. Das Einschränken von Anmeldeversuchen ist nur der erste Schritt in WordPress Brute-Force-Schutz.
Achten Sie auf Ihre WordPress-Passwort-Sicherheit ist auch wichtig für die Sicherung Ihres WordPress-Logins, und dies ist Warum Sie einen Passwort-Manager verwenden sollten um zufällige starke Passwörter zu generieren und sicher zu speichern. Wenn Sie jeden WordPress-Benutzer auf Ihrer Website zwingen, ein starkes Passwort zu verwenden, wird die Wirksamkeit eines Brute-Force-Angriffs erheblich verringert.
WordPress Core, Themes & Plugins werden nicht aktualisiert
Wenn auf Ihrer WordPress-Website veraltete Versionen von Plugins, Themes oder WordPress ausgeführt werden, laufen Sie Gefahr, bekannte Exploits auf Ihrer Website zu haben. Der schnellste Weg zu einer gehackten WordPress-Site führt über veraltete Plugins, Themes oder Kerne. WordPress-Updates sind nicht nur für neue Funktionen oder Fehlerbehebungen; Sie können auch Sicherheitspatches für bekannte Exploits enthalten. Obwohl dies die am einfachsten zu verhindernde WordPress-Sicherheitslücke ist, verwenden die meisten erfolgreichen Hacks Exploits, die in veralteter Software zu finden sind.
Es gibt eine seltsame Angst in der Welt der WordPress-Entwicklung unter vielen Website-Besitzern. Aus irgendeinem Grund haben viele WordPress-Benutzer Angst, ihre Websites auf die aktuellste Version von WordPress zu aktualisieren. Die Befürchtung, so scheint es, ist, dass sie beim Ausführen eines Updates für den WordPress-Kern Gefahr laufen, ihre Websites zu zerstören und ihre gesamte Arbeit zu verlieren. Führen Sie vor dem Aktualisieren ein Backup durch, falls ein Problem vorliegt, aber denken Sie daran, dass der schnellste Weg zum Hacken von WordPress über veraltete Plugins, Themes oder WordPress-Kerne führt.
Die Realität ist, dass jede neue WordPress-Version darauf ausgelegt ist, Fehler zu beheben und Sie weiter vor Schwachstellen und dem Potenzial für Hacks zu schützen. In der Tat, wenn Sie Ihre WordPress-Software nicht vollständig auf dem neuesten Stand gehalten haben, hinterlassen Sie Ihre Website tatsächlich viel anfälliger für Probleme, als wenn Sie die Updates vermeiden.
Wenn Sie befürchten, dass das Ausführen eines Updates Ihrer Website Schaden zufügt oder sie vollständig beschädigt, ist es wichtig, eine WordPress-Backup-Plugin die Ihre Website sofort wiederherstellen kann, wenn die schlimmstmögliche Situation eintritt.
BackupBuddy ist eine der besten und einfachsten Lösungen, um Ihre WordPress-Site jederzeit vollständig gesichert zu halten. Wenn etwas schief geht oder Ihre Website aus irgendeinem Grund kaputt geht, können Sie die vorherige Version schnell wiederherstellen und von vorne beginnen.
Sie können Updates auf Ihrer Website mit dem iThemes Security Pro automatisieren WordPress-Versionsverwaltung Merkmal. Die Automatisierung Ihrer Updates stellt sicher, dass Sie die kritischen Sicherheitspatches erhalten, die Ihre Website vor WordPress-Sicherheitslücken schützen, und als Bonus reduziert sich die Zeit, die Sie mit der Wartung Ihrer WordPress-Site verbringen.
In ähnlicher Weise, wie wir gerade besprochen haben, um Ihre WordPress-Kernsoftware ständig auf die aktuelle Version zu aktualisieren, gilt dies auch für die Themen und Plugins, die Sie auf Ihrer Website ausführen.
In der Tat ist es genauso wichtig, Themen und Plugins vollständig auf dem neuesten Stand zu halten wie die Aktualisierung von WordPress. Wenn Sie ein Theme oder Plugin verwenden, das von aktuellen WordPress-Sicherheitsfixes veraltet ist, ist Ihre gesamte Website anfälliger für böswillige Hacking-Versuche.
Sicherheitslücken und -mängel werden entdeckttäglich in Themes und Plugins eingeführt. In der Regel veröffentlichen die Autoren der von Ihnen verwendeten Themes und Plugins diese Fixes schnell und stellen sie Ihnen zur Verfügung. Wenn Sie sich jedoch dafür entscheiden, die Software nicht zu aktualisieren, wenn Sie benachrichtigt werden, dass eine Änderung verfügbar gemacht wurde, können die Entwickler nicht viel für Sie tun.
Es ist wichtig, alle Ihre WordPress-Plugins und -Themes jederzeit auf dem neuesten Stand zu halten. Und wenn Sie befürchten, dass ein Update einen internen Konflikt verursachen und Ihre Website beschädigen könnte, hat BackupBuddy Sie vollständig abgedeckt.
Keine Zwei-Faktor-Authentifizierung verwenden
Zusätzlich zur Verwendung sicherer Kennwörter können Sie WordPress Zwei-Faktor-Authentifizierung ist eine der besten Methoden, um die Anmeldungen Ihrer Website zu sichern. Die Zwei-Faktor-Authentifizierung erfordert, dass Benutzer zusätzlich zu ihrem Benutzernamen und Passwort ein Authentifizierungstoken verwenden, um sich bei WordPress anzumelden.
Selbst wenn ein korrekter Benutzername und ein korrektes Kennwort direkt aus der E-Mail eines Benutzers gephisht werden, kann der böswillige Anmeldeversuch dennoch verhindert werden, wenn der Benutzer die mobile Anwendung verwendet, um sein Authentifizierungstoken zu erhalten. Die Zwei-Faktor-Authentifizierung fügt Ihrer WordPress-Site eine unglaublich starke Sicherheitsebene hinzu und kann problemlos mit einem Plugin wie iThemes Security hinzugefügt werden.
Tatsächlich bestätigen jüngste Untersuchungen von Google, dass die Verwendung der Zwei-Faktor-Authentifizierung 100% der automatisierten Bot-Angriffe stoppen kann. Ich mag diese Quoten. iThemes Security Pro macht es einfach, WordPress-Websites eine Zwei-Faktor-Authentifizierung hinzuzufügen.
Installieren von Software aus nicht vertrauenswürdigen Quellen
Eine schnelle Google-Suche wird Dutzende von Websites im Internet aufdecken, die versuchen, Premium- oder kostenpflichtige WordPress-Themes und -Plugins völlig kostenlos zu verteilen. Natürlich ist es leicht, versucht zu sein, diese kostenlosen "nullierten" Themen und Plugins auf Ihrer Website herunterzuladen und zu installieren, um etwas Geld zu sparen.
Aber Herunterladen nulled WordPress Plugins und Themes aus diesen höchst unzuverlässigen Quellen ist extrem gefährlich für die Gesundheit Ihrer Website. Sie gefährden wahrscheinlich nicht nur die Sicherheit Ihrer Website, sondern können auch leicht von Hackern verwendet werden, um hochsensible Informationen zu stehlen.
Denken Sie daran, nur Themen und Plugins aus den zuverlässigsten Quellen herunterzuladen, z. B. direkt von den Entwicklern, die sie erstellt haben, oder aus dem offiziellen WordPress-Repository.
Wenn Sie sich die Kosten für ein Premium-Produkt nicht leisten können oder einfach keines kaufen möchten, gibt es Tausende von kostenlosen und zuverlässigen Themen und Plugins, aus denen Sie wählen können. Während die kostenlosen Versionen möglicherweise nicht so viel Punch wie die kostenpflichtigen Versionen haben, können sie Ihnen dennoch dabei helfen, das zu erreichen, was Sie tun möchten, und Ihre Website vor Angriffen zu schützen.
Möglicherweise können Sie sogar Rabattcodes für einige beliebte (und sichere) kostenpflichtige Themen und Plugins finden, wenn Sie sich ein wenig Zeit nehmen, um nachzusehen.
Installieren Sie nur WordPress-Plugins und -Themes aus vertrauenswürdigen Quellen. Sie sollten nur Software installieren, die Sie von WordPress.org, bekannten kommerziellen Repositories oder direkt von seriösen Entwicklern erhalten. Sie sollten eine "nullierte" Version kommerzieller Plugins vermeiden, da sie bösartigen Code enthalten können. Es spielt keine Rolle, wie Sie Ihre WordPress-Site sperren, wenn Sie derjenige sind, der Malware installiert.
Wenn das WordPress-Plugin oder -Theme nicht auf der Website des Entwicklers verteilt wird, sollten Sie Ihre Sorgfaltspflicht erfüllen, bevor Sie das Plugin herunterladen. Wenden Sie sich an die Entwickler, um zu sehen, ob sie in irgendeiner Weise mit der Website verbunden sind, die ihr Produkt zu einem kostenlosen oder ermäßigten Preis anbietet.
Vermeiden Sie außerdem die Verwendung von aufgegebenen WordPress-Plugins. Wenn ein auf Ihrer WordPress-Site installiertes Plugin seit sechs Monaten oder länger kein Update erhalten hat, sollten Sie sicherstellen, dass es nicht aufgegeben wurde. Ein Plugin, das keine aktuellen Updates hat, bedeutet nicht unbedingt, dass es aufgegeben wurde, es könnte nur bedeuten, dass es vollständig ist und nur Updates erhält, um die Kompatibilität mit den neuesten Versionen von WordPress und PHP sicherzustellen.
Ausführen einer Nicht-SSL-Website
Wenn jemand Ihre WordPress-Site besucht, beginnt eine Kommunikationslinie zwischen seinem Gerät und Ihrem Server. Die Kommunikation ist keine direkte Leitung, und die Informationen, die zwischen dem Besucher und Ihrem Server ausgetauscht werden, machen mehrere Stopps, bevor sie an ihr endgültiges Ziel geliefert werden.
Um besser zu verstehen, wie Verschlüsselung funktioniert, überlegen Sie, wie Ihre Online-Einkäufe geliefert werden. Wenn Sie jemals den Lieferstatus verfolgt haben, haben Sie gesehen, dass Ihre Bestellung mehrere Stopps gemacht hat, bevor Sie bei Ihnen zu Hause ankamen. Wenn der Verkäufer Ihren Kauf nicht richtig verpackt hat, ist es für die Leute einfach zu sehen, was Sie gekauft haben.
Wenn sich ein Besucher bei Ihrer WordPress-Site anmeldet und Zahlungsinformationen eingibt, sind diese Informationen nicht encrstandardmäßig aktiviert. Genau wie bei Ihrem unverpackten Kauf besteht die Möglichkeit, dass die Anmeldeinformationen und Kreditkartendaten an jeder Haltestelle zwischen dem Computer des Besuchers und Ihrem Server entdeckt werden.
Glücklicherweise ist die unverschlüsselte Kommunikation eine der am einfachsten zu entschärfenden WordPress-Sicherheitslücken. Das Hinzufügen eines SSL-Zertifikats zu Ihrem ist eine großartige Möglichkeit, die Kommunikation auf Ihrer Website zu verschlüsseln und zu verpacken, um sicherzustellen, dass nur die beabsichtigten Empfänger die vertraulichen Informationen anzeigen können, die weitergegeben werden. Ihr Gastgeber kann einen Dienst zum Hinzufügen eines SSL-Zertifikats zu Ihrer WordPress-Site bereitstellen oder Sie können das SSL-Zertifikat selbst hinzufügen.
Wenn Sie sich für die Do-it-yourself-Route entscheiden, würde ich empfehlen, Certbot. Certbot macht es sehr einfach, eine Lassen Sie uns verschlüsseln Zertifikat für Ihre Website und richten Sie es so ein, dass Ihr SSL-Zertifikat automatisch erneuert wird. Sie können auch unsere WordPress HTTPS Schulung, um zu erfahren, wie Sie Ihrer Website ein SSL-Zertifikat hinzufügen.
Meine WordPress-Site wurde gehackt - was nun?
Das Szenario, das wir betrachten, ist, wenn eine (oder mehrere) der Vorlagendateien eines Designs mit bösartigem Code injiziert wurden. Ein solcher Code kann dann andere Designdateien oder tatsächlich jede andere Datei auf dem Server beeinflussen (und infizieren). Bei einem Shared-Hosting-Konto kann dies bedeuten, dass Ihre Site über eine andere Site infiziert werden kann, die auf demselben Server gehostet wird. Nun, das ist ein beängstigender Gedanke.
- Gehen Sie alle Dateien in Ihrer WordPress-Installation durch, um sicherzustellen, dass auf der Website kein Skript mehr vorhanden ist, das weiterhin bösartigen Code in verschiedenen Intervallen einfügt.
- Ändern Sie alle FTP-, cPanel-, alle WordPress-Passwörter und Ihre WordPress Salze und Schlüssel. Wenn der Angriff stattgefunden hat, weil der Angreifer in den Besitz Ihrer Administratoranmeldeinformationen gelangt ist und Sie diese nicht ändern, hindert ihn nichts daran, Dateien zu einem späteren Zeitpunkt automatisch wieder zu ändern.
- Führen Sie einen umfassenden Scan aller Systeme durch, die sich mit Ihrem Server verbinden (über FTP oder andere Methoden). Es gibt Viren, die herumschwirren und Anmeldedaten schnüffeln können. Selbst wenn Sie also alle Ihre Passwörter ändern, wenn nur ein System mit einem solchen Virus kompromittiert wird, werden alle Server / Websites, die mit diesem System verbunden sind, weiterhin angegriffen.
- Wenn Sie ein WordPress-Backup haben, das Sie vor dem Hack erstellt haben, können Sie versuchen, aus diesem Backup wiederherzustellen, die Dateien zu überprüfen, um zu sehen, ob der Hack vorhanden ist, und von dort aus fortfahren.
- Reinigen Sie jeden Ihrer Standorte gründlich. Entfernen Sie nicht nur eine infizierte Dateiänderung oder führen Sie ein Scanner-Plugin aus. Gehen Sie durch jedes Verzeichnis auf Ihrer Website und suchen Sie nach verdächtigen Dateien. Vielleicht möchten Sie mit Ihrem Hosting-Unternehmen sprechen und / oder einen Berater wie Sucuri beauftragen, um bei diesem Prozess zu helfen. Wenn auch nur eine kompromittierte Datei oder ein verdeckt platziertes Skript auf der Website verbleibt, kann dies vom Angreifer verwendet werden, um Ihre Website automatisch erneut zu kompromittieren.
TIPP: Machen Sie es nicht alleine. Wenden Sie sich an Ihren Backup-Support, Ihren Hosting-Support und andere Support-Optionen. Die WordPress-Community kann möglicherweise auch helfen. Aber wenn alles andere fehlschlägt, finden Sie ein seriöses WordPress-Website-Support-Unternehmen, das Ihnen hilft, den Hack zu bekämpfen.
Schützen und sichern Sie Ihre WordPress-Website vor Hacking
Zu wissen, wie gefährlich es sein kann, wenn Ihre Website kompromittiert wird, kann der Katalysator sein, den Sie benötigen, um mit der Implementierung Ihrer WordPress-Sicherheitsstrategie zu beginnen. Hier sind 7 wichtige Tipps, um Ihre Website vor Hacking zu schützen.
1. Aktualisieren Sie Ihre Plugins, Themes und WordPress-Version so schnell wie möglich.
Updates sind nicht nur für coole neue Funktionen und Fehlerbehebungen gedacht. Plugin- und Them-Updates können kritische Sicherheitspatches für bekannte Schwachstellen enthalten. Halten Sie Ihre Website sicher und auf dem neuesten Stand.
2. Verwenden Sie die Zwei-Faktor-Authentifizierung für Ihr WordPress-Admin-Login.
In diesem Blogbeitrag Neue Forschung: Wie effektiv ist grundlegende Kontohygiene bei der Verhinderung von Entführungen?gab Google an, dass die Verwendung von Zwei-Faktor-Authentifizierung kann 100% der automatisierten Bot-Angriffe stoppen. iThemes Security Pro macht es einfach hinzuzufügen Zwei-Faktor-Authentifizierung zu WordPress-Websites.
3. Erlauben Sie Benutzern nicht, kompromittierte Passwörter zu verwenden.
Eine Datenschutzverletzung ist in der Regel eine Liste von Benutzernamen, Passwörtern und oft anderen persönlichen Daten, die offengelegt wurden, nachdem eine Website kompromittiert wurde. Wenn Sie sich weigern, die Benutzer Ihrer Website Passwörter verwenden zu lassen, von denen bekannt ist, dass sie kompromittiert sind, kann dies die Sicherheit Ihrer Website drastisch erhöhen. Sie können ganz einfach Kompromittierte Passwörter ablehnen mit iThemes Security Pro.
4. Installieren Sie nur Software von vertrauenswürdigem Sources.
Sie sollten nur Software installieren, die Sie von WordPress.org, bekannten kommerziellen Repositories oder direkt von seriösen Entwicklern erhalten. Sie sollten "nullierte" Versionen kommerzieller Plugins vermeiden, da sie bösartigen Code enthalten können. Es spielt keine Rolle, wie Sie Ihre WordPress-Site sperren, wenn Sie derjenige sind, der Malware installiert.
Plugins und Themes von unbekannten Websites können mit Code kompromittiert werden, der den Ball für die Hacker ins Rollen bringt. Einige Plugin- / Theme-Viren wurden entwickelt, um automatisch jedes andere Plugin und Theme auf der Website zu infizieren. Dies bedeutet, dass selbst wenn Sie denjenigen bereinigen, der das Problem verursacht hat, die anderen immer noch infiziert sind.
5. Fügen Sie die Website-Sicherheitsprotokollierung hinzu.
WordPress-Sicherheitsprotokolle Bereitstellung detaillierter Daten und Einblicke in die Aktivitäten auf Ihrer WordPress-Website. Wenn Sie wissen, worauf Sie in Ihren Protokollen achten müssen, können Sie bösartiges Verhalten auf Ihrer Website schnell erkennen und stoppen. Lernen So fügen Sie WordPress-Sicherheitsprotokolle hinzu auf Ihre Website.
6. Haben Sie einen Backup-Plan (und machen Sie ihn zuverlässig).
Sichern Sie Ihre WordPress-Site frühzeitig und sichern Sie sie häufig. Eine gesunde vollständige Sicherung Ihrer Website ist der Schlüssel. Führen Sie ein Archiv mit mehreren Sicherungsdateien. Wenn ein Notfall eintritt, benötigen Sie eine Sicherung, um Ihren Standort wiederherzustellen (nachdem der Server gesäubert wurde). Kurzer Tipp zu Sicherungsdateien: Führen Sie ab und zu einige Testwiederherstellungen Ihrer Sicherungsdateien durch. Ein Backup zu haben, das Sie nicht wiederherstellen können, ist wahrscheinlich das Schlimmste, was passieren kann (nachdem Sie gehackt wurden). BackupBuddy ist ein WordPress-Backup-Plugin Auf diese Weise können Sie geplante Sicherungen festlegen, die unbeaufsichtigt ausgeführt werden und bei denen Sicherungsdateien an einem Remotespeicherort gespeichert werden können. Dies sollte Ihnen die Gewissheit geben, dass Sie immer eine gesunde Sicherungsdatei haben.
7. Installieren Sie ein WordPress-Sicherheits-Plugin.
Ein WordPress-Sicherheits-Plugin wie iThemes Security Pro bietet 30+ Möglichkeiten, Ihre Website vor häufigen WordPress-Sicherheitslücken zu schützen und zu schützen. Mit WordPress-Zwei-Faktor-Authentifizierung, Brute-Force-Schutz, starker Passworterzwingung und vielem mehr können Sie Ihrer Website eine zusätzliche Sicherheitsebene hinzufügen.
Holen Sie sich jetzt iThemes Security Pro
Einhüllend
Da eine gehackte WordPress-Website ernsthaften Schaden anrichten kann, müssen erweiterte Schritte unternommen werden, um zu verhindern, dass Ihre Website kompromittiert wird. Dieser Artikel untersuchte gängige Möglichkeiten, eine WordPress-Site zu sichern, und teilte Ihnen einige grundlegende Schritte mit, die Sie ergreifen können, um sicherzustellen, dass Sie niemals mit einer gehackten WordPress-Site enden.
Glücklicherweise können sich WordPress-Besitzer davor schützen, Opfer einer gehackten Website zu werden. Indem Sie vorbeugende Maßnahmen ergreifen und Ihre Website vor der Möglichkeit eines Hacks schützen, schützen Sie die Investition von Zeit und Geld, die Sie in Ihre Website investiert haben.
Kristen schreibt seit 2011 Tutorials, um WordPress-Benutzern zu helfen. Als Marketing Director hier bei iThemes und Content Pro einschränken, widmet sie sich der Aufgabe, Ihnen dabei zu helfen, die besten Lösungen für den Aufbau und Betrieb effektiver WordPress-Websites zu finden. Außerhalb der Arbeit schreibt Kristen gerne Journale (siehe ihr Nebenprojekt, Das Jahr der Transformation!), Wandern und Camping, Kochen und tägliche Abenteuer mit ihrer Familie, in der Hoffnung, ein präsenteres Leben zu führen.