Ihre Unternehmenswebsite ist der Dreh- und Angelpunkt Ihres Online-Marketings. Sie haben viel Arbeit und vor allem oftmals viel Geld reingesteckt, um für Ihre User die Erfahrung mit Ihrem Online-Auftritt optimal zu gestalten. Deshalb schützen Sie Ihre Homepage wie Ihren Augapfel. Doch ganz gleich, was Sie für die Sicherheit tun, es wird nie genug sein. Wir stellen Ihnen die acht weit verbreitetsten Fehler vor, die in puncto Sicherheit bei WordPress Seiten vorkommen – und geben Tipps, wie Sie diese verhindern.

 

Fehler Nummer 1 – eine schlechte Hosting-Umgebung

Alles steht und fällt mit vernünftigem Hosting. Laut einer Studie von WP Template sind 41 Prozent der Hacks auf unsichere Server zurückzuführen. Das ist nahezu die Hälfte! Umso wichtiger ist, den richtigen Hoster auszuwählen! Um den zu finden, verfahren Sie nach dem Motto: Was nichts kostet, ist auch nichts! Wer sich für einen günstigen Hoster entscheidet, spart an der Sicherheit und am Support ein. Sehen Sie das Hosting Ihrer WordPress Seite als ein Investment in Ihr Business an! Denken Sie daran: Auch wenn Ihre Website nicht das Ziel eines Hacks ist, kann Sie, zum Beispiel auf geteilten Servern, zum Kollateralschaden werden.

 

Fehler Nummer 2 – Sie sind nicht immer Up to Date

WordPress wird regelmäßig aktualisiert. Dabei gibt es kleinere und größere Updates. Bei den kleineren Aktualisierungen geht es eher um Sicherheits-Updates und kleinere Bugs. Die großen Updates beinhalten neue Features oder Verbesserungen im Coding. Ganz gleich, ob groß oder klein – Sie sollten jeden Patch so schnell wie möglich aufspielen.

Tipp: Schon seit WordPress 3.7 werden die kleinen Updates automatisch implementiert. Wenn Sie in Ihre wp-confige.php Datei

define ( ’WP_AUTO_UPDATE_CORE’, true );

einfügen, werden auch die Haupt-Updates automatisch implementiert. Beachten Sie, dass die großen Updates oftmals Konflikte mit Plugins und Themes auslösen.

Ganz klar: Was für die WordPress-Updates gilt, gilt auch für Plugins und Themes. Denn: Ungeschützte Plugins und Themes sorgen sogar zu 51 Prozent für gehackte Webseiten.

 

Fehler Nummer 3: Sie nutzen unsichere Passwörter

Ungenügende Zugangs-Sicherheit ist ein weiterer beliebter WordPress Sicherheits-Fehler. Denn die meisten Hacks laufen automatisiert ab. Da ist keiner, der sich hinsetzt und akribisch händisch Kombinationen von Benutzernamen und Passwörtern durchprobiert. Es gibt automatisierte Scripts, die die Suche nach den richtigen Login-Daten in einer unfassbaren Geschwindigkeit durchführen. Trotzdem nutzen noch immer viele Website-Betreiber unsichere Passwörter. TeamsID krönt jedes Jahr die 25 schwächsten Passwörter, von „123456“ über „password“ bis „login“ ist alles dabei.

Tipp:

  • Reduzieren Sie die Anzahl der Leute, die Administrationsrechte haben: Sie können Usern bei WordPress unterschiedliche Rollen zuweisen. Nicht jeder Nutzer muss alles auf Ihrer Seite machen dürfen.
  • Nutzen Sie niemals „admin“ als Benutzername: „Admin“ ist bei WordPress als Benutzer voreingestellt. Wenn Ihre derzeitige Website diesen Benutzernamen gebraucht, ändern Sie dies sofort!
  • Nutzen Sie starke Passwörter: Seit einiger Zeit besitzt WordPress einen Passwortstärken-Generator. Nutzen Sie ihn! Oder setzen Sie auf ein Passwortsicherheits-Programm wie Keypass. Zudem zwingt dieses Plugin Nutzer Ihrer Seite, ein starkes Passwort einzusetzen.
  • Limitieren Sie Login-Versuche: Um Brute-Force-Attacken aus dem Weg zu gehen, grenzen Sie am besten die Anzahl der Zugangsversuche ein. Viele Sicherheits-Plugins bieten dieses Feature. Sie können auch WP Limit Login Attempts
  • Verbergen Sie die Login-Seite: Wenn Sie es noch sicherer haben möchten, kreieren Sie mit dem Plugin Move Login für Ihre Login-Seite anstatt der üblichen Login-URL https://example.com/wp-login.php eine neue Zugangs-URL, wie zum Beispiel https://example.com/login.

 

Fehler Nummer 4: Themes und Plugins von unsicheren Quellen implementieren

Die Bekanntheit von WordPress hat es zu einem der liebsten Hackerziele gemacht. Aber nicht immer wird die Seite von außen angegriffen, sondern der Seitenbesitzer ist selbst die Fehlerquelle. Meistens passiert dies, wenn freie WordPress Themes und Plugins installieren. Eine Praxis-Studie von CodienWP fand heraus, dass viele freie Templates Fehler, ein tückisches JAVA-Script und noch viele andere Probleme haben. Deshalb tun Sie gut daran, Themes und Plugin von vertrauenswürdigen Quellen zu nutzen, allen voran wordpress.org. Dort finden Sie Themes und Plugins, die alle auf Herz und Nieren geprüft wurden. Außerdem arbeitet Google ständig daran, seine Suchergebnisse zu verbessern.

Tipp: Es gibt Drittanbieter, denen Sie vertrauen können. In dieser Liste finden Sie bestimmt einen Anbieter für Ihr nächstes Theme.

 

Fehler Nummer 5: Ungenutzte Plugins, Themes und Accounts horden

Auch nicht-schädliches WordPress-Beiwerk kann, falsch angewandt, ein Sicherheitsrisiko bergen, wenn Sie Plugins und Co. nicht regelmäßig updaten. Um das Risiko noch mehr zu minimieren, löschen Sie am besten alle Tools, die Sie nicht aktiv nutzen. Dazu gehören auch ungenutzte User Accounts. Denn jeder Account ist ein Einlasstor für Hacker. Je weniger Accounts, desto besser.

 

Fehler Nummer 6: Keine regelmäßigen Backups

Auch wenn Sie alle Vorkehrungen treffen – hundertprozentig sicher ist gar nichts. Deshalb sollten Sie Ihre Seite regelmäßig updaten! Wenn irgendetwas schief läuft, können Sie so immer zu der letzten funktionierenden Version Ihrer Website zurückkehren.

Wenn Sie einen Qualitäts-Hoster nutzen, werden jeden Tag Backups erstellt. Um auf Nummer sicher zu gehen, sollten Sie Ihre eigene Backup-Lösung implementieren, wie zum Beispiel Duplicator, oder UpdraftPlus.

Tipp:

Speichern Sie Ihre Backups regelmäßig auf einem gesonderten System ab, z.B. auf einer externen Festplatte oder einem einem Backup Storage Produkt. 

 

Fehler Nummer 7: Vertrauen Sie nicht allein auf WordPress interne Sicherheitsvorkehrungen

Obwohl WordPress Sicherheit großschreibt, gibt es einiges zu verbessern. Zum Beispiel nutzt WordPress das Datenbank Präfix wp_. Da dieses Präfix bekannt ist, machen diese Standard-Bezeichnungen Ihre Website angreifbar. Besser Sie ändern diese in zufällige Bezeichnungen, die nicht leicht zu knacken sind. Sie tun dies am besten während der Installation oder, wenn Ihre Seite schon online ist, mit dem Plugin iThemes Security. Wer Profi ist, kann diese Maßnahme manuell durchführen.

 

Fehler Nummer 8: Sie nutzen kein Sicherheits-Plugin

Wir wissen: Es ist gar nicht so wenig, was Sie alles in puncto Sicherheit bei WordPress beachten müssen. Deshalb nutzen Sie am besten ein Sicherheits-Plugin, bevor Sie gar nichts tun. Es gibt einige Tools, die Ihre Seite kugelsicher machen – auch ohne technisches Know-how, wie zum Beispiel BulletProof Security, Sucuri Security, iThemes Security und Wordfence. Diese Plugins übernehmen für Nicht-Profis alle oben genannten Sicherheits-Jobs.

 

Sicherheit bei WordPress – Fazit

Wenn die eigene Website gehackt wird, ist dies eine Katastrophe. All die Arbeit, die Zeit und oftmals viel Geld scheint verschwunden zu sein, Was für ein Albtraum! Die gute Nachricht: Sie haben es in der Hand, die üblichen Fehler für die WordPress Sicherheit von Anfang in den Griff zu bekommen.

Tipp:

Ihre WordPress-Webseite wurde gehackt? Was tun? Wir zeigen Ihnen die wichtigsten Schritte. 

 

Quelle:

TORQUE: 8 Common WordPress Security Mistakes That Could Cost You Dearly

Jana Behr

Jana Behr ist IT-Fachredakteurin, PR-Beraterin sowie Bloggerin aus Köln und beschäftigt sich leidenschaftlich gern mit allen Themen rund um IT, Telekommunikation und Digitalisierung.

6 thoughts on “Sicherheit bei WordPress – Die 8 größten Fehler für Ihre WordPress-Webseite

  1. Hallo,
    ich habe gerade erst angefangen, mich mit den technischen Details und Möglichkeiten der Erstellung eines Blogs zu beschäftigen. Vielen Dank für den wertvollen Beitrag und für die Tipps! Ich habe den Eindruck, dass das hier gerade genau das ist, was ich gerade brauche.
    BG
    Daniela

  2. Hallo,

    eine gelungene Zusammenstellung der wichtigsten Punkte. Ich würde ein Caching-Plugin mit aufnehmen, denn nur dann macht es wirklich Spaß auf der Webseite zu surfen.

    Viele Grüße
    Andi

  3. Ich muss aber dann mal in die Runde werfen, warum man Plugins installieren muss, um die Sicherheit von WordPress zu steigern ?

    Warum macht WordPress das nicht selbst? Dadurch würde man auch zusätzliche Sicherheitsrisiken vermeiden, da Plugins, ja selbst die Sicherheitsplugins, nicht immer ohne Sicherheitslücken daher kommen. Welch Ironie!

    Außerdem sind viele der genannten Plugins unnötig, denn wer selbst ein solides Grundverständnis bei dieser Thematik hat, schreibt sich blitzschnell selber die passende .htaccess Datei.

    Meine Auffassung des Ganzen ist ganz klar, das sicherheitsrelevante Dinge in den CORE von WordPress gehören. Warum überlasst man das Drittanbietern ? Will man unsichere und gehackte WordPress Seiten ? Ich will nicht sagen, das die Pluginanbieter nicht fähig wären – ich vertraue aber lieber dem Urheber des Hauptsystems, als vielen kleinen Splittergruppen, die sich dann ironischerweise um die Sicherheit kümmern, was die Aufgabe der Core Entwickler wäre…

    Gerade die Neulinge wissen es doch nicht besser…

    Ich bin selber erst vor kurzem zu WordPress gewechselt und hatte davor jahrelang ein anderes System verwendet. Gerade deshalb finde ich gerade dieses Thema wirklich bedenklich. WordPress selbst scheint es ja nicht zu interessieren, das andere sich um die Sicherheit bemühen müssen…

    • Hallo,
      die Core-Entwickler von WordPress arbeiten kontinuierlich daran, WordPress bereits in der Standardversion immer sicherer zu machen. Die Verwendungsmöglichkeiten, Anpassungen und Erweiterungsmöglichkeiten des Systems sind jedoch so vielfältig, dass man unmöglich alle Sicherheitsaspekte berücksichtigen kann. Deshalb wird man um den Einsatz spezifischer Sicherheits-Plugins für WordPress nicht herumkommen.
      Mit besten Grüßen
      Wolf-Dieter Fiege

  4. Danke für die Zusammenfassung. Wichtig ist vor Allem, dass man einigermaßen up to date ist. Im Artikel wird nur beschrieben wie man den WordPress Core aktuell hält. Die Meisten Angriffe finden aber über veraltete Themes oder Plugins statt. Sinnvoll ist es regelmäßig ins Backend zu schauen ob Sicherheitsupdates zur Verfügung stehen, egal ob für den Core, für Plugins oder Themes.

  5. Hallo,
    von Plugins wie „WP Limit Login Attempts“ halte ich auch nicht viel. Abgesehen davon, ist das auch mit der DSGVO nun schwierig. Eine einfache .htaccess klemmt das schon ganz gut ab.
    Die Leute benutzen aber ansonsten auch immer zu einfache Passwörter. Viele haben noch nie etwas von einem Passwortmanager gehört.
    Ich habe als Webseite mal eine Liste mit Tipps für gute Passwörter hinterlegt, evtl. ist die ja noch zur Aufnahme in den Artikel geeignet. Würde bestimmt dem ein oder anderen helfen.
    Liebe Grüße!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die von Ihnen hier erhobenen Daten werden von der Host Europe GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.hosteurope.de/AGB/Datenschutzerklaerung/