Kannst du nachts nicht mehr schlafen, weil du dich um die Sicherheit deiner Website sorgst und das Kissen vollschwitzt?
Oder denkst du, dass deine Website für Hacker uninteressant ist? Du bist ja nicht die deutsche Bank, sondern nur ein/e kleine/r Selbstständige/r?
WordPress ist das weltweit verbreitetste Content Management System. Darum ist es auch das beliebteste Ziel für Hacker. Dabei gehen Hacker nicht zielgerichtet vor. Sie greifen auch die kleine Website von Frauke Müller an.
Warum sollten Hacker das tun?
Stell dir einen kleinen Gauner vor, der in deinen Keller eingebrochen ist und dort seine Drogen bunkert, um sie dann woanders zu verkaufen. So ähnlich können Hacker deine Website nutzen. Zum Beispiel indem sie von dort tausende Spam-Nachrichten verschicken.
Das willst du nicht?
Gut!
Dann findest du hier 11 einfache Schritte wie du die Sicherheit von WordPress schnell erhöhst.
1. Verwende einen cleveren Benutzernamen und ein sicheres Passwort
Eine einfache Maßnahme, die von vielen unterschätzt wird. Falls du das nicht glaubst: 2018 war das beliebteste Passwort „123456“. Hacker knacken das schneller als du WordPress sagen kannst.
Wie erstellst du ein sicheres Passwort?
- Ein sicheres Passwort sollte aus einer Kombination von Großbuchstaben, Kleinbuchstaben, Sonderzeichen (z.B. !“§$%&) und Zahlen bestehen. Je mehr Zeichen es hat, desto sicherer ist es. Die Verbraucherzentrale empfiehlt mindestens 10 Zeichen zu verwenden. Ich halte mich an mein Passwort-Generator-Tool (KeePass). Dieses sieht erst Passwörter mit 20 Zeichen als stark an.
- Verwende das Passwort nur für den Adminbereich deiner Website und nicht für andere Zugänge.
Wie erstellst du einen cleveren Benutzernamen?
- Auf keinen Fall solltest du einen Benutzernamen wie admin, administrator, admin12345, login oder den Namen deines Hundes verwenden.
- Suche dir einen Benutzernamen, der etwas kryptisch ist, z.B. mawapz4136 – ja, das sieht ein bisschen wie ein Passwort aus und ist auch nicht ganz so einfach zu merken wie admin12345, dafür ist es aber sicherer.
Wie sollst du dir das merken?
Am besten du nutzt ein Passwort-Programm wie LastPass oder KeePass. Solche Programme sind oft kostenlos nutzbar und sicher. Sie speichern alle deine Passwörter und Benutzernamen und bieten sogar die Möglichkeit, sichere Passwörter generieren zu lassen.
Alles was du dir merken muss, ist das Passwort für das Passwort-Tool. Hier solltest du natürlich ein sicheres Passwort wählen, denn sonst sind alle anderen Passwörter leicht zugänglich.
2. Aktualisiere regelmäßig deine Plugins, Themes und WordPress-Installation
Halte deine Plugins, Themes und die WordPress-Installation immer auf dem neuesten Stand.
Updates enthalten meist unverzichtbare Sicherheitspatches und Funktionen, die zum Ausführen von neueren Plugins notwendig sind.
Über 50% der WordPress-Webseiten werden aufgrund von Schwachstellen in Plugins gehackt. Stelle sicher, dass du das Risiko ebenfalls Ziel eines solchen Angriffs wirst, minimierst.
3. Deinstalliere deaktivierte Plugins
Auch deaktivierte Plugins stellen ein Sicherheitsrisiko dar. Lösche sie daher, wenn du sie gerade nicht brauchst. Du kannst sie wieder installieren, wenn du sie benötigst.
4. Verwende möglichst wenig Plugins
Jedes Plugin birgt ein Sicherheitsrisiko. Installiere daher so wenig wie möglich Plugins.
5. Installiere nur vertrauenswürdige Plugins und Themes
Verwende nur Plugins und Themes, die vertrauenswürdig sind. Denn veraltete Plugins und Themes stellen immer ein Sicherheitsrisiko dar.
Woran erkennst du, ob ein Plugin oder Theme vertrauenswürdig ist?
- Es wird regelmäßig aktualisiert
- Es wird auf vielen WordPress-Installationen genutzt
- Es hat überwiegend sehr gute Bewertungen
- Es ist mit deiner WordPress-Version kompatibel
6. Nutze die Zwei-Faktor-Authentifizierung für WordPress und deinen Hoster
Egal wie sicher dein Passwort ist, es besteht immer die Gefahr, dass es gehackt wird. Bei der Zwei-Faktor-Authentifizierung benötigst du nicht nur dein Passwort zum Einloggen, sondern noch eine zweite Methode. Meist handelt es sich um eine SMS, einen Telefonanruf oder ein zeitbasiertes Einmalpasswort.
Ein Angreifer müsste zum Einloggen sowohl über dein Passwort als auch über dein Handy verfügen – was sehr unwahrscheinlich ist.
Nutze die Zwei-Faktor-Authentifizierung sowohl für deinen Hoster als auch für WordPress. Ja, auch beim Hoster. Denn wenn ein Angreifer Zugriff auf das Konto bei deinem Hoster bekommt, kann er deine Passwörter ändern, Webseiten löschen, DNS-Einträge ändern…
Falls du nicht weißt, wie du die Zwei-Faktor-Authentifizierung bei deinem Hoster einrichtest bzw. ob er diese überhaupt anbietet, wende dich an den Support oder beauftrage jemanden, der sich damit auskennt.
Um die Zwei-Faktor-Authentifizierung für WordPress zu nutzen, kannst du Plugins wie z.B.
Zugegeben: Das ist aufwendiger als nur ein Passwort einzugeben. Aber glaub mir, eine gehackte Webseite wieder zu bereinigen, dauert wesentlich länger und kostet mehr Nerven.
7. Verwende sichere Verbindungen für die Datenübertragung
Verwende SFTP oder SSH für die Übertragung deiner Daten auf den Webserver. Das ist sicherer als die Standard-Methode über FTP und wird von den meisten Hostern angeboten. Falls möglich deaktiviere FTP über das Dashboard deines Hosters.
8. Verwende ein sicheres Hosting
Für die Sicherheit auf Webserver-Ebene ist dein WordPress Host verantwortlich. Spare hier nicht am falschen Ende.
Gutes Hosting für WordPress-Seiten bieten z.B. Raidboxes oder webgo an.
9. Mache regelmäßig Backups
Falls es doch zum Schlimmsten kommt und deine Seite gehackt wird, wirst du froh sein, wenn du ein aktuelles Backup deiner Webseite hast.
Einige Hoster bieten einen Backup-Service an. Erkundige dich, ob deiner dazu gehört. Falls nicht, solltest du regelmäßig Backups erstellen.
Am einfachsten ist dies, wenn du dazu ein Plugin wie z.B. Updraft Plus verwendest. Du kannst deine Backups auch per Hand machen, was jedoch mühsamer ist und oft zu unregelmäßig erfolgt, weil andere Dinge wichtiger erscheinen.
10. Aktualisiere regelmäßig die PHP-Version
Veraltete PHP-Versionen bergen immer Sicherheitslücken. Du kannst die Sicherheit deiner WordPress-Seite erhöhen, indem du die PHP-Version auf deinem Server verwendest. Bei den meisten Hostern kann man das ganz schnell mit einem Klick erledigen. Falls du die Einstellung nicht findest, wende dich an den Support deines Hosters oder beauftrage jemanden damit, der sich damit auskennt.
Übrigens wird deine Webseite mit einer neueren Version von PHP auch schneller laufen. Damit verringerst du die Ladezeit deiner Webseite.
11. Verwende ein Sicherheits-Plugin
Verwende ein Sicherheits-Plugin, um die Sicherheit deiner WordPress-Seite zusätzlich zu erhöhen.
Ich kann folgende Plugins empfehlen:
iThemes Security
Einsteigerfreundlich, da die Sicherheitsregeln mit einem Klick aktiviert werden können. Besitzt keine eigene Firewall, daher solltest du das Plugin am besten in Kombination mit dem Plugin Black Bad Queries verwenden (siehe unten).
Wordfence
Eines der bekanntesten Sicherheits-Plugins. Es scannt deine Website auch regelmäßig nach Schadsoftware.
Block Bad Queries
Ein einfaches und einsteigerfreundliches Plugin, da es keinerlei Konfiguration benötigt. Es handelt sich um ein Firewall-Plugin, welches dich gegen schädliche URL-Requests schützt und bekannte Angriffsversuche abblockt.