Du betriebst eine Affiliate-Seite und mit dem Erfolg steigen auch die Angreife auf deine Seite. WordPress ist das beliebteste CMS und entsprechend hoch sind auch die Angriffe, die auf WordPress-Seiten ausgeführt werden.
Den Großteil der Angriff passieren im Hintergrund und sind erfolglos. Doch geht mal ein Angriff durch, sind die Folgen für viele verehrend. Von Datendiebstahl bis zur Übernahme der Webseite ist alles möglich. Wie ich mich schütze und was du für deine Seite tun kannst, zeige ich dir in diesem Beitrag.
Für regelmäßig Updates durch
Es klingt zu einfach, doch machen es viele Webseiten-Besitzer nicht. Deine Webseite auf den neuesten Stand zu halten, gehört mit zu den wichtigsten Aktionen, die du durchführen solltest.
Ich prüfe meine Seiten im Regelfall alle 3-4 Tage auf neue Updates. In diesem Zuge führe ich auch ein Backup durch.
Zu den Updates gehört das WordPress als System, die Themes (Designs) und natürlich auch die Plugins.
Sollten einmal Schwachstellen im System, Themes oder Plugins gefunden werden, reagieren die meisten Entwickler sehr zügig und beheben den Fehler mit einem Update. Umso wichtiger ist es auch, dass du Themes und Plugins von aktiven Entwicklern verwendest. Ein Plugin was seit mehreren Monaten nicht mehr aktualisiert wurde, kann schon viele Türen für potenzielle Angreifer öffnen.
Mein Tipp: Aktualisiere regelmäßig deine Themes und Plugins und prüfe hin und wieder ab zu deinen Plugins auch noch Updates erscheinen und ob der Entwickler noch aktiv ist.
Halte deine PHP-Version aktuell
PHP gehört zu einem wichtigen Teil deiner Webseite und ist im Regelfall Bestandteil von deinem Hosting. PHP wird durch seine Versionen unterschieden. So gibt es aktuell PHP 7.4 und 8.1.
Eine PHP-Version wird im Schnitt zwei Jahre mit Updates versorgt. Dazu gehört das Beheben von Sicherheitsproblemen sowie etwaige Fehler. Es gibt immer noch viele Webseiten, die auf einen Stand vor 7.2 laufen.
Daher mein Tipp: Halte deine PHP-Version im auf dem Laufenden. Bei all-inkl. kannst du das unter der technischen Verwaltung -> Domain und dann auf Bearbeiten bei Aktion durchführen. Es sind nur wenige und einfache Klicks und tragen erheblich zu der Sicherheit von deiner Webseite bei.
Führe regelmäßige Backups deiner Affiliate-Seite durch
Manchmal geht es doch schneller als man es erwartet und die Seite wird gehackt. Der Angreifer hat deine Seite übernommen, den Inhalt gelöscht und verlinkt auf eine andere Seite.
Das passiert häufiger als man denkt und kann zur großen Verzweiflung sorgen. Hier ist es Gold wert, wenn du ein aktuelles Backup deiner Affiliate-Seite besitzt.
So kannst du nach dem Beseitigen der Probleme das Backup einspielen und kommst damit recht zeitnah wieder auf deinen alten Stand. Ein Backup kann dir aber auch bei Fehlerhaften Updates oder misslungenen Experimenten auf deiner Seite helfen.
Mein Tipp: Führe regelmäßig Backups von deiner Seite durch. Ich erstelle ein Backup alle 3-4 Tage. Für die Backups verwende ich das WordPress Plugin: „updraftplus“. In der kostenlosen Version kannst du so das Backup auch in einer Cloud ablegen, ich bevorzuge hier Google Drive. In der kostenpflichtigen Version kannst du auch ein automatisches Backup anlegen lassen.
Verwende so wenig Plugins auf deiner Affiliate-Seite wie möglich
Wie oben bereits angesprochen, können Plugins und Theme eine Sicherheitslücke für deine WordPress-Installation darstellen. Je mehr Plugins du installiert hast, umso höher ist die Wahrscheinlichkeit, dass ein Angriff über eines dieser Plugins erfolgt.
Du hast Plugins, die du auf deiner Seite nicht verwendest und nur mal getestet hast? Deaktiviere und lösche sie. Das wirkt sich auch positiv auf deine Webseitengeschwindigkeit aus und das wiederrum ist positiv für dein Suchmaschinen-Ranking.
Frei nach der Devise: Weniger ist mehr!
Mein Tipp: Reduziere deine aktiven und verwendeten Plugins auf ein Minimum. Verwende nur so viele wie auch wirklich nötig.
Ändere deinen WordPress Login-Pfad und nutze eine Firewall
Ja ich weiß, im darüber rate ich dir, so wenig wie möglich Plugins zu verwenden. Doch zwei Plugins für die Sicherheit deiner Seite möchte ich dir trotzdem empfehlen.
Es ist wichtig das du für deinen Login einen sicheren Benutzername und Kennwort verwendest. Was heißt das? Viele nutzen den Benutzernamen „admin“. Das Wissen auch die Hacker und benötigen dann nur noch das Kennwort.
So einfach soll es aber nicht sein. Nimm daher einen schwierigen und nicht so leicht zu erratenen Benutzernamen. Wenn du dir keinen ausdenken möchtest, kannst du auch diesen kostenfreien Benutzernamen-Generator (https://www.lastpass.com/de/username-generator) verwenden.
Das gleiche gilt für dein Passwort. 123456 ist keine gute Kombination, um deine Seite zu schützen. Verwende auch hier eine Kennwort-Generator. Bei all-inkl. wird dieser direkt bei der WordPress-Installation angeboten. Alternativ kannst du auch diesen kostenlosen Passwort-Generator (https://www.lastpass.com/de/password-generator)verwenden.
Kleiner Tipp am Rande: Du bist es leid dir alle Kennwörter zu merken und hast schon lange die Übersicht verloren? Für diesen Fall helfen dir sogenannte Passwortverwalter. Diese sind aber im Regelfall kostenpflichtig. Meine Empfehlungen sind:
- LastPass (https://www.lastpass.com/de)
- SafeInCloud (https://safe-in-cloud.com/en/)
Ich benutze SafeInCloud und kann es empfehlen.
So, nun aber zurück zum eigentlichen Tipp. Um deinen Login zu schützen sind starke Benutzernamen und Kennwörter eine Möglichkeit, eine weitere ist, den Login-Pfad zu verstecken.
Bei der Standard-Installation von WordPress ist der Login Pfad wie folgt: deinseite.de/wp-admin
Das Wissen auch deine Angreifer und haben ein leichtes Spiel. Mach es ihnen schwerer und verwende einen anderen Login Pfad.
Um das Umzusetzen, verwenden wir das Plugin: WPS Hide Login. Nachdem du das Plugin installiert hast, kannst du unter: Einstellungen -> Allgemein -> „Login url“ den Pfad nach deinen Wünschen anpassen. Meine Empfehlung: verwende auch hier etwas Ungewöhnliches und nicht nur login oder Anmeldung. Je umfangreicher, umso schwerer machst du es dem Angreifer.
Der alte Login Pfad läuft danach auf die 404 Seite, du kannst hier aber auch jede andere Seite verwenden.
Solltest du den Login Pfad einmal vergessen, dann keine Sorge. Auf deinem FTP Server musst du nur unter Plugins den Ordner von WPS Hide löschen, danach funktioniert der Standard-Pfad von WordPress wieder.
Als weitere Maßnahme nutze ich das Plugin mit dem Namen: „NinjaFirewall (WP Edition)“. Dieses Plugin gehört zu den beliebtesten Sicherheits-Plugins. Du musst es nur unter Einstellungen aktivieren und die wichtigsten Einstellungen sind bereits voreingestellt. Das erleichtert du Benutzung vor allen bei Anfängern oder Personen, die sich mit den Details nicht beschäftigen möchten.
Eine sehr gute Anleitung zu dem Plugin bekommst du auf dieser Seite. (https://www.projekt-rootserver.de/wordpress-plugin-ninja-firewall-konfigurieren/2019/09/)
Mein Tipp: Verwende für deine WordPress Instanz einen starken benutzernamen, ein starkes Kennwort und ändere den Login Pfad. Mit der Ninja Firewall bekommst du noch ein mächtiges Plugin für mehr Sicherheit.
Zusammenfassung für mehr Sicherheit deiner Affiliate-Seite und wie du sie vor Angriffen schützen kannst
Mit diesen 5 Tipps bist du gut aufgestellt und kannst deine Affiliate-Seite vor den meisten Angriffen schützen. Ich verwende diese Methoden schon seit Anfang an fühle mich damit bestens geschützt.
Ich fasse die Maßnahmen nochmal zusammen:
- Aktualisiere regelmäßig dein WordPress, PHP, Themes und Plugins.
- Erstelle regelmäßig Backups.
- Verwende nur so viele Plugins wie nötig und achte dabei auf die Entwicklungsintervalle. Wenn ein Plugin lange Zeit nicht mehr aktualisiert wurde, ist das kein gutes Zeichen.
- Verwende einen starken Benutzernamen und ein sicheres Kennwort.
- Ändere deinen Login Pfad.
- Nutze die Ninja Firewall und schütze ich dich gegen einen Großteil der Angriffe.
Ich hoffe das dir die Tipps geholfen haben und du von Angriffen und fremden Übernahmen verschont bleibst.