WordPress sicher machen – so erhöhst du die Sicherheit deiner Website

Autoren
  • Werkstudentin Romy Bretz
    Romy Bretz
    Marketing
Teaserbild WordPress Sicherheit

WordPress ist das weltweit führende Content Management System (CMS), denn es erlaubt die flexible Gestaltung von Websites und Blogs, und ist mittels Plugins einfach um etliche Funktionen erweiterbar. Doch auch für Hacker sind WordPress-Websites interessant. Wer bereits einmal Opfer eines Hackerangriffs geworden ist, weiß, wie aufwändig und nervenaufreibend es ist, die Websites wieder zum Laufen zu bringen. Doch keine Sorge! Damit du nicht eines Morgens aufwachst und feststellen musst, dass du Opfer eines solchen Hackerangriffs geworden bist, haben wir hier einige nützliche Tipps zur Erhöhung der WordPress-Sicherheit für dich.

Welche Sicherheitslücken hat WordPress und woran liegt das?

WordPress ist an sich ein ziemlich sicheres Content Management System. Meist liegen die Sicherheitsprobleme nicht an WordPress selbst, sondern an einer Reihe von vermeidbaren Faktoren. Das größte Risiko für Angriffe und Malware-Kampagnen stellen Sicherheitslücken in Plugins und Themes dar. Diese werden meist nicht von WordPress selbst, sondern von unabhängigen Entwickler:innen erstellt. Diese sind selbst für die Sicherheit und Weiterentwicklung verantwortlich. Da sich das Internet samt Sicherheitsstandards ständig weiterentwickelt, ist es wichtig, immer auf dem neuesten Stand zu bleiben. Dafür kann WordPress bei den Zusatzprogrammen jedoch nicht garantieren, was zu großen Sicherheitslücken führen kann.

Eine weitere typische Schwachstelle sind Passwörter und Benutzernamen. Mit der sogenannten Brute Force-Attacke versuchen Hacker, sich tausendfach mit den typischen Login-Daten auf WordPress-Webseiten einzuloggen und diese zu übernehmen. Aber keine Panik! Es gibt zahlreiche Maßnahmen, gegen diese Probleme vorzugehen.

Wie kann ich WordPress absichern?

Jetzt könnte der Eindruck entstanden sein, dass es Probleme mit der WordPress-Sicherheit geben könnte. Dem ist aber nicht so – im Grunde ist WordPress eines der sichersten CMS. Und mit ein paar einfachen Maßnahmen gehst du gegen die genannten Sicherheitslücken vor. Diese fassen wir im Folgenden für dich zusammen.

Verwende nur bewährte Themes und Plugins

Durch das Risiko von Sicherheitslücken in Plugins und Themes, welche Hacker gerne ausnutzen, solltest du diese nur von vertrauenswürdigen Quellen beziehen. Generell vertrauenswürdig ist das offizielle WordPress Plugin-Repository, darauf hast du unter „Plugins -> Installieren“ oder in der Web Version Zugriff. Alle Plugins werden dort, bevor sie veröffentlicht werden, einzeln in ihrem Quellcode überprüft. Bestenfalls prüfst du diese zusätzlich mit einem externen Tool. Achte auch unbedingt darauf, dass du dir die aktuelle Version herunterlädst, da hier gegebenenfalls frühere Probleme mit der Sicherheit gefixt wurden.

Update deine Plugins, Themes und WordPress regelmäßig

Als Betreiber:in einer WordPress-Webseite solltest du immer die aktuellste Version von WordPress und deinen installierten Themes und Plugins verwenden. So kannst du sicher gehen, dass die bekannten Sicherheitslücken behoben sind. Seit WordPress 3.7 kannst du Sicherheitsupdates für die WordPress-Core-Software automatisch im Hintergrund abspielen lassen. Plugins und Themes musst du jedoch immer manuell updaten. Wenn du eine WordPress Multisite betreibst, kannst du die Plugins und Themes deiner Websites immerhin gemeinsam aktualisieren.

Lösche nicht genutzte Plugins und Themes

Die unzählige Auswahl an Plugins und Themes verleitet leicht dazu, jede Menge Plugins zu installieren und auszuprobieren. Oft werden diese dann aber nicht weiter genutzt und verschwinden aus dem Sichtfeld. Leiden diese dann an Sicherheitslücken, gerät deine Webseite in Gefahr. Verwende also keinesfalls mehr Plugins und Themes als notwendig und sortiere regelmäßig aus, um die WordPress Sicherheit zu erhöhen.

Erstelle regelmäßige Backups

Zur Absicherung empfiehlt es sich, immer ein Backup parat zu haben. Damit bist du für den Worst Case gewappnet. Wie häufig du ein Backup erstellen solltest hängt davon ab, wie oft sich der Inhalt deiner Website ändert. Generell solltest du vor jedem Update ein Backup anlegen. Wenn du wissen willst, wie man eine solche Sicherung erstellt, haben wir dir einen Backup-Guide zusammgestellt. Um ein Backup zu erstellen, kannst du aber auch ganz einfach ein Plugin wie zum Beispiel UpdraftPlus nutzen.

Verwende sichere Passwörter

Um deine WordPress-Webseite abzusichern, solltest du schwer zu erratende Passwörter wählen. Bei Passwörtern gilt: Je komplexer, desto besser. Dein Passwort sollte also aus mindestens 8 Zeichen, Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen. Falls du auf Nummer sicher gehen möchtest, kannst du dir unter “Passwort-Generator.com” ein sicheres Passwort erstellen lassen. Das fertige Passwort wird anschließend nicht auf der Seite gespeichert. Von dem Abspeichern deiner Passwörter im Browser wird generell abgeraten. Greife lieber auf Programme wie „1Password“ zurück, welche deine Passwörter verschlüsselt abspeichern und mit einem Masterpasswort schützen.

Sichere deinen Admin Bereich ab und ändere die Login URL

Die Login-URL bei WordPress heißt standardmäßig: “Webseitenname/wp_admin”. Da Angreifern die URL bekannt ist, solltest du diese unbedingt ändern. Dein Benutzername sollte ebenfalls nicht einfach zu erraten sein. Verzichte dabei auf Namen wie “admin” oder “wp_admin”.

Setze die Zwei-Faktor Authentifizierung ein

Wenn du beim Login ganz sicher gehen möchtest, kannst du auch auf eine 2-Faktor-Autorisierung setzen. Dabei wird bei der Anmeldung neben dem Benutzernamen und dem Passwort auch ein zusätzlicher Code abgefragt. Dieser wird jedes mal erneuert und dir beispielsweise auf dein Smartphone gesendet. Wenn du den Account mit mehreren Leuten teilst, kannst du den Code auch an 1Password schicken und dort für alle autorisierten Personen anzeigen lassen. Für die 2-Faktor-Autorisierung empfehlen sich Plugins wie “Wordfence” oder “WP 2FA„.

Stelle auf sichere URLs um

Der Begriff URL steht für “Uniform Resource Locator“, was auf deutsch „einheitlicher Ressourcen-Anzeiger“ bedeutet. Die URL bezeichnet eine Adresse, welche einen Pfad zu einer bestimmten Datei auf einem Server angibt. Eine URL ist immer gleich aufgebaut und besteht aus drei Teilen: Protokoll (https://, http://), Domain- oder Server-Name (z.B. www.friendventure.de) und Dateipfad (/verzeichnis/datei.html). Sobald du eine Website-Adresse im Web-Browser eingibst, wird im Hintergrund ein Kommunikationsprotokoll gestartet. Das Protokoll vermittelt zwischen Client (der Browser) und Webserver (die Zielseite). Dieser Ablauf spielt eine wichtige Rolle bei der Sicherheit deiner WordPress Website.

Wie setze ich also eine sichere URL? Dabei ist es wichtig, den Unterschied zwischen den Protokollen, http und https, zu kennen. Http (= Hypertext Transfer Protocol) ist die veraltete Protokollform. Steht diese vor der URL, dann ist das ein Zeichen für eine ungesicherte Verbindung. Die Kommunikation von Client und Webserver ist dabei unverschlüsselt, was deine Website für Hacker leicht angreifbar macht. Https (= Hypertext Transfer Protocol Secure) ist die logische Weiterentwicklung. Dieses Protokoll verschlüsselt die übertragenen Daten zusätzlich kryptografisch. Die Umstellung auf https ist also dringend notwendig, um deine WordPress-Sicherheit zu erhöhen.

Verwende Sicherheits-Plugins und -Tools

Mit den oben genannten Maßnahmen ist deine WordPress Website schon sehr sicher! Um es den Hackern noch schwerer zu machen, kannst du zusätzlich auf WordPress-Sicherheits-Plugins zurückgreifen.

Sicherheits Plugins bieten dir unter anderem:

  • Aktive Sicherheitsüberwachung
  • Datei-Scanning
  • Malware-Scans
  • Überwachung von Sperrlisten
  • Post-Hack-Aktionen
  • Firewalls
  • Schutz vor Brute-Force-Angriffen
  • Benachrichtigungen, wenn eine Sicherheitsbedrohung erkannt wird

Viele Security Plugins können diese Maßnahmen innerhalb kürzester Zeit umsetzen und deine Seite sicherer machen. Viele davon bieten eine kostenlose Basisversion an.

Zu den beliebtesten Sicherheits Plugins zählen:

Du hast noch mehr Fragen zu WordPress?

In einem kostenlosen Beratungsgespräch mit unseren WordPress-Expert:innen lernt Ihr uns unverbindlich kennen.

Anfrageformular

+49 (0) 221 / 95 49 18 0 oder wordpress@friendventure.de

Mitarbeiterporträt Stefan Holzbrecher
Stefan Holzbrecher

Fazit

Wie du siehst, ist es gar nicht unwahrscheinlich, einmal Opfer eines Hackerangriffs zu werden. Aber wie oben erklärt, gibt es viele einfache Handgriffe, um dich davor zu schützen und die WordPress Sicherheit deiner Website zu erhöhen. Das regelmäßige Updaten, das Verwenden von guten Passwörtern oder das Installieren von Sicherheits-Plugins sind nur einige der vielen Möglichkeiten. Je früher und je mehr der Tipps du anwendest, desto besser bist du gegen Angreifer abgesichert. Falls du dich auch gegen Spam schützen willst, haben wir dir auch ein paar einfache Anti-Spam-Maßnahmen für WordPress zusammengetragen.

Folge uns auf Social Media

Autoren

  • Über Romy Bretz

    Werkstudentin Romy Bretz

    Seit Kindheitstagen steckt Romy ihre Kreativität in das Schreiben von Texten. Neben ihrem BWL Studium kann sie sich bei Friendventure ganz auf das Eintauchen in neue Themengebiete konzentrieren und ihrer zweiten Leidenschaft nachgehen, Social Media.