11 einfache Schritte, mit denen du die Sicherheit von WordPress erhöhst

04.11.2020 | WordPress

Kannst du nachts nicht mehr schlafen, weil du dich um die Sicherheit deiner Website sorgst und das Kissen vollschwitzt?

Oder denkst du, dass deine Website für Hacker uninteressant ist? Du bist ja nicht die deutsche Bank, sondern nur ein/e kleine/r Selbstständige/r?

WordPress ist das weltweit verbreitetste Content Management System. Darum ist es auch das beliebteste Ziel für Hacker. Dabei gehen Hacker nicht zielgerichtet vor. Sie greifen auch die kleine Website von Frauke Müller an.

Warum sollten Hacker das tun?

Stell dir einen kleinen Gauner vor, der in deinen Keller eingebrochen ist und dort seine Drogen bunkert, um sie dann woanders zu verkaufen. So ähnlich können Hacker deine Website nutzen. Zum Beispiel indem sie von dort tausende Spam-Nachrichten verschicken.

Das willst du nicht?

Gut!

Dann findest du hier 11 einfache Schritte wie du die Sicherheit von WordPress schnell erhöhst.

1. Verwende einen cleveren Benutzernamen und ein sicheres Passwort

Eine einfache Maßnahme, die von vielen unterschätzt wird. Falls du das nicht glaubst: 2018 war das beliebteste Passwort „123456“. Hacker knacken das schneller als du WordPress sagen kannst.

Wie erstellst du ein sicheres Passwort?

  • Ein sicheres Passwort sollte aus einer Kombination von Großbuchstaben, Kleinbuchstaben, Sonderzeichen (z.B. !“§$%&) und Zahlen bestehen. Je mehr Zeichen es hat, desto sicherer ist es. Die Verbraucherzentrale empfiehlt mindestens 10 Zeichen zu verwenden. Ich halte mich an mein Passwort-Generator-Tool (KeePass). Dieses sieht erst Passwörter mit 20 Zeichen als stark an.
  • Verwende das Passwort nur für den Adminbereich deiner Website und nicht für andere Zugänge.

Wie erstellst du einen cleveren Benutzernamen?

  • Auf keinen Fall solltest du einen Benutzernamen wie admin, administrator, admin12345, login oder den Namen deines Hundes verwenden.
  • Suche dir einen Benutzernamen, der etwas kryptisch ist, z.B. mawapz4136 – ja, das sieht ein bisschen wie ein Passwort aus und ist auch nicht ganz so einfach zu merken wie admin12345, dafür ist es aber sicherer.

Wie sollst du dir das merken?

Am besten du nutzt ein Passwort-Programm wie LastPass oder KeePass. Solche Programme sind oft kostenlos nutzbar und sicher. Sie speichern alle deine Passwörter und Benutzernamen und bieten sogar die Möglichkeit, sichere Passwörter generieren zu lassen.

Alles was du dir merken muss, ist das Passwort für das Passwort-Tool. Hier solltest du natürlich ein sicheres Passwort wählen, denn sonst sind alle anderen Passwörter leicht zugänglich.

2. Aktualisiere regelmäßig deine Plugins, Themes und WordPress-Installation

Halte deine Plugins, Themes und die WordPress-Installation immer auf dem neuesten Stand.

Updates enthalten meist unverzichtbare Sicherheitspatches und Funktionen, die zum Ausführen von neueren Plugins notwendig sind.

Über 50% der WordPress-Webseiten werden aufgrund von Schwachstellen in Plugins gehackt. Stelle sicher, dass du das Risiko ebenfalls Ziel eines solchen Angriffs wirst, minimierst.

3. Deinstalliere deaktivierte Plugins

Auch deaktivierte Plugins stellen ein Sicherheitsrisiko dar. Lösche sie daher, wenn du sie gerade nicht brauchst. Du kannst sie wieder installieren, wenn du sie benötigst.

4. Verwende möglichst wenig Plugins

Jedes Plugin birgt ein Sicherheitsrisiko. Installiere daher so wenig wie möglich Plugins.

5. Installiere nur vertrauenswürdige Plugins und Themes

Verwende nur Plugins und Themes, die vertrauenswürdig sind. Denn veraltete Plugins und Themes stellen immer ein Sicherheitsrisiko dar.

Woran erkennst du, ob ein Plugin oder Theme vertrauenswürdig ist?

  • Es wird regelmäßig aktualisiert
  • Es wird auf vielen WordPress-Installationen genutzt
  • Es hat überwiegend sehr gute Bewertungen
  • Es ist mit deiner WordPress-Version kompatibel

6. Nutze die Zwei-Faktor-Authentifizierung für WordPress und deinen Hoster

Egal wie sicher dein Passwort ist, es besteht immer die Gefahr, dass es gehackt wird. Bei der Zwei-Faktor-Authentifizierung benötigst du nicht nur dein Passwort zum Einloggen, sondern noch eine zweite Methode. Meist handelt es sich um eine SMS, einen Telefonanruf oder ein zeitbasiertes Einmalpasswort.

Ein Angreifer müsste zum Einloggen sowohl über dein Passwort als auch über dein Handy verfügen – was sehr unwahrscheinlich ist.

Nutze die Zwei-Faktor-Authentifizierung sowohl für deinen Hoster als auch für WordPress. Ja, auch beim Hoster. Denn wenn ein Angreifer Zugriff auf das Konto bei deinem Hoster bekommt, kann er deine Passwörter ändern, Webseiten löschen, DNS-Einträge ändern…

Falls du nicht weißt, wie du die Zwei-Faktor-Authentifizierung bei deinem Hoster einrichtest bzw. ob er diese überhaupt anbietet, wende dich an den Support oder beauftrage jemanden, der sich damit auskennt.

Um die Zwei-Faktor-Authentifizierung für WordPress zu nutzen, kannst du Plugins wie z.B.

Zugegeben: Das ist aufwendiger als nur ein Passwort einzugeben. Aber glaub mir, eine gehackte Webseite wieder zu bereinigen, dauert wesentlich länger und kostet mehr Nerven.

7. Verwende sichere Verbindungen für die Datenübertragung

Verwende SFTP oder SSH für die Übertragung deiner Daten auf den Webserver. Das ist sicherer als die Standard-Methode über FTP und wird von den meisten Hostern angeboten. Falls möglich deaktiviere FTP über das Dashboard deines Hosters.

8. Verwende ein sicheres Hosting

Für die Sicherheit auf Webserver-Ebene ist dein WordPress Host verantwortlich. Spare hier nicht am falschen Ende.

Gutes Hosting für WordPress-Seiten bieten z.B. Raidboxes oder webgo an.

9. Mache regelmäßig Backups

Falls es doch zum Schlimmsten kommt und deine Seite gehackt wird, wirst du froh sein, wenn du ein aktuelles Backup deiner Webseite hast.

Einige Hoster bieten einen Backup-Service an. Erkundige dich, ob deiner dazu gehört. Falls nicht, solltest du regelmäßig Backups erstellen.

Am einfachsten ist dies, wenn du dazu ein Plugin wie z.B. Updraft Plus verwendest. Du kannst deine Backups auch per Hand machen, was jedoch mühsamer ist und oft zu unregelmäßig erfolgt, weil andere Dinge wichtiger erscheinen.

10.   Aktualisiere regelmäßig die PHP-Version

Veraltete PHP-Versionen bergen immer Sicherheitslücken. Du kannst die Sicherheit deiner WordPress-Seite erhöhen, indem du die PHP-Version auf deinem Server verwendest. Bei den meisten Hostern kann man das ganz schnell mit einem Klick erledigen. Falls du die Einstellung nicht findest, wende dich an den Support deines Hosters oder beauftrage jemanden damit, der sich damit auskennt.

Übrigens wird deine Webseite mit einer neueren Version von PHP auch schneller laufen. Damit verringerst du die Ladezeit deiner Webseite. 

11.   Verwende ein Sicherheits-Plugin

Verwende ein Sicherheits-Plugin, um die Sicherheit deiner WordPress-Seite zusätzlich zu erhöhen.

Ich kann folgende Plugins empfehlen:

iThemes Security

Einsteigerfreundlich, da die Sicherheitsregeln mit einem Klick aktiviert werden können. Besitzt keine eigene Firewall, daher solltest du das Plugin am besten in Kombination mit dem Plugin Black Bad Queries verwenden (siehe unten).

Wordfence

Eines der bekanntesten Sicherheits-Plugins. Es scannt deine Website auch regelmäßig nach Schadsoftware.

Block Bad Queries

Ein einfaches und einsteigerfreundliches Plugin, da es keinerlei Konfiguration benötigt. Es handelt sich um ein Firewall-Plugin, welches dich gegen schädliche URL-Requests schützt und bekannte Angriffsversuche abblockt.

– Über mich –

Sylvia Klatt Autor

Hi, ich bin Sylvia Klatt, Webdesignerin und WordPress-Expertin. Hier blogge ich über WordPress und Divi.

Erfahre mehr über mich…

– Divi-Workshop –

Lerne zeitsparende Divi-Techniken in unserem Kurz-Workshop!

-> Klick hier für mehr Infos zum Workshop

– Meine Empfehlung* –

Affiliate Link Raidboxes

Ich empfehle Raidboxes aus voller Überzeugung: schnelle Ladezeiten, klimapositiv, super Support, auf WordPress spezialisert.
*Dies ist ein Affliate Link, d.h. ich bekomme eine Provision, wenn du auf diesen Link klickst und Raidboxes buchst. Dir entstehen dadurch keine zusätzlichen Kosten.

Diese Blogbeiträge könnten dich auch interessieren:

Eine Seite in WordPress duplizieren – so funktioniert es!

Eine Seite in WordPress duplizieren – so funktioniert es!

Gastbeitrag von Meriem Benois von Raster & Pixel Wer regelmäßig Content für seine eigene oder auch für eine fremde Website erstellt, kennt das Problem, Seiten oder Beiträge kopieren zu wollen ohne diese komplett neu erstellen zu müssen. Da ist es hilfreich, wenn...

WordPress oder Wix?

WordPress oder Wix?

Was ist eigentlich der Unterschied zwischen Wix und WordPress und welches System ist für deine Unternehmens-Website besser geeignet? Wix Wix ist ein Baukastensystem. Es passt zu dir, wenn du schnell und ohne technisches Vorwissen deine Website erstellen willst. Anhand...