WordPress Website Sicher machen

Hacker schlafen nie, aber mit diesen Tipps kannst du ruhig schlafen, weil deine Website sicher ist.

Autorin: Lisa Augustin Zuletzt aktualisiert: 4. November 2023
Bildschirm mit einer sicheren WordPress Website.

Wie schütze ich meine Website effektiv vor Hackern und Angriffen? Viele Webseitenbetreiber unterschätzen diese Frage. Ich wurde in der Vergangenheit oft gerufen, wenn es schon zu spät war. Aber nachdem du hier gelandet bist, scheint dir dieses Thema wichtig zu sein.

Du erfährst in diesem Beitrag alle Maßnahmen, die ich persönlich treffe um meine eigenen Websites sicher zu machen. Auch wenn es für Kenner Basics sind, sind sie dennoch effektiv gegen viele Sicherheitsrisiken.

Wie werden WordPRess Websites angegriffen?

Damit du verstehst, warum die folgenden Maßnahmen wichtig sind, möchte ich dir erstmal aufzeigen, wie und warum es zu einem Angriff auf deine Website kommen kann.

Ehrlich gesagt, es ist ziemlich unwahrscheinlich, dass jemand speziell und ausschließlich deine Website ins Visier nimmt.

Meistens werden WordPress Websites nicht durch Menschen angegriffen, sondern über Bots. Sobald eine WordPress Website ausfindig gemacht wurde, wird automatisiert versucht ins Backend zu gelangen. Immer und immer wieder. Mit verschiedenen Nutzer und Passwort Kombinationen. Es geht eigentlich nur darum, auf den Server zu kommen und dort eigene Files abzulegen und die Website für eigene Zwecke zu missbrauchen.

Die Website eines Kundens aus der Industrie wurde zum Beispiel zu einer dubiosen Casino-Website umgebaut. Gemerkt habe ich das in der Google Search Console bei einem SEO-Audit. Ich hab dir mal einen Screenshot mitgebracht:

Ausschnitt aus der Google Search Console: Gehacke WordPress Website mit Casino Seiten.

Jetzt fragst du dich sicher, wie das passieren konnte. Möglichkeiten gibts viele und da ich keinen Zugriff auf die Serverlogs hatte, fällt es mir schwer in diesem Fall den Angriff zu reproduzieren. Vermutlich war aber die Sicherheitslücke eines Plug-ins daran schuld.

Wordpress Unterstützung
WordPress Wartungsservice
Du hast keine Lust mehr, dich ständig um die Updates deiner WordPress Website kümmern zu müssen und möchtest eigentlich nur, dass alles stabil und sicher läuft?
Mehr Infos

11 einfache Tipps, um deine WordPress Website sicher zu machen

Natürlich gibt’s da draußen weit mehr als 11 Kniffe, um deine WordPress-Seite abzusichern. Aber ich zeig dir hier mal meine persönlichen Grundlagen, die ich immer und immer wieder anwende – und die schon einen Riesenunterschied machen können.

  1. Starke Passwörter verwenden: Klingt jetzt vielleicht banal, aber du glaubst nicht, wie viele da draußen immer noch mit „123456“ oder „password“ durchs Netz surfen. Mein Tipp: Nutze einen Passwort-Manager und lass dir knifflige Passwörter zaubern, die du dann sicher verstauen kannst. Ein bisschen Abwechslung schadet auch nicht – also Passwort hin und wieder mal wechseln und nicht überall das Gleiche nehmen!
  2. Zweifaktor-Authentifizierung (2FA) aktivieren: Mit 2FA wird ein zusätzlicher Sicherheitscode benötigt, um sich anzumelden. Dieser Code wird in der Regel über eine App auf deinem Smartphone generiert. Quasi ein zusätzliches Schloss für deine Website.
  3. Regelmäßige Backups: Sicher ist sicher: Ich rate dir dringend, regelmäßige Backups deiner Website durchzuführen. Sollte es zu einem Angriff kommen, kannst du so ohne großen Datenverlust auf eine sichere Version zurückgreifen. Ein wichtiger Hinweis: Bewahre die Backups an einem externen Ort auf und nicht direkt auf deinem Server, um das Risiko von beschädigten Backups zu minimieren. Persönlich setze ich auf Updraft und speichere automatisch wöchentlich ein Backup auf einem externen Server.
  4. Aktualisiere regelmäßig: Halte WordPress, Themes und Plugins immer auf dem neuesten Stand. Oft werden Sicherheitslücken durch Updates geschlossen. Auch die PHP-Version sollte immer up-to-date sein. Wenn du eine veraltete PHP-Version nutzt, die keinen Secuirty-Support mehr erhält, kann das auch ein großes Sicherheitsrisiko darstellen
  5. Verwende Sicherheits-Plugins: Es gibt viele Plugins, die deine Website vor verschiedenen Arten von Angriffen schützen können. Viele Solcher Plugins bieten auch eine Firewall an. Weiter unten erkläre ich dir, wie du das richtige Plugin für deine Zwecke findest.
  6. Begrenze den Zugriff: Gib nur denjenigen Personen Zugriff auf deine Website, denen du wirklich vertraust. Und gib ihnen nur die Berechtigungen, die sie wirklich benötigen. Wenn ein Mitarbeiter dein Unternehmen verlässt, solltest du unbedingt auch den Nutzer entfernen.
  7. Verstecke dein WordPress-Login: Ändere die URL deiner Login-Seite, um sie vor automatisierten Angriffen zu schützen. Jeder weiß: Die Anmeldeseite für WordPress findet man unter /wp-admin oder /wp-login. Du kannst die Anmeldeseite auf eine andere URL umleiten, um sie unsichtbarer zu machen. Dafür gibt es Plugins wie zum Beispiel WPS Hide Login.
  8. Verwende SSL: Ein SSL-Zertifikat sorgt dafür, dass Daten, die zwischen dem Server und dem Besucher ausgetauscht werden, verschlüsselt sind. Dies schützt vor Man-in-the-Middle-Angriffen. Auch in diesem Fall musste ich schon Feuerwehrfrau spielen, weil ein Kunde kein SSL Zertifikat hatte und dann angegriffen wurde.
  9. Überwache deine Website: Es gibt Tools und Dienste, die deine Website überwachen und dich informieren, wenn etwas Ungewöhnliches passiert. Dies ermöglicht dir im Notfall schnell zu reagieren. Ich persönlich nutze gerne das WP Security Ninja Plugin oder All-in-one Security. Dort bekomme ich auch eine E-Mail wenn etwas verdächtig ist. Außerdem nutze ich für die monatliche Wartung meiner Kundenwebsites ManageWP inkl. Sicherheitsscanner. Auch hier habe ich schon frühzeitig Warnungen bekommen, wenn eine Website korrupt war.
  10. Nutzernamen nicht öffentlich zeigen und keinen Nutzer „admin“ nennen: Es ist eine gängige Praxis von Hackern, den Nutzernamen „admin“ für Brute-Force-Angriffe zu verwenden. Vermeide daher diesen Nutzernamen und stelle sicher, dass die Nutzernamen deiner Website nicht öffentlich sichtbar sind.
  11. Deaktiviere die xmlrpc.php Schnittstelle: Die xmlrpc.php Schnittstelle kann für DDoS-Angriffe und Brute-Force-Angriffe missbraucht werden. Ich empfehle dir unbedingt, diese Schnittstelle zu deaktivieren, wenn sie nicht benötigt wird. Das deaktivieren der Schnittstelle erspart dir schon einige fehlgeschlagene Login-Versuche.
    • Geb doch einfach mal deine URL in den Browser ein und hänge ein „xmlrpc.php“ dahinter. Wenn dieselbe Meldung wie auf folgendem Screenshot erscheind, ist die Schnittstelle wohl noch offen.
Offene xmlrpc-php Schnittstelle bei WordPress

3 Fortgeschrittene, um deine WordPress Website sicher zu machen

Wenn du einen Schritt weiter gehen möchtest und etwas technisches Know-how verfügst, dann hab ich dir noch 3 weitere Tipps, die deine WordPress-Festung noch sicherer machen:

  1. Datei- und Verzeichnisschutz stärken: Ein wichtiger Schritt zur Absicherung deiner WordPress-Installation ist der Schutz kritischer Dateien und Verzeichnisse. Die .htaccess Datei bietet hierfür zahlreiche Möglichkeiten. Durch gezielte Deny-Direktiven kannst du den Zugriff auf wichtige Bereiche wie das wp-admin-Verzeichnis oder die wp-config.php Datei einschränken. Stelle außerdem sicher, dass deine wp-config.php-Datei außerhalb des öffentlich zugänglichen Verzeichnisses liegt. Dies ist eine wichtige Datei, die sensible Informationen enthält, und sie sollte nicht für Angreifer zugänglich sein. So wird es Angreifern erschwert, deine Website zu kompromittieren.
  2. .htpasswd für zusätzliche Sicherheit: Nutze .htpasswd, um einen zusätzlichen Authentifizierungsschritt für das WP-Admin-Verzeichnis zu erstellen. Dies fügt eine weitere Sicherheitsebene hinzu, da Benutzer neben ihrem WordPress-Benutzernamen und Passwort auch diese Hürde überwinden müssen.
  3. Datenbank-Sicherheit erhöhen: Stelle sicher, dass deine Datenbank mit starken Passwörtern geschützt ist und regelmäßige Backups erstellt werden. Überprüfe auch die Einstellungen deiner Datenbank, um sicherzustellen, dass keine unbefugten Zugriffe möglich sind. Zusätzlich solltest du das Tabellenpräfix in der Datenbank ändern, um SQL-Injection-Angriffen vorzubeugen. Zusätzlich solltest du das Tabellenpräfix in der Datenbank ändern, um SQL-Injection-Angriffen vorzubeugen.

Sicherheitsplugins für WordPress

Jetzt habe ich oben schon erwähnt, dass Sicherheitsplugins für WordPress sinnvoll sind. Leider sehe ich immer wieder, dass diese falsch eingesetzt werden. Daher: Generell sind Sicherheitsplugins gut – sie sollten aber auch richtig angewendet werden. Viel hilft nicht viel. Lieber ein gutes Plugin als 10 die sich gegenseitig blockieren.

Limit Login Attempts Reloaded

Dieses Plugin finde ich auf fast jeder Website vor und daher möchte ich auch explizit über dieses WordPress-Plugin ein paar Worte verlieren. Das Plugin verhinder Brute-Force-Angriffe, in dem es die Anzahl der zulässigen Anmeldeversuche beschränkt. Dies gilt nicht nur für die Standardanmeldung, sondern auch für Anmeldungen, die über die XMLRPC Schnittstelle oder Woocommerce reinkommen.

Wie funktioniert das Ganze? Ganz einfach: Wenn jemand zu oft versucht, sich mit falschen Daten anzumelden, sagt das Plugin „Stopp!“ und blockiert weitere Versuche von dieser IP-Adresse oder diesem Benutzernamen. Das ist wie ein Türsteher, der nach ein paar missglückten Versuchen sagt: „Du kommst hier nicht rein!“

Das Plugin hat definitiv seine Vorteile, indem es unerwünschte Gäste automatisch vor die Tür setzt. Aber ich muss ehrlich sagen: Es ist nicht das Allheilmittel. Viele setzen es ein, ohne sich wirklich mit der Materie auseinanderzusetzen. Statt die eigentlichen Schwachstellen, wie öffentliche Nutzernamen, sichtbare Logins oder offene Schnittstellen, zu schließen, zucken sie bei jeder E-Mail, die das Plugin verschickt, zusammen und denken, der Weltuntergang steht bevor. Dabei ist es ein offenes Geheimnis, dass WordPress-Websites ständig von Bots ins Visier genommen werden. Das ist Business as usual und kein Grund zur Panik. Es geht darum, klug und proaktiv zu handeln, statt nur zu reagieren.

Limit Login Attempts Plugin

Das richtige Sicherheitsplugin für WordPRess finden

Es gibt wirklich viele Sicherheitsplugins für WordPress und ich habe selbst noch nicht alle testen können. Oft ist es auch eine persönliche Vorliebe, welches Sicherheitsplugin letztlich genutzt wird.

Generell empfehle ich dir erst einmal eine Liste mit Funktionen zu machen, die du mit dem Sicherheitsplugin abdenken möchtest. Mir persönlich sind immer folgende Funktionen wichtig:

  • Anmeldeüberwachung und Schutz vor Brute-Force-Angriffen
  • Malware und Datei-Scans
  • Sperrlisten
  • Firewall
  • Benachrichtigung, wenn etwas gefunden wurde
  • Aktivitätslog
  • Anmeldeseite verstecken
  • 2 Faktor Authentifizierung

Nice to have:

  • Up-time Monitoring
  • 404 Übersicht

Die Liste kann bei dir natürlich auch anders aussehen. Letztlich empfehle ich dir verschiedene Plugins zu vergleichen und herauszufinden, welche von dir gewünschten Funktionen von welchem Plugin abgedeckt werden. Auch der Preis ist immer ein wichtiges Argument. Es gibt zwar fast alle Plugins in einer kostenlosen Version – aber dann eben auch mit abgespeckteren funktionen.

Was tun, wenn eine WordPRess Website gehackt wurde?

Wenn deine WordPress-Website gehackt wurde, ist das natürlich ein Alptraum. Aber keine Sorge, es gibt Schritte, die du unternehmen kannst, um das Problem zu beheben und deine Website wieder sicher zu machen:

  1. Ruhe bewahren: Bei vielen bricht erst einmal der Panikmodus aus – aber es ist wichtig, ruhig zu bleiben und systematisch vorzugehen.
  2. Backup prüfen: Bevor du irgendwelche Änderungen vornimmst, überprüfe, ob du ein aktuelles Backup deiner Website hast. Wenn ja, stelle sicher, dass dieses Backup nicht kompromittiert ist.
  3. Offline nehmen: Setze deine Website in den Wartungsmodus, um zu verhindern, dass Besucher potenziell schädlichen Inhalt sehen oder dass der Hacker weiteren Schaden anrichten kann.
  4. Scannen: Es gibt spezialisierte Plugins und Dienste wie Sucuri, Security Ninja oder Wordfence, die deine Website auf Malware und andere schädliche Inhalte scannen können.
  5. Passwörter ändern: Ändere alle Passwörter, angefangen bei deinem Hosting-Konto, der Datenbank, deinem WordPress-Admin-Bereich und allen anderen relevanten Bereichen.
  6. Bereinigen: Entferne alle schädlichen Dateien, Codes und Plugins von deiner Website. Wenn du dir unsicher bist, hole dir professionelle Hilfe.
  7. Updates durchführen: Stelle sicher, dass WordPress, alle Plugins und Themes auf dem neuesten Stand sind. Oftmals sind es veraltete Plugins oder Themes, die eine Sicherheitslücke darstellen.
  8. Sicherheitsmaßnahmen verstärken: Nachdem du den Schaden behoben hast, solltest du zusätzliche Sicherheitsmaßnahmen ergreifen. Das beinhaltet die Installation eines Sicherheitsplugins, die Verwendung von 2FA und die Überwachung deiner Website auf zukünftige Angriffe.
  9. Überwachung: Nutze Monitoring-Tools, um sicherzustellen, dass du sofort informiert wirst, wenn etwas auf deiner Website nicht stimmt.
  10. Lerne daraus: Überlege, wie der Angriff passieren konnte und was du in Zukunft anders machen kannst, um solche Vorfälle zu verhindern.
  11. Informiere deine Nutzer: Wenn du den Verdacht hast, dass Nutzerdaten kompromittiert wurden, informiere deine Nutzer darüber und empfehle ihnen, ihre Passwörter zu ändern.
  12. Hole dir professionelle Hilfe: Wenn du dir unsicher bist oder das Problem nicht selbst beheben kannst, ziehe einen Sicherheitsexperten hinzu, der sich auf WordPress spezialisiert hat.


persönliche Meinung

Glaub mir, ich wurde oft genug gerufen, wenn das Kind schon in den Brunnen gefallen war. Und meistens gab es dann kein geeignetes Backup oder der Webseitenbetreiber wollte sich selber um die Aktulität der Website kümmern und hat das aber nicht wirklich geschafft.

Daher mein Rat: Mit konsequenten Backups, immer aktuellen Updates und ein paar klugen Sicherheitskniffen kannst du dir (und auch mir) viele graue Haare ersparen. Denn wer will schon morgens aufwachen und feststellen, dass seine Website gehackt wurde?

Letztlich gibt es wirklich sehr viele Möglichkeiten, um deine WordPress Website zu einer sicheren Festung zu machen. Ich würde es schon toll finden, wenn die oben aufgezählten Basics umgesetzt werden würden. Letztlich ist das absichern einer WordPress Website ähnlich wie das Abschließen eines Fahrrad mit Fahrradschlössern: Je mehr verschiedene Schutzmechanismen man nutzt, desto sicherer ist es. Und generell geht es auch darum, den Angriff so in die länge zu ziehen, dass der Angreifer sich von allein wieder zurück zieht und es woanders versucht, weil es dort einfacher ist.

Was meinst du zu dem ganzen Thema?

Kommentar abgeben

PS: Jetzt hab ich es doch tatsächlich geschafft einen Backlink zu meinen Fahrradschloss Ratgeber auf meinem Hobbyblog hier einfließen zu lassen. 😀

Lisa Augustin, Autorin, Bloggerin, Softwareentwicklerin und SEO Expertin.

Lisa Augustin

Software-Entwicklerin, SEO-Expertin, Bloggerin, Genussbikerin

Lisa Augustin (geb. Lisa Rudolf) hatte schon immer eine Vorliebe für Algorithmen und technische Probleme. Nach ihrem Informatikstudium hat sie über 5 Jahre lang Berufserfahrung als Softwareentwicklerin gesammelt, während sie nebenher einen Blog über gesunde Ernährung und Radsport geschrieben hat. In dieser Zeit hat sich auch eine Leidenschaft für Suchmaschinenoptimierung (SEO) entwickelt. Und dieser Leidenschaft geht Lisa jetzt hauptberuflich nach. Ihre Mission ist es, SEO verständlich zu erklären und andere Selbstständige, Blogger und kleine Unternehmen dabei zu unterstützen.

Mehr Über Lisa Erfahren

Ähnliche Beiträge

WordPress 6.1 – Änderungen und Probleme mit dem Update
| |

WordPress 6.1 – Änderungen und Probleme mit dem Update

VonLisa

WordPress 6.1 – Änderungen und Probleme mit dem Update In diesem Beitrag erfährst du alle Neuerungen durch das WordPress 6.1 Update und welche Probleme mir bekannt sind. Autorin: Lisa Augustin Zuletzt aktualisiert: 26. Februar 2024 Es ist Mittwoch, der 02.11.2022. Nach dem Feiertag gestern öffnete ich morgens meine E-Mails und nippe gemütlich an meinem Kaffee….

WordPress: Kritischer Fehler – was tun?
|

WordPress: Kritischer Fehler – was tun?

VonLisa

Da sitzt du nun, Kaffee in der einen Hand, Maus in der anderen, bereit für einen produktiven Tag. Doch dann: Der Bildschirm wird weiß und die berüchtigte Nachricht über einen kritischen Fehler auf deiner WordPress-Seite taucht auf. Der erste Gedanke? Panik! Aber halt, bevor du den Laptop aus dem Fenster wirfst – es gibt Hoffnung. In diesem Beitrag erfährst du, wie es zu einem kritischen Fehler bei WordPress kommen kann und wie du ihn konkret beheben kannst.

WordPress Probleme nach PHP Update: PHP 7.4 auf 8.0
| |

WordPress Probleme nach PHP Update: PHP 7.4 auf 8.0

VonLisa

WordPress Probleme nach PHP Update Warum viele WordPress Seiten nach einem PHP Update (z. B. von 7.4 auf 8.1) Probleme verursachen und wie du die Fehler beheben kannst. Autorin: Lisa Augustin Zuletzt aktualisiert: 26. Februar 2024 Im November 2022 ist der Security Support für PHP 7.4 ausgelaufen und daraufhin machten einige Hoster ernst und erzwungen das…

Wie schreibt man einen guten Blogbeitrag?
| | |

Wie schreibt man einen guten Blogbeitrag?

VonLisa

Wie schreibt man einen guten Blogbeitrag? Dieser Ratgeber eignet sich sowohl für Anfänger als auch für fortgeschrittene Blogger oder Unternehmen, die auf Content-Marketing setzen wollen. Autorin: Lisa Augustin Zuletzt aktualisiert: 25. März 2024 Eine Frage, die nicht nur Blogger, sondern mittlerweile auch viele Unternehmen beschäftigt: Wie schreibt man einen richtig guten Blogeintrag? Einen authentischen Blogpost…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert