Es ist ein Glücksfall für Unheilstifter im Internet, wenn sie einen Weg finden, WordPress-Websites zu schädigen. Mit einem einzigen Trick im Ärmel können sie fast 30 % der Websites im Internet ins Visier nehmen. Das ist die Kehrseite der Tatsache, dass WordPress das beliebteste CMS ist. Als Website-Besitzer müssen wir proaktiv handeln und die Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um vor Hackern sicher zu sein. Ein wichtiger und einfach durchzuführender Schritt auf Ihrer Sicherheitscheckliste ist das Scannen von WordPress auf Schwachstellen.
Warum Sie WordPress auf Schwachstellen scannen sollten
- Ihre WordPress-Website ist möglicherweise der Aufbewahrungsort sensibler persönlicher Daten, die von den Benutzern übermittelt werden. Sie vertrauen darauf, dass Sie verhindern, dass diese Informationen in unerwünschte Hände geraten.
- Andere können Backlinks, Weiterleitungen, Werbung oder Banner von Websites, für die sie werben möchten, auf Ihrer Website platzieren.
- Benutzer mit unbefugtem Zugriff auf Ihre Website können Ihre Bandbreite verbrauchen, ohne dass Sie es merken.
- Solange sie nicht entdeckt wird, kann sich Malware auf Ihrer Website verstecken und Informationen sammeln. Sie kann Spam-E-Mails an andere verschicken und sie dabei ebenfalls infizieren. Dies kann dazu führen, dass Google und andere Sicherheitsdienste wie AVG oder Norton Ihre Website auf eine schwarze Liste setzen. Und wieder wissen Sie vielleicht nicht einmal davon.
- Reguläre Scans können einige Sicherheitsbedrohungen frühzeitig erkennen und verhindern, dass Ihre Website gehackt wird.
Wie man WordPress scannt
Ein grundlegender Scan nach Schwachstellen in Ihrer WordPress-Website ist weder schwierig noch teuer. Aber wie bei vielen anderen Dingen im Leben haben Sie auch hier die Wahl. Wenn es darum geht, WordPress auf Schwachstellen zu scannen, gibt es zwei Hauptmethoden.
Remote-Scanner sind Tools, die einen ersten Scan durchführen und eine Reihe von Sicherheitslücken aufdecken können. Sie sind eine Art Schnell-Check in Ihrem Sicherheitsregime. Die meisten Scanner funktionieren in der Regel auf die gleiche Art und Weise: Geben Sie einfach die URL Ihrer Website auf deren Webseite ein. Ihre Website, die im Browser sichtbar ist, wird in wenigen Augenblicken gescannt und ein Bericht erstellt. In diesem Bericht können viele Schwachstellen auftauchen. Einige Tools schlagen auch Abhilfemaßnahmen vor, die Sie durchführen können. Einige Remote-Scanner sind speziell für das Scannen von WordPress-Websites konzipiert, während andere einen WordPress-Scan in ihre Funktionsliste aufnehmen.
Wenn Sie dagegen ein Plugin installieren, greift es auf den Server in der Hosting-Umgebung zu, in der es sich befindet, und führt einen viel gründlicheren Scan durch. Ein Plugin bietet Optionen zum Einrichten von Scan-Regeln, Automatisierungen und vollständigen Scans, die in Ihre Datenbank eindringen, um die Sicherheit zu gewährleisten.
Der wichtige Unterschied zwischen den beiden ist, dass ein Remote-Scanner nur die endgültige gerenderte Version Ihrer Website betrachtet, so wie sie in Ihrem Browser erscheint (ähnlich wie ein Suchmaschinen-Bot). Im Gegensatz zu Plugins kann ein Remote-Scan nicht in Ihren Server hineinschauen, so dass jedes bösartige Element auf Ihrem Server unentdeckt bleiben könnte.
Es gibt viele kostenlose Remote-Scanner und kostenlose Plugins, die Ihre Website auf schädliche Software untersuchen können – sehen wir uns einige der besten an.
MalCare
Der erste auf unserer Liste ist MalCare, das kostenloses cloudbasiertes Scannen über sein kostenloses Plugin anbietet. Dieser hochmoderne WordPress-Site-Scanner untersucht alle Ihre Dateien und Ihre gesamte Datenbank, um selbst die komplexeste Malware zu finden. Und das Beste daran: Da MalCare die eigenen Cloud-Server nutzt, um nach Schwachstellen zu suchen, wird Ihre Website nicht verlangsamt.
MalCare bietet auch Premium-Pläne mit noch mehr Optionen für die Früherkennung, automatisches Scannen & und Entfernen von Malware, s, IP-Blockierung, empfohlene WordPress-Einstellungen (Deaktivieren des Datei-Editors, Schutz von Upload-Ordnern, Sicherheitsschlüssel usw.), nicht zugelassene Plugins und mehr. Und je nach Bedarf bieten sie sogar eine White-Label-Lösung mit benutzerdefinierten Berichten für Ihre Kunden an.
Sucuri SiteCheck
Sucuri ist ein bekannter Name im Bereich der Website-Sicherheit und erstellt regelmäßig umfassende Berichte über Sicherheitslücken. Der SiteCheck scannt alle Websites, einschließlich WordPress-Websites, und deckt bekannte Malware, veraltete Software und Website-Fehler auf. Außerdem erfahren Sie Ihren Blacklist-Status bei Diensten wie Google, AVG Antivirus, McAfee und Norton.
Der Scanner vergleicht alle Ihre Seiten mit der Sucuri-Datenbank und meldet jede Anomalie. Der Bericht enthält auch Empfehlungen, wie Sie mit diesen Anomalien umgehen sollten.
WP Sec Scan
Wenn Sie nach einem WordPress-spezifischen Scanner suchen, ist WP Sec genau das Richtige für Sie. Auf der Webseite haben Sie die Wahl – senden Sie Ihre Website-URL für einen Scan ein oder melden Sie sich für ein kostenloses / Premium-Konto an.
Ein kostenloses Konto berechtigt Sie zu einem automatischen wöchentlichen Scan. Wenn Sie mehrere WordPress-Websites verwalten, können Sie die Sicherheit aller Sites über ein einziges Dashboard im Auge behalten. Außerdem werden Sie per E-Mail benachrichtigt, wenn ein Fehler gefunden wird oder eine Aktualisierung Ihrer WordPress-Installation ansteht.
Ein grundlegender Bericht kann einige Sicherheitsmängel auflisten und Ihnen mitteilen, wie Sie diese beheben können. Sie können auch auf eine Aufzeichnung Ihrer Scan-Berichte zugreifen, um später darauf zurückgreifen zu können. WPScans unterhält eine umfangreiche Datenbank mit den neuesten Fehlern und Sicherheitsbedrohungen, was bedeutet, dass die häufigsten Bedrohungen mit diesem Scanner aufgespürt werden können.
WordPress Security Scan
WordPress Security Scan bietet ebenfalls zwei Optionen – eine kostenlose Basisversion und eine erweiterte Premiumversion. Es führt Überprüfungen durch, indem es eine Reihe von Seiten über reguläre Webanfragen aufruft und den entsprechenden HTML-Quelltext analysiert. Ein Scan deckt offensichtliche WordPress-Sicherheitslücken auf und empfiehlt sicherheitsrelevante Verbesserungen in der Konfiguration, die den Schutz vor zukünftigen Angriffen erhöhen können.
Der kostenlose Scan prüft die WordPress-Version, die Reputation des Hosts, die Geolocation und die Reputation der Website bei Google. Außerdem werden externe Links, die Liste der Plugins und die Verzeichnisindizierung von Plugins überprüft. Er listet die vorhandenen Iframes und das verlinkte Javascript auf, die beide zur Einschleusung von bösartigem Code verwendet werden können. Sie können dann jedes Skript untersuchen, das Ihnen nicht bekannt vorkommt.
First Site Guide
Der First Site Guide Scanner funktioniert ähnlich wie andere Scanner – geben Sie die URL Ihrer Website ein und klicken Sie auf die Schaltfläche Scan. Er prüft, ob Informationen über die WordPress-Version, Benutzernamen oder fehlgeschlagene Anmeldeversuche auffindbar sind.
Er prüft auch, ob die readme.html-Datei, die install.php- und die upgrade.php-Dateien über HTTP zugänglich sind und ob der Ordner uploads durchsuchbar ist. Für einen wirklich aussagekräftigen Scan, der über 40 Tests abdeckt, wird jedoch empfohlen, Security Ninja zu installieren.
Wordfence
Wordfence ist ein umfassendes Sicherheits-Plugin, das alles, was mit WordPress zu tun hat, auf Ihrer Website scannt, einschließlich Quellcode und Bilddateien. Wenn Sie die Option aktivieren, werden auch nicht-WordPress-bezogene Dateien gescannt. Der Threat Defense Feed wird ständig aktualisiert und von Scannern verwendet, um verdächtige Software zu identifizieren.
Ein Scan sucht nach mehr als 44.000 bekannten Schadprogrammen und Backdoors sowie nach Phishing-URLs in all Ihren Kommentaren, Beiträgen und Dateien. Darüber hinaus werden die Kerndateien, Themes und Plugins gescannt und mit den Dateien im WordPress-Repository verglichen.
Virus Total Scanner
Anstatt die URL Ihrer Website durch mehrere Scanner laufen zu lassen, können Sie sie an Virus Total, eine Tochtergesellschaft von Google, übermitteln. Es übernimmt die Aufgabe, die Ergebnisse eines Scans von mehreren Scannern wie Avira, Comodo, Sucuri und Qettera zusammenzufassen.
Der Vorteil einer solchen Methode besteht darin, dass Sie falsch positive Ergebnisse von Scannern leichter erkennen können. Sie werden wissen, ob eine harmlose Ressource fälschlicherweise als Malware eingestuft wird, wenn die URL durch mehrere Scanner läuft. Dieses Tool ist nicht WordPress-spezifisch, und alle Arten von Websites können den Scanner verwenden. Virus Total ist kein umfassendes Virentest-Tool, sondern ein Aggregator von Scan-Ergebnissen verschiedener Scanner.
Dateien und URLs, die bei Virus Total eingereicht werden, werden an Sicherheitsunternehmen weitergegeben, damit diese sie zur Verbesserung der allgemeinen Web-Sicherheit verwenden können.
Quttera
Quttera bietet zwar einen Online-Scan mit nur einem Klick, hat aber auch einen WordPress-spezifischen Scanner im Angebot, für den Sie das Plugin auf Ihre WordPress-Website herunterladen müssen.
Das Plugin durchsucht Ihre Website nach verdächtigen Skripten, bösartigen Medien und versteckten Bedrohungen und informiert Sie, wenn Sie auf einer schwarzen Liste stehen. Die Remote-Server von Quttera scannen die Daten. Nach Abschluss eines Scans erhalten Sie einen detaillierten Untersuchungsbericht, der Empfehlungen für Abhilfemaßnahmen enthält. Diese Berichte sind in die Kategorien „sauber“, „potenziell verdächtig“, „verdächtig“ und „bösartig“ eingeteilt und können von der Öffentlichkeit eingesehen werden.
Diese kostenlosen Online-Scanner und Plugins leisten eine grundlegende Arbeit bei der Aufdeckung von Malware und Schwachstellen. Für eine gründlichere Analyse und punktgenaue Empfehlungen zur Beseitigung von Schwachstellen sollten Sie sich die Premium-Tarife ansehen. In diesen Paketen sind Dienste wie Überwachung, Bereinigung und praktische Unterstützung bei Bedrohungen enthalten. Und wie ich bereits zu Beginn erwähnt habe, ist das Scannen Ihrer Website nur der erste Schritt zur Sicherheit von WordPress.