Gib Hackern keine Chance mehr
Dein WordPress absichern? Absolut notwendig! Einfache Sicherheitsmaßnahmen sind oft nicht mehr genug, um Hackerangriffe gezielt zu vermeiden. Angreifer werden immer kreativer, wenn es um das Knacken von Passwörtern und Webseitenstrukturen geht.
In dem letzten halben Jahr durften wir selbst einmal mitbekommen, wie es aussehen kann, wenn mit neuen Methoden versucht wird, eine Webseite zu hacken. Auch wenn wir selbst davon nicht betroffen waren, konnten wir nochmal sehen, wie wichtig der Schutz der eigenen Webseite ist und wie wichtig eine gute Infrastruktur dahinter ist.
Diese 10 Tipps helfen dir jetzt, deine Webseite so sicher wir Fort Knox zu machen!
Table of contents
Warum ist die Sicherheit von WordPress so wichtig?
WordPress gehört zu den weltweit führenden und am häufigsten genutzten Content-Management-Systeme (CMS) – von persönlichen Blogs bis hin zu großen Unternehmensseiten.
Diese enorme Popularität macht WordPress jedoch zu einem präferierten Ziel von Cyber- und Hackerangriffen. Die Sicherheit deiner WordPress Webseite sollte daher für dich oberste Priorität haben, unabhängig davon, ob es sich um einen Blog oder um ein größeres Business handelt.
Du bist tatsächlich von einem Hackerangriff betroffen? Dann haben wir in unserem Artikel einige Tipps für dich, die dir im Notfall helfen können.
🔒 WordPress gehackt? Das kannst und solltest du jetzt noch tun.
Die Bedeutung Cyberangriffen und warum der Schutz deiner Webseite so wichtig ist
Cyberangriffe können viele verschiedene Formen annehmen und ganz verschiedene Merkmale aufweisen. Dazu gehören beispielsweise Brute-Force-Angriffe, Malware-Infektionen, Phishing-Angriffe oder DDoS-Attacken. Für Hacker ist WordPress besonders deswegen so attraktiv, da sie ganz einfach Sicherheitslücken innerhalb von Plugins, Themes oder dem WordPress Core ausnutzen und auf eine Vielzahl von Webseiten zugreifen können.
Dabei zielen die Angriffe oft auf den Diebstahl sensibler Daten, die Verbreitung von Schadsoftware oder den Missbrauch der gehackten Webseite für Spam-Kampagnen ab. Das kannst du übrigens auch bei Social Media Profilen erkennen, wenn Name und Content sich auf einmal verändern und reine Spam-Propaganda betreiben.
Die Absicherung deiner Webseite sollte daher die oberste Priorität für dich haben, um die Integrität deiner Webseite, die Sicherheit der Nutzerdaten und zu gewährleisten. Ein robustes Sicherheitskonzept schützt dich vor finanziellen Verlusten, rechtlichen Konsequenzen und einem Verlust des Vertrauens deiner Nutzer.
Tipp 1 – Sichere Passwörter verwenden
Der erste Schritt ist quasi auch der einfachste, auf den jeder selbst kommt: ein sicheres Passwort verwenden. Meist haben wir eine Menge unterschiedlicher oder immer das gleiche Passwort. Wir kennen es alle, dass uns jemand rät: schreibe deine Passwörter nicht auf.
Ein sicheres und effizientes Passwort zu verwenden, ist daher super essentiell zur Absicherung deiner WordPress Webseite. Passwörter sind die erste Verteidigungslinie im Kampf gegen Hacker. Das bedeutet jedoch längst nicht, dass ein gutes Passwort Hackern deinen Zugriff verwehrt: Es macht es aber sehr viel schwieriger und dauert länger, Zugang zu deinen Daten zu erhalten.
Schwache oder oft verwendete Passwörter stellen deshalb eine starke Sicherheitslücke für deine Webseite dar.
Die Erstellung starker Passwörter
Ein starkes Passwort sollte schwer zu erraten und möglichst komplex sein. Die wichtigsten Merkmale haben wir dir hier einmal zusammengefasst:
- Die Länge – Ein sicheres, starkes Passwort sollte mindestens zwischen 12 und 16 Zeichen lang sein. Je länger das Passwort ist, desto schwieriger ist es für Angreifer, es durch sog. Brute-Force-Angriffe zu knacken. Bei vielen Kundenprofilen musst du ohnehin 8 Zeichen eingeben. Achte also darauf, dir diese Länge standardmäßig anzugewöhnen.
-
Komplexität – Die Komplexität von Passwörtern ist wichtig, vor allem da sie dadurch nicht so einfach zu erahnen sind. Passwörter, die Namen oder individuelle Daten enthalten, sind sehr einfach zu knacken. Ein starkes Passwort besteht daher aus einer gut gemischten Kombination von:
- Groß- und Kleinbuchstaben
- Zahlen
- Sonderzeichen, wie !, @, #, $, %, &, *
- Vermeidung einfacher Wörter und Muster – Passwörter wie „123456“, „admin“, „passwort“ oder persönliche Informationen wie Geburtsdaten und Namen sind, wie du weißt, extrem unsicher. Auch gängige Muster wie „qwertz“, „abcd1234“ oder noch schlimmer „passwort123“ sind sehr leicht zu erraten und sollten von dir nicht nur vermieden, sondern aus dem Gedächtnis gelöscht werden.
- Einzigartigkeit – Verwende für jede Plattform oder jedes Kundenkonto ein eigenes Passwort. Wenn tatsächlich mal eins deiner Passwörter bei einem anderen Dienst gehackt wird, bleibt dein WordPress-Konto geschützt.
Du kannst dir sicher nicht alle Passwörter merken, die du dir jemals angelegt hast. Deswegen gibt es zwei Tipps, mit denen du dir die Passwörter-Suche einfacher machen kannst.
- Nutze Passwortmanagern, die dir automatisch komplexe Passwörter erstellen und die du dort speichern kannst. Zum Beispiel 1Password.
- Überlege dir eine Strategie, wie du dir Passwörter besser merken kannst, wie zum Beispiel Eselsbrücken. Eine etwas veraltete Methode, aber die kann keiner so einfach knacken.
Beispiel für ein starkes Passwort:
Anstelle von „meinPasswort123“ könntest du ein Passwort wie „Hg!29vL%rX4#qT“ verwenden. Es ist lang, komplex und einzigartig.
Der Einsatz von Passwortmanagern
Ein häufiges Problem bei der Erstellung sicherer Passwörter ist, dass sie schwer zu merken sind. Das führt oft dazu, dass wir einfache Passwörter verwenden oder dasselbe Passwort mehrfach auf allen möglichen Plattformen verwenden. Ein Passwort-Manager kann dann für dich die perfekte Lösung sein, da sie sowohl sichere Passwörter erstellen als auch sicher abspeichern.
Wie funktioniert ein Passwort-Manager?
Ein Passwort-Manager ist ein digitales Tool, das:
- Sichere und einzigartige Passwörter automatisch oder zufällig generiert.
- Passwörter über verschlüsselt, speichert und verwaltet.
- Automatisch die richtigen Zugangsdaten bei der Anmeldung ausfüllt.
Um die automatische Ausfüllung deiner Zugangsdaten verwenden zu können, musst du dir lediglich ein einziges Master-Passwort merken, das dir den Zugriff auf den Passwort-Manager ermöglicht. Alle anderen Passwörter werden sicher verschlüsselt in Manager gespeichert.
Vorteile von Passwort-Managern:
- Zeitersparnis: Kein mühsames Merken oder Nachdenken über Passwörter mehr.
- Sicherheit: Automatisch generierte, lange und komplexe Passwörter erhöhen die Sicherheit erheblich.
- Einzigartigkeit: Der Passwort-Manager stellt sicher, dass du nie dasselbe Passwort für mehrere Konten verwendest.
- Verschlüsselung: Alle Passwörter werden verschlüsselt gespeichert und sind nur mit dem Master-Passwort zugänglich.
Beliebte Passwort-Manager gibt es einige, die im Grunde alle gleich funktionieren. Manche sind besser für Unternehmen oder für Privatpersonen geeignet. Je nachdem, wonach du suchst, lohnt sich ein anderes Tool. Diese werden allgemein hin empfohlen:
- Bitwarden: Open-Source, sicher und kostenlos für den persönlichen Gebrauch.
- LastPass: Benutzerfreundlich, mit erweiterten Funktionen in der Premium-Version.
- 1Password: Besonders beliebt bei Unternehmen und Privatpersonen wegen der hohen Sicherheit.
Tipp 2 – Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung (2FA) gehört zu den effektivsten Sicherheitsmaßnahmen, die es momentan gibt, um unbefugten Zugriff auf deine Webseite zu verhindern. Auch bei Social Media, Bank- oder Bezahlapps gehört dieses Verfahren mittlerweile zur Standardausstattung. Insgesamt soll das den Nutzer vor Betrugsmaschen schützen.
Während ein Passwort oft die einzige und einfachere Hürde für Angreifer darstellt, fügt die 2FA eine zusätzliche Sicherheitsebene hinzu. Selbst wenn ein Hacker das Passwort knacken kann, benötigt er dennoch einen weiteren Authentifizierungsschritt, um sich erfolgreich einzuloggen. Diese verhindert oft ein vollständiges Einloggen, da die zweite Authentifizierungs-Ebene oft über eine private Telefonnummer oder die E-Mail-Adresse läuft.
Der zusätzliche Code wird meist in Echtzeit generiert und kann auf verschiedene Arten bereitgestellt werden:
- Über eine Authentifizierungs-App (z. B. Google Authenticator)
- Per SMS (Einmal-Passwort wird an das Handy gesendet, z. Bsp. wie bei PayPal)
- Über E-Mail
- Hardware-Token (z. B. YubiKey)
Der Vorteil der sog. 2FA besteht darin, dass selbst bei kompromittierten Passwörtern der Login scheitert, wenn der zweite Faktor nicht bestätigt werden kann. Angreifer müssten also nicht nur das Passwort besitzen, sondern auch Zugriff auf das Gerät, Smartphone oder die E-Mail-Adresse des Nutzers haben, um die Authentifizierung abzuschließen.
Warum ist die Zwei-Faktor-Authentifizierung wichtig?
Wie du siehst, bietet dir die 2FA doppelte Sicherheit für deine Benutzerdaten auf zahlreichen Plattformen, die oft mit sensiblen Daten, wie Adresse oder Bankdaten verknüpft sind. Bei WordPress sogar mit wichtigen Daten und Infos über deine Webseite.
- Schutz vor Brute-Force-Angriffen: Brute-Force-Angriffe versuchen durch das Ausprobieren unzähliger Passwort-Kombinationen Zugang zu erhalten. Mit 2FA wird ein erfolgreicher Login trotz richtiger Passwörter verhindert, sofern der zweite Faktor fehlt.
- Absicherung gestohlener Passwörter: Selbst bei einem Datenleck oder Phishing-Angriff bleibt das Konto sicher, wenn die zweite Authentifizierungsebene nicht überwunden wird.
- Mehr Sicherheit bei Admin-Accounts: Besonders der Admin-Zugang ist für Hacker attraktiv. Durch 2FA kannst du diesen besonders schützen.
- Benutzersicherheit erhöhen: Auch für andere Nutzerkonten wie Redakteure oder Autoren sorgt 2FA für zusätzlichen Schutz, da deren Konten ebenfalls Angriffsziele sein können.
Die besten Plugins für die 2FA bei WordPress
Google Authenticator – Two Factor Authentication
Google Authenticator gibt es nur als App, die die meisten über ihr Smartphone verwenden und bietet die Zwei-Faktor-Authentifizierung an. Die App ist einfach zu konfigurieren und erlaubt mehrere Authentifizierungsmethoden.
Funktionen
- Integration mit Google Authenticator, Authy und anderen Apps
- Unterstützung von SMS und E-Mail als 2FA-Methode
- Flexibel einstellbar für verschiedene Benutzerrollen
Vorteil
- Einfach und zuverlässig für Anfänger und Fortgeschrittene.
Kosten: Kostenlose Basisversion und eine Premium-Version für erweiterte Funktionen.
Wordfence Security – Login Security
Wordfence ist bekannt als eines der führenden Sicherheits Plugins für WordPress. Es bietet ebenfalls die Funktion der Zwei-Faktor-Authentifizierung zur Absicherung deiner Logins an.
Funktionen
- Zwei-Faktor-Authentifizierung über TOTP (z. B. Google Authenticator)
- Brute-Force-Schutz für zusätzliche Sicherheit
- Individuelle Konfiguration für verschiedene Benutzerkonten
Vorteil
- Kombiniert 2FA mit weiteren Sicherheitsfeatures wie Firewall und Malware-Scans.
Kosten: Kostenlos bei WordPress und ab 149 $.
Tipp 3 – Regelmäßige Updates durchführen
Einer der wichtigsten Schritte zur Sicherung deiner Webseite ist die regelmäßige Durchführung von Updates. Der WordPress Core, Themes und Plugins werden kontinuierlich weiterentwickelt, um neue Funktionen zu integrieren, Fehler zu beheben und vor allem Sicherheitslücken zu schließen.
Hacker suchen allerdings aktiv nach bekannten Schwachstellen in veralteten Installationen, um Webseiten zu kompromittieren. Regelmäßige Updates sind daher extrem wichtig, um Angreifern keinen Chance zu bieten.
Deswegen sind Updates bei WordPress so wichtig
In einer WordPress-Installation gibt es drei Hauptkomponenten, die regelmäßig aktualisiert werden sollten:
- WordPress-Core – Der WordPress-Core bildet das Herzstück deiner von WordPress und deiner Webseite. Entwickler von WordPress veröffentlichen regelmäßig neue Major Releases, wie zum Beispiel WordPress 6.7, die Sicherheitslücken schließen, Fehler beheben und neue Funktionen einführen.
- WordPress Themes – Dein Theme bestimmt das Design und die Struktur deiner Seite. Auch diese können Sicherheitslücken enthalten, die Angreifer ausnutzen können. Aktualisiere alle Themes, auch wenn sie gerade nicht aktiv genutzt werden. Veraltete Themes können trotzdem ein Sicherheitsrisiko für deine Daten darstellen.
- WordPress Plugins – Plugins erweitern die Funktionalität von WordPress, sind aber gleichzeitig die häufigste Quelle für Sicherheitsprobleme. Entwickler beheben oft Sicherheitslücken durch Updates. Veraltete oder nicht mehr unterstützte Plugins können leicht kompromittiert werden. Es empfiehlt sich, nur regelmäßig gepflegte Plugins von vertrauenswürdigen Entwicklern zu verwenden.
Best Practices für Updates
Obwohl Updates immer wichtig sind, können Updates bei Plugins manchmal Kompatibilitätsprobleme verursachen, vor allem bei Major-Updates. Um sicherzugehen, dass das nicht der Fall ist und deine Webseite ohne Probleme normal funktioniert, solltest du folgende Best Practices befolgen:
- Backups erstellen: Sichere regelmäßig deine Webseite und mache Backups von deiner Datenbank und Dateien, bevor du neue Updates installierst. Tools wie UpdraftPlus oder BackWPup erleichtern diesen Prozess.
- Staging-Umgebung nutzen: Teste Updates niemals auf deiner live Webseite – teste sie zuerst auf einer Kopie deiner Seite, der einer Staging-Umgebung, um Fehler und Probleme zu vermeiden.
- Plugins und Themes aktualisieren: Vermeide veraltete und nicht mehr weiterentwickelte Plugins und Themes generell. Wechsle stattdessen zu sicheren, regelmäßig aktualisierten Alternativen.
- Updates überwachen: Halte die Augen immer offen, wenn es um neue Updates geht. Nicht jedes Update muss sofort installiert werden, denn oft enthalten diese noch nicht behobene Fehler. Achte dennoch auch Updates, die spezifische Sicherheitsprobleme beheben. Diese sollten priorisiert werden.
Mehr Informationen zu Updates und Hilfe, durch unseren Update-Service findest du hier:
👉🏻 Wir übernehmen das für dich – mit unserem Update Service – informiere dich hier.
✅ Plugin Updates – deswegen sind sie so wichtig und machst du Updates richtig.
- PageSpeed Score
- Core Web Vitals
- Parameter with explanation
After submitting, you will receive the result directly by e-mail.
By submitting this form, you agree to our privacy policy.
Tipp 4 – Sicherheits Plugins installieren
Im Grunde gibt es bei WordPress viele Sicherheitsfunktionen, doch um deine Webseite umfassend zu schützen, sind zusätzliche Sicherheitsmaßnahmen in Form von Plugins eine gute Option. Die Plugins helfen dir dabei, Schwachstellen zu identifizieren, Angriffe abzuwehren und deine Webseite regelmäßig auf Bedrohungen zu überprüfen. Zu den wichtigsten Funktionen der Sicherheits Plugins gehören Firewalls, Malware-Scans und Schutz vor Spam- oder Brute-Force-Angriffen.
Warum Sicherheits Plugins wichtig sind
Webseiten sind ein häufiges Ziel von Hackern. Ohne die nötigen Sicherheitsmaßnahmen bleibt deine Seite anfällig. Zu den häufigsten Angriffen gehören:
- Brute-Force-Angriffe: Automatisierte Versuche, Passwörter zu knacken.
- Malware-Infektionen: Eine Schadsoftware, die deine Website lahmlegen kann.
- SQL-Injection- und Cross-Site-Scripting-Angriffe: Diese Angriffe nutzen Schwachstellen und Sicherheitslücken in veralteten Themes und Plugins aus.
- DDoS-Angriffe: Ein Überladen deiner Server mit Anfragen, um deine Webseite offline zu nehmen.
Sicherheits Plugins bieten für solche Angriffe Lösungen an, um Angriffe zu erkennen, abzuwehren und deine Webseite kontinuierlich zu überwachen.
Eine richtige Auswahl an Sicherheitsplugins und noch mehr Informationen, rund um die Sicherheit deiner WordPress Webseite kannst du hier nachlesen:
🛄 Basis Plugins für WordPress – Von Sicherheit Plugins über Backup bis hin zu SEO Plugins.
1️⃣ Das kleine 1×1 der WordPress Sicherheit – darauf kommt es an.
🧑🧒🧒 Wie du dein WordPress absicherst und Sicherheitslücken schleißen kannst.
Tipp 5 – Backups regelmäßig erstellen
Regelmäßige Backups retten dir in einem wirklichen Notfall nicht nur viele Daten, sondern sie sind eine sehr wichtige Maßnahme, um die Sicherheit und Verfügbarkeit deiner WordPress Webseite dauerhaft zu gewährleisten.
Ein Backup ist eine vollständige Kopie deiner Webseite, Dateien und der Datenbank. Falls deine WordPress Seite gehackt werden sollte, hilft dir das Backup, deine gelöschten Daten oder groben Fehler wiederherzustellen bzw. rückgängig zu machen. So kannst du schnell den vorherigen Zustand deiner Webseite wiederherstellen.
Warum sind Backups so zentral für dein WordPress?
Backups sind wie eine Lebensversicherung im Ernstfall. Ohne Backup riskierst du, dass wichtige Daten verloren gehen, was zu finanziellen Verlusten, langen Ausfallzeiten und Vertrauensverlust bei deinen Besuchern führen kann. Zu den häufigsten Szenarien, bei denen Backups essenziell sind, gehören:
- Hackerangriffe: Eine gehackte oder mit Viren infizierte Webseite kann oft nur durch eine vollständige Wiederherstellung eines sauberen Backups gerettet werden.
- Technische Fehler: Fehlgeschlagene bzw. fehlerhafte Updates und auch Serverprobleme können zu Datenverlust oder beschädigten Dateien führen.
- Menschliche Fehler: Unbeabsichtigtes Entfernen von Inhalten oder Änderungen an der Webseite passieren häufiger als gedacht und können größeren Schaden anrichten. Manchmal hilft da nur noch ein Backup einzuspielen.
Manuelle Backups können zeitaufwendig sein und leicht vergessen werden. Deshalb solltest du entweder auf automatisierte Backup-Lösungen setzen oder dich bei deinem Hoster informieren, ob der diese für dich durchführen kann. Regelmäßigkeit und Zuverlässigkeit sind hier wirklich zentral, um die Sicherheit nachhaltig zu gewährleisten.
Bei unserem Hosting sind regelmäßige Backups zum Beispiel inklusive. Hier musst du dir um die Integrität deiner Webseite keine Gedanken machen.
Zu den beliebtesten WordPress Backup Plugins zählen unter anderem:
Eine Übersicht über die besten Backup Plugins findest du im Detail in unserem passenden Artikel. Hier sprechen wir über die einzelnen Plugins, über die jeweiligen Funktionen und worauf du bei der richtigen Plugin Auswahl achten solltest.
Backup-Lösungen beim Hosting-Anbieter
Viele Hosting-Anbieter bieten integrierte Backup-Lösungen an. Diese Backups werden meist serverseitig erstellt und gespeichert. Schaue doch mal nach, ob dein WordPress Hoster auch Backups anbietet oder ob der diese vielleicht schon für dich erstellt.
Falls nicht, kannst du diese möglicherweise als Add-on dazubuchen. Wir empfehlen dir definitiv, dich über Update und Backup Optionen bei deinem Hosting Anbieter zu informieren. Damit sparst du nicht nur eigene Ressourcen, sondern auch die Fehlerbeseitigung. Solltest du einmal wirklich ein Backup deiner Seite benötigen, wird dieses direkt von den Experten eingespielt.
Vorteil
- Keine zusätzliche Plugin-Installation notwendig
- Ressourcenschonend für dich in deinem Alltag
- Regelmäßig und zuverlässig
- Du hast ein Experten-Team, die dir helfen können
Nachteil
- Die Backups liegen meist nur auf dem Server des Hosting-Anbieters. Bei einem Serverausfall könnten sie für den Moment nicht zugänglich sein.
Bei HostPress bieten wir dir immer den vollen Service, deswegen sind bei uns in jedem Tarif tägliche Backups inklusive. Die Sicherheit deiner Webseite ist uns super wichtig, weswegen wir an solchen Punkten keine Abstriche auf Kosten unserer Kunden machen.
Best Practices für regelmäßige WordPress Backups
- Häufigkeit der Backups: Du solltest von deiner Webseite Backups in regelmäßigen Abständen machen: täglich, wöchentlich oder nach jeder größeren Änderung.
- Testen der Backups: Ein Backup ist nur nützlich, wenn es funktioniert. Teste regelmäßig die Wiederherstellung deiner Webseite.
- Speicherort diversifizieren: Nutze mehrere Speicherorte, um Backups sicher aufzubewahren. Zum Beispiel verschiedene Server.
- Backup-Plugins aktuell halten: Veraltete Plugins können Sicherheitsrisiken darstellen. Falls du ein Plugin verwendest, gehe auf Nummer sicher, dass dieses insbesondere immer aktualisiert sind.
Tipp 6 – SSL-Zertifikat verwenden
Ein SSL-Zertifikat (Secure Sockets Layer) ist ein standardisiertes Sicherheitswerkzeug für Webseiten. Es sorgt für die Verschlüsselung der Datenübertragung zwischen dem Server und dem Browser deiner Besucher und schützt so sensible Informationen vor Zugriff durch Dritte.
SSL – verschlüsselte Datenübertragung
Wenn Besucher deine Webseite aufrufen und Daten eingeben – wie etwa Passwörter, Kontaktformulare oder Zahlungsinformationen – werden diese Daten ohne SSL-Verschlüsselung ungesichert übertragen. Auf Browsern wie Google Chrome wird dir eine Seite ohne SSL-Zertifikat als unsicher angezeigt.
Für die Benutzererfahrung und die Sicherheit deiner (Kunden)Daten ist es demnach unerlässlich ein SSL-Zertifikat auf deiner Seite zu integrieren.
Verbesserung des SEO-Rankings
Ein SSL-Zertifikat verbessert nicht nur die Sicherheit und das Vertrauen, sondern wirkt sich auch positiv auf dein Google Ranking aus. Google betrachtet die Verwendung von HTTPS als Ranking-Faktor, wodurch du mit dem SSL-Zertifikat dein SEO um einiges verbessert. Stuft dich Google erst einmal als unsicher ein, kann das mittlerweile langfristige Folgen für dein Unternehmen haben.
SEO-Vorteile durch SSL
- Besseres Ranking: Websites mit HTTPS haben einen kleinen Vorteil gegenüber HTTP-Seiten, besonders bei vergleichbaren Inhalten.
- Nutzerfreundlichkeit: Browser-Warnungen auf unsicheren Seiten führen zu höheren Absprungraten. Eine SSL-gesicherte Seite verbessert die Nutzererfahrung.
Eine detaillierte Anleitung zur Einrichtung von SSL-Zertifikaten und noch mehr wichtige Informationen kannst du hier nachlesen:
🚓 SSL-Zertifikate – die richtige Verschlüsselung für deine WordPress Webseite.
Best Practices für die Verwendung von SSL-Zertifikaten
- Erneuerung des Zertifikats – Ein SSL-Zertifikat hat eine begrenzte Laufzeit (meist auf 3 – 12 Monate). Achte darauf, es rechtzeitig zu erneuern.
- Mixed Content vermeiden – Stelle sicher, dass alle Inhalte (Bilder, Skripte, CSS-Dateien) über HTTPS geladen werden.
- HTTP auf HTTPS umleiten – Richte eine 301-Weiterleitung ein, um Besucher automatisch auf die sichere HTTPS-Version zu führen.
- 7 days free
- Better Core Web Vitals
- Next level performance
We will create a copy of your website on our servers within two working days and you will receive a before and after comparison. 🚀
Tipp 7 – Den Adminbereich absichern
Der Admin-Bereich von WordPress zählt zu den Herzstücken von WordPress. Hier verwaltest du Inhalte, Benutzerkonten, Plugins und vieles mehr. Dieser Bereich ist eines der häufigsten Ziele von Hackern, die versuchen, sich unbefugten Zugriff zu deinem Admin-Profil zu verschaffen – denn hier hast du alle Berechtigungen für deine Webseite.
Die Absicherung des Admin-Bereichs ist daher ein wichtiger Schritt, um deine gesamte Webseite zu schützen. Eine der wirkungsvollsten Maßnahmen ist daher die Änderung deines Admin-Profils, deines Standard-Login-Pfads und die Begrenzung der Login-Versuche.
Die Änderungen deines Admin-Profils
Standardmäßig ist der Login-Bereich von WordPress unter den URLs /wp-login.php oder /wp-admin erreichbar. Diese Standard-Pfade sind Hackern natürlich bestens bekannt. Die Angriffe zielen meist darauf ab, das Administrator-Passwort durch unzählige Versuche herauszufinden.
Durch die Änderung des Login-Pfads erschwerst du es Angreifern, den Zugriffspunkt deiner Webseite zu finden.
Wie ändere ich den Login-Pfad?
Es gibt zwei einfache Möglichkeiten, den Login-Pfad zu ändern:
1.Die Verwendung eines Plugins, wie zum Beispiel WPS Hide Login, ermöglichen es dir, den Standard-Login-Pfad schnell zu ändern, ohne den Code bearbeiten zu müssen.
Und so funktioniert es:
- Installiere und aktiviere das Plugin wie gewohnt über dein WordPress Backend.
- Gehe zu Einstellungen > WPS Hide Login.
- Gib deinen neuen Login-Pfad ein, z. B. /mein-login oder /sicherer-zugang.
- Speichere die Änderungen.
Der Standard-Pfad /wp-login.php wird dann automatisch gesperrt, und der Zugang ist nur über den neuen Pfad möglich.
2. Manuelle Änderung kannst du insbesondere als fortgeschrittener Nutzer verwenden, um den Login Pfad zu verändern.
Dieser Weg erfordert Anpassungen in der .htaccess-Datei oder den Einsatz von benutzerdefiniertem PHP-Code. Bei manuellen Änderungen besteht jedoch ein höheres Risiko von Fehlern, weshalb Plugins die sicherere Wahl sind. Falls du hier jedoch lieber ohne Plugin arbeiten möchtest, kannst du dir natürlich zusätzliche Unterstützung von einem Entwickler holen.
Vorteile der Änderung des Login-Pfads
- Erschwert automatisierte Brute-Force-Angriffe.
- Reduziert die Wahrscheinlichkeit von Angriffen auf den Admin-Bereich.
- Versteckt den Login-Bereich vor Hackern.
Alles rund um das Thema WordPress Admin Bereich und Admin Login zeigen wir dir hier:
🙋🏼♂️ Der Admin Login bei WordPress
Tipp 8 – Dateiberechtigungen korrekt setzen
Ein oft übersehener, aber wichtiger Sicherheitsaspekt bei WordPress sind die Dateiberechtigungen für Dateien und Verzeichnisse.
Wer hätte es gedacht, aber ja, falsch gesetzte Berechtigungen können Hackern die Möglichkeit geben, auf Dateien zuzugreifen, diese zu manipulieren oder schädlichen Code einzuschleusen. Durch das richtige Setzen der Dateiberechtigungen schützt du also wichtige Dateien mit sensiblen Informationen.
Warum sind Dateberechtigungen wichtig
In deinem WordPress befinden sich Dateien und Verzeichnisse, die unterschiedliche Berechtigungen benötigen. Die Dateiberechtigungen legen fest, wer Dateien oder Verzeichnisse lesen, schreiben oder ausführen darf. Sind diese zu großzügig eingestellt, können Hacker …
- schädliche Codes in deine Dateien einfügen
- wichtige Dateien manipulieren oder löschen
- unberechtigten Zugriff auf deine Webseite erhalten
Deine Dateiberechtigungen solltest du daher liebe etwas verringern, um Risiko vor Angriffen zu senken dein WordPress abzusichern.
Kurz, aber knapp – diese Dateien solltest du unbedingt beachten
Bei WordPress werden Dateien und Verzeichnisse oft mit Zahlen verbunden, um bestimmte Zwecke zu erfüllen. Das liegt zum einen an der Datenbankstruktur, an der Organisation in den Upload-Verzeichnissen und diversen Sicherheits- und Konfliktvermeidungspotenzialen.
WordPress empfiehlt daher für Dateien und Verzeichnisse Berechtigungen mit den folgenden Zahlen:
- Verzeichnisse: 755
- Dateien: 644
- wp-config.php-Datei: 440 oder 400
Die Zahlen 755, 644, 440 und 400 stehen für die Berechtigungsstufen in einem Unix-basierten System:
- Die erste Zahl (z. B. 7) betrifft den Besitzer der Datei.
- Die zweite Zahl (z. B. 5) betrifft die Gruppe.
- Die dritte Zahl (z. B. 5) betrifft andere Nutzer.
Empfohlene Berechtigungen
Natürlich sollte nicht jede Person jedes Nutzungsrecht haben – denn das würde ja unser Problem verstärken. In vielen Fällen ist es sicherer, dass ausschließlich der Besitzer eine Bearbeitungs-Berechtigung erhält. Die folgende Berechtigungs-Aufteilung wird gemeinhin empfohlen:
1.Verzeichnisse (755):
- Der Besitzer darf lesen, schreiben und ausführen.
- Die Gruppe und andere dürfen lesen und ausführen.
- Beispiel:
wp-content,wp-includesund andere Ordner.
2. Dateien (644):
- Der Besitzer darf lesen und schreiben.
- Die Gruppe und andere dürfen nur lesen.
- Beispiel: PHP-Dateien, Theme-Dateien, Plugin-Dateien.
3. wp-config.php (440 oder 400):
- Die
wp-config.php-Datei enthält sensible Informationen wie die Datenbank-Zugangsdaten. Diese Datei sollte besonders geschützt werden. - 440: Der Besitzer und die Gruppe dürfen lesen, andere haben keinen Zugriff.
- 400: Nur der Besitzer darf lesen.
Das richtige Setzen der Dateiberechtigungen ist eine einfache, aber sehr effektive Maßnahme zur Absicherung deiner WordPress Seite. Durch die Verwendung von 755 für Verzeichnisse, 644 für Dateien und 440/400 für wp-config.php erschwerst du unbefugten Zugriff erheblich. Zusätzliche Maßnahmen wie das Einschränken des Dateizugriffs über die .htaccess-Datei und das Deaktivieren der Datei-Bearbeitung runden die Sicherheitsstrategie ab. So schützt du deine Website zuverlässig vor Manipulationen und Angriffen.
Tipp 9 – Unnötige Plugins und Themes entfernen
Plugins und Themes sind sehr praktische Erweiterungen für WordPress. Inaktive Plugins und Themes können jedoch, wie wir bereits wissen, ein größeres Sicherheitsrisiko darstellen. Deswegen empfehlen wir dir, diese aus deinem WordPress zu deaktivieren und zu deinstallieren, bevor sie Hackern als Angriffsfläche auf dem Servierteller präsentiert werden. Daneben beeinflussen alte und ungebrauchte Plugins die Performance deiner Webseite und die Ladegeschwindigkeit wird gedrosselt.
Reduzierung potentieller Sicherheitslücken
Jedes Plugin und Theme, das du installierst, fügt deiner Website zusätzlichen Code hinzu. Dieser Code kann Sicherheitslücken enthalten, die von Hackern ausgenutzt werden. Selbst deaktivierte Plugins und Themes stellen ein Risiko dar, da sie auf dem Server gespeichert bleiben und potenziell angreifbar sind.
Warum genau stellen nicht verwendete Plugins und Themes ein so großes Sicherheitsrisiko dar?
- Alter Code: Viele Nutzer vergessen, deaktivierte Plugins und Themes zu aktualisieren. Veraltete Plugins werden durch die nicht mehr aktuellen oder fehlerhaften Code-Strukturen zu Problemen.
- Hacker nutzen Schwachstellen: Plugins und Themes, die nicht mehr gepflegt oder unterstützt werden, enthalten nach längerem Stillstand oft unbehobene Sicherheitsprobleme.
- Eingeschleuster Schadcode: Angreifer können unsichere Plugins nutzen, um Schadcode einzuschleusen und unsere Webseite somit gezielt deine Webseite lahmlegen.
Das kannst du tun:
Überprüfe installierte Plugins und Themes
Gehe zu in deinem WordPress Dasboard zu Plugins > Installierte Plugins oder zu Design > Themes. Im ersten Schritt solltest du alle ungenutzten Plugins und Themes in diesen Bereichen deaktivieren.
Verwende nur aktive und aktualisierte Plugins
Nachdem du nun nur noch Plugins aktiviert hast, die du aktiv nutzen möchtest, solltest du den Stand der Aktualisierungen überprüfen. Wird ein Plugin nicht mehr regelmäßig alle paar Wochen oder Monate aktualisiert, solltest du dich nach einer Alternative umschauen.
💡 Wenn du dir hier unsicher bist, frage einfach bei dem Plugin Anbieter nach, bevor du ein Plugin löschst, welches eigentlich wunderbar funktioniert.
Für weitere Informationen zu den Aktualisierungs-Zyklen kannst du dich im WordPress Repository informieren.
Lösche deaktivierte Themes und Plugins vollständig
Ein deaktiviertes Plugin oder Theme, dass du trotzdem noch in deinem WordPress hinterlegt hast, kann auch weiterhin Sicherheitsrisiken begünstigen. Lösche die Plugins und Themes deshalb vollständig von deiner WordPress Installation. So gehst du auf Nummer sicher.
Tipp 10 – Sicherheit du qualitatives Hosting gewährleisten
Der passende WordPress Hoster kann dir beim WordPress absichern zur Seite stehen und dich mit seinem Service und Expertenteam unterstützen. Ein gutes Hosting, beinhaltet zahlreiche Sicherheits-Funktionen, Vorsichtsmaßnahmen und eine gute Infrastruktur, um dich vor Angriffen jeglicher Art zu schützen.
Darauf solltest du bei einem guten WordPress Hoster achten:
Automatische Backups:
- Ein guter Hosting-Anbieter erstellt regelmäßig automatische Backups und ermöglicht die einfache Wiederherstellung deiner Webseite.
- Backups sollten täglich oder wöchentlich erfolgen und extern gespeichert werden.
Firewall und DDoS-Schutz:
- Der Hoster sollte eine Web Application Firewall (WAF) anbieten, die schädlichen Traffic filtert und Angriffe wie SQL-Injections blockiert.
- Ein integrierter DDoS-Schutz schützt die Website vor Überlastungsangriffen.
Malware-Scans und -Entfernung:
- Ein guter Anbieter führt regelmäßige Malware-Scans durch und bietet im Falle einer Infektion Unterstützung bei der Bereinigung.
SSL-Zertifikate:
- Ein sicherer Hosting-Anbieter stellt kostenlose SSL-Zertifikate zur Verfügung (z. B. Let’s Encrypt), um die Datenübertragung zu verschlüsseln.
Sicherer Zugang zu Serverressourcen:
- Unterstützung von SFTP (Secure File Transfer Protocol) anstelle von unsicherem FTP.
Kundensupport:
Ein guter Kundensupport kann bei Sicherheitsproblemen schnell und effizient eingreifen. Er sollte zudem gut zu erreichen sein (Telefon, Chat, E-Mail) und im besten Fall auch im Notfall und nachts 24/7 flexibel zu kontaktieren sein.
Ein guter Hoster ist mehr als nur ein Preis. Hier kommt es vor allem auf die richtige technische Ausstattung und auf eine sehr gute WordPress Expertise an. Außerdem sollte dein Hoster, dich und deine Webseite gut kennen und Probleme zu verstehen und Lösungen so effizient gefunden werden können.
