Essential WordPress Security Tweaks, Tips & Tricks – Summary:

WordPress Security Tips and Tricks

Basic WordPress Security Tips:

Below are some of the best but simple to implement WordPress security tips. By implementing them, your WordPress website will be more secured

• Change your admin username
• Strong WordPress Password
• Update WordPress Site
• Best Security WordPress Plugins
• WordPress SSL Certificate
• WordPress File Permissions
• Cloud Managed WordPress Hosting

Advanced WordPress Security Tips:

These are advanced WordPress security tips, so if you are not 100% sure what to do, leave someone else to implement these settings. You have to pay major attention, because everything wrong implemented may broke the site. For example, if you change just a letter or symbol from inside the wp-config.php file, your WordPress website will be down in no-time.

• Server Level Layer of authentication
• WordPress Restrict WP-Config.PHP
• WordPress Login Hints
• Change WordPress Admin URL

---

WordPress’s overwhelming popularity makes it a target for hackers. Specifically, it’s seen thousands of attacks by bots (networks of computers infected with malicious software) trying gain entry into these sites by brute-force.

Most of these attacks are using the simplest method possible to gain access to a site: trying username and password combinations until they can login. This method relies on user error in that a lot of WordPress users are unaware of their responsibility to keep their site secure.

When that’s the case, the botnets can try to log in to these sites countless times, since there’s simply nothing to stop them from it.

Why is WordPress being targeted by hackers?

Since December 2020, WordPress CMS is the most used form of script utilised in the Website Development Process from the Entire WWW. Hand-coded languages (excluding the Content Management Systems / CMS. HTML language is a good example) have been the most used kind of websites since the WEB was born. And from December 2020, this title has been awarded by WordPress.

Users that aren’t proactive in protecting their site or don’t update old plugins/WordPress versions, can unknowingly be exposing potentially major site vulnerabilities. In this way, the hacked WordPress websites will give the possibility to the hackers to gain access inside. Here are some of the best WordPress security tips to help you better secure your site against all kind of attacks (brute force attacks, WordPress login attacks, and many more).

---

If you don’t have time to administrate your Business Website, check this: WordPress Website Maintenance Services

---

Is WordPress Website Secure?

Yes and No. Anything can be hacked, and WordPress CMS makes no exception. But, if you follow my piece of advice below, you will secure your WordPress site.

Generally speaking, WordPress CMS is one of the most secured forms of Web. WordPress suffers from minor security issues every now and then. Some of these security loopholes are patched quickly due to the active developer community. However, most of the security issues can be avoided by hardening the WordPress setup.

This guide forces the approach of better security practices that you can follow to safeguard your setup from common threats. You’ll learn some common fixes that can help your WordPress setup. You’ll also learn about files which are required to be modified in order to harden the security.

Never take WordPress security issues lightly!

Even minor plug-in or theme change can lead to a security flaw in WordPress. Remember, as software evolves so does the security flaws. The best thing that you can do is take precautions and avoid the common grounds from which security flaws are likely to affect your WordPress site.

---

Basic WordPress security tips for a more secure WordPress install:

ATTENTION! BEFORE CHANGING ANYTHING, MAKE A BACKUP COPY OF YOUR WORDPRESS SITE!

1. Change The WordPress Admin Username

Do not use admin (or anything simple) as a username for your site. This is the most targeted username these attacks use. Other usernames to avoid are administrator, manager, root, support, test, and user. The WordPress dashboard is the first “door” the hackers try to broke. Be smart.

To change a username in WordPress:

• Login with your administrator account and add a new user, with administrator privileges. Make sure your display name is different than your username.
• Once done, logout and login as your new user. Delete your old administrator account.
• You’ll be asked about what should be done with posts owned by this user, choose ‘attribute all posts to’ and select your new username.

---

2. Strong WordPress Password: BE CREATIVE!

Creating a WordPress password that contains numbers, symbols, lower and uppercase letters, and lots of characters, you’re making it a lot harder for those nasty bots to guess your password. Here’s a list of passwords that you should definitely avoid:

Worst WordPress Passwords of 2020 – You must avoid each of them:

• 123456

• 123456789

• picture1

• password

• 12345678

• 111111

• 123123

• 12345

…and so on. You got the idea: Choose your p4S$W0rDs with creativity!

I would also suggest staying away from passwords like ‘WordPress’ and ‘admin’ – you get the idea.

Strong password=Safe website.

How do I enforce strong passwords in WordPress?

There are some of the services that offer to generate secure and longer passwords (even cPanel provides you this kind of feature). Here are some of the options to generate the secure passwords. You can also use programs like Lastpass to store your passwords and use it for the autologin.

Best WordPress Password Managers:

• LastPass
• KeePass
• RoboForm

Don’t store the passwords in the normal text or word files. Don’t store the passwords in the FTP programs. Don’t store passwords in any program that gives access to any other user than you.

---

3. Update Your WordPress Site!

WordPress is updated every so often and with that, problems are fixed. Security issues which come to light are addressed, and by not updating you are creating vulnerabilities. It’s important to keep your WordPress installation up to date, and especially true for plugins and themes.

Since this is the case, it’s also a good idea to remove all of the plugins that aren’t used on your site. Always make sure to backup your site before making any changes (installing new plugins, tweaking the theme, updating plugins or theme, etc).

---

4. Best WordPress Security Plugins

Do You Need WordPress Security Plugin?

A strong WordPress security plugin can be much more convenient and time-saver for a non-technical persona. But if you have enough spare time and you want to secure your site without using a security plugin, you can follow the tips from this article (in the Advanced section).

Free or Premium WordPress Security Plugin?

It is not easy to select the type of the plugin suitable for your setup. Some of the premium plugins are suitable if your WordPress data is critical for your business. If you run a hobby blog or non-commercial blog, you don’t have to invest into a premium plugin. Keep in mind, the more important data that is being handled by WordPress, the harder your security setup should be.

How many WordPress security plugins should I use?

Short response: As few as possible. Avoid using unnecessary plugins and don’t forget to delete the inactive ones.

I have listed plenty of plugins for you to choose from and to install on your dashboard. However, you don’t have to install a ton of plugins. For example, If you are planning to optimize your site speed, you shouldn’t install 3 cache plugins, 5 image optimizers, or 500 CDN plugins (you got the idea). You should use a plugin which incorporate many features (image optimization, caching, script optimization, etc). This is also the case of the security plugin: Install a good one and that’s it. There isn’t any logic to use 3 plugins for the same goal, simultaneous. Do note that some of the hosts do not allow certain WordPress plugins.

Which is the best security plugin for WordPress?

In order to choose the best security plugin for your WordPress site, use the following checklist:

• The number of downloads. Select the higher downloaded plugin.
• How many issues are reported on the plugin official page, on WordPress.org.
• The plugin authors activity in the Forum. Another best way is to search on Reddit about him.
• The number of updates of the plugin.
• Ignore the star rating of the plugin.
• How the plugin makes use of unique namespace items.
• How the plugin makes use of settings API in the features.
• The Hooks, Filters, and Actions inside the plugins.
• If the plugin has properly sanitized data and MySQL statements.
• The plugins that use nonces instead of browser cookies. If the more than one plugin does the same task, choose the plugin with higher download count and reviews.
• The reputation of the plugin author in the WordPress community.

These are the criteria to look at while selecting the security plugin from the WordPress Support repository. If you choose to install the premium version of the plugins then you have to search online for the reviews. Also, test drives their free plugin or trial service before you buy the plugin.

a. Best WordPress Security Plugins in 2021 – The Ones I Have Personally Used

Below I will show you the best WordPress Security Plugins in 2021 and not only. Installing some of the essential plugins from the list below may ensure safety to your WordPress setup. Here are some of the plugins that I have personally used on many WordPress sites.

Sucuri

Sucuri is one of the most WordPress Security plugins in 2021. They have free & premium version. Sucuri also provide security improvement suggestions and tweaks, in order to keep your website safe. Sucuri Security have the following features: Auditing, Malware Scanner and Security Hardening.

Wordfence

Wordfence is a very straightforward and easy to use plugin. It acts as a firewall and anti-virus, as well as suggests how to improve your site’s security. Make sure to check out the ‘Live Traffic’ section, you can see all the failed login attempts to your site, it’s surprising.

iThemes Security (formerly Better WordPress Security)

iThemes Security This plugin will give you a more detailed review of what you can do to protect your site and more intricate security options. Be careful when activating settings that could conflict with other themes or plugins. These are highlighted in blue in System Status.

b. Other WordPress Security plugins:

All In One WP Security & Firewall

This plugin can help you run some basic security checks on your WordPress setup. You get to make few fixes from your plugin options page. You can install this plugin, run the scan and fix the minimal security issues. Once cleared the basic security fixes, you can uninstall the plugin.

Shield Security

WordPress Firewall avoids SQL injection attacks, brute force attacks, and Spambot registration attacks. It also notifies you via email when any live attack happens on your site. If you don’t like email notifications, you can disable it. It also comes with one handy feature which allows you to block the IP that regularly attempts to attack your WordPress setup. You can also blacklist certain IP address for additional protection. If you want some of the IP address in a whitelist, the plugin has an option that lets you do that.

Block Bad Queries

Block bad Queries plugin is designed to monitor the request URI in the WordPress dashboard. This way it can filter out some of the common attacks. This plugin checks for excessively long request strings (i.e., greater than 255 characters), as well as the presence of either “eval(” or “base64” in the request URI. Block bad queries does a completely different job to that of WordPress firewall 2. So it is necessary to have this plugin installed with WordPress Firewall 2.

Website File Changes Monitor

It keeps track of every change in the WordPress installation. It keeps log of the changes in the files of WordPress directories. It notifies you of the changes that take place in the files. If any hacker gets access to your themes and plugins and rewrites new information on any of the file, you’ll get the notification of the changes. This plugin is handy to understand which file to rollback in the previous state. You can use the backed-up files to restore the unaffected file in that place. In order to do this, you need to have a different backup plugin or manual backup on regular basis.

Limit Login Attempts Reloaded

Install the plugin and set the number of attempts on plugins options page. You can also set the number of minutes to keep the lock on a login page. It also keeps the log of a number of attempts and number of times the lock was set.

AntiVirus

AntiVirus plugin helps your WordPress setup by scanning the files for malware and virus. This plugin detects every single change in file and reports in the dashboard. It does raise the false positives sometimes when it triggers the change in require_once, includes and other updated snippets which are genuine yet reported as malicious code. If any theme uses eval, base64_decode or shell_exec then It’ll notify in the report. You can then replace such themes with those which has a more secure code.

BCRYPT

Install the ‘bcrypt’ passwords plugin. Github Page. This will significantly improve the strength of encrypted passwords in your SQL database.

Fail2Ban

Use fail2ban along with WP Fail2ban Redux. This will catch would-be hackers scanning your website for vulnerabilities and ban them early.

WP-Bruiser

WP-Bruiser is mostly used as a no-captcha method to block spam bots in your comment, contact, registration and login forms, but it also includes some useful brute-force protections, and a feature that notifies you anytime an administrator logs in. These features are available for free. This is a great light-weight option.

 

c. WordPress Database Backup Plugins:

You can save a lot of headache of recovering your site if you take regular backup. You can schedule some of the plugins to automatically backup your site when you post or certain times during the week. When it comes to WordPress backup there are plenty of solutions. Here we are going to discuss three methods: plugins, hosted backup services and manual backups.

WordPress Backup Plugins – These plugins can help you take backup your WordPress posts, comments, and other settings and store it wherever you wish. Some of them offer the feature of emailing your backup or uploading it to a remote server like Amazon S3, Dropbox or any other backup service.

Manual Backup – In this method, you have to take backup of the setup and keep it safe on your own. You have to store the backed up data to any other place than the hosting server. There are free and paid backup plugins available for the WordPress. You can choose one that fits your needs.

Hosted Backup Service – These services integrates with the WordPress setup and take a regular snapshot of the WordPress setup. They are basically plugins that are connected to the backup server. In this article I will talk about the first two methods.

Most of the free plugins that upload the data to Dropbox or send data via email are preferred by the WordPress community members. If your WordPress data is critical then subscribing to the service like Vaultpress or Codevault is much better option. You can also use premium plugins like BackupBuddy or Backupify to backup your data.

The more important your data, the better to get your backup to hosted solution.

Here are some of the backup plugins that can solve your backup and monitoring requirements:

WP-DB Manager

This free plugin is very handy to optimize your database. It also sends the backup via email to the admin or the specific user. The plugin is not easy to use as there is no specific point for the newbie to learn from and use. However, if you are comfortable with WordPress and it’s various plugin configuration then it is not hard to use the plugin.

BackWPup

This is a free plugin that is very handy for uploading your database backup to external services like dropbox, amazon s3, Google drive and few other backup services. Restore option for a fresh install is included in the plugin. It doesn’t have active support in the forums but for the free plugin it gets the job done and doesn’t have critical bugs.

WP-DB-Backup

Very popular for backing up the database. It is very simple to use this plugin. It does only one task – which is backing up the core database. You don’t get to choose the backup location. You can’t backup posts and other files. There isn’t much support provided for this plugin. But considering the ease of use and quick backup of the database, this plugin is perfect for newbies who can’t use other advanced plugins.

Manual Backup

If you can’t afford any other method of the backup service, you can backup your WordPress site manually to Google drive, Dropbox or local computer. In this method, you can use any of the database backup plugins to download the archive that is generated by the plugin. Alternatively, you can also backup the data from /uploads folder for backing up images and other media files. Posts and comments along with core settings can be downloaded by following these instructions.

Click on Tools then go to the export page. In this page, you have to select all the posts and pages and click the export button. You get WXRS file that contains the data from the WordPress core. This is basically an XML file that has the structured data which you can use to restore your posts. If you can’t afford premium plugins or service for the backup. You can use free plugins that can store the backup on Dropbox or Google Drive. These two backup services can host your blog backups for free. If by any remote chance if your backup exceeds the data limit of these services, you can then go ahead and purchase the yearly subscription for storage.

I mention that I am a fan of manual WordPress backup, and I don’t recommend involving any plugin in the backup/recover process. If you want to learn how to manually backup your WordPress site, take a look here: How To Backup Your Site From cPanel

---

5. Install a SSL certificate (Secure Sockets Layer):

Nowadays, you have two options for the SSLs: Free SSL certificate and Premium SSL certificate.

One of the best providers of Free SSL certificates is  Let’s Encrypt. A 2021’s relevant hosting provider will add this feature for free on it’s hosting clients.

For the premium SSL certificates, you have a lot of options. Premium SSL certificates are an enhanced form of the standard SSL certificate used by eCommerce websites to secure online transactions. Of course, you can use this kind of SSL certificate for your basic WordPress site, too, but for medium and big sites, where people provide personal information, credit card information, etc, it is imperative to use a Premium SSL certificate.

A premium SSL certificate’s price starts from $5/year and goes up to $1,999/year for a DigiCert (formerly by VeriSign) SSL certificate.

Why to use a SSL certificate?

Not only it will secure your WordPress site, but using a SSL certificate in 2021 is a MUST. Without SSL, your site visitors and customers are at higher risk of being having their data stolen. Your site security is also at risk without encryption. SSL protects website from phishing scams, data breaches, and many other threats. Ultimately, It builds a secure environment for both visitors and site owners.

---

6. File Permissions

Each file on the Linux or Unix based web server has read, write and execute levels. Users who access these files are divided into three groups – user (owner), group and the world. You can make your website more secure if you set the file permissions that restricts the anonymous users and group from modifying them. As you can see by default webserver sets some permission levels for you. Common permissions that you’ll find on a web server.

755 – User can read, write and execute a file, whereas group and the world can execute and read the file. 644 – User can read and write, whereas group and the world can read.
777 – User, group, and the world can read, write and execute.
400 – User read only. Group and the world have no permissions.
444 – All user levels can read.
600 – User can read and write, whereas world and group have no permissions.

As you can see the level of strictness from these permissions, you should stick to 644 and 755 when you modify the permission levels. By default, WordPress sets file permission to 644 and folder permission to 755.

You should never set any file or folder to permission 777. Some cache plug-ins require you to set the permission of the plug-in folder to 755, if your webserver overrides it to 644. Permission settings vary from one host to another. It also depends on the Operating system that is used on the hosting account. You may find a completely different way to set the permission level for windows server.

When you upload the files to the webserver via FTP or web-based uploader, check the permissions.

---

7. Think about Cloud Managed WordPress Hosting Services

Hosting your WordPress platform on cheap, shared servers may put your site at more risk – you have no control over what other users on that same server will do, and that can potentially compromise your site.

In addition, performance can degrade over time as the hosting provider adds more users onto that server, having you fight amongst each other for resources.

Why to avoid a cheap shared WordPress hosting and choosing an expensive one?

A good hosted WordPress service can help keep your site fast and secure by:

• Providing constantly updated servers/up-to-date security patches
• Offering a firewall (software or hardware) – also with up-to-date security patches
• Monitoring system performances for unusual activity (database requests, login attempts, etc)
• Having technicians that can understand the situation and provide instant help
• Backing up and restoring services in the event of a compromised site

---

Advanced WordPress Security Tips – Secure WordPress Site

ATTENTION! BACKUP YOUR WEBSITE BEFORE DOING ANY OF THE FOLLOWING CHANGES. ALSO, DO A BACKUP AFTER EVERY CHANGE YOU MAKE, IN ORDER TO SAVE IMPORTANT TIME!

 

1. Add a server-level layer of authentication

Having anybody being able to access your /wp-admin login screen makes it easier for hackers and bots to do their damage.

Adding an additional level of security on the server-level ensures that you are the only one who has control of who can and can’t access /wp-admin in the first place. In order to secure WordPress site, you should follow the next tips:

There are a few ways to do this:

a. IP Restrict /wp-admin

White-list only your IP (and those you trust) in your .htaccess file to ensure /wp-admin is only accessible by authorized people.

b. Add these lines to your .htaccess file:

# ALLOW USER BY IP

order deny,allow
deny from all
allow from YOUR.IP.GOES.HERE
Find out your IP address here http://www.whatismyip.com/

c. Add HTTP authentication to /Wp-admin

Add an additional username/password credential via .htpasswd to /wp-admin. Users can’t even view the WP login page until they provide the appropriate username and password on the .htpasswd level.

2. Restrict WP-CONFIG.PHP access

If you can access the file, change the permission to 0644. If you don’t have access, ask your hosting provider to do this.

3. Stop the Login Hints:

I don’t know why WordPress keeps this setting, but you have to get rid of it ASAP. To disable login hints, you have to add the following code to the Function.PHP file:

function no_wordpress_errors(){
return 'What the heck are you doing?! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

4. Change WordPress Admin URL

To change the WordPress Admin URL, follow these steps:

1. Add constant to wp-confing.php

define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2. Insert below filter to functions.php

add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}

3. Add this to .htaccess file

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]

 

After these steps, your WordPress admin URL will be like: http://www.yoursite.com/hidden-folder/

---

Secure WordPress Site: Conclusion

Although WordPress has seen a huge increase in attacks from hackers, with a few adjustments and some awareness you can keep your site safe from hackers. Matthew Mullengweg, the founding developer on WordPress notes in his blog that if you change your admin username, ensure you have a strong password, and keep your site up to date, “you’ll be ahead of 99% of the sites out there and probably never have a problem.”

Wesentliche WordPress-Sicherheits-Tweaks, Tipps & Tricks – Zusammenfassung:

Grundlegende WordPress-Sicherheitstipps:

• Ändern Sie Ihren Admin-Benutzernamen
• Starkes WordPress-Passwort
• WordPress-Website aktualisieren
• Beste Sicherheits-WordPress-Plugins
• WordPress SSL-Zertifikat
• WordPress Dateiberechtigungen
• Cloud Managed WordPress Hosting

Erweiterte WordPress-Sicherheitstipps:

• Authentifizierungsschicht auf Serverebene
• WordPress-Einschränkung WP-Config.PHP
• WordPress Login-Hinweise
• WordPress Admin URL ändern

---

Die überwältigende Popularität von WordPress macht es zu einem Ziel für Hacker. Insbesondere gibt es Tausende von Angriffen durch Bots (Netzwerke von Computern, die mit bösartiger Software infiziert sind), die versuchen, sich durch Brute-Force-Verfahren Zugang zu diesen Websites zu verschaffen.

Die meisten dieser Angriffe nutzen die einfachste Methode, um sich Zugang zu einer Website zu verschaffen: Sie probieren so lange Kombinationen aus Benutzernamen und Kennwort aus, bis sie sich anmelden können. Diese Methode beruht auf Benutzerfehlern, da viele WordPress-Benutzer sich ihrer Verantwortung für die Sicherheit ihrer Website nicht bewusst sind.

Wenn das der Fall ist, können die Botnets unzählige Male versuchen, sich bei diesen Websites anzumelden, da es einfach nichts gibt, was sie daran hindert.

Warum ist WordPress das Ziel von Hackern?

Seit Dezember 2020 ist WordPress CMS die am häufigsten verwendete Form von Skripten, die im Website-Entwicklungsprozess im gesamten WWW eingesetzt werden. Handgeschriebene Sprachen (mit Ausnahme der Content Management Systeme / CMS. HTML ist ein gutes Beispiel) sind die meistgenutzte Art von Websites seit der Geburt des WEB. Und ab Dezember 2020 wird dieser Titel von WordPress vergeben.

Benutzer, die ihre Website nicht proaktiv schützen oder alte Plugins/WordPress-Versionen nicht aktualisieren, können unwissentlich potenziell schwerwiegende Sicherheitslücken auf ihrer Website aussetzen. Hier sind einige Tipps, wie Sie Ihre Website besser gegen Angriffe schützen können.

---

Wenn Sie keine Zeit haben, Ihre Business-Website zu verwalten, sollten Sie sich dies ansehen: WordPress Wartung – WordPress Wartungsvertrag und Service

---

Ist eine WordPress-Website sicher?

Ja und Nein. Alles kann gehackt werden, und WordPress CMS macht da keine Ausnahme. Aber wenn Sie meinen Ratschlag unten befolgen, werden Sie Ihre WordPress-Website sichern.

Im Allgemeinen ist WordPress CMS eine der sichersten Formen des Webs. WordPress leidet hin und wieder unter kleineren Sicherheitsproblemen. Einige dieser Sicherheitslücken werden dank der aktiven Entwicklergemeinschaft schnell behoben. Die meisten Sicherheitsprobleme können jedoch vermieden werden, indem das WordPress-Setup gehärtet wird.

Dieser Leitfaden erzwingt den Ansatz besserer Sicherheitspraktiken, die Sie befolgen können, um Ihre Einrichtung vor allgemeinen Bedrohungen zu schützen. Sie werden einige gängige Korrekturen kennenlernen, die Ihrer WordPress-Einrichtung helfen können. Sie werden auch erfahren, welche Dateien geändert werden müssen, um die Sicherheit zu erhöhen.

Nehmen Sie WordPress-Sicherheitsprobleme niemals auf die leichte Schulter!

Selbst geringfügige Änderungen an Plug-ins oder Themes können zu einer Sicherheitslücke in WordPress führen. Denken Sie daran, dass sich die Software weiterentwickelt und damit auch die Sicherheitslücken. Das Beste, was Sie tun können, ist, Vorsichtsmaßnahmen zu treffen und die häufigsten Gründe zu vermeiden, aus denen Sicherheitslücken Ihre WordPress-Website beeinträchtigen können.

---

Grundlegende WordPress-Sicherheitstipps für eine sichere WordPress-Installation:

ACHTUNG! BEVOR SIE ETWAS ÄNDERN, ERSTELLEN SIE EINE SICHERHEITSKOPIE IHRER WORDPRESS-SEITE!

1. Ändern Sie den Benutzernamen des WordPress-Administrators

Verwenden Sie nicht admin als Benutzernamen für Ihre Website. Dies ist der am häufigsten verwendete Benutzername für diese Angriffe. Andere zu vermeidende Benutzernamen sind administrator, manager, root, support, test und user.

So ändern Sie einen Benutzernamen in WordPress:

• Melden Sie sich mit Ihrem Administratorkonto an und fügen Sie einen neuen Benutzer mit Administratorrechten hinzu. Vergewissern Sie sich, dass Ihr Anzeigename nicht mit Ihrem Benutzernamen identisch ist.
• Loggen Sie sich anschließend aus und melden Sie sich als Ihr neuer Benutzer an. Löschen Sie Ihr altes Administratorkonto.
• Sie werden gefragt, was mit den Beiträgen dieses Benutzers geschehen soll. Wählen Sie “Alle Beiträge zuordnen zu” und wählen Sie Ihren neuen Benutzernamen.

---

2. Starkes WordPress-Passwort: Seien Sie kreativ!

Wenn Sie ein WordPress-Passwort erstellen, das Zahlen, Symbole, Klein- und Großbuchstaben und viele Zeichen enthält, machen Sie es diesen fiesen Bots viel schwerer, Ihr Passwort zu erraten. Hier ist eine Liste von Passwörtern, die Sie unbedingt vermeiden sollten:

Die schlimmsten WordPress-Passwörter des Jahres 2020 – Sie müssen jedes davon vermeiden:

• 123456

• 123456789

• picture1

• password

• 12345678

• 111111

• 123123

• 12345

…und so weiter. Sie haben die Idee: Wählen Sie Ihre p4S$W0rDs mit Kreativität!

Ich würde auch vorschlagen, Passwörter wie “WordPress” und “admin” zu vermeiden – Sie verstehen, was ich meine.

Starkes Passwort=Sichere Website.

Wie erzwinge ich sichere Passwörter in WordPress?

Es gibt einige Dienste, die die Generierung sicherer und längerer Passwörter anbieten (sogar cPanel bietet Ihnen diese Art von Funktion). Hier sind einige der Optionen, um sichere Passwörter zu generieren. Sie können auch Programme wie Lastpass verwenden, um Ihre Passwörter zu speichern und sie für das Autologin zu verwenden.

Beste WordPress Passwort-Manager:

• LastPass
• KeePass
• RoboForm

Speichern Sie die Passwörter nicht in normalen Text- oder Word-Dateien. Speichern Sie die Passwörter nicht in den FTP-Programmen. Speichern Sie keine Passwörter in einem Programm, das anderen Benutzern als Ihnen Zugang gewährt.

---

3. Aktualisieren Sie Ihre WordPress-Website!

WordPress wird in regelmäßigen Abständen aktualisiert und damit werden Probleme behoben. Aufgetretene Sicherheitsprobleme werden behoben, und wenn Sie nicht aktualisieren, schaffen Sie Sicherheitslücken. Es ist wichtig, dass Sie Ihre WordPress-Installation auf dem neuesten Stand halten, vor allem bei Plugins und Themes.

Da dies der Fall ist, ist es auch eine gute Idee, alle Plugins zu entfernen, die nicht auf Ihrer Website verwendet werden. Sichern Sie Ihre Website immer, bevor Sie Änderungen vornehmen (Installation neuer Plugins, Anpassung des Themas, Aktualisierung von Plugins oder des Themas usw.).

---

4. Beste WordPress-Sicherheits-Plugins

Brauchen Sie ein WordPress Sicherheits-Plugin?

Ein starkes WordPress-Sicherheits-Plugin kann für eine nicht-technische Person viel bequemer und zeitsparender sein. Wenn Sie jedoch genügend Zeit haben und Ihre Website auch ohne ein Sicherheits-Plugin sichern möchten, können Sie die Tipps aus diesem Artikel (im Abschnitt “Fortgeschrittene”) befolgen.

Kostenloses oder Premium-WordPress-Sicherheits-Plugin?

Es ist nicht einfach, das für Ihre Einrichtung geeignete Plugin auszuwählen. Einige der Premium-Plugins sind geeignet, wenn Ihre WordPress-Daten für Ihr Unternehmen wichtig sind. Wenn Sie einen Hobby-Blog oder einen nicht-kommerziellen Blog betreiben, müssen Sie nicht in ein Premium-Plugin investieren. Denken Sie daran: Je wichtiger die Daten sind, die von WordPress verwaltet werden, desto strenger sollte Ihre Sicherheitseinrichtung sein.

Wie viele WordPress-Sicherheitsplugins sollte ich verwenden?

Kurze Antwort: So wenige wie möglich. Vermeiden Sie die Verwendung unnötiger Plugins und vergessen Sie nicht, die inaktiven zu löschen.

Ich habe viele Plugins aufgelistet, aus denen Sie wählen und die Sie in Ihrem Dashboard installieren können. Sie müssen jedoch nicht eine Vielzahl von Plugins installieren. Wenn Sie zum Beispiel die Geschwindigkeit Ihrer Website optimieren wollen, sollten Sie nicht 3 Cache-Plugins, 5 Bildoptimierer oder 500 CDN-Plugins installieren (Sie haben die Idee). Sie sollten ein Plugin verwenden, das viele Funktionen enthält (Bildoptimierung, Caching, Skriptoptimierung usw.). Das gilt auch für das Sicherheits-Plugin: Installieren Sie ein gutes Plugin und das war’s. Es ist unlogisch, 3 Plugins gleichzeitig für das gleiche Ziel zu verwenden. Bitte beachten Sie, dass einige Hoster bestimmte WordPress-Plugins nicht zulassen.

Welches ist das beste Sicherheits-Plugin für WordPress?

Um das beste Sicherheits-Plugin für Ihre WordPress-Website auszuwählen, sollten Sie die folgende Checkliste verwenden:

• Die Anzahl der Downloads. Wählen Sie das am häufigsten heruntergeladene Plugin.
• Wie viele Probleme auf der offiziellen Seite des Plugins, auf WordPress.org, gemeldet werden.
• Die Aktivität der Plugin-Autoren im Forum. Eine weitere gute Möglichkeit ist, auf Reddit nach ihm zu suchen.
• Die Anzahl der Updates für das Plugin.
• Ignorieren Sie die Sternebewertung des Plugins.
• Wie das Plugin eindeutige Namespace-Elemente verwendet.
• Wie das Plugin die Einstellungs-API in den Funktionen nutzt.
• Die Hooks, Filter und Aktionen innerhalb des Plugins.
• Ob das Plugin ordnungsgemäß bereinigte Daten und MySQL-Anweisungen hat.
• Die Plugins, die Nonces anstelle von Browser-Cookies verwenden. Wenn mehr als ein Plugin die gleiche Aufgabe erfüllt, wählen Sie das Plugin mit den meisten Downloads und Bewertungen.
• Der Ruf des Plugin-Autors in der WordPress-Commun

Dies sind die Kriterien, auf die Sie bei der Auswahl des Sicherheits-Plugins aus dem WordPress-Support-Repository achten sollten. Wenn Sie sich entscheiden, die Premium-Version des Plugins zu installieren, müssen Sie online nach Bewertungen suchen. Testen Sie auch das kostenlose Plugin oder den Testdienst, bevor Sie das Plugin kaufen.

a. Die besten WordPress-Sicherheits-Plugins im Jahr 2021 – Diejenigen, die ich persönlich verwendet habe

Im Folgenden zeige ich Ihnen die besten WordPress-Sicherheits-Plugins im Jahr 2021 und nicht nur. Die Installation einiger der wichtigsten Plugins aus der Liste unten kann die Sicherheit Ihrer WordPress-Einrichtung gewährleisten. Hier sind einige der Plugins, die ich persönlich auf vielen WordPress-Seiten verwendet habe.

Sucuri

Sucuri ist eines der meistgenutzten WordPress-Sicherheits-Plugins im Jahr 2021. Es gibt eine kostenlose und eine Premium-Version. Sucuri bietet auch Vorschläge zur Verbesserung der Sicherheit und Tweaks, um Ihre Website sicher zu halten. Sucuri Security hat die folgenden Funktionen: Auditing, Malware Scanner und Security Hardening.

Wordfence

Wordfence ist ein sehr unkompliziertes und einfach zu verwendendes Plugin. Es fungiert als Firewall und Antivirenprogramm und macht Vorschläge, wie Sie die Sicherheit Ihrer Website verbessern können. Schauen Sie sich unbedingt den Abschnitt “Live Traffic” an. Dort können Sie alle fehlgeschlagenen Anmeldeversuche auf Ihrer Website sehen, das ist überraschend.

iThemes Security (Früher Better WordPress Security)

iThemes Security Mit diesem Plugin erhalten Sie einen detaillierteren Überblick über die Möglichkeiten zum Schutz Ihrer Website und über kompliziertere Sicherheitsoptionen. Seien Sie vorsichtig, wenn Sie Einstellungen aktivieren, die mit anderen Themen oder Plugins in Konflikt geraten könnten. Diese sind im Systemstatus blau hervorgehoben.

b. Andere WordPress-Sicherheits-Plugins:

All In One WP Security & Firewall

Mit diesem Plugin können Sie einige grundlegende Sicherheitsüberprüfungen Ihrer WordPress-Einrichtung durchführen. Sie können einige Korrekturen auf Ihrer Plugin-Optionen-Seite vornehmen. Sie können dieses Plugin installieren, den Scan durchführen und die minimalen Sicherheitsprobleme beheben. Sobald Sie die grundlegenden Sicherheitsprobleme behoben haben, können Sie das Plugin deinstallieren.

Shield Security

WordPress Firewall verhindert SQL-Injection-Angriffe, Brute-Force-Angriffe und Spambot-Registrierungsangriffe. Außerdem werden Sie per E-Mail benachrichtigt, wenn ein Live-Angriff auf Ihrer Website stattfindet. Wenn Sie die E-Mail-Benachrichtigungen nicht mögen, können Sie sie deaktivieren. Das Programm verfügt außerdem über eine praktische Funktion, mit der Sie die IP-Adresse blockieren können, die regelmäßig versucht, Ihre WordPress-Einrichtung anzugreifen. Für zusätzlichen Schutz können Sie auch bestimmte IP-Adressen auf eine schwarze Liste setzen. Wenn Sie einige der IP-Adressen in eine Whitelist aufnehmen möchten, bietet das Plugin eine Option, mit der Sie dies tun können.

Block Bad Queries

Das Plugin Block Bad Queries wurde entwickelt, um die Anfrage-URI im WordPress-Dashboard zu überwachen. Auf diese Weise kann es einige der häufigsten Angriffe herausfiltern. Dieses Plugin prüft auf übermäßig lange Anfragestrings (d. h. mehr als 255 Zeichen) sowie auf das Vorhandensein von “eval(” oder “base64” in der Anfrage-URI. Block Bad Queries erfüllt eine völlig andere Aufgabe als WordPress Firewall 2. Daher ist es notwendig, dieses Plugin zusammen mit WordPress Firewall 2 zu installieren.

Website File Changes Monitor

Es verfolgt jede Änderung in der WordPress-Installation. Es protokolliert die Änderungen in den Dateien der WordPress-Verzeichnisse. Es benachrichtigt Sie über die Änderungen, die in den Dateien stattfinden. Wenn ein Hacker Zugang zu Ihren Themes und Plugins erhält und neue Informationen in eine der Dateien schreibt, erhalten Sie eine Benachrichtigung über die Änderungen. Dieses Plugin ist praktisch, um zu verstehen, welche Datei in den vorherigen Zustand zurückversetzt werden soll. Sie können die gesicherten Dateien verwenden, um die unbeeinflusste Datei an dieser Stelle wiederherzustellen. Um dies zu tun, müssen Sie ein anderes Backup-Plugin verwenden oder regelmäßig ein manuelles Backup durchführen.

Limit Login Attempts Reloaded

Installieren Sie das Plugin und legen Sie die Anzahl der Versuche auf der Plugin-Optionen-Seite fest. Sie können auch die Anzahl der Minuten einstellen, die die Sperre auf einer Anmeldeseite bestehen bleiben soll. Das Plugin protokolliert auch die Anzahl der Versuche und die Anzahl der Sperren, die gesetzt wurden.

AntiVirus

Das AntiVirus-Plugin hilft Ihnen bei der Einrichtung von WordPress, indem es die Dateien auf Malware und Viren überprüft. Dieses Plugin erkennt jede einzelne Datei-Änderung und meldet sie im Dashboard. Manchmal kommt es zu Fehlalarmen, wenn es eine Änderung in require_once, includes und anderen aktualisierten Snippets auslöst, die zwar echt sind, aber als bösartiger Code gemeldet werden. Wenn ein Thema eval, base64_decode oder shell_exec verwendet, wird es im Bericht gemeldet. Sie können dann solche Themes durch solche ersetzen, die einen sichereren Code haben.

BCRYPT

Installieren Sie das Plugin “bcrypt” für Passwörter Github Page. Dadurch wird die Stärke der verschlüsselten Kennwörter in Ihrer SQL-Datenbank erheblich verbessert.

Fail2Ban

Verwenden Sie fail2ban zusammen mit WP Fail2ban Redux. Auf diese Weise werden potenzielle Hacker, die Ihre Website nach Schwachstellen durchsuchen, frühzeitig erkannt und ausgeschlossen.

WP-Bruiser

WP-Bruiser wird hauptsächlich als No-Captcha-Methode verwendet, um Spam-Bots in Ihren Kommentar-, Kontakt-, Registrierungs- und Anmeldeformularen zu blockieren, enthält aber auch einige nützliche Brute-Force-Schutzmaßnahmen und eine Funktion, die Sie benachrichtigt, sobald sich ein Administrator anmeldet. Diese Funktionen sind kostenlos verfügbar. Dies ist eine großartige, leichtgewichtige Option.

 

c. WordPress Datenbank Backup Plugins:

Sie können sich viel Kopfzerbrechen über die Wiederherstellung Ihrer Website ersparen, wenn Sie regelmäßig Backups erstellen. Sie können einige der Plugins so programmieren, dass sie Ihre Website automatisch sichern, wenn Sie etwas veröffentlichen oder zu bestimmten Zeiten in der Woche. Wenn es um WordPress-Backups geht, gibt es eine Vielzahl von Lösungen. Hier werden wir drei Methoden besprechen: Plugins, gehostete Backup-Dienste und manuelle Backups.

WordPress-Backup-Plugins – Mit diesen Plugins können Sie Backups Ihrer WordPress-Beiträge, Kommentare und anderer Einstellungen erstellen und an einem beliebigen Ort speichern. Einige von ihnen bieten die Möglichkeit, Ihr Backup per E-Mail zu versenden oder es auf einen Remote-Server wie Amazon S3, Dropbox oder einen anderen Backup-Service hochzuladen.

Manuelles Backup – Bei dieser Methode müssen Sie selbst ein Backup der Einrichtung erstellen und es sicher aufbewahren. Sie müssen die gesicherten Daten an einem anderen Ort als auf dem Hosting-Server speichern. Es gibt kostenlose und kostenpflichtige Backup-Plugins für WordPress. Sie können eines auswählen, das Ihren Anforderungen entspricht.

Hosted Backup Service – Diese Dienste integrieren sich in die WordPress-Einrichtung und erstellen regelmäßig einen Schnappschuss der WordPress-Einrichtung. Es handelt sich im Grunde um Plugins, die mit dem Backup-Server verbunden sind. In diesem Artikel werde ich über die ersten beiden Methoden sprechen.

Die meisten der kostenlosen Plugins, die die Daten zu Dropbox hochladen oder per E-Mail versenden, werden von den Mitgliedern der WordPress-Community bevorzugt. Wenn Ihre WordPress-Daten kritisch sind, dann ist ein Abonnement eines Dienstes wie Vaultpress oder Codevault eine viel bessere Option. Sie können auch Premium-Plugins wie BackupBuddy oder Backupify verwenden, um Ihre Daten zu sichern.

Je wichtiger Ihre Daten sind, desto besser ist eine gehostete Lösung für Ihr Backup.

Hier sind einige der Backup-Plugins, die Ihre Backup- und Überwachungsanforderungen erfüllen können:

WP-DB Manager

Dieses kostenlose Plugin ist sehr praktisch, um Ihre Datenbank zu optimieren. Es sendet auch die Sicherungskopie per E-Mail an den Administrator oder einen bestimmten Benutzer. Das Plugin ist nicht einfach zu benutzen, da es keinen speziellen Punkt für den Neuling gibt, von dem er lernen und den er benutzen kann. Wenn Sie jedoch mit WordPress und seinen verschiedenen Plugin-Konfigurationen vertraut sind, ist es nicht schwer, das Plugin zu verwenden.

BackWPup

Dies ist ein kostenloses Plugin, das sehr praktisch ist, um Ihre Datenbanksicherung auf externe Dienste wie Dropbox, Amazon S3, Google Drive und einige andere Sicherungsdienste hochzuladen. Eine Wiederherstellungsoption für eine Neuinstallation ist im Plugin enthalten. Es hat keinen aktiven Support in den Foren, aber für ein kostenloses Plugin erledigt es seine Aufgabe und hat keine kritischen Bugs.

WP-DB-Backup

Sehr beliebt für das Sichern der Datenbank. Es ist sehr einfach, dieses Plugin zu verwenden. Es erledigt nur eine Aufgabe – die Sicherung der Kerndatenbank. Sie können den Ort der Sicherung nicht wählen. Sie können keine Beiträge und andere Dateien sichern. Es gibt nicht viel Unterstützung für dieses Plugin. Aber in Anbetracht der Benutzerfreundlichkeit und der schnellen Sicherung der Datenbank ist dieses Plugin perfekt für Neulinge, die keine anderen fortgeschrittenen Plugins verwenden können.

Manuelle Sicherung

Wenn Sie sich keine andere Methode des Sicherungsdienstes leisten können, können Sie Ihre WordPress-Website manuell auf Google Drive, Dropbox oder einem lokalen Computer sichern. Bei dieser Methode können Sie eines der Datenbank-Backup-Plugins verwenden, um das vom Plugin generierte Archiv herunterzuladen. Alternativ dazu können Sie auch die Daten aus dem Ordner /uploads sichern, um Bilder und andere Mediendateien zu sichern. Beiträge und Kommentare sowie die wichtigsten Einstellungen können mit den folgenden Anweisungen heruntergeladen werden.

Klicken Sie auf Tools und gehen Sie dann auf die Export-Seite. Auf dieser Seite müssen Sie alle Beiträge und Seiten auswählen und auf die Schaltfläche Exportieren klicken. Sie erhalten eine WXRS-Datei, die die Daten aus dem WordPress-Kern enthält. Dabei handelt es sich im Grunde um eine XML-Datei mit strukturierten Daten, die Sie zur Wiederherstellung Ihrer Beiträge verwenden können. Wenn Sie sich keine Premium-Plugins oder Dienste für die Sicherung leisten können. Sie können kostenlose Plugins verwenden, die das Backup auf Dropbox oder Google Drive speichern können. Diese beiden Backup-Dienste können Ihre Blog-Backups kostenlos hosten. Wenn Ihr Backup zufällig das Datenlimit dieser Dienste überschreitet, können Sie ein Jahresabonnement für die Speicherung abschließen.

Ich erwähne, dass ich ein Fan der manuellen WordPress-Sicherung bin, und ich empfehle nicht, irgendein Plugin in den Sicherungs-/Wiederherstellungsprozess einzubeziehen. Wenn Sie lernen möchten, wie Sie Ihre WordPress-Website manuell sichern können, schauen Sie hier nach: Wie Sie Ihre Website von cPanel aus sichern

---

5. Installieren Sie ein SSL-Zertifikat (Secure Sockets Layer):

Heutzutage haben Sie zwei Möglichkeiten für SSL-Zertifikate: Kostenloses SSL-Zertifikat und Premium SSL-Zertifikat.

Einer der besten Anbieter von kostenlosen SSL-Zertifikaten ist Let’s Encrypt. Der entsprechende Hosting-Provider des Jahres 2022 fügt diese Funktion kostenlos für seine Hosting-Kunden hinzu.

Bei den Premium-SSL-Zertifikaten haben Sie viele Möglichkeiten. Premium-SSL-Zertifikate sind eine erweiterte Form des Standard-SSL-Zertifikats, das von eCommerce-Websites zur Sicherung von Online-Transaktionen verwendet wird. Natürlich können Sie diese Art von SSL-Zertifikat auch für Ihre einfache WordPress-Site verwenden, aber für mittlere und große Sites, auf denen Menschen persönliche Daten, Kreditkarteninformationen usw. angeben, ist die Verwendung eines Premium-SSL-Zertifikats zwingend erforderlich.

Der Preis für ein Premium-SSL-Zertifikat beginnt bei $5/Jahr und reicht bis zu $1.999/Jahr für ein DigiCert (formerly by VeriSign) SSL certificate.

Warum sollte man ein SSL-Zertifikat verwenden?

Es wird nicht nur Ihre WordPress-Site sichern, sondern die Verwendung eines SSL-Zertifikats im Jahr 2022 ist ein MUSS. Ohne SSL sind Ihre Website-Besucher und Kunden einem höheren Risiko ausgesetzt, dass ihre Daten gestohlen werden. Auch die Sicherheit Ihrer Website ist ohne Verschlüsselung gefährdet. SSL schützt Ihre Website vor Phishing-Betrug, Datenmissbrauch und vielen anderen Bedrohungen. Letztendlich schafft es eine sichere Umgebung sowohl für Besucher als auch für Website-Besitzer.

---

6. Dateiberechtigungen

Jede Datei auf einem Linux- oder Unix-basierten Webserver hat Lese-, Schreib- und Ausführungsrechte. Die Benutzer, die auf diese Dateien zugreifen, werden in drei Gruppen eingeteilt: Benutzer (Eigentümer), Gruppe und die Welt. Sie können Ihre Website sicherer machen, wenn Sie die Dateiberechtigungen so einstellen, dass anonyme Benutzer und Gruppen sie nicht ändern können. Wie Sie sehen können, legt der Webserver standardmäßig einige Berechtigungsstufen für Sie fest. Allgemeine Berechtigungen, die Sie auf einem Webserver finden.

755 - Der Benutzer kann eine Datei lesen, schreiben und ausführen, während die Gruppe und die Welt die Datei ausführen und lesen können. 
644 - Der Benutzer kann lesen und schreiben, während die Gruppe und die Welt lesen können.
777 - Benutzer, Gruppe und die Welt können lesen, schreiben und ausführen.
400 - Benutzer kann nur lesen. Gruppe und Welt haben keine Berechtigungen.
444 - Alle Benutzerebenen können lesen.
600 - Benutzer kann lesen und schreiben, während Welt und Gruppe keine Berechtigungen haben.

Wie Sie an diesen Berechtigungen sehen können, sollten Sie bei 644 und 755 bleiben, wenn Sie die Berechtigungsstufen ändern. Standardmäßig setzt WordPress die Dateiberechtigung auf 644 und die Ordnerberechtigung auf 755.

Sie sollten niemals eine Datei oder einen Ordner auf die Berechtigung 777 setzen. Bei einigen Cache-Plug-ins müssen Sie die Berechtigung für den Plug-in-Ordner auf 755 setzen, wenn Ihr Webserver die Berechtigung 644 vorschreibt. Die Berechtigungseinstellungen variieren von einem Host zum anderen. Sie hängen auch von dem Betriebssystem ab, das auf dem Hosting-Account verwendet wird. Es kann sein, dass die Berechtigungsstufe für Windows-Server völlig anders eingestellt ist.

Wenn Sie die Dateien über FTP oder einen webbasierten Uploader auf den Webserver hochladen, überprüfen Sie die Berechtigungen.

---

7. Denken Sie über Cloud Managed WordPress Hosting Services nach

Das Hosten Ihrer WordPress-Plattform auf billigen, gemeinsam genutzten Servern kann Ihre Website einem größeren Risiko aussetzen – Sie haben keine Kontrolle darüber, was andere Benutzer auf demselben Server tun, und das kann Ihre Website möglicherweise gefährden.

Außerdem kann sich die Leistung mit der Zeit verschlechtern, wenn der Hosting-Anbieter mehr Nutzer auf dem Server hinzufügt und Sie untereinander um Ressourcen kämpfen müssen.

Warum sollte man ein billiges Shared WordPress Hosting vermeiden und ein teures wählen?

Ein guter gehosteter WordPress-Dienst kann dazu beitragen, dass Ihre Website schnell und sicher ist:

• Bereitstellung von ständig aktualisierten Servern/aktuellen Sicherheitspatches
• Bereitstellung einer Firewall (Software oder Hardware) – auch mit aktuellen Sicherheits-Patches
• Überwachung der Systemleistung auf ungewöhnliche Aktivitäten (Datenbankanfragen, Anmeldeversuche usw.)
• Techniker, die die Situation verstehen und sofortige Hilfe leisten können
• Sicherung und Wiederherstellung von Diensten im Falle einer gefährdeten Website

---

Erweiterte WordPress-Sicherheitstipps – Sichere WordPress-Website

ACHTUNG! SICHERN SIE IHRE WEBSITE, BEVOR SIE EINE DER FOLGENDEN ÄNDERUNGEN VORNEHMEN. MACHEN SIE AUSSERDEM NACH JEDER ÄNDERUNG, DIE SIE VORNEHMEN, EIN BACKUP, UM WICHTIGE ZEIT ZU SPAREN!

 

1. Hinzufügen einer Authentifizierungsschicht auf Serverebene

Wenn jeder auf Ihren /wp-admin-Anmeldebildschirm zugreifen kann, ist es für Hacker und Bots einfacher, Schaden anzurichten.

Eine zusätzliche Sicherheitsebene auf Serverebene stellt sicher, dass Sie der Einzige sind, der die Kontrolle darüber hat, wer auf /wp-admin zugreifen kann und wer nicht. Um eine WordPress-Website zu sichern, sollten Sie die folgenden Tipps befolgen:

Es gibt mehrere Möglichkeiten, dies zu tun:

a. IP-Beschränkung /wp-admin

Setzen Sie nur Ihre IP-Adresse (und die derjenigen, denen Sie vertrauen) in Ihrer .htaccess-Datei auf eine weiße Liste, um sicherzustellen, dass /wp-admin nur für autorisierte Personen zugänglich ist.

b. Fügen Sie diese Zeilen zu Ihrer .htaccess-Datei hinzu:

# ALLOW USER BY IP

order deny,allow
deny from all
allow from YOUR.IP.GOES.HERE
Find out your IP address here http://www.whatismyip.com/

c. Hinzufügen der HTTP-Authentifizierung zu /Wp-admin

Fügen Sie einen zusätzlichen Benutzernamen/Passwort-Zugang über .htpasswd zu /wp-admin hinzu. Die Benutzer können die WP-Anmeldeseite erst dann sehen, wenn sie den entsprechenden Benutzernamen und das Passwort auf der .htpasswd-Ebene angeben.

2. Beschränken Sie den Zugriff auf WP-CONFIG.PHP

Wenn Sie Zugriff auf die Datei haben, ändern Sie die Berechtigung auf 0644. Wenn Sie keinen Zugriff haben, bitten Sie Ihren Hosting-Anbieter, dies zu tun.

3. Stoppen Sie die Login-Hinweise:

Ich weiß nicht, warum WordPress diese Einstellung beibehält, aber Sie müssen sie so schnell wie möglich wieder loswerden. Um die Anmeldehinweise zu deaktivieren, müssen Sie den folgenden Code in die Datei Function.PHP einfügen:

function no_wordpress_errors(){
return 'What the heck are you doing?! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

4. WordPress Admin URL ändern

Gehen Sie folgendermaßen vor, um die WordPress-Admin-URL zu ändern:

1. Hinzufügen einer Konstante zur wp-confing.php

define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

2. Fügen Sie folgenden Filter in die functions.php ein

add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}

3. Fügen Sie der .htaccess-Datei Folgendes hinzu

RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]

 

Nach diesen Schritten wird Ihre WordPress-Admin-URL wie folgt aussehen: http://www.yoursite.com/hidden-folder/

---

Sichere WordPress-Website: Fazit

Obwohl die Zahl der Hackerangriffe auf WordPress stark zugenommen hat, können Sie Ihre Website mit ein paar Anpassungen und etwas Aufmerksamkeit vor Hackern schützen. Matthew Mullengweg, der Gründungsentwickler von WordPress, weist in seinem Blog darauf hin, dass Sie, wenn Sie Ihren Administrator-Benutzernamen ändern, ein sicheres Passwort verwenden und Ihre Website auf dem neuesten Stand halten, “99 % der Websites da draußen voraus sind und wahrscheinlich nie ein Problem haben werden”.