WordPress sicher machen

Das Sicherheitspaket Sucuri berichtet, dass 90% der Bereinigungsanfragen im Jahr 2018 von WordPress stammten. Wordpress sicher zu machen ist ist Dein Weg zu einer sicheren Webseite. Wir zeigen Dir, wie Dir das gelingt.

WordPress sicher machen – Wir zeigen Dir wie es geht!

Als weltweit führendes Content Management System (CMS) mit fast 65% Marktanteil führt WordPress laut Statista das Ranking der Top 10 CMS Systeme an. Jedoch ist kein System zu 100% sicher und so auch das beliebteste CMS nicht. Dadurch wird es regelmäßig zum Ziel für Angriffe aus dem Web. Nach Angaben von WordPress werden monatlich über 20 Milliarden WordPress-Seiten aufgerufen, weshalb es umso wichtiger ist, Deine Seite sofort für Dich und Deine Kunden vor Angreifern zu sichern!

Warum solltest Du WordPress absichern?

Jedes Unternehmen nutzt WordPress (WP) anders. Es bietet so viele Features und Anpassungsmöglichkeiten, dass das CMS für jede Firma anders gestaltet sein kann. Wir alle vertrauen WordPress zur Interaktion mit Benutzern so manche persönliche Information an. Man kann wohl getrost sagen, dass WordPress unser Unternehmen sehr gut kennt. Schließlich verwaltet das CMS unsere virtuelle Identität:

  • Wir verraten ihm, wer unsere Kunden sind, was sie mögen und was wir selbst mögen.
  • Wir enthüllen, was wir besonders gut können, machen davon sogar Bilder, Videos und Ratgebertexte.
  • Wir vermitteln nicht zuletzt unsere Werte über WordPress.

Unter all diesen Informationen befinden sich Geheimnisse wie Zahlungsdaten im Webshop oder Kundenprofile. Und hier sind auch Dateien gespeichert, die wir genauso veröffentlichen wollen – unbeeinträchtigt von der Zensur Dritter oder korrupten Links, die wir unseren Nutzern keinesfalls zumuten wollen.

Der Status der IT-Sicherheit lässt sich gut mit dem Besuch beim Zahnarzt vergleichen, denn auch hier gilt: Vorbeugen ist besser als heilen.

Damian Izdebski

Welcher Inhalt in WordPress besonders schützenswert ist, liest Du hier.

Wer in Deinem Webshop einkauft, vertraut darauf, dass Du seine Kreditkartennummer oder die Verbindung zu seinem PayPal-Login für sich behalten. Diese Daten musst Du lückenlos absichern.

Namen, Adressen, Telefonnummern, Email Adressen, Bestellhistorien, schriftliche Korrespondenz und eine lange Reihe weiterer persönlicher Informationen schlummert in so manchem WP-Setup. Deine Kunden und die Datenschutzverordnung (DSGVO) verlangen wasserdichte Sicherheitsvorkehrungen für den Umgang und die Speicherung dieser Informationen.

Du machst Dir ständig Gedanken, teilst Wissen, visualisierst Fertigkeiten und hast das Urheberrecht des Contents, den WordPress veröffentlicht. Diese Texte, Bilder, Grafiken und Videos sind Dein Eigentum und Du allein solltest entscheiden, wie es verwendet werden soll.

Die Geschichte Deines Unternehmens, Deine Werte und Mission, die Visual Identity, die ein einheitliches Bild von Deinem Unternehmen zeigt – das alles wird in besonderem Maße in WordPress gespeichert und gezeigt. Vermutlich hast Du dem CMS eigens für Dein Geschäft designte Logos und aufgenommene Fotos als Datei zur Veröffentlichung verfügbar gemacht. Diese Inhalte gehören Dir und Du entscheidest, wo sie wie gezeigt und genutzt werden.

Gerne helfen Dir unsere Experten Deine WordPress Seite sicher zu machen. Klicke dafür auf den folgenden Button:

Am Online Marketing arbeitet das Team von Kundenwachstum bestehend aus Lukas.
Am Online Marketing arbeitet das Team von Kundenwachstum bestehend aus Lukas.
Lukas Wojtke

Die Pandemie hat uns so deutlich wie noch nie gezeigt, dass die digitale Welt das Leben der potentiellen Kunden bestimmt. Deswegen ist es umso wichtiger, eine moderne und zielgerichtete Webseite zu haben.

Was wollen Angreifer auf Deiner WordPress-Seite?

Hacker sind nicht nur Kriminelle, die Großkonzernen und unserer nationalen Sicherheit an den Kragen wollen. Unter den WordPress-Angreifern finden sich vielmehr in großer Anzahl auch Bots, also Software Roboter, die in großem Stil das Internet durchsuchen. Den Robotern ist es eigentlich egal, ob sie genau Deine Webseite oder die Deines Konkurrenten hacken. Hauptsache, die dahinterstehenden Hacker gewinnen für sich einen Vorteil daraus oder richten bei Dir größtmöglichen Schaden dabei an.

Und warum kann das für Hacker interessant sein?

Du hast alles richtig gemacht. Deine Seite hat eine riesige Reichweite und überaus zufrieden stellenden Website Traffic. Google rankt Dich ganz oben, Interessenten und potenzielle Kunden finden Dich. Diese hervorragende Exponierung finden auch Hacker interessant. Denn die große Reichweite wollen manche Angreifer im Web als Plattform für eigene Werbung nutzen. Gern knacken Bots Deinen Nutzernamen und Dein Passwort und fügen entsprechendes php-Script ein. Ohne es zu ahnen, veröffentlichst Du plötzlich Online Banner oder auch Newsletter an die Benutzer Deiner Seite.

Lässt sich solch ein Eingriff denn nicht zum Verursacher zurückverfolgen? Unter welchem Nutzernamen das Script auf Deiner WP-Site hinterlassen wurde, weiß Deine wp-config-Datei. Welchem Shop oder welchem Brand die illegal gepflanzte Werbung nutzt, ist offensichtlich. Dies lässt jedoch keine Rückschlüsse auf den Bösewicht zu. Ein Hacker kann im Prinzip jede Internetadresse unter Deiner verlinken, ohne dass der Besitzer der Seite ihn darum gebeten oder die Erlaubnis dazu gegeben hat. Häufig führen falsche “Werbebanner” auch zu Seiten, die entweder Malware auf dem Gerät des Nutzers installieren oder ihn zu Zahlungen verlocken wollen.

Viele Betreiber von Homepages vertrauen deinem CMS eine Menge Informationen an. Das CMS verlangt ja auch danach: Newsletter können nur mit entsprechenden Email Adressen und den dazugehörigen Namen verschickt werden. Zum Segmentieren werden auch Alter, Wohnort, Familienstand und vieles mehr benötigt. Dein Webshop bietet einen besonders guten Service, wenn auch die früher getätigten Bestellungen hier gespeichert werden. Und damit der Kunde nicht bei jedem neuen Kauf wieder alles von vorne eingeben muss, speichert WordPress für ihn Lieferadressen und –Präferenzen.
All das sind nützliche Daten für Cybercriminals. Sie lassen sich auf dem schwarzen Markt zu Geld umwandeln. Hacker werden Deine Personendatenschutzverordnung entspannt ignorieren und die Daten Deiner Kunden verkaufen. Zugriff auf zahlungskräftige Kunden ist auf dem weltweiten Markt sehr wertvoll. Was an Daten in Deinem Content-Management-System gespeichert ist, kann für Hacker ein begehrtes Ziel sein. Damit setzt Du nicht nur Deine eigene WordPress-Website der Angriffsgefahr aus, sondern auch Deiner Kunden, Lieferanten und Geschäftspartner – alle die, deren Daten Du im CMS verwendest.

Verfügt Deine WP-Seite über ein Zahlungsmodul? Viele Nutzer verwenden Webshop Plugins für simple Bestellvorgänge. Nicht selten ist das CMS aber auch mit komplexeren, dann mit ERP oder internen Bestellsystemen integrierten Webshops ausgestattet. Damit lässt sich Online Handel einfach ausführen. WordPress stellt Features zur Verfügung, mit der Du auf einer Plattform einfach die Veröffentlichung von Blogartikeln, die Präsentation Deines Unternehmens und den Verkauf von Waren oder Dienstleistungen verbinden können. Das ist ein gewaltiger Vorteil. Es bedeutet aber auch, dass WordPress nun ein wichtiger Teil des Zahlungsprozesses Deiner Kunden wird. Denn hier werden Kreditkartennummern, Bankverbindungen und Anmeldeinformationen zu Bezahl-Services eingegeben. Das macht besonders das Bezahl-Modul zu einem Ziel für Angriffe. Sicherheitslücken an dieser Stelle sind fatal.
Aus diesem Grund sind auch die Sicherheitsvorkehrungen hier besonders hoch. Doch 100-prozentig sicher ist auch dieser Teil der WP-Welt nicht. Sollten Zahlungsdaten Deiner Kunden auf diesem Wege in die falschen Hände gelangen, musst Du höchstwahrscheinlich für Deine Sicherheitslücke geradestehen, auch wenn Cybercriminals die Übeltäter waren.

Ein Bot hat Phishing-Mails an Deine Nutzer versendet. Abgesehen davon, dass einige Deiner Kunden möglicherweise in eine böse Falle getappt sind, lässt das Kunden auch an Deiner Glaubwürdigkeit zweifeln. Wenn Hacker in der Lage sind, in Deinem Namen falsche Emails zu verschicken, welche Sicherheitslücken gibt es dann noch?

Andere Angriffe hinterlassen Malware in Deinem WP Back End. Vielleicht musst Du Deine Website offline stellen und kannst bis zur Lösung des Problems weder verkaufen noch Deinen Kunden und Geschäftspartnern zur Verfügung stehen. Dein Unternehmen kann auf diese Weise das Vertrauen etlicher Kunden verlieren. Auch Google hat ein Wörtchen mitzureden: Sollte die Suchmaschine Deiner WordPress-Seite als zu unsicher einstufen, verlierst Du Rankingpositionen. Du kannst noch so grandiose SEO Arbeit geleistet haben – Sicherheitslücken kosten Dich in kurzer Zeit mehr Punkte als hervorragender Content und OnPage Optimierung. Deinen Ruf wieder aufzubauen, das Sicherheitsrisiko zu beheben sowie neuen vorzubeugen, bringen hohe Kosten mit sich.

Bring Deine Website 2021 eine Ebene weiter!

90 Minuten gratis Beratung

Landingpage
erstellen

Durch ein überarbeitetes Webdesign Stammkunden begeistern und Neukunden gewinnen!

Website
erstellen

Präsentiere Dein Unternehmen noch professioneller und für Google optimiert!

Onlineshop
Website

Steigere Deine Onlineumsätze und gewinne neue Kunden dazu!

10 Tipps zum Absichern Deiner WordPress-Seite

Nun ist der Teufel mit aller Deutlichkeit an die Wand gemalt. Sorgfältig aufgebauter Content, ein erstklassiges Ranking in Google und ein zuverlässiger Ruf bei den Kunden können im Nu dahin sein, wenn der Schutz Deiner Seite nicht funktioniert. Attacken auf WordPress werden immer häufiger und können die Wirtschaftlichkeit und den Ruf eines Unternehmens erheblich schädigen. Die gute Nachricht ist: Sicherer Schutz in WordPress ist nicht aussichtslos. Hier bekommst Du guten, aber nicht teuren Rat, um sich vor Angriffen auf dem Cyberspace zu schützen. Wünschst Du Dir professionelle Hilfe beim WP Schutz, dann wende Dich gern an Deinen kompetenten Partner von KUNDENWACHSTUM.de.

Lies hier die zehn besten Tipps, um Sicherheitslücken zu vermeiden.

Dieser erste Tipp zum Absichern beim Login ist Dir sicher nicht neu, aber er ist genauso effektiv wie in allen anderen Zusammenhängen: Erstelle sichere Passwörter. Hacker probieren Passwörter nicht manuell eines nach dem anderen aus. Sie gehen maschinell ganze Wörterbücher in Sekundenschnelle durch. Je kürzer und unkomplizierter Dein Passwort ist, umso höher ist die Wahrscheinlichkeit, dass diese geknackt werden. Die Bedingungen für ein sicheres Passwort sind:

  • Es muss mindestens 10 Zeichen lang sein.
  • Es enthält sowohl Groß- als auch Kleinbuchstaben sowie Zahlen und Sonderzeichen.
  • Das Passwort oder Teile davon dürfen keinen Begriff ergeben und auch nicht in Wörterbüchern vorkommen.
  • Verwende unterschiedliche Passwörter für verschiedene Anwendungen.

Wie Du Dir Dein sicheres Passwort nicht merken kannst? Bau Dir eine Eselsbrücke! Kombiniere das Geburtsjahr mit dem zweiten Vornamen und den Konsonanten aus dem Lieblingsgericht Deiner Oma – herrlich gespickt mit Fragezeichen, Semikola und Währungssymbolen. Oder spiele mit der Postleitzahl Deines Lieblingsurlaubsortes – rückwärts natürlich – und dem mit Sonderzeichen verzierten Namen Deines Stammlokals.

Du hast mit einem php-Plugin wie Force Strong Passwords sogar die Möglichkeit, alle oder einige Deiner Nutzer zu starken Passwörtern zu zwingen, die die oben genannten Voraussetzungen erfüllen. Dieses Plugin lässt nur Passwörter zu, die den Sicherheitsbedingungen entsprechen und damit Dein WordPress bestmöglich schützen. Damit schließt Du eine der normalerweise größten Sicherheitslücken im CMS.

Und Du kannst sogar noch einen draufsetzen und Deinen Login mit CAPTCHA absichern. Die Abkürzung steht für „Completely Automated Public Turing Test to Tell Computers and Humans Apart “. Du bist diesem Roboter-Test sicher schon oft über den Weg gelaufen. Er dient Deiner und der Sicherheit Deiner Nutzer. Der Gedanke hinter CATCHA ist: Nur Menschen können die angezeigte, verformte Zeichenfolge entziffern. Auf diese Weise kannst Du absichern, dass der Login-Versuch von einem Menschen stammt. Entsprechende WP Plugins sind unter anderem Really Simple Captcha und Google Captcha.

Zum Wohle der Benutzerfreundlichkeit ist es sinnvoll, von Menschen lesbare Benutzernamen zu erstellen. Max Müller sollte seine Person in seinem Benutzernamen wiedererkennen können. Das gelingt mit MaxMueller ebenso wie MM1 oder MueMax. Das wichtigste bei der Wahl der Benutzer ist es, generische Namen wie „admin1“, „marketing“ oder „kontakt“ zu vermeiden. Diese sind nämlich für Eindringlinge leicht zu ermitteln. Das Gleiche gilt für Nutzernamen, die der Email Adresse entsprechen. Denn Mail-Adressen wie Max.Mueller@firma.de sind in der Regel einheitlich aufgebaut und häufig auf der Seite veröffentlicht. Denke auch an die Nutzernamen Deiner externen Mitarbeiter. Dass sich Deine drei Freiberufler das Login „freelancer“ teilen, ist ein absolutes No-Go.

Überlege Dir in diesem Zusammenhang auch, wer unbedingt einen Zugang zum CMS braucht. Natürlich ist es sinnvoll, dass alle relevanten Kollegen am CMS mitarbeiten können. Aber ein nur selten auf das CMS zugreifender Textlieferanten braucht nicht unbedingt ein Login. Der Sicherheit wäre besser damit gedient, dessen Texte von einem Stammmitarbeiter einpflegen zu lassen. Als Faustregel gilt: Je weniger Nutzer eingerichtet sind und je individueller deren Nutzernamen, umso besser schützt Du den WP-Zugang.

Die automatische Einstellung von WordPress für die URL des Admin-Bereiches ist „wp-admin“ oder „wp-login.php“. Das lässt sich auch von Externen leicht herausfinden. Zum Glück sieht WordPress vor, dass Du diese URL ändern kannst. Du kannst dazu das iThemes Security Plugin (https://wordpress.org/plugins/better-wp-security/) oder das Plugin mit dem Namen Rename WP-Login (https://wordpress.org/plugins/rename-wp-login/) nutzen. Es erlaubt Dir, Dein Login mit kleinen oder größeren Änderungen anzupassen. Wähle statt der Standard-Version einen Ausdruck wie „my_login.php“ oder „green-wp-login.php“. Damit kannst Du zuverlässig verhindern, dass Brute-Force-Angriffe die Login-Domain schnell erraten.

Wenn Du mehreren Autoren Zugriff auf Deinem Login-Bereich geben, ist das Risiko, Opfer eines Hacker-Angriffes zu werden, größer als wenn nur ein Nutzer zugreifen kann. Aus diesem Grund solltest Du den URL Aufbau Deines Login-Bereiches nur an vertrauenswürdige Empfänger senden und sicher sein, dass diese nicht weitergegeben oder gar veröffentlicht wird.

Wenn Du immer von bestimmten Arbeitsplätzen in das CMS einloggen, dann kannst Du die Beschränkung des Zugriffs auf bestimmte IP-Adressen eine große Hilfe sein. Mithilfe einer .htaccess-Datei kannst Du genau festlegen, welche Adressen welcher Endgeräte auf den Admin-Bereich Deines WordPress zugreifen dürfen. Du kannst dazu einen der diversen Htaccess-Editoren auf https://wordpress.org verwenden.

Du kannst hier mehrere unterschiedliche Adressen eingeben und diese natürlich auch ändern. Das heißt, Du kannst für jeden Mitarbeiter sowohl die IP-Adresse für den Büroarbeitsplatz, das Home Office und das Mobilgerät einstellen. Das grenzt den Zugriff von außen maßgeblich ein. Wenn Du sehr flexible Zugriffe von ständig wechselnden Geräten oder Mitarbeitern hast, kann diese Methode jedoch umständlich zu handhaben sein.

Die Standardeinstellung des CMS erlaubt eine unbeschränkte Anzahl von Login-Versuchen. Dies zu limiteren, ermöglicht Dir, das systematische Raten von Benutzernamen und Passwörtern weitgehend zu unterbinden. Mit dem Limit Login Attempts Plugin (https://wordpress.org/plugins/limit-login-attempts/) kannst Du festlegen, wie viele Login-Versuche in einem angegebenen Zeitraum erlaubt sind. Damit kannst Du die Möglichkeiten für Brute-Force-Angriffe stark verringern.

Überschreitet eine IP Adresse oder ein Benutzername die von Deiner vorgegebene Anzahl der Login-Versuche in einem bestimmten Zeitraum, dann wird Dir das CMS automatisch benachrichtigen. Du kannst dabei wählen, ob Du den Vorfall nur im Aussperrungsprotokoll angezeigt bekommen, eine E-Mail nach einer gewissen Anzahl Aussperrungen erhalten wollen oder beides. Diese Optionen kannst Du selbst im Limit Login Attempts Plugin einstellen.

Dein WP-Admin Verzeichnis (oder Directory) enthält alle Dateien, mit denen Du als Admin die Kernfunktionen im CMS ausführen kannst. Deshalb ist es sinnvoll, diesen Bereich noch einmal separat mit einem Passwort zu schützen. Erstelle hierfür unbedingt ein sicheres Passwort. Das heißt, dass ein bereits im Admin-Bereich eingeloggter Nutzer sich noch einmal anmelden muss, um in das WP-Admin Directory zu gelangen. Das lässt sich mit einem Plugin wie AskApache Password Protect (https://wordpress.org/plugins/askapache-password-protect/) relativ einfach bewerkstelligen. Als fortgeschrittener Nutzer kannst Du auch die htpasswd-Datei in Deiner WordPress-Anwendung selbst editieren.

Dieser Passwortschutz stellt einen zusätzlichen Sicherheitsschritt dar. Solch eine Vorgehensweise erhöht die Sicherheit für Deine wichtigsten Features markant. Im Admin-Bereich befinden sich natürlich auch Funktionen, auf die ein Admin häufig zugreifen muss. Diese sollten freigegeben sein, um den Arbeitsfluss nicht ständig unterbrechen zu müssen, während der besonders sicherheitskritische Bereich geschützt ist.

Für alle Homepages – und besonders für WordPress – ist ein Update auf HTTPS zu empfehlen. Der sichere Nachfolger von HTTP sorgt für einen undurchdringlichen Link zwischen Browser und Webserver. Das bedeutet, dass Daten bei Deinem Austausch nicht von einem sogenannten Lauscher abgefangen werden können – eine bedeutende Sicherheitslücke im Internet. Dabei bedarf es keines speziellen WP Plugins. Du erreichst die Umstellung auf HTTPS mit einem SSL Zertifikat. Erwirb die gewünschte Zertifikats Datei für Deine Domain und verknüpfen sie im Browser mit ihr.

HTTPS verbessert nicht nur die Sicherheit Deiner Seite, sondern auch Dein Google Ranking. Die Suchmaschine stuft Webseiten als sicherer ein, die HTTPS nutzen und damit auch die Benutzer schützen. Darüber hinaus fällt auch die Warnung weg, die verschiedene Browser Deiner Nutzern geben, wenn sie auf eine unsichere HTTP-Seite zugreifen wollen. Aus diesem Grund dürfte sich der Traffic auf Deiner HTTPS-Seite nach dem Update deutlich erhöhen.

Sollte ein Hacker dennoch eine Sicherheitslücke finden, dann musst Du dies so schnell wie möglich erfahren. Dabei helfen Dir Plugins wie Acunetix WP Security (https://wordpress.org/plugins/wp-security-scan/) oder Wordfence Security (https://wordpress.org/plugins/wordfence/). Wordfence überwacht als eines der bedeutendsten WP Sicherheits Plugins live Deine Dateien, scannt die gesamte Umgebung nach Angriffen und verfügt über sofortige Abwehrmechanismen. Das Plugin meldet Dir Änderungen sofort, damit Du reagieren und den Schaden begrenzen kannst.

Die genannten Sicherheitsmaßnahmen reduzieren die Wahrscheinlichkeit für einen Angriff deutlich. Solltest Du trotzdem Opfer einer Attacke werden, dann gilt es schnellstmöglich wieder betriebsbereit zu sein. Die erste Reaktion auf einen erkannten Angriff ist normalerweise, Deine WordPress Website vorübergehend vom Netz zu nehmen. Das begrenzt den Schaden für Dein Unternehmen und Deine Benutzer. Es kann jedoch Deinen Ruf und Dein Geschäft beeinträchtigen, tage- oder wochenlang offline zu sein. Deshalb solltest Du natürlich umgehend daran arbeiten, die Schäden zu beseitigen und weitere Hacks zu vermeiden.

Du brauchst aber auch ein aktuelles Backup Deiner Einstellungen und Deines Contents, damit Du schnell wieder online gehen kannst. Ein WordPress Backup enthält die Inhalte vor dem Eingriff und damit sichere Contents. Damit musst Du nicht wieder von vorne beginnen, sondern können auf die letzte sichere und funktionsfähige Version aus Deinem Backup zurückgreifen. Auch hier können verschiedene WordPress Plugins nützlich sein. Beispiele für gute Backup-Plugins sind: Vaultpress (https://wordpress.org/plugins/vaultpress/), Updraft Plus (https://wordpress.org/plugins/updraftplus/) oder blogVault (https://wordpress.org/plugins/blogvault-real-time-backup/).

Automatisiere am besten den Backup-Prozess für Deine Seite, damit er nicht an manuellen Tätigkeiten scheitert. Die genannten Plugins helfen Dir beim Backup und auch bei der eventuellen Wiederherstellung Deine Seite nach einem Angriff.

Nimm Updates Deiner WordPress-Installation und den Plugins immer ernst. Veraltete WordPress-Installationen oder Plugins lassen leichter Angreifer durch als die jeweils aktuelle. Das CMS und viele seiner Plugins helfen dabei, indem automatische, regelmäßige Updates schon voreingestellt sind. Stelle sicher, dass Du die aktuellste Version nutzt und Deine Produkte alle über das letzte Update verfügen. Auf der offiziellen WP-Seite kannst Du dich darüber informieren. Im Juni 2019 wurde die derzeit neue Version 5.2.2 der WordPress-Installation freigegeben.

Möchtest Du mehr darüber erfahren, wie Du Deine Seite sicher machen kannst? Gerne stehen wir Dir für weitere Fragen zur Seite und bieten Dir eine kostenlose Sichtbarkeitsanalyse für Deine SEO Maßnahmen an.

Detaillierte Auswertung und direkte Optimierungs-
vorschläge, komplett kostenlos und unverbindlich.

Detaillierte Auswertung und direkte Optimierungsvorschläge, komplett kostenlos und unverbindlich.

Fazit

In der digitalen Zeit sollte jedes Unternehmen eine eigene Website betreiben, die ein virtuelles Schaufenster im Web darstellt. Die WordPress Firmenseite ist damit wichtig für Geschäft und Umsatz. Aus diesem Grund ist es wichtig schwere Sicherheitslücken zu umgehen und Deine WordPress-Seite für Dich und Deine Nutzer sicher zu machen. Wie schon oben beschrieben gibt es diverse Maßnahmen, wie z. B. die Verteilung von sicheren Passwörtern, das Umstellen zu https oder auch die Aktualisierung der Plugins auf den neuesten Stand, die Du für eine sichere Webseite umsetzen kannst. Je mehr Maßnahmen realisiert werden, umso sicherer ist Deine Seite vor Angreifern!

Du hast Fragen zur Sicherung von WordPress?
Hier findest Du passende Antworten!

Es gibt einige Security Plugins für WordPress. Damit Du den Überblick nicht verlierst, stellen wir Dir die aus unserer Perspektive wichtigsten fünf vor, um Dich vor Hackern zu schützen:

  • Wordfence: Dieses Plugin beinhaltet neben einer doppelten Authentifizierung einen intensiven Malware-Check, der das gesamte System nach Schadcode Dateien durchsucht und über Gefahren informiert. Zusätzlich bannt es Brute-Force-Angriffe, den Versuch Passwörter zu hacken.
  • Sucuri Security: Sucuri bietet viele Schutzfunktionen: Malwarescans, Website Firewall und Blacklist-Überwachung. Die Sicherheitsmaßnahmen schützen Deine Webseite vor DDoS-Angriffen, Malware und Brute-Force-Attacken. Zudem hält Dir ein kompetenter Kundenservice den Rücken frei. Für Einsteiger bietet der Hersteller eine kostenlose Basisversion an.
  • iThemes Security: iThemes bietet 30 Funktionen Deine Website vor Hackern und Schadsoftware zu bewahren. Es schließt Lücken auf Deiner Seite und blockiert automatische Attacken. Neben Standardsicherheitsfunktionen bietet die Premiumversion eine starke Passwort-Erzwingung und die automatisierte Blockade verdächtiger Hacker.
  • All-in-One-WP-Sicherheit & Firewall: Das simpel zu verwendende Plugin schützt Deine Domain vor unterschiedlichen Angriffen: Beispielsweise erhältst Du bei falscher Passworteingabe Warnungen per E-Mail. Zudem blockt es Personen, die fehlerhafte Login-Informationen eingeben.
  • BulletProof Security: Durch den Einrichtungsassistenten fällt das Setup auch Anfängern leicht. Mit Anmeldesicherheit, Firewall-Sicherheit und Datenbanksicherheit, um nur einige Funktionen zu nennen, bietet es einen soliden Schutz. Vorteil: Alle Sicherheitsscans führt das Plugin automatisch durch.

Dass WordPress ein so gut bedienbares und populäres CMS ist, macht es leider zeitgleich zu einem häufigen Angriffsziel von Hackern. Die größten Schwachstellen finden sich dort, wo potenzielle Angreifer meistens erfolgreich ansetzen können:

  • Plugins: Die Hälfte aller Plugins ist veraltet. Selbst ein paar beliebte Erweiterungen haben Sicherheitslücken. Daneben veröffentlichen viele Anfänger unsaubere und unsichere WordPress Plugins. Deswegen ist es umso wichtiger, die Wahl des Plugins gewissenhaft zu treffen und dabei nicht zu sparen.
  • Brute-Force-Attacken: Um es diesen schwieriger zu machen, ist es wichtig seinen Admin mit einer .htpasswd abzusichern.
  • WordPress: Je älter die Version des CMS, desto größer sind auch die Schlupflöcher. Wer aber eine aktuelle Version von WordPress nutzt, sollte mit all den Updates auf der sicheren Seite sein.

Wenn Deine Website einem Hacker zum Opfer gefallen ist, musst Du schnell handeln Denn je eher Du den Hack und dessen Nachwirkungen bereinigst, desto weniger schwerwiegendes Chaos wird angerichtet. Diese Anzeichen sollten Dich alarmieren:

  • Du findest unerwünschte Texte, Bilder oder sonstige optisch auffälligen Veränderungen auf Deiner Startseite.
  • Die Geschwindigkeit Deiner Website ist gesunken, verursacht durch serverbelastende Schädigungen wie Brute-Force-Attacken, fremde Skripte für rechenintensive Aufgaben wie Kryptowährung-Mining oder auch Denial-of-Service-Angriffe, die Deine Website abstürzen lassen sollen.
  • Deine Website enthält Spam-Pop-Anzeigen, die Deine Besucher auf die Seite des Hackers weiterleiten, um mithilfe von Klickbetrug Geld zu ergaunern. Achtung: Oft werden Dir diese Popups nicht angezeigt.
  • Dein Website Traffic sinkt, wegen eines kriminellen Skripts auf Deiner Seite, das die User auf eine bösartige Website umleitet. Vielleicht hat Google dieses bereits erkannt und Deine Webseite zur Sicherheit auf die schwarze Liste gesetzt.
  • Du machst veränderte, neue oder entfernte Dateien auf Deiner Webseite ausfindig, wie beispielsweise Blogeinträge mit Lorem ipsum, oder schlimmeren Inhalten.
  • Es wurde ein neues Admin-Benutzerkonto hinzugefügt. Hat der Hacker erst mal die Administratorrechte, kann er immensen Schaden verursachen!
  • Du kannst Dich nicht mehr in Deine WordPress-Seite einloggen. Du wurdest als Admin entfernt, nachdem sich der Hacker durch ein neues Admin-Benutzerkonto Zugriff zu Deinem Backend verschafft hat.

Du möchtest noch mehr Wissen?

Weitere Tipps und interessante Artikel findest Du in unserer Ratgeber-Übersicht.

Beginnen Sie mit der Eingabe und drücken Sie Enter, um zu suchen