Ihre Unternehmenswebsite ist der Dreh- und Angelpunkt Ihres Online-Marketings. Sie haben viel Arbeit und vor allem oftmals viel Geld reingesteckt, um für Ihre User die Erfahrung mit Ihrem Online-Auftritt optimal zu gestalten. Deshalb schützen Sie Ihre Homepage wie Ihren Augapfel. Doch ganz gleich, was Sie für die Sicherheit tun, es wird nie genug sein. Wir stellen Ihnen die acht weit verbreitetsten Fehler vor, die in puncto Sicherheit bei WordPress Seiten vorkommen – und geben Tipps, wie Sie diese verhindern.

 

Fehler Nummer 1 – eine schlechte Hosting-Umgebung

Alles steht und fällt mit vernünftigem Hosting. Laut einer Studie von WP Template sind 41 Prozent der Hacks auf unsichere Server zurückzuführen. Das ist nahezu die Hälfte! Umso wichtiger ist, den richtigen Hoster auszuwählen! Um den zu finden, verfahren Sie nach dem Motto: Was nichts kostet, ist auch nichts! Wer sich für einen günstigen Hoster entscheidet, spart an der Sicherheit und am Support ein. Sehen Sie das Hosting Ihrer WordPress Seite als ein Investment in Ihr Business an! Denken Sie daran: Auch wenn Ihre Website nicht das Ziel eines Hacks ist, kann Sie, zum Beispiel auf geteilten Servern, zum Kollateralschaden werden.

 

Fehler Nummer 2 – Sie sind nicht immer Up to Date

WordPress wird regelmäßig aktualisiert. Dabei gibt es kleinere und größere Updates. Bei den kleineren Aktualisierungen geht es eher um Sicherheits-Updates und kleinere Bugs. Die großen Updates beinhalten neue Features oder Verbesserungen im Coding. Ganz gleich, ob groß oder klein – Sie sollten jeden Patch so schnell wie möglich aufspielen.

Tipp: Schon seit WordPress 3.7 werden die kleinen Updates automatisch implementiert. Wenn Sie in Ihre wp-confige.php Datei

define ( ’WP_AUTO_UPDATE_CORE’, true );

einfügen, werden auch die Haupt-Updates automatisch implementiert. Beachten Sie, dass die großen Updates oftmals Konflikte mit Plugins und Themes auslösen.

Ganz klar: Was für die WordPress-Updates gilt, gilt auch für Plugins und Themes. Denn: Ungeschützte Plugins und Themes sorgen sogar zu 51 Prozent für gehackte Webseiten.

 

Fehler Nummer 3: Sie nutzen unsichere Passwörter

Ungenügende Zugangs-Sicherheit ist ein weiterer beliebter WordPress Sicherheits-Fehler. Denn die meisten Hacks laufen automatisiert ab. Da ist keiner, der sich hinsetzt und akribisch händisch Kombinationen von Benutzernamen und Passwörtern durchprobiert. Es gibt automatisierte Scripts, die die Suche nach den richtigen Login-Daten in einer unfassbaren Geschwindigkeit durchführen. Trotzdem nutzen noch immer viele Website-Betreiber unsichere Passwörter. TeamsID krönt jedes Jahr die 25 schwächsten Passwörter, von „123456“ über „password“ bis „login“ ist alles dabei.

Tipp:

  • Reduzieren Sie die Anzahl der Leute, die Administrationsrechte haben: Sie können Usern bei WordPress unterschiedliche Rollen zuweisen. Nicht jeder Nutzer muss alles auf Ihrer Seite machen dürfen.
  • Nutzen Sie niemals „admin“ als Benutzername: „Admin“ ist bei WordPress als Benutzer voreingestellt. Wenn Ihre derzeitige Website diesen Benutzernamen gebraucht, ändern Sie dies sofort!
  • Nutzen Sie starke Passwörter: Seit einiger Zeit besitzt WordPress einen Passwortstärken-Generator. Nutzen Sie ihn! Oder setzen Sie auf ein Passwortsicherheits-Programm wie Keypass. Zudem zwingt dieses Plugin Nutzer Ihrer Seite, ein starkes Passwort einzusetzen.
  • Limitieren Sie Login-Versuche: Um Brute-Force-Attacken aus dem Weg zu gehen, grenzen Sie am besten die Anzahl der Zugangsversuche ein. Viele Sicherheits-Plugins bieten dieses Feature. Sie können auch WP Limit Login Attempts
  • Verbergen Sie die Login-Seite: Wenn Sie es noch sicherer haben möchten, kreieren Sie mit dem Plugin Move Login für Ihre Login-Seite anstatt der üblichen Login-URL https://example.com/wp-login.php eine neue Zugangs-URL, wie zum Beispiel https://example.com/login.

 

Fehler Nummer 4: Themes und Plugins von unsicheren Quellen implementieren

Die Bekanntheit von WordPress hat es zu einem der liebsten Hackerziele gemacht. Aber nicht immer wird die Seite von außen angegriffen, sondern der Seitenbesitzer ist selbst die Fehlerquelle. Meistens passiert dies, wenn freie WordPress Themes und Plugins installieren. Eine Praxis-Studie von CodienWP fand heraus, dass viele freie Templates Fehler, ein tückisches JAVA-Script und noch viele andere Probleme haben. Deshalb tun Sie gut daran, Themes und Plugin von vertrauenswürdigen Quellen zu nutzen, allen voran wordpress.org. Dort finden Sie Themes und Plugins, die alle auf Herz und Nieren geprüft wurden. Außerdem arbeitet Google ständig daran, seine Suchergebnisse zu verbessern.

Tipp: Es gibt Drittanbieter, denen Sie vertrauen können. In dieser Liste finden Sie bestimmt einen Anbieter für Ihr nächstes Theme.

 

Fehler Nummer 5: Ungenutzte Plugins, Themes und Accounts horden

Auch nicht-schädliches WordPress-Beiwerk kann, falsch angewandt, ein Sicherheitsrisiko bergen, wenn Sie Plugins und Co. nicht regelmäßig updaten. Um das Risiko noch mehr zu minimieren, löschen Sie am besten alle Tools, die Sie nicht aktiv nutzen. Dazu gehören auch ungenutzte User Accounts. Denn jeder Account ist ein Einlasstor für Hacker. Je weniger Accounts, desto besser.

 

Fehler Nummer 6: Keine regelmäßigen Backups

Auch wenn Sie alle Vorkehrungen treffen – hundertprozentig sicher ist gar nichts. Deshalb sollten Sie Ihre Seite regelmäßig updaten! Wenn irgendetwas schief läuft, können Sie so immer zu der letzten funktionierenden Version Ihrer Website zurückkehren.

Wenn Sie einen Qualitäts-Hoster nutzen, werden jeden Tag Backups erstellt. Um auf Nummer sicher zu gehen, sollten Sie Ihre eigene Backup-Lösung implementieren, wie zum Beispiel Duplicator, oder UpdraftPlus.

Tipp:

Speichern Sie Ihre Backups regelmäßig auf einem gesonderten System ab, z.B. auf einer externen Festplatte oder einem einem Backup Storage Produkt. 

 

Fehler Nummer 7: Vertrauen Sie nicht allein auf WordPress interne Sicherheitsvorkehrungen

Obwohl WordPress Sicherheit großschreibt, gibt es einiges zu verbessern. Zum Beispiel nutzt WordPress das Datenbank Präfix wp_. Da dieses Präfix bekannt ist, machen diese Standard-Bezeichnungen Ihre Website angreifbar. Besser Sie ändern diese in zufällige Bezeichnungen, die nicht leicht zu knacken sind. Sie tun dies am besten während der Installation oder, wenn Ihre Seite schon online ist, mit dem Plugin iThemes Security. Wer Profi ist, kann diese Maßnahme manuell durchführen.

 

Fehler Nummer 8: Sie nutzen kein Sicherheits-Plugin

Wir wissen: Es ist gar nicht so wenig, was Sie alles in puncto Sicherheit bei WordPress beachten müssen. Deshalb nutzen Sie am besten ein Sicherheits-Plugin, bevor Sie gar nichts tun. Es gibt einige Tools, die Ihre Seite kugelsicher machen – auch ohne technisches Know-how, wie zum Beispiel BulletProof Security, Sucuri Security, iThemes Security und Wordfence. Diese Plugins übernehmen für Nicht-Profis alle oben genannten Sicherheits-Jobs.

 

Sicherheit bei WordPress – Fazit

Wenn die eigene Website gehackt wird, ist dies eine Katastrophe. All die Arbeit, die Zeit und oftmals viel Geld scheint verschwunden zu sein, Was für ein Albtraum! Die gute Nachricht: Sie haben es in der Hand, die üblichen Fehler für die WordPress Sicherheit von Anfang in den Griff zu bekommen.

Tipp:

Ihre WordPress-Webseite wurde gehackt? Was tun? Wir zeigen Ihnen die wichtigsten Schritte. 

 

Quelle:

TORQUE: 8 Common WordPress Security Mistakes That Could Cost You Dearly

Jana Behr

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten