Die Sicherheit Ihrer WordPress-Website ist ein fortlaufender Prozess, so wie Sie sich um Ihre Gesundheit kümmern müssen. Obwohl WordPress mit Blick auf die Sicherheit entwickelt wurde, können dennoch Probleme auftreten. Diese Probleme können durch veraltete Plugins, schwache Passwörter oder sogar durch Einstellungen auf Ihrem Webhosting verursacht werden.
Bei WPBeginner betrachten wir WordPress-Sicherheitsaudits als Website-Check-ups. Sie helfen Ihnen, Schwachstellen zu finden und zu beheben, bevor jemand sie ausnutzen kann. Sie halten Ihre Website gesund und schützen die darin enthaltenen Informationen.
Dieser Artikel zeigt Ihnen, wie Sie Ihre WordPress-Website auf Sicherheitsprobleme überprüfen können, ohne dass es zu Problemen oder Unterbrechungen kommt.
Was ist ein WordPress-Sicherheitsaudit?
Eine Sicherheitsüberprüfung Ihrer WordPress-Website bedeutet, dass Sie Ihre Website auf Anzeichen einer Sicherheitsverletzung überprüfen. Sie können einen WordPress-Check durchführen, um nach verdächtigen Aktivitäten, bösartigem Code oder einem ungewöhnlichen Leistungsabfall zu suchen.
Wir zeigen Ihnen, wie Sie eine grundlegende Sicherheitsprüfung durchführen können, indem Sie einfache Schritte befolgen, die Sie manuell durchführen können. Wir zeigen Ihnen auch, wie Sie WordPress-Sicherheits-Audit-Tools und -Dienste verwenden können, um die Sicherheitsprüfungen automatisch durchzuführen.
Wenn Sie etwas Verdächtiges finden, können Sie es isolieren, entfernen und beheben.
Wann ein WordPress-Sicherheitsaudit durchgeführt werden sollte
Mindestens einmal im Quartal sollten Sie ein WordPress-Sicherheitsaudit durchführen. So behalten Sie den Überblick und können Sicherheitslücken schließen, noch bevor sie Probleme verursachen.
Sie sollten jedoch sofort eine Sicherheitsüberprüfung durchführen, wenn Sie etwas Verdächtiges bemerken, z. B:
- Ihre Website ist plötzlich langsam und träge.
- Sie beobachten einen Rückgang der Besucherzahlen auf Ihrer Website.
- Es gibt verdächtige neue Konten, vergessene Passwortanfragen oder Anmeldeversuche auf Ihrer Website.
- Sie sehen, dass verdächtige Links auf Ihrer Website erscheinen.
Werfen wir also einen Blick darauf, wie sich ein WordPress-Sicherheitsaudit leicht durchführen lässt.
Durchführen einer grundlegenden manuellen WordPress-Sicherheitsprüfung
Hier finden Sie eine Checkliste mit einigen Schritten, die Sie durchführen können, um ein grundlegendes manuelles WordPress-Sicherheitsaudit für Ihre Website durchzuführen.
1. WordPress Core, Plugins und Themes aktualisieren
WordPress-Updates sind sehr wichtig für die Sicherheit und Stabilität Ihrer Website. Sie schließen Sicherheitslücken, bringen neue Funktionen und verbessern die Leistung.
Stellen Sie sicher, dass Ihre WordPress-Kernsoftware, alle Plugins und Themes auf dem neuesten Stand sind. Sie können dies ganz einfach tun, indem Sie die Seite Dashboard “ Updates im WordPress-Verwaltungsbereich aufrufen.
WordPress prüft, ob Aktualisierungen verfügbar sind, und listet diese dann auf, damit Sie sie installieren können. Wenn Sie weitere Hilfe benötigen, lesen Sie unsere Anleitungen zur richtigen Aktualisierung von WordPress und zur richtigen Aktualisierung von WordPress-Plugins.
2. Benutzerkonten und Passwörter prüfen
Als nächstes müssen Sie die WordPress-Benutzerkonten überprüfen, indem Sie die Seite Benutzer “ Alle Benutzer aufrufen. Suchen Sie nach verdächtigen Benutzerkonten, die nicht dort sein sollten.
Wenn Sie einen Online-Shop oder eine Mitgliedschaftsseite betreiben oder Online-Kurse verkaufen, haben Sie möglicherweise Benutzerkonten, bei denen sich Ihre Kunden anmelden können.
Wenn Sie jedoch einen Blog oder eine geschäftliche Website betreiben, sollten Sie nur Benutzerkonten für sich selbst oder andere Benutzer sehen, die Sie manuell hinzugefügt haben.
Wenn Sie verdächtige Benutzerkonten sehen, müssen Sie diese löschen.
Wenn auf Ihrer Website kein Benutzerkonto erforderlich ist, müssen Sie die Seite Einstellungen “ Allgemein aufrufen und sicherstellen, dass das Kästchen neben der Option „Jeder kann sich registrieren“ nicht markiert ist.
Als zusätzliche Vorsichtsmaßnahme müssen Sie Ihr WordPress-Administrator-Passwort ändern. Wir empfehlen dringend, eine Zwei-Faktor-Authentifizierung hinzuzufügen, um die Passwortsicherheit auf Ihrer Website zu erhöhen.
3. Führen Sie einen WordPress-Sicherheitsscan durch
Der nächste Schritt besteht darin, Ihre Website auf Sicherheitslücken zu überprüfen. Zum Glück gibt es verschiedene Online-Sicherheitsscanner, mit denen Sie nach Malware suchen können.
Wir empfehlen die Verwendung des IsItWP Security Scanner, der Ihre Website auf Malware und andere Sicherheitslücken überprüft.
Diese Tools sind gut, aber sie können nur die öffentlich zugänglichen Seiten Ihrer Website überprüfen. Wir werden Ihnen später in diesem Artikel zeigen, wie Sie tiefere Prüfungen durchführen können.
4. Prüfen Sie Ihre Website-Analytik
Website-Analysen helfen Ihnen, den Verkehr auf Ihrer Website zu verfolgen. Sie sind auch ein ziemlich guter Indikator für den Zustand Ihrer Website.
Wenn Ihre Website von den Suchmaschinen auf eine schwarze Liste gesetzt wurde, werden Sie einen plötzlichen Rückgang der Besucherzahlen auf Ihrer Website feststellen. Wenn Ihre Website langsam ist oder nicht reagiert, werden Ihre Seitenaufrufe insgesamt zurückgehen.
Wir empfehlen die Verwendung von MonsterInsights, um Ihren Website-Traffic zu verfolgen. Es zeigt nicht nur Ihre gesamten Seitenaufrufe an, sondern Sie können es auch nutzen, um registrierte Nutzer, Ihre WooCommerce-Kunden, Formularkonversionen und mehr zu verfolgen.
5. WordPress-Backups einrichten und überprüfen
Wenn Sie das noch nicht getan haben, müssen Sie sofort ein WordPress-Backup-Plugin einrichten. Damit stellen Sie sicher, dass Sie immer ein Backup Ihrer Website haben, falls etwas schief geht.
Viele Anfänger vergessen ihr WordPress-Backup-Plugin, nachdem sie es eingerichtet haben. Manchmal funktionieren Backup-Plugins nicht mehr, ohne dass man es merkt. Es ist eine gute Idee, sich zu vergewissern, dass Ihr Backup-Plugin noch funktioniert und Backups speichert.
Automatische WordPress-Sicherheitsprüfung durchführen
Mit der obigen Checkliste können Sie die wichtigsten Aspekte eines Sicherheitsaudits durchgehen. Sie ist jedoch nicht sehr gründlich, was bedeutet, dass Ihre Website noch anfällig sein kann.
So ist es beispielsweise schwierig, alle Benutzeraktivitäten, Dateidifferenzen, verdächtige Codes und vieles mehr manuell zu erfassen. Hier brauchen Sie ein Plugin, das die Sicherheitsprüfung automatisiert und alles aufzeichnet.
Sie können diesen Prozess mit Hilfe einiger WordPress-Sicherheits-Plugins automatisieren.
1. Automatische Durchführung eines Sicherheitsaudits mit WP Activity Log
WP Activity Log ist das beste WordPress-Plugin zur Aktivitätsüberwachung auf dem Markt.
Es ermöglicht Ihnen, alle Benutzeraktivitäten auf Ihrer Website zu verfolgen. Sie können alle Benutzeranmeldungen, IP-Adressen und deren Aktivitäten auf Ihrer Website einsehen.
Sie können WooCommerce-Benutzer, Redakteure, Autoren und andere Mitglieder, die ein Konto auf Ihrer Website haben, verfolgen.
Sie können auch alle Ereignisse einschalten, die Sie verfolgen möchten, und die Ereignisse, die Sie nicht überwachen möchten, ausschalten.
Das Plugin zeigt Ihnen auch eine Live-Ansicht aller auf Ihrer Website angemeldeten Benutzer. Wenn Sie ein verdächtiges Konto sehen, können Sie dessen Sitzung sofort beenden und ihn aussperren.
Weitere Informationen finden Sie in unserem Leitfaden zur Überwachung der Benutzeraktivitäten in WordPress mit WP Activity Log.
2. Automatische Durchführung einer Sicherheitsüberprüfung mit Sucuri
Sucuri ist das beste WordPress-Firewall-Plugin auf dem Markt, und es ist auch die beste All-in-One-WordPress-Sicherheitslösung, die Sie für Ihre Website bekommen können.
Es bietet Echtzeitschutz vor DDoS-Angriffen, indem es verdächtige Aktivitäten blockiert, noch bevor sie Ihre Website erreichen. Dadurch wird Ihr Server entlastet und die Geschwindigkeit/Leistung Ihrer Website verbessert.
Es verfügt über ein integriertes Sicherheits-Plugin, das Ihre WordPress-Dateien auf verdächtigen Code überprüft. Außerdem erhalten Sie einen detaillierten Einblick in die Benutzeraktivitäten auf Ihrer Website.
Das Wichtigste: Sucuri bietet bei allen kostenpflichtigen Tarifen die kostenlose Entfernung von Malware an. Das bedeutet, dass die Sicherheitsexperten von Sucuri Ihre Website für Sie säubern, selbst wenn sie bereits betroffen ist.
Bonus: Beauftragung eines WordPress-Wartungsdienstes
Die Sicherheit einer Website selbst zu verwalten, kann zeitaufwändig und kompliziert sein, insbesondere für technisch nicht versierte Benutzer. Daher sollten Sie einen WordPress-Wartungsdienst beauftragen, der eine 24/7-Sicherheitsüberwachung anbietet, um Zeit zu sparen und Ihre Arbeitsbelastung zu verringern.
WPBeginner Pro Services bietet zuverlässige WordPress Wartungsdienste zu erschwinglichen Preisen. Dazu gehören Sicherheitsüberwachung, regelmäßige Backups, Updates, Überwachung der Betriebszeit und vieles mehr.
Entscheiden Sie sich einfach für ein monatliches Wartungspaket und Sie können sich in dem Wissen entspannen, dass die Sicherheit Ihrer Website von Experten betreut wird.
Expertenleitfäden zur WordPress-Sicherheit
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu erfahren, wie Sie eine WordPress-Sicherheitsprüfung für Ihre Website durchführen können. Vielleicht interessieren Sie sich auch für andere Anleitungen zum Thema WordPress-Sicherheit:
- Erzwingen starker Passwörter für Benutzer in WordPress
- Wie Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können
- Die wichtigsten Gründe, warum WordPress-Websites gehackt werden (und wie man es verhindern kann)
- Anzeichen dafür, dass Ihre WordPress-Website gehackt wurde (Expertentipps)
- So scannen Sie Ihre WordPress-Website nach potenziell bösartigem Code
- Wie man eine Hintertür in einer gehackten WordPress-Website findet und sie repariert
- Wie man einen WordPress Disaster Recovery Plan erstellt
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Admin
Eva
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW
Yeah, doing the login URI really doesn’t do much. It’s a technique known as „security by obscurity“ – basically security by „hiding“.
If someone is determined to get into your website, using these „Security by obscurity“ techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.