fbpx

WordPress Sicherheit – 11 simple Tipps zum Schutz Ihrer Website

Ihre Website ist die Repräsentation von Ihnen und Ihrem Unternehmen im Internet. Gut möglich, dass Sie auf Ihr auch Dienstleistungen oder Produkte verkaufen und damit einen Großteil Ihres Umsatzes generieren. In so einem Fall wäre es fatal, wenn die Website gehackt oder aufgrund eines Angriffes nicht aufrufbar wird.

In diesem Artikel zeigen wir Ihnen, wie Sie die WordPress Sicherheit Ihrer Website erhöhen können und geben praktische Tipps zur Umsetzung eines umfassenden Schutzes. Wo passend finden Sie Empfehlungen für hilfreiche Plugins. 

Passwörter und Login – die Einstiegshürden erhöhen

Zwei Themenbereiche, in denen Sie selbst ohne Plugins effektiv die Sicherheit Ihrer WordPress Seite erhöhen können, sind Passwörter und Logins. Dabei geht es sowohl um die Wahl eines sicheren Passworts, als auch das Individualisieren von Logindaten.

1. Sichere Passwörter erhöhen die WordPress Sicherheit

Sie kennen die alte Leier: Sichere Passwörter bestehen aus Zahlen, Buchstaben, Sonderzeichen und mindestens zehn Zeichen und sind ein absolutes Muss. Wahrscheinlich sind Sie es Leid zu hören, doch es kann nicht oft genug betont werden. 

Dabei sollte es sich um Buchstaben- und Zeichenkombinationen handeln, die in keinem Wörterbuch zu finden sind. Zusätzlich sollte es nie auf zwei Websites das Gleiche sein. Falls Ihnen das zu aufwendig ist, können Sie auch einen Passwort-Manager verwenden.

Warum gerade so ein Passwort? Damit es von Hackern nicht mittels einer Brute-Force-Attacke, bei der z. B. das ganze Wörterbuch mit angehängten Zahlen durchprobiert wird, geknackt werden kann. Und damit niemand den Namen Ihres Hundes und sein Geburtsjahr errät und Zugang zu Ihrem Adminkonto bekommt.

2. Starke Passwörter und Änderungen forcieren

Sind in Ihrer Seite mehrere Personen involviert, muss das Passwort jedes Einzelnen einen gewissen Standard erfüllen. WordPress hilft bei der Erstellung von starken Passwörtern, bei Bedarf können Nutzer aber trotz Warnung ein schwaches Passwort wählen. 

Mit einem Plugin wie Password Policies Manager for WordPress können Sie dem Abhilfe verschaffen. Darin können Sie festlegen, welche Kriterien das Passwort erfüllen muss (Groß-, Kleinschreibung, Zahlen, Sonderzeichen) und ob es nach einer gewissen Zeit erneuert werden muss.

WordPress Sicherheit durch starke Passwörter erhöhen
WordPress warnt vor schwachen Passwörtern

3. Login-Name ändern

Erstellen Sie eine neue Website so ist der voreingestellte Login-Name des Admins „admin“. Dies macht es für Bots ein Leichtes, den gewünschten Account zu finden und Passwörter auszuprobieren. Um die Sache zu erschweren, sollten Sie den Login-Name deshalb ändern, beispielsweise in eine Kombination von Vor- und Nachname.

4. Login-URL individualisieren

Die Login-URL ist der Pfad, an dem sich Ihr WordPress-Login befindet. In der Regel ist dies „www.IhreSeite.de/wp-admin“. Dieser Pfad ist Hackern bekannt und so gibt es Bots, die automatisch auf diese Seiten gehen und leichte Passwörter mit dem Benutzernamen „admin“ kombinieren. 

Mit einem kostenlosen Plugin wie WPS Hide Login lässt sich Ihre Login-URL mit einem Knopfdruck ändern. Wählen Sie anschließend als neuen Pfad etwas Individuelles, was sich nicht direkt erraten lässt. Voreingestellt ist durch das Plugin die neue URL /login, doch das ist zu naheliegend.

5. Beschränken von Login-Versuchen

Da Passwörter gern mittels Brute-Force-Attacken von Bots geknackt werden, können Sie durch eine Beschränkung der Login-Versuche die WordPress Sicherheit erhöhen. Wird für einen Benutzernamen und/oder von einer bestimmten IP-Adresse aus das Passwort wiederholt falsch eingegeben, wird diese IP-Adresse oder der Benutzer gesperrt. 

Das Plugin Limit Login Attempts Reloaded ermöglicht Einstellungen zu der Anzahl der Versuche, der Sperrzeit und informiert Nutzer über verbleibende Versuche. 

6. Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) kennen Sie bestimmt von Ihrem Bankkonto. Anstelle nur das Passwort für den Login zu verlangen, wird zusätzlich ein einzigartiger Code benötigt, der ständig neu generiert wird. Dadurch werden Accounts sicherer, denn ein Hacker bräuchte neben dem Passwort und Benutzernamen auch den 2FA-Code. 

Für die WordPress Seite können Sie die Zwei-Faktor-Authentifizierung mittels eines Plugins aktivieren. Das Plugin Two Factor Authentication von den Entwicklern des beliebten Backup-Plugins UpdraftPlus unterstützt mehrere gängige Protokolle zur Erstellung eines 2FA-Codes. 

Das Login-Fenster bei WordPress mit aktivierter Zwei-Faktor-Authentifizierung

WordPress sicherer machen – Backups, Plugins und Benutzer

Haben Sie sich um die Passwortsicherheit gekümmert und den Login abgesichert, ist der Grundstein für eine sichere Seite bereits gesetzt. Nun geht es darum, die Sicherheit von WordPress an sich zu garantieren und weitere potenzielle Sicherheitslücken zu schließen.

7. Automatisches Logout

Automatisches Logout von inaktiven Nutzern ist dann empfehlenswert, wenn viele Personen an einer Seite beteiligt sind und nicht bei allen garantiert werden kann, dass sie sich in einem sicheren Büro aufhalten. 

Dies könnte der Fall sein, wenn Sie mit Freelancern zusammenarbeiten, welche aus einem Café oder Coworking-Space aus arbeiten. Ganz zu schweigen von der zusätzlichen Sicherheit für die Besucher, welche sich zum Beispiel in den Mitgliederbereich der Website einloggen.

Bei der Einrichtung eines automatischen Logouts kann das Plugin Inactive Logout behilflich sein. In ihm können Sie die Zeit bis zum Logout definieren, eine Nachricht nach erfolgtem Logout anzeigen und gleichzeitige Logins auf mehreren Geräten verhindern.

8. Benutzerrollen sinnvoll verteilen

Möchten Sie neue Benutzer auf Ihrer WordPress Seite hinzufügen, bietet WordPress dafür fünf vorgegebene Rollen, mit unterschiedlichen Rechten. Möchten Sie zum Beispiel jemanden für die Kreation von Texten einstellen, können Sie ihm die Rolle des Autors zuweisen. 

Die meisten Rechte besitzt der Admin, welcher Plugins installieren, Themes anpassen und die gesamte Website verändern kann. Vergeben Sie an neue Benutzer stets nur die Rechte, die absolut notwendig sind. 

Dadurch entsteht vielleicht etwas mehr Arbeit, wenn Sie ein Plugin installieren müssen, welches unbedingt für die Erstellung von neuen Beiträgen benötigt wird. Dafür behalten Sie die Kontrolle und verringern die Anzahl an Zielscheiben für mögliche Angriffe auf Ihre Website.

Nicht alle Personen im Unternehmen haben gleiche Rollen – Gleiches gilt für die WordPress Benutzerrollen

9. WordPress, Themes und Plugins auf dem Laufenden halten

Erscheint eine neue Version von WordPress, verwendeten Themes und Plugins sollten Sie diese schnellstmöglich installieren. Oft schließen neue Versionen vorhandene Sicherheitslücken und machen somit Ihr WordPress sicherer. 

Gehen Sie dabei allerdings behutsam vor. Liegt eine Inkompatibilität zwischen neuer Version von Plugins, WordPress-Version oder dem Theme vor, kann das in einer nicht funktionierenden Website enden. Wir empfehlen Ihnen deshalb unseren Artikel zur WooCommerce Wartung, in dem wir detailliert beschrieben haben, wie Sie Updates richtig durchführen.

10. Geräte auf Virenfreiheit überprüfen

Die besten Methoden zum Schutz Ihrer WordPress Seite tragen keine Früchte, wenn bereits das Gerät, mit welchem der WordPress-Zugang geschieht, infiziert ist. Ein Keylogger auf Ihrem System schneidet alle Tastenanschläge mit und findet so selbst das komplizierteste Passwort heraus. 

Selbst automatisch eingefüllte Passwörter können über die HTML-Übertragung ausgelesen werden, wenn auch von anderen Viren. Aus diesem Grund benötigen Sie ein virenfreies System. 

Es gibt eine Vielzahl von Antivirenprogrammen auf dem Markt, wählen Sie Ihren Favoriten und führen Sie regelmäßig Updates der Datenbank und Scans auf Ihrem PC aus. Nur so sind Sie auf der sicheren Seite.

11. Backups – für den Fall der Fälle

Sollte der GAU eintreten und Ihre Website wurde durch einen Angriff stillgelegt oder zu einer Spamseite umfunktioniert worden sein, ist es gut, wenn Sie ein Backup besitzen. In diesem Fall können Sie auf die zuletzt funktionierende Version zurückgreifen und Schäden relativ schnell beseitigen.

Mit einem Plugin wie UpdraftPlus können Sie die Backups Ihrer Seite automatisieren. Je nach Größe der Seite sollten Sie das Backup-Intervall so wählen, dass möglichst wenig Daten verloren gehen, gleichzeitig aber Ihr Cloud-Speicher nicht unnötig schnell gefüllt wird. 

Für kleine Websites sind meist tägliche Backups ausreichend, größere Websites sollten auf stündliche oder Echtzeit-Backups zurückgreifen.

Ein Backup erleichtert das Wiederherstellen eine fehlerfreien Zustands

Fazit – WordPress sicherer machen ist nicht schwer

Anhand der elf vorgestellten Tipps können Sie Ihr Risiko, einem Hackerangriff zu unterliegen, bereits stark reduzieren. Starke Passwörter, eine individuelle Login-URL und aktuelle Themes und Plugins sind ein wichtiger Schritt für die WordPress Sicherheit.

Sollten Sie dennoch einmal Probleme mit Ihrer Seite haben und Unterstützung benötigen, sind wir jederzeit für Sie da. Nehmen Sie einfach mit uns Kontakt auf, wir kümmern uns gern um Ihre WordPress Website.

[booked-calendar calendar="8"]