Die Sicherheit Ihrer WordPress-Partner-Website

WordPress-Affiliate-Websites sind ein bevorzugtes Ziel für Hacker, die Malware verbreiten, ein Botnet aufbauen oder auf böswillige Weise ein passives Einkommen erzielen wollen.

Aber es gibt bestimmte Dinge, die Sie tun können, um Ihre Chancen, zur Zielscheibe zu werden, drastisch zu verringern eines solchen bösartigen Angriffs.

Lassen Sie uns also diese einfach umzusetzenden Gegenmaßnahmen für Hacker kennenlernen, damit wir gemeinsam die Sicherheit Ihrer WordPress-Partnerseite verbessern können!

Verzichten Sie nicht auf sichere Passwörter

Die erste Ebene des Schutzes für Ihre WordPress-Partner-Website ist Ihr Passwort. Geben Sie sich nicht mit dem bloßen Mindestmaß an Sicherheit zufrieden. Wählen Sie ein Passwort, das sicher ist.

Wollen Sie ein Geheimnis wissen? Ein Passwort mit gemischter Groß- und Kleinschreibung, Zahlen und Sonderzeichen ist großartig... aber es ist nicht die stärkste Option. Die Länge des Passworts ist noch effektiver. Ein leicht zu merkender Satz wie "Janet hat den Teddybär in der Spielzeugkiste gefunden" würde dem durchschnittlichen Hacker genügen. 4 hundert Oktodezillionen Jahre mit Brute-Force zu knacken. Der gleiche Hacker würde "ymJl99%a!" in etwa 3 Wochen knacken. Die Länge spielt eine Rolle.

Natürlich können Sie das Beste aus beiden Welten in Form von langen und komplexe Passwörter, wenn Sie ein zentraler Passwort-Manager. Dann brauchen Sie sich nur noch ein einziges langes Passwort zu merken, um Zugang zu unendlich vielen sicheren Passwörtern für jede Website und jedes Konto zu haben, das Sie nutzen.

Endlich, Zwei-Faktor-Authentifizierung einschalten (2FA)! Dann braucht jemand sowohl Ihr Passwort als auch Ihr Authentifizierungsgerät, um voranzukommen. Sie finden viele verschiedene kostenlose Plugins für 2FA auf der WordPress-Plugins-Verzeichnis.

WTF ist WAF?

A Web-Anwendungs-Firewalloder WAF, ermöglicht Ihnen einen gewissen Schutz für Ihre WordPress-Partner-Website, und zwar sofort nach dem Auspacken. Es ist im Grunde filtert Anfragen die auf Ihre Website zugreifen, und suchen nach einigen der häufigsten Angriffsvektoren, die Hacker verwenden.

Cloudflare hat angekündigt, dass sie wollen, dass jeder kostenloser WAF-SchutzAlso nutzen Sie es aus! Und wenn Sie schon dabei sind, Ihr kostenloses Cloudflare-Konto kann Ihnen auch einen grundlegenden DDOS-Schutz bieten. Toll, nicht wahr?

SSL sollte automatisch sein

Secure Sockets Layer (SSL) ist für die Sicherung Ihrer WordPress-Site unerlässlich, insbesondere wenn es sich um eine eCommerce- oder Affiliate-Plattform handelt.

SSL verschlüsselt die Daten zwischen dem Server und dem Browser, wodurch sensible Informationen geschützt werden und das Vertrauen der Besucher gestärkt wird.

Um SSL auf Ihrer WordPress-Site zu aktivieren, erkundigen Sie sich zunächst bei Ihrem Hoster, ob SSL enthalten ist oder ob besondere Anweisungen erforderlich sind. Wählen und installieren Sie dann ein Zertifikat wie z. B. Let's EncryptKonfigurieren Sie WordPress so, dass es "https" verwendet, und bestätigen Sie die sichere Verbindung, indem Sie auf das Vorhängeschloss-Symbol in der Adressleiste des Browsers achten.

Wenn Sie Probleme haben, kann Ihnen das Support-Team Ihres Webhosters weiterhelfen.

Affiliate-Betrug stoppen

Manchmal gibt sich Ihr schlimmster Feind als Freund aus. Deshalb sollten Sie ein Affiliate-Management-Tool verwenden, das alles von Klickbetrug bis hin zu Cookie-Stuffing-Angriffen verhindert.

Die Coupon Affiliates Plugin verfügt über integrierte WordPress-Sicherheitstools für Partner-Websites, einschließlich Maßnahmen zur Betrugsbekämpfung. Sie können Lesen Sie hier mehr darüber.

Sobald Sie Coupon Affiliates installiert haben, sollten die meisten Betrugsversuche im Keim erstickt werden... wenn Sie Ihre Software auf dem neuesten Stand halten! Aber wie kann man das am besten tun?

Patch It Up!

Für die Sicherheit Ihrer Website ist es unerlässlich, dass Sie Ihre WordPress-Plugins, Themes und das Kernsystem auf dem neuesten Stand halten.

Diese Updates enthalten oft Patches für bekannte Sicherheitslücken, die von Hackern ausgenutzt werden könnten. Wenn Sie veraltete Versionen verwenden, machen Sie Ihre Website anfällig für Malware, Datenschutzverletzungen und andere böswillige Angriffe, die die Funktionalität Ihrer Website und die Daten Ihrer Nutzer stark beeinträchtigen können. Regelmäßige Aktualisierungen erhöhen nicht nur die Sicherheit, sondern bieten auch neue Funktionen und Verbesserungen, die die Leistung Ihrer Website und die Benutzerfreundlichkeit optimieren können.

Wenn Sie nicht in regelmäßigen Abständen manuell nach neuen Software-Patches suchen möchten, können Sie ein Patch-Management-System. Zum Beispiel, Patchstack hat eine kostenlose Stufe die Ihnen dabei helfen, alles für Ihre kleine oder mittlere WordPress-Website auf dem neuesten Stand zu halten. Wenn Sie das große Los ziehen, sind kostenpflichtige Stufen verfügbar, um komplexere Installationen zu automatisieren.

Es ist zu beachten, dass Coupon Affiliates Teil der Patchstack Programm zur Offenlegung von Schwachstellen. Das bedeutet, dass die Meldung und Integration von Coupon Affiliate-Sicherheitsfehlern und -Updates automatisch an Patchstack gemeldet und von diesem verwaltet wird.

Umkehrung der Situation

Eine weitere Komponente, die Sie berücksichtigen müssen, ist Bot-Schutz. Es gibt nichts Schlimmeres als automatisierte Angriffe, die gefälschte Nutzer, gefälschte Anfragen und gefälschte Chatbot-Interaktionen erzeugen. Das ist ein riesiger Zeitfresser.

Das Turnstile von Cloudflare ist ein kostenlose CAPTCHA-Alternative mit dem Sie die meisten der üblichen bösartigen Bots mühelos aussortieren können. Wenn Sie größer werden (und damit ein größeres Ziel), können Sie sich für einen der kostenpflichtigen Pläne entscheiden, um die ausgefeilteren Bots mit zusätzlichen Schutzstufen auszuschalten.

Wir haben eine WordPress Affiliate Drehkreuz Anleitung hier. Darin wird Ihnen der gesamte Implementierungsprozess gezeigt, so dass Sie vor gängigen automatisierten Angriffen auf Ihre Formulare geschützt sind.

Boot The Idlers

Um potenzielle Probleme durch Benutzer, die sich unvorsichtigerweise an Gastterminals anmelden, sowie potenzielle Denial-of-Resource-Angriffe zu vermeiden, sollten Sie ein Programm installieren, das automatisch erzwingt eine Abmeldung, wenn jemand im Leerlauf ist zu lange.

Die Inaktives Logout-Plugin ist hierfür hervorragend geeignet. Sie können benutzerdefinierte Timeouts für höhere Rollen festlegen, wenn Sie möchten, dass Administratoren längere Leerlaufzeiten haben. Es funktioniert auch mit WooCommerce, die Bereitstellung, dass zusätzliche Schicht des Schutzes.

Keine Brute-Force-Angriffe zulassen

Es ist ratsam, ein mehr strenge Richtlinie für fehlgeschlagene Anmeldungen als die Standardeinstellung von WordPress. Sie wollen nicht, dass jemand das Passwort eines Benutzers erraten kann. Daher ist es ratsam, die Anzahl der Anmeldeversuche zu begrenzen und die Timeouts bei mehreren Fehlversuchen zu verlängern.

Ein Plugin wie Anmeldung LockDown ist in diesem Fall Ihr bester Freund. Damit können Sie fast alles über fehlgeschlagene Anmeldeversuche anpassen.

Eine weitere großartige Option zum Schutz Ihrer Anmeldeformulare vor Brute-Force-Angriffen und Spam ist die Einfaches Cloudflare-Drehkreuz Plugin.

Holen Sie sich professionelle Hilfe, wenn Sie sie brauchen

Und schließlich, wenn Sie nur jemanden wollen sonst um Ihre Sicherheit zu gewährleisten, können Sie eine WordPress-Pflegeplan.

Ein Beispiel hierfür ist RelyWP. Ihr Paket umfasst die Verwaltung der WordPress-Installation und -Wartung, automatische Tests und Malware-Scans.

Sie erhalten außerdem sichere Cloud-Backupswas hilfreich ist, weil es als einfacher Notfallplan dient. Wenn das Schlimmste passiert (z. B. wenn Ihr Hosting-Provider den Betrieb einstellt oder ein massiver Zero-Day-Hack Millionen von WordPress-Websites auf der ganzen Welt trifft), haben Sie eine Sicherungskopie Ihrer Website bei einem unabhängigen Cloud-Dienst, die wiederhergestellt werden kann, sobald ein sicherer Host verfügbar ist.

Sehen Sie sich RelyWP's Servicepläne an hier.

Ein letztes Wort

Denken Sie daran, dass Betrüger oft Social-Engineering-Angriffe versuchen, in der Hoffnung, dass Sie einfach sagen Sie Ihr Passwort oder die Daten der Zwei-Faktor-Authentifizierung. Geben Sie diese Informationen niemals an Dritte weiter. Echte Support-Techniker, die Ihre Website verwalten, können Ihr Passwort einfach für Sie zurücksetzen, sie müssen Sie nie danach fragen. Seien Sie vorsichtig da draußen!

Bill Ricardi

Bill Ricardi ist ein ehemaliger Systemadministrator aus dem Silicon Valley und uTest's Performance Tester of the Year 2010. Er war Testmanager bei Deloitte, bevor er 2017 Vollzeitautor wurde. Außerdem schreibt er regelmäßig Beiträge für den Coupon Affiliates Blog.