7 Schritte zur sicheren WordPress Website
Das Horrorszenario, eines Morgens aufzuwachen und Deine Seite nicht mehr zu erreichen oder festzustellen, dass Hacker Kundendaten gestohlen haben, möchtest Du wirklich nicht erleben. Um das zu vermeiden, gebe ich heute 7 Tipps, Strategien und Techniken, wie Du Deine WordPress-Sicherheit verbessern kannst.

#1 Sicheres Hosting
Vieles steht und fällt bereits mit Deinem Hosting beziehungsweise dem genutzten Server. Laut einer Studie von WP Template sind über 40 Prozent der erfolgreichen Angriffe auf WordPress-Seiten auf unsichere Server zurückzuführen. Leider liegt dieser Fall völlig außerhalb Deines Einflussbereichs und Du bist in diesem Fall der/die Leittragende. Daher ist es wichtig von Beginn an auf einen guten Hoster zu setzen, der die wichtigsten Sicherheitsthemen bereits im Hostings mit anbietet.
Meine Websites liegen beispielsweise alle bei einem speziellen WordPress Hoster, nämlich Raidboxes. In meinem Hosting dort ist bereits ein schreibgeschützter WP-Core enthalten, was bedeutet, dass die wichtigsten WordPress Daten schreibgeschützt sind. Darüber hinaus ist direkt ein Login Protector und IP-Blocking enthalten. Das Unterbinden von Dateiänderungen in WordPress außerhalb des Dashboards kann ebenfalls aktiviert werden.
Du siehst also, mit einem qualitativ guten Hosting sind bereits viele mögliche Sicherheitslücken für Hacker neutralisiert und Du hast ein deutlich einfacheres Leben.
#2 Vermeide veraltete WordPress- und Plugin-Versionen
Die zweite wichtige Baustelle ist die Aktualität Deiner Website, d.h. der WordPress Version, Dein genutztes Theme und der eingesetzten Plugins. Wie Du Dir vielleicht denken kannst, werden diese aus einem bestimmten Grund aktualisiert und weiterentwickelt, und oft ist einer dieser Gründe die Sicherheit und Bugfixes von gefundenen Sicherheitslücken.
Zahlreiche Unternehmen haben Websites mit veralteten Plugin und WordPress Versionen im Einsatz, weil sie der Meinung sind die „neuen Funktionen“ nicht zu brauchen, oder denken dass „die Seite kaputt geht“ wenn sie etwas aktualisieren. Tatsächlich ist ein Großteil erfolgreicher Hacking-Angriffe auf veraltete WordPress-Instanzen zurückzuführen. Daher: halte Deine Website aktuell.
Zusatztipp an dieser Stelle: Nutze grundsätzlich nur sichere Plugins. In der WordPress Plugins Suche sind die Kategorien „Featured“ und „Popular“ hierfür zum Beispiel ein guter Ausgangspunkt. Plugins mit keinen guten Bewertungen und nur sehr wenig Installationen solltest Du dagegen nicht nutzen.
#3 Nutze eine aktuelle PHP Version
Neben dem WordPress Core und den Plugins solltest Du natürlich auch Deine PHP-Version aktuell halten. Was genau PHP überhaupt ist fragst Du Dich?
PHP ist eine Open Source-Skriptsprache, welche speziell für die Webprogrammierung geeignet ist und daher sehr wichtig für WordPress Websites ist. Ähnlich wie WordPress selbst wird sie immer weiterentwickelt, weshalb eine neue Version meist ca. 2 Jahre lang „unterstützt“ wird. Das bedeutet, dass Fehler und Sicherheitsprobleme regelmäßig behoben werden.
Das schockierende ist, das über zwei Drittel aller Websites PHP-Versionen verwenden die veraltet sind und derzeit nicht mehr unterstützt werden. In den meisten Fällen liegt das daran, dass keine Kompatibilität mit dem Website-Code vorliegt und die Website mit der neusten PHP-Version nicht funktioniert. Den Kopf in den Sand stecken ist da aber sicher nicht die richtige Lösung, denn die Sicherheitslücken werden dabei immer größer.
Übrigens: Die PHP-Version Deiner Website kannst Du bei Deinem Hoster einstellen. Zum aktuellen Zeitpunkt (Okt ’22) ist die aktuellste PHP-Version die V 8.1. – derzeit werden auch die Versionen sowie 7.4. und 8.0 noch unterstützt.
#4 Sichere Passwörter
Diesen Tipp sollte ich wohl eigentlich gar nicht erwähnen müssen, aber leider ist es eine traurige Realität, dass viele User Passwörter wie „123456“ oder „Passwort“ nutzen.
Das Admin-Passwort für Deine Website sollte einzigartig und wirklich sicher sein. Wenn es Dir schwer fällt ein geeignetes Passwort zu erstellen nutze Generatoren wie Strong Password Generator. Apple hat eine ähnliche Funktionalität in neueren MacBook bereits von Haus aus implementiert. So fällt es deutlich einfacher starke Passwörter zu erstellen und somit die eigene Website zu schützen.
Sicherlich ist es bei solchen Passwörter schwieriger sich dieses zu merken. Aber auch hierfür gibt es Abhilfe. Ein gutes kostenloses Passwort-Manager Werkzeug dafür ist KeePass.
Neben sicheren Passwörtern ist auch die Zwei-Faktor-Authentifizierung ein gutes Mittel um den Login-Bereich der eigenen Website zu schützen. Sichere Passwörter und diese doppelte Authentifizierungsmethoden sind eines der besten Mittel gegen Backdoor Angriffe und Brute-Force Login Versuche.
#5 Niemals Admin als Benutzername
Hast Du schon einmal einen Blick in die Brute-Force Angriffe auf Deine Website geworfen? Und ist Dir dabei aufgefallen dass ein Großteil dieser Angriffe es über den Benutzername „admin“ versucht? Nein? Dann weißt Du es jetzt.
Leider ist der Default-Benutzername bei WordPress „Admin“ und Du als Website-Inhaber musst diesen aktiv umbenennen. Viele Hosting-Anbieter erzwingen das inzwischen, jedoch solltest Du hier trotzdem einmal prüfen – und das geht so:
- Logge Dich mit dem bestehenden „Admin“-Account ein.
- Lege einen neuen Benutzer an und weiße ihm die Rolle “Administrator” zu.
- Jetzt kannst Du Dich mit deinem neuen Admin-Account anmelden und den alten Admin-Benutzer einfach löschen.
Übrigens: Bei einigen Hostern kannst du Login-Versuche über „admin“ automatisch blockieren oder die IP-Adressen der Angriffe direkt auf eine Blacklist setzten. Das ist wirklich ein sehr hilfreiches Tool.
#6 Verberge deine WordPress Version
Dieser Tipp ist leider nicht im WordPress Dashboard umsetzbar, aber dennoch nicht kompliziert.
Dahinter steckt die Idee, dass je weniger Angreifer über Deine WordPress-Site-Konfiguration wissen, desto weniger Angriffsfläche ist vorhanden. Wenn sichtbar ist, dass Du eine veraltete WordPress-Installation verwendest, können Sicherheitslücken schnell gefunden werden. Deine WordPress-Version wird standardmäßig im Header des Quellcodes angezeigt.
Diese Anzeige kannst Du jedoch ausschalten, indem Du einen kleinen Code-Schnipsel in deiner Website hinzufügst. Der Code muss in der functions.php
Deines WordPress Themes hinzugefügt werden:
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
#7 Arbeite immer mit einem Admin und einem Redakteur Login
Last but not least: Nutze nicht nur einen Login für Deine Website. Für redaktionelle Anpassungen, die Erstellung eines neuen Blogbeitrags oder ähnliches musst Du nicht im Administrator Account arbeiten. Hierfür genügt ein Redaktions-Account. Sollte einer Deiner Accounts gehackt werden, hast Du so zudem die Möglichkeit Dich weiterhin mit einem anderen Login auf die Seite einzuloggen.
Fazit zur Sicherheit auf deiner Website
Wie Du siehst, gibt es zahlreiche relativ einfache Möglichkeiten, Deine WordPress-Sicherheit zu erhöhen. Basics wie die Verwendung sicherer Passwörter, die regelmäßige Aktualisierung vom WordPress-Core und Plugins, aber auch bereits die Wahl des richtigen Hosting-Anbieters sollten also auf jeden Fall auf deiner Agenda stehen.
Hast Du eventuell noch einen weiteren wichtigen WordPress-Sicherheitstipp? Dann lass es mich auf jeden Fall wissen!
Wenn du Fragen zu deiner Website hast, darfst du dich natürlich auch gerne bei mir melden und wir sprechen in einem kostenlosen Kennenlerngerspräch über dein Projekt 🚀
