12 WordPress Security Tipps für Einsteiger:innen

WordPress Security ist definitiv ein komplexes Thema. Dennoch kannst auch du die Sicherheit deiner WordPress Seite enorm steigern. Die nachfolgenden 12 WordPress Security Tipps helfen dir dabei.

So wie eine Schwalbe noch keinen Sommer macht, so ist auch ein WordPress Security Plugin kein Garant für absolute Sicherheit. WordPress, wie auch andere Content Management Systeme, bringen per se eine ganze Reihen von Sicherheitsrisiken mit sich. Diese lassen sich auf unterschiedliche Art und Weise eindämmen.

Eine hundertprozentige Sicherheit lässt sich im Prinzip nicht erreichen. Das Ziel ist es, das eigene System so sicher zu machen das der Angreifer den Aufwand es zu hacken scheut.

12 WordPress Security Tipps für Jedermann

Unsere WordPress Security Tipps für mehr Sicherheit:

Was jetzt kommt hast du sicher schon 1000 Mal gehört, aber vielleicht noch nicht konsequent umgesetzt. Deshalb zum 1001. Mal:

Brute Force Attacken führen in ca. 15% aller Angriffe auf WordPress Seiten zum Erfolg. Bei einem leicht zu erratenden Passwort wie z.B. „123456“ oder „123456789“ ist das auch kein Wunder. Hacker lassen Listen mit den gängigsten Passwörtern vollautomatisch durchprobieren bis sie einen Treffer landen. Dadurch erhalten sie vollen Zugriff auf dein WordPress und können damit tun und lassen was sie wollen.

Sichere Passwörter haben mindestens eine Länge von 12 Zeichen und bestehen aus Buchstaben, Zahlen und Sonderzeichen – z.B. *tZ+g!eKg5P6

Wichtig ist auch, nie ein und dasselbe Passwort für unterschiedliche Logins zu nutzen. Ansonsten besteht die Gefahr, das auch noch andere Dienste gehackt werden.

Zur Verwaltung der sich im Laufe der Zeit anhäufenden Passworte verwendest du am besten einen Passwort-Manager. Diese Programme gibt es für Computer (Windows, Mac, Linux) und Smartphones (Android, iOS).

Zugangsdaten zu WordPress bestehen aus einem Passwort und einem Benutzernamen. Nur wenn beide zusammen passen wird der Zugriff auf WordPress gewährt. Wer den früher standardmäßig angelegte Benutzernamen admin für ein Administratoren Konto benutzt, macht es Hackern um ein Vielfaches einfacher diesen Account zu hacken.

Ein sicherer Admin-Benutzername muss nicht so komplex wie ein Passwort sein, dennoch darf er nicht leicht zu erraten sein.

Sichere dein WordPress so, dass Admin-Benutzernamen nicht ausgelesen werden können. Darüber hinaus sollten Admins mit ihrem Account niemals Seiten oder Artikel veröffentlichen.

Das leidige Thema Updates, wir kennen es alle aus der täglichen Praxis. Immer dann, wenn gerade dringende Jobs anstehen kommt wieder ein Update-Hinweis daher. Aus Mangel an Zeit und auch aus Angst, das ein Update fehlschlagen könnte wird es nicht gemacht. Schließlich will sich niemand die Blöße geben die Webseite lahm gelegt zu haben, nur weil er oder sie ein Update gemacht hat.
Dabei sind regelmäßige WordPress Updates von entscheidender Bedeutung, denn sie schließen Sicherheitslücken im WordPress Core, Themes und Plugins. Laut einer Studie von Wordfrence nutzen über 60% aller erfolgreichen Hackerangriffe genau diese Sicherheitslücken aus.

Wie WordPress Seiten gehackt wurden.
Gründe für gehackte WordPress Seiten (Bildquelle: Wordfence)

Die Bedeutung von regelmäßigen WordPress Updates läßt sich nicht von der Hand weisen. Wenn dich das ständige Update-Thema nervt, kehre es nicht einfach unter den Teppich, sondern source es out! Die verschiedenen wpcare24 WordPress Wartungs-Pakete nehmen dir genau diese unliebsame Aufgabe ab.

Eine simple Regel die genauso einfach umzusetzen ist. Ungenutzte Plugins und Themes stellen nur unnötigen Ballast dar, der ein Angriffspunkt für Hacker sein kann. Darüber hinaus blähen sie das Backup unnötig auf. Wer auf Nummer sicher gehen möchte, kann vor dem Löschen noch eine Kopie lokal speichern.

HTTPS-Verschlüsselung ist mehr als ein nettes Feature. Denn HTTPS macht deine Website für Besucher sicherer. Es verschlüsselt mit einem SSL Zertifikat den Datenverkehr zwischen Website und Besucher. Dadurch können Dritte die evtl. Zugriff auf den Datenstrom haben nichts damit anfangen. Auch Google schätzt diese zusätzliche Sicherheitsebene sehr. HTTPS ist somit obendrein auch ein wichtiger Rankingfaktor. Aber bitte nicht vergessen WordPress auch auf die ausschließliche Verwendung von HTTPS umzustellen.

Was für WordPress Core, Plugins und Themes gilt ist auch für alle andere Software wie PHP, MySQL, MariaDB, Apache, Nginx etc. pp. notwendig. HALTE DEINE SOFTWARE AKTUELL! Denke an die Kette und deren schwächstes Glied.

Unabhängig davon wie hoch die Sicherheitsstandards deines Hostinganbieters sind, ist es immer sinnvoll zusätzlich eine WordPress Firewall einzurichten. Sie verhindert das Einschleusen von Schadcode in deine Webseite. Bitte beachte! Eine Firewall ist immer nur ein Bestandteil eines Sicherheitskonzeptes und bietet keinen Rundumschutz.

Wenn Premium Themes und Plugins kostenlos im Internet angeboten werden, sollten bei dir bereits die Alarmglocken schrillen. Diese sogenannten „Nulled Themes“ oder „Nulled Plugins“ sind im Regelfall mit Schadcode infiziert und dürfen auf keinen Fall installiert werden. Freemium-Themes* und -Plugins hingegen sind abgespeckte Premium Versionen die kostenlos genutzt werden können.

Grundsätzlich gilt, wer auf der sicheren Seite sein möchte kauft direkt beim Theme- oder Plugin-Hersteller. Kostenlose Varianten stehen in der Regel im WordPress Theme- bzw. WordPress Plugin-Verzeichnis zur Verfügung und lassen sich direkt im WordPress Dashboard installieren.

* Freemium-Themes oder -Plugins dienen in der Regel der Eigenwerbung und Neukundenakquise der Hersteller, wichtige Funktionen sind oftmals nur in der kostenpflichtigen Premium Version verfügbar.

Halte dich am besten an die 3-2-1-Backup-Regel und mache 3 Kopien auf 2 Datenträgern, davon 1 außer Haus. Wenn du dies regelmäßig machst und die Daten dabei auch noch verschlüsselst solltest du relativ sicher sein. Darüber hinaus ist es ratsam zu kontrollieren ob die Backups fehlerfrei ausgeführt wurden und ob sie sich wieder herstellen lassen.

In Kombination mit einem sicheren Passwort lassen sich so Brute Force Attacken effektiv unterbinden.

Gehe sparsam mit der Vergabe von Administratorrechte um. Nicht jeder Benutzer muss aus Bequemlichkeit damit ausgestattet sein. Auch die Zugriffsrechte auf Dateien und Ordner müssen korrekt gesetzt sein.

Unser letzter WordPress-Sicherheitstipp, wird leider all zu oft vernachlässigt. Denn gutes Webhosting spielt eine wichtige Rolle für die Sicherheit deiner Webseite. Es bietet mehrere Sicherheitsebenen und schützt deine Homepage rund um die Uhr vor Angriffen. Der Preis von billigen Hosting Angeboten kommt nicht von ungefähr. Meist teilen sich mehrere Dutzend Webseiten einen Server und auch am Support wird leider oft gespart. Die Webserver werden teilweise nicht sorgfältig gewartet, auch veraltete Software Versionen sind oft noch im Einsatz. Dadurch entstehen unnötige Sicherheitslücken und auch die Performance deiner Webseite leidet. Deshalb Augen auf bei der Wahl des Webhosters.

Anmerkung: Die Reihenfolge der 12 WordPress Security Tipps hat nichts mit deren Wichtigkeit zu tun, sondern ist beliebig gewählt. Es gilt der Grundsatz: „Eine Kette ist nur so stark wie ihr schwächstes Glied.“

Keine Lust dich mit dem Thema WordPress Security auseinander zu setzen?

Verständlich! Denn deine Zeit ist sicher besser investiert, wenn du dich voll und ganz auf dein Business konzentrierst. Die Sicherheit deiner WordPress Seite muss deshalb aber nicht auf der Strecke bleiben, schließlich gibt es den wpcare24 WordPress 360 Security Service. Wir sichern deine Seite rundherum ab und sorgen zuverlässig dafür das es so bleibt.