WordPress Sicherheit Teil 1

rayeWordPress

WordPress Sicherheit

Im ersten Teil unseres großen Artikels über WordPress-Sicherheit widmen wir uns grundsätzlichen Strategien. So schaffen wir eine gute Grundlage für die Sicherheit Ihrer WordPress Installation.

WordPress Sicherheit ist ein Thema von großer Bedeutung für jeden Webseitenbetreiber. Jede Woche fügt Google seiner schwarze Liste rund 70.000 neue Webseiten hinzu. Webseiten und Hacker mit bösen Absichten lauern leider überall.

Wenn Sie es ernst meinen mit Ihrer Website, dann müssen Sie auf die Sicherheit Ihrer WordPress Seite achten. In diesem Leitfaden geben wir Ihnen die wichtigsten WordPress Sicherheit Tipps. Sie helfen Ihnen, Ihre Website vor Hackern und Malware zu schützen.

WordPress Sicherheit verbessern

WordPress selbst ist ein sicherers System. Weil es regelmäßig von Hunderten von Entwicklern überprüft wird. Trotzdem gibt es noch viel zu tun, um Ihre WordPress-Website zu schützen.

Bei der Sicherheit für Webseiten geht um zwei Dinge:

  • die Beseitigung von Risiken
  • und die Risikominimierung

Wir zeigen Ihnen in diesem zweiteiligen Artikel eine Reihe von Maßnahmen, um die Sicherheit Ihrer WordPress Seite zu verbessern.

Um es Ihnen leichter zu machen, haben wir ein Inhaltsverzeichnis erstellt. Das erleichtert Ihnen die Navigation durch unser ultimatives WordPress-Sicherheitshandbuch.

Warum ist die Sicherheit Ihrer Webseite wichtig?

Eine gehackte WordPress-Site kann ernsthafte Schäden an Ihren Geschäftseinnahmen und Ihrem Ruf verursachen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Besucher verteilen.

Zunehmend schaffen es Hacker sogenannte Ransomware auf Webservern zu installieren. Diese schottet die Webseite und den Zugang zum Server komplett ab. Ziel der Hacker ist es, Sie zu einer Überweisung eines Gelbetrages zu bewegen. Erst danach bekommen Sie wieder Zugang zu Ihrer Website – der moderne Weg der Erpressung.

Und ob nach der Überweisung tatsächlich die Ransomware wieder deaktiviert wird, ist zu bezweifeln. Alternative wäre, den Server, und damit auch die Schadsoftware und Ihre ganze Webseite, komplett zu löschen.

Im März 2016 berichtete Google, dass mehr als 50 Millionen Website-Nutzer gewarnt wurden, dass eine Website, die sie besuchen, Malware enthalten oder Informationen stehlen kann.

Darüber hinaus fügt Google seiner schwarzen Liste jede Woche rund 20.000 neue Websites für Malware und rund 50.000 neue Websites für Phishing hinzu.

Insbesondere wenn Ihre Website ein wichtiger Bestandteil Ihres Unternehmens ist, müssen Sie besonders auf die WordPress-Sicherheit achten.

Genauso wie ein Geschäftsinhaber sein physisches Ladengebäude schützen muss, müssen Sie Ihre Webseite ebenfalls schützen.

WordPress auf dem neuesten Stand halten

WordPress ist eine Open-Source-Software, die regelmäßig gewartet und aktualisiert wird. Standardmäßig installiert WordPress automatisch kleinere Updates. Bei größeren Releases müssen Sie das Update manuell einleiten.

WordPress enthält auch Tausende von Plugins und Designs, die Sie auf Ihrer Website installieren können. Diese Plugins und Designs werden von Drittanbietern gepflegt, die auch regelmäßig Updates veröffentlichen.

Diese WordPress Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress Webseite. Sie müssen sicherstellen, dass Ihre WordPress-Installation, Ihre Plugins und Ihr Design auf dem neuesten Stand sind.

Sichere Passwörter und Benutzerberechtigungen

WordPress Sicherheit
Nur sichere und unterschiedliche Passwörter bieten Schutz

Die häufigsten WordPress Hacking-Versuche verwenden gestohlene Passwörter. Sie können das für den Angreifer schwieriger gestalten, indem Sie stärkere Passwörter verwenden. Und vor allen Dingen dürfen Sie nicht überall das gleiche Passwort verwenden. Der WordPress-Administrationsbereich, FTP-Konten, die Datenbank, der WordPress Hosting-Account, ihre E-Mail-Adresse … jeder dieser Bereiche sollte unbedingt ein eigenes Passwort verwenden.

Der Hauptgrund, warum Anfänger nicht gerne sichere und unterschiedliche Passwörter verwenden, ist, dass sie schwer zu merken sind. Das Gute ist, dass Sie sich keine Passwörter mehr merken müssen, wenn Sie eine Passwortmanager verwenden. Wir empfehlen dringend den Einsatz eines Passwortmanagers wie z.B. LastPass oder 1Password.

Eine weitere Möglichkeit, das Risiko zu reduzieren, besteht darin, niemandem Zugriff auf Ihr WordPress-Administrationskonto zu gewähren. Es sei denn, Sie müssen es unbedingt tun.

Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Benutzerfunktionen von WordPress verstehen, bevor Sie neue Benutzer und Autoren zu Ihrer WordPress-Seite hinzufügen.

Installieren einer WordPress Backup Lösung

Zunächst die schlechte Nachricht: kein System ist 100% sicher!

Wenn Ihnen jemand einen 100% Schutz gegen Hacker verspricht, sollten Sie misstrauisch werden. Wenn Regierungs-Webseiten gehackt werden können, dann kann auch Ihre Webseite gehackt werden. 

Jetzt die gute Nachricht: Backups lösen dieses Problem in der Regel, wenn die diese korrekt eingestellt sind. Backups sind Ihre erste Verteidigungslinie gegen jeden WordPress Angriff.

Ein WordPress Backup ermöglicht es Ihnen, Ihre Webseite schnell wiederherzustellen, falls etwas Schlimmes passieren sollte.

Es gibt viele kostenlose und kostenpflichtige WordPress Backup-Plugins, die Sie verwenden können. Das Wichtigste ist, dass Sie regelmäßige Voll-Backups an einem entfernten Ort (nicht an Ihrem Hosting-Server) speichern müssen.

Wir empfehlen, das Backup zum Beispiel bei einem Cloud-Anbieter zu speichern.

Je nachdem, wie häufig Sie Ihre Website aktualisieren, kann die ideale Einstellung für die Häufigkeit unterschiedlich ausfallen. Zwischen einmal im Jahr und sofortigen Echtzeit-Backups ist alles möglich, aber eventuell nicht sinnvoll.

Wir bieten sehr professionelle WordPress-Backup Lösungen und WordPress Wartungsverträge an. Wir beraten Sie gerne, welche Lösung für Sie am sinnvollsten ist.

Warum das richtige WordPress Hosting eine Rolle spielt

Ihr WordPress Hosting spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Seite. Ein guter WordPress Hosting-Provider wie z.B. RaidBox richtet zusätzliche Maßnahmen ein, um seine Server vor allgemeinen Bedrohungen und Angriffen durch Hacker zu schützen.

Beim Hosting muss man zwischen Shared Hosting und Dedicated Hosting unterscheiden.

Was ist Shared Hosting?

Beim Shared Hosting teilen Sie die Server-Ressourcen mit vielen anderen Kunden. Das heisst, auf einem Server werden mehrere Webseiten installiert. Das macht den Preis günstiger, da weniger Server benötigt werden. Das Teilen mit anderen Webseiten ist in der Regel für kleinere Webseiten kein Problem. Allerdings gibt es drei Szenarien die zum Problem werden können:

  1. Sie teilen sich die Rechenpower mit den anderen Webseiten. So kann es passieren, dass eine der anderen Webseiten so viel Performance benötigt, dass für Ihre Webseite kaum noch etwas übrig bleibt. In der Folge wird Ihre Webseite langsamer. Wenn Sie immer auf eine gute Performance der Webseite angewiesen sind, kann das ein Problem sein.
  2. Es kann passieren, dass Google eine der anderen Webseiten auf die schwarze Liste stellt. Dadurch kann Google auch Ihre Webseite schlechter bewerten. Nach dem Motto: „Wo ein schwarzes Schaf ist …“. Es kann sich also negativ auf das Google Ranking auswirken und Ihre Webseite rutsch ab. Im schlimmsten Fall landet Ihre Webseite auch auf der schwarzen Liste.
  3. In diesem Artikel geht es um die WordPress Sicherheit. Ist diese bei Shared Hosting auch bedroht? Leider ja! Wenn eine der Webseiten gehackt wurde, kann sich der Hacker im ungünstigsten Fall Zugriff auf den ganzen Server verschaffen. Somit hat er dann Zugriff auf Ihre Webseite.

Das Gegenteil zu Shared Hosting wäre Dedicated Hosting. Bei einem dedizierten Server haben Sie eine Server für sich allein. Allerdings ist der Konfigurationsaufwand und das benötigte Know-how wesentlich höher.

Was ist Managed WordPress-Hosting?

Der Zusatz „Managed“ bedeutet in der Regel, das zusätzliche Komfort- und Sicherheitsfunktionen auf dem Server laufen. Meistens ist der Konfigurationsaufwand des Servers auch geringer, da vieles Vorkonfiguriert oder gar nicht erst konfigurierbar ist.

Ein „Managed WordPress Hosting“ bietet also mehr Sicherheit und Komfort speziell für WordPress Installationen. Managed WordPress Hosting-Unternehmen bieten z.B. automatische Backups, automatische WordPress Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer WordPress Installation.

Wir empfehlen unseren offiziellen Partner RaidBox als Managed WordPress Hosting Provider. RaidBox ist das schnellste Managed WordPress Hosting in Deutschland und bietet von Haus viele Komfort- und Sicherheitsfunktionen.

Im zweiten Teil widmen wir uns konkreten Schritten und Anleitungen um die Sicherheit Ihrer WordPress Seite zu erhöhen.

René Aye


René Aye ist Inhaber von Pyropixel und bietet seit 2005 professionelles Webdesign, Webentwicklung und Appentwicklung an. Durch seine Ausbildung zum Mediengestalter hat er zudem viel Erfahrung im Bereich Grafik, Layout und Musikproduktion.