Dieser Artikel wurde zuletzt aktualisiert am 05.04.2021

Mittlerweile werden 34 Prozent aller Websites über WordPress verwaltet.
Durch diesen hohen Beliebtheitsgrad gerät das Content-Management-System immer öfter ins Visier von Hackern.

Ich zeige Dir in diesem Beitrag, wie Du Deine WordPress-Website besser gegen Angriffe schützen kannst.

1. Verwende sichere Zugangsdaten

Die meisten Angriffe auf WordPress werden mittels der sog. Brute-Force-Methode (deutsch: rohe Gewalt) vorgenommen.
Die Hacker versuchen, durch ein automatisiertes Skript, welches in der Sekunde mehrere Anfragen an den Server und die Datenbank Deiner Website schickt, in das WordPress-Backend Deiner Homepage zu gelangen. Dabei werden in kürzester Zeit mehrere Kombinationen aus Benutzername und Passwort ausprobiert, bis der Login erfolgreich ist und die Betrüger dann „ihr Ding durchziehen können“.

Verwendest Du also einfache Zugangsdaten z. B.

  • Benutzername: „Admin“
  • Passwort: test1234 ,

machst Du es den Betrügern umso leichter.

Meine Empfehlung für sichere Zugangsdaten:

  • Benutzername = E-Mail-Adresse
  • Passwort = mind. 8 Zeichen, darin sollten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen vorkommen.
  • Bei einer umfangreichen Website mit viel Traffic (hohe Aufrufe) solltest Du das Passwort zudem regelmäßig ändern.

2. regelmäßige Datensicherung

Erstelle regelmäßig ein Backup Deiner Daten (Datenbank und FTP-Server), am besten im ein- oder zweiwöchigem Turnus. Speichere das Backup auf einem externen Datenträger, nicht auf dem Webserver Deiner Homepage. Solltest Du nun Opfer eines Angriffs werden, so kannst Du einfach Deine Website über das Backup wiederherstellen und die Zugangsdaten ändern.

Für die Erstellung des Backups eignen sich Plugins wie Updraft Plus oder BackWPup.

Manche Hostinganbieter wie Strato nehmen automatisch eine Datensicherung des FTP-Verzeichnisses vor, andere stellen ein PHP-Skript zur Verfügung, welches über einen Cronjob regelmäßig automatische Backups vornimmt.

3. SSL-Verschlüsselung (HTTPS)

Das Hypertext Transfer Protocol Secure (HTTPS) ermöglicht es, Informationen verschlüsselt und abhörsicher zu übertragen.

Nicht nur im Bereich der Informationssicherheit wird dieses Thema heiß diskutiert.

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wird die sichere Transportverschlüsselung mittels HTTPS-Protokoll von Datenschützern immer mehr in den Vordergrund gestellt. Es wurden auch schon zahlreiche Websitenbetreiber abgemahnt, weil sie keine SSL-Verschlüsselung in Kontaktformularen aktiviert hatten.

Mittlerweile beinhalten die meisten Webhosting-Anbieter kostenlose SSL-Zertifikate von Let’s Encrypt. Diese lassen sich in wenigen Minuten mit geringem Aufwand einrichten.

Fazit:

Aus meiner Sicht ist die SSL-Verschlüsselung ein Muss. Auch Suchmaschinen stufen Websiten mit verschlüsselter Verbindung besser ein.

Wenn Deine Seite noch kein SSL-Zertifikat hat, dann richte jetzt eines ein!

4. Plugins

Auch eine noch so gute Login-Sicherung nützt Dir nichts, wenn der Schadcode bereits im System sitzt. Viele Betrüger gelangen über eine versteckte Hintertüre, z. B. einen Schadcode in einem WordPress-Plugin an die Daten im Backend.

Beachte bitte folgendes:

  1. Installiere nur vertrauenswürdige Plugins (mit hoher Bewertung oder Empfehlungen von einigen Nutzern)
  2. Achte auf Aktualität der Plugins (das Plugin sollte für die aktuelle WordPress-Version optimiert sein).
  3. Führen regelmäßige Updates durch (vergesse dabei nicht, vorher ein Backup zu erstellen und den Changelog vor dem Update zu prüfen)
  4. Lösche nichtbenötigte Plugins

5. 2-Faktor-Authentifizierung

Neben Benutzernamen und Passwort kannst Du einen weiteren Sicherheitsmechanismus einrichten, die zweistufige Authentifizierung. Über eine Sicherheits-App auf Deinem Smartphone (z. B. Google Authenticator), welche mit dem dazugehörigen WordPress-Plugin auf Deiner Website verknüpft ist, wird ein sechsstelliger Code generiert, den Du in Verbindung mit Benutzername und Passwort angeben musst, um Dich auf der Website einzuloggen.

6. Login-Versuche begrenzen

Du kennst es von der Geheimzahl Deiner EC-Karte. Nach dreimaliger PIN-Eingabe wird Deine Karte gesperrt. In WordPress gibt es hierfür das Plugin Limit Login Attempts. Dieses sperrt die IP-Adresse für einen bestimmten Zeitraum, wenn das Passwort mehrmals falsch eingegeben wird (die Anzahl der Fehlversuche können Sie selbst festlegen). Brute-Force-Angriffe werden dadurch ggf. reduziert.

7. Protokollierung des WordPress-Backend

Plugins wie WP Security Audit Log dokumentieren sämtliche Änderungen, die im Backend Deiner Website vorgenommen werden (Login-Versuche, Seitenänderungen, Datenbankeinträgen, …)
Somit kannst du schnell erkennen, wenn deine Seite gehackt wurde.

0 Kommentare

Hinterlasse ein Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.