Gratis PDF-Workbook: In 5 Schritten durchstarten mit deinem Website-Konzept. Hier zum Download

WordPress Sicherheit: 7 Schritte zur sicheren WordPress Website

Inhalt des Beitrags

Werde Teil der PixxelHouse Community und hol dir meine kostenlosen Tipps:

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich. Bitte bestätigen Sie Ihre Anmeldung in der E-Mail in Ihrem Postfach.

Wir verwenden Sendinblue als unsere Marketing-Plattform. Wenn Sie das Formular ausfüllen und absenden, bestätigen Sie, dass die von Ihnen angegebenen Informationen an Sendinblue zur Bearbeitung gemäß den Nutzungsbedingungen übertragen werden.

7 Schritte zur sicheren WordPress Website

WordPress ist weltweit eines der beliebtesten CMS-Systeme. Fast 40 Prozent aller Websites sind mit dem Open-Source System erstellt und das hat natürlich viele Gründe. Einige davon nenne ich Dir übrigens im Blogpost „5 Gute Gründe, Warum du deine Website mit WordPress erstellen solltest.“

Damit ist das CMS-System natürlich aber auch ein beliebtes Ziel für Hacker. Sicherheit und Hacking-Schutz sind daher wichtige Themen mit denen auch Du Dich für Deine Website beschäftigen solltest. Das Horrorszenario, eines Morgens aufzuwachen und Deine Seite nicht mehr zu erreichen oder festzustellen, dass Hacker Kundendaten gestohlen haben, möchtest Du wirklich nicht erleben. Um das zu vermeiden, gebe ich heute 7 Tipps, Strategien und Techniken, wie Du Deine WordPress-Sicherheit verbessern kannst.

#1 Sicheres Hosting

Vieles steht und fällt bereits mit Deinem Hosting beziehungsweise dem genutzten Server. Laut einer Studie von WP Template sind über 40 Prozent der erfolgreichen Angriffe auf WordPress-Seiten auf unsichere Server zurückzuführen. Leider liegt dieser Fall völlig außerhalb Deines Einflussbereichs und Du bist in diesem Fall der/die Leittragende. Daher ist es wichtig von Beginn an auf einen guten Hoster zu setzen, der die wichtigsten Sicherheitsthemen bereits im Hostings mit anbietet.

Meine Websites liegen beispielsweise alle bei einem speziellen WordPress Hoster, nämlich Raidboxes. In meinem Hosting dort ist bereits ein schreibgeschützter WP-Core enthalten, was bedeutet, dass die wichtigsten WordPress Daten schreibgeschützt sind. Darüber hinaus ist direkt ein Login Protector und IP-Blocking enthalten. Das Unterbinden von Dateiänderungen in WordPress außerhalb des Dashboards kann ebenfalls aktiviert werden.

Du siehst also, mit einem qualitativ guten Hosting sind bereits viele mögliche Sicherheitslücken für Hacker neutralisiert und Du hast ein deutlich einfacheres Leben.

#2 Vermeide veraltete WordPress- und Plugin-Versionen

Die zweite wichtige Baustelle ist die Aktualität Deiner Website, d.h. der WordPress Version, Dein genutztes Theme und der eingesetzten Plugins. Wie Du Dir vielleicht denken kannst, werden diese aus einem bestimmten Grund aktualisiert und weiterentwickelt, und oft ist einer dieser Gründe die Sicherheit und Bugfixes von gefundenen Sicherheitslücken. 

Zahlreiche Unternehmen haben Websites mit veralteten Plugin und WordPress Versionen im Einsatz, weil sie der Meinung sind die „neuen Funktionen“ nicht zu brauchen, oder denken dass „die Seite kaputt geht“ wenn sie etwas aktualisieren. Tatsächlich ist ein Großteil erfolgreicher Hacking-Angriffe auf veraltete WordPress-Instanzen zurückzuführen. Daher: halte Deine Website aktuell.

Zusatztipp an dieser Stelle: Nutze grundsätzlich nur sichere Plugins. In der WordPress Plugins Suche sind die Kategorien „Featured“ und „Popular“ hierfür zum Beispiel ein guter Ausgangspunkt. Plugins mit keinen guten Bewertungen und nur sehr wenig Installationen solltest Du dagegen nicht nutzen.

#3 Nutze eine aktuelle PHP Version

Neben dem WordPress Core und den Plugins solltest Du natürlich auch Deine PHP-Version aktuell halten. Was genau PHP überhaupt ist fragst Du Dich?

PHP ist eine Open Source-Skriptsprache, welche speziell für die Webprogrammierung geeignet ist und daher sehr wichtig für WordPress Websites ist. Ähnlich wie WordPress selbst wird sie immer weiterentwickelt, weshalb eine neue Version meist ca. 2 Jahre lang „unterstützt“ wird. Das bedeutet, dass Fehler und Sicherheitsprobleme regelmäßig behoben werden.

Das schockierende ist, das über zwei Drittel aller Websites PHP-Versionen verwenden die veraltet sind und derzeit nicht mehr unterstützt werden. In den meisten Fällen liegt das daran, dass keine Kompatibilität mit dem Website-Code vorliegt und die Website mit der neusten PHP-Version nicht funktioniert. Den Kopf in den Sand stecken ist da aber sicher nicht die richtige Lösung, denn die Sicherheitslücken werden dabei immer größer.

Übrigens: Die PHP-Version Deiner Website kannst Du bei Deinem Hoster einstellen. Zum aktuellen Zeitpunkt (März 2021) ist die aktuellste PHP-Version die V 8.0.3. – derzeit werden auch die Versionen 7.3.12. sowie 7.4.13. noch unterstützt.

#4 Sichere Passwörter

Diesen Tipp sollte ich wohl eigentlich gar nicht erwähnen müssen, aber leider ist es eine traurige Realität, dass viele User Passwörter wie „123456“ oder „Passwort“ nutzen.

Das Admin-Passwort für Deine Website sollte einzigartig und wirklich sicher sein. Wenn es Dir schwer fällt ein geeignetes Passwort zu erstellen nutze Generatoren wie Strong Password Generator. Apple hat eine ähnliche Funktionalität in neueren MacBook bereits von Haus aus implementiert. So fällt es deutlich einfacher starke Passwörter zu erstellen und somit die eigene Website zu schützen.

Sicherlich ist es bei solchen Passwörter schwieriger sich dieses zu merken. Aber auch hierfür gibt es Abhilfe. Ein gutes kostenloses Passwort-Manager Werkzeug dafür ist KeePass.

Neben sicheren Passwörtern ist auch die Zwei-Faktor-Authentifizierung ein gutes Mittel um den Login-Bereich der eigenen Website zu schützen. Sichere Passwörter und diese doppelte Authentifizierungsmethoden sind eines der besten Mittel gegen Backdoor Angriffe und Brute-Force Login Versuche.

#5 Niemals Admin als Benutzername

Hast Du schon einmal einen Blick in die Brute-Force Angriffe auf Deine Website geworfen? Und ist Dir dabei aufgefallen dass ein Großteil dieser Angriffe es über den Benutzername „admin“ versucht? Nein? Dann weißt Du es jetzt.

Leider ist der Default-Benutzername bei WordPress „Admin“ und Du als Website-Inhaber musst diesen aktiv umbenennen. Viele Hosting-Anbieter erzwingen das inzwischen, jedoch solltest Du hier trotzdem einmal prüfen – und das geht so:

  1. Logge Dich mit dem bestehenden „Admin“-Account ein.
  2. Lege einen neuen Benutzer an und weiße ihm die Rolle “Administrator” zu.
  3. Jetzt kannst Du Dich mit deinem neuen Admin-Account anmelden und den alten Admin-Benutzer einfach löschen.

Übrigens: Bei einigen Hostern kannst du Login-Versuche über „admin“ automatisch blockieren oder die IP-Adressen der Angriffe direkt auf eine Blacklist setzten. Das ist wirklich ein sehr hilfreiches Tool.

#6 Verberge deine WordPress Version

Dieser Tipp ist leider nicht im WordPress Dashboard umsetzbar, aber dennoch nicht kompliziert.

Dahinter steckt die Idee, dass je weniger Angreifer über Deine WordPress-Site-Konfiguration wissen, desto weniger Angriffsfläche ist vorhanden. Wenn sichtbar ist, dass Du eine veraltete WordPress-Installation verwendest, können Sicherheitslücken schnell gefunden werden. Deine WordPress-Version wird standardmäßig im Header des Quellcodes angezeigt.

Diese Anzeige kannst Du jedoch ausschalten, indem Du einen kleinen Code-Schnipsel in deiner Website hinzufügst. Der Code muss in der  functions.php Deines WordPress Themes hinzugefügt werden:

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

#7 Arbeite immer mit einem Admin und einem Redakteur Login

Last but not least: Nutze nicht nur einen Login für Deine Website. Für redaktionelle Anpassungen, die Erstellung eines neuen Blogbeitrags oder ähnliches musst Du nicht im Administrator Account arbeiten. Hierfür genügt ein Redaktions-Account. Sollte einer Deiner Accounts gehackt werden, hast Du so zudem die Möglichkeit Dich weiterhin mit einem anderen Login auf die Seite einzuloggen.

Fazit zur Sicherheit auf deiner Website

Wie Du siehst, gibt es zahlreiche relativ einfache Möglichkeiten, Deine WordPress-Sicherheit zu erhöhen. Basics wie die Verwendung sicherer Passwörter, die regelmäßige Aktualisierung vom WordPress-Core und Plugins, aber auch bereits die Wahl des richtigen Hosting-Anbieters sollten also auf jeden Fall auf deiner Agenda stehen.

Hast Du eventuell noch einen weiteren wichtigen WordPress-Sicherheitstipp? Dann lass es mich auf jeden Fall wissen!
Wenn du Fragen zu deiner Website hast, darfst du dich natürlich auch gerne bei mir melden und wir sprechen in einem kostenlosen Kennenlerngerspräch über dein Projekt 🚀

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
Email
Weitere Tipps rund um deine Website:
Scroll to Top