Führen Sie einen WordPress Security Audit Guide durch

Veröffentlicht: 2020-08-25

Beginnen wir damit, dass WordPress ziemlich sicher ist. Wenn Sie jedoch glauben, dass Ihre Website verdächtig ist, sollten Sie eine WordPress-Sicherheitsprüfung durchführen . Die Wahrheit ist, dass leider bei den meisten Websites früher oder später ein Sicherheitsproblem auftritt. Und es gefährdet nicht nur Ihre Website, sondern auch die potenziell sensiblen Benutzerinformationen. Um sie zu verhindern, gehen wir die wichtigsten Schritte zur Durchführung eines WordPress-Sicherheitsaudits Ihrer Website durch.

Warum es wichtig ist, regelmäßig ein WordPress-Sicherheitsaudit auf Ihrer Website durchzuführen

Viele Websitebesitzer denken nicht wirklich über die Sicherheit der Website nach, bis sie bereits kompromittiert ist. Sie möchten sicherstellen, dass Sie tun, was in Ihrer Macht steht, um eine potenzielle Sicherheitsverletzung zu verhindern. Wenn Sie WordPress-Sicherheitsaudits durchführen, überprüfen Sie Ihre Richtlinien und stärken sie. Es wäre gut , je nach Größe Ihrer Website und Art der Benutzerinformationen mindestens einmal jährlich oder häufiger Sicherheitsüberprüfungen durchzuführen. Aber selbst wenn Sie das Audit kürzlich durchgeführt haben, sollten Sie es in diesen Situationen wiederholen:

  • Sie finden verdächtige Konten auf Ihrer Website oder verdächtige Anmeldeversuche
  • Wenn Sie einen plötzlichen Verkehrseinbruch bemerken
  • Ihre Website ist plötzlich langsam geworden
  • Sie können verdächtige Links sehen

So führen Sie ein Website-Sicherheitsaudit durch

Wenn Sie tiefer gehen möchten, können Sicherheitsaudits viel mehr Schritte umfassen. Ein umfassendes Sicherheitsaudit muss jedoch die folgenden Hauptschritte umfassen:

  • Stellen Sie sicher, dass WordPress, Plugins und Themes auf dem neuesten Stand sind
  • Entfernen Sie Dateien, Designs und Plugins, die Sie nicht benötigen
  • Stellen Sie sicher, dass Ihre Sicherungslösung funktioniert
  • Analysieren Sie die Benutzerkonten
  • Machen Sie Ihre Passwortsicherheit stärker
Sicherheit.
Führen Sie WordPress-Audits ordnungsgemäß und regelmäßig durch

Updates sind entscheidend

Es ist sehr wichtig sicherzustellen, dass Ihre WordPress-Kernsoftware auf dem neuesten Stand ist, ebenso wie die regelmäßige Aktualisierung der Plugins und Themes. Dabei geht es nicht nur um die Stabilität Ihrer Website, sondern auch um die Sicherheit . In jeder Software können Schwachstellen auftreten, und Entwickler beheben sie, indem sie ein Update veröffentlichen, das einen Sicherheitspatch enthält. Der Prozess ist einfach, Sie müssen das Dashboard besuchen und die Seite Updates auswählen.

Entfernen Sie Themen und Plugins, die Sie nicht mehr verwenden

Wir alle lieben Themes und Plugins. Aber wie viele Plugins sind eines zu viel? Und was ist mit den Plugins, die wir installiert haben, nur um festzustellen, dass sie uns nicht wirklich gefallen? Manchmal deaktivieren wir sie einfach und lassen sie auf dem Server verbleiben. Aber was Sie wirklich sollten Sie sie deinstallieren . Alte Designdateien und Plugins können zu Sicherheitsproblemen auf Ihrer Website führen, und es gibt keinen Grund, warum Sie dies nicht verhindern sollten. Die Lösung ist ganz einfach – gehen Sie zu den Registerkarten Themes und Plugins und entscheiden Sie, welche davon Sie benötigen. Wenn einige von ihnen seit einiger Zeit nicht mehr aktiv sind, besteht eine gute Chance, dass Sie sie nicht wirklich brauchen. Stellen Sie außerdem nach der Deinstallation sicher, dass keine Dateien zurückbleiben.

WordPress-Plugins.
Bevor Sie weitere Plugins installieren, entfernen Sie diejenigen, die Sie nicht verwenden

Richten Sie Ihr WordPress-Backup ein und testen Sie es

Der wichtige Teil des WordPress-Sicherheitsaudits besteht darin, sicherzustellen, dass Sie ein Backup Ihrer Website haben, falls etwas schief geht. Viele Anfänger vergessen jedoch den Backup-Stecker, nachdem sie ihn eingerichtet haben. Das erste Backup kann einige Zeit dauern, da Ihre gesamte Website kopiert wird. Die nächsten Backups werden viel schneller sein, da nur die Änderungen kopiert werden. Aber nach einer Weile funktionieren Backup-Plugins möglicherweise nicht mehr, daher sollten Sie sicherstellen, dass Ihr Plugin Ihre Backups immer noch speichert . Testen Sie Ihr Backup von Zeit zu Zeit, um sicherzustellen, dass alles in Ordnung ist. Auf diese Weise können Sie Ihr Backup wiederherstellen, wenn etwas passiert, und Ihre Website wird wieder normal.

Zwei Arten von Websites

Wenn Sie auf die Seite Benutzer und Alle Benutzer klicken, können Sie alle Benutzerkonten sehen. Im ersten Fall, wenn Ihre Website eine Registrierung erfordert, können Sie hier viele Benutzerkonten sehen. Falls Sie eine Unternehmenswebsite oder einen Blog gewinnen und für Ihre Website keine Registrierung erforderlich ist, finden Sie auf dieser Seite möglicherweise nur ein oder wenige Benutzerkonten. Bei diesen Websites sollten Sie zu den Einstellungen gehen und sicherstellen, dass auf der Seite „Allgemein“ die Option „Jeder kann sich registrieren“ deaktiviert ist. Wenn Sie in beiden Fällen ein verdächtiges oder inaktives Benutzerkonto finden, möchten Sie es möglicherweise löschen.

Analysieren Sie die Benutzerkonten

Sie sollten auch wissen, dass WordPress sechs verschiedene Rollen zulässt, die Sie Ihren Benutzern zuweisen können: Abonnent, Mitwirkender, Autor, Redakteur, Administrator und Super-Admin. Stellen Sie sicher, dass Sie diese Rollen richtig zuweisen, da nicht jeder Benutzer die gleiche Berechtigungsstufe haben muss. Analysieren Sie die Benutzerkonten durch:

  • Überprüfen, wie viele der Benutzer Administratorzugriff haben
  • Wenn Sie ein WordPress-Sicherheitsaudit durchführen, stellen Sie sicher, dass den Benutzern die entsprechenden Rollen zugewiesen werden
  • Stellen Sie sicher, dass Sie die Benutzer auf der Seite erkennen und Benutzer löschen, die verdächtig erscheinen
  • Stellen Sie sicher, dass die Administratoren nicht den Benutzernamen „admin“ verwenden, da Hacker dies ausnutzen könnten
Ein WordPress-Autor, eine Rolle, die kein WordPress-Sicherheitsaudit durchführt.
Autoren und andere Rollen müssen keine vollständigen Berechtigungen haben

Sie können feststellen, dass der offensichtliche Benutzername nicht die beste Idee ist. Um es zu ändern, müssen Sie das Konto löschen und ein neues Konto mit den gleichen gewährten Berechtigungen einrichten. Da dies ein langer Prozess ist, prüfen Sie, ob ein Plugin Ihnen helfen kann, Ihren Benutzernamen ohne es zu ändern. Wenn es um Ihr Passwort geht, wird immer ein komplexes Passwort bevorzugt, und denken Sie daran, dass die Zwei-Faktor-Autorisierung Ihr Passwort stärker macht. Wenn Sie nicht wissen, wie Sie Ihren WordPress-Benutzernamen und Ihr Passwort ändern können, finden Sie diesen Artikel hilfreich.

Es sind mehr Schritte erforderlich, wenn Sie ein noch gründlicheres WordPress-Sicherheitsaudit durchführen möchten. Dies sind jedoch die wichtigsten Schritte, die Sie immer in Ihre Website-Sicherheitspraktiken einbeziehen sollten. Wenn Sie jedes Mal, wenn Sie das Audit durchführen, ein paar Stunden investieren, schützen Sie Ihre Website effizienter und verhindern bestimmte Sicherheitsprobleme.