WordPress Sicherheit: So kannst du deine Webseite effektiv absichern (5 Schritte)

Wordpress Sicherheit erhöhen

WordPress ist das mit Abstand beliebteste CMS System und somit auch im Fokus von Hacker und Malware. Aber keine Sorge – mit diesen 5 einfachen Schritten kannst du deine WordPress Webseite absichern.

Hinweis:
Kein System ist 100% sicher. Auch wenn du dich aktiv um deine WordPress Sicherheit kümmerst, besteht ein gewisses Restrisiko.

Video auf YouTube ansehen: https://www.youtube.com/watch?v=xlPbWLG3VGg

1. Wähle ein sicheres Passwort

Ein sicheres Passwort bietet den Grundstock dafür, um WordPress effektiv abzusichern. Das sollte eigentlich selbstverständlich sein, dennoch werden immer wieder WordPress Webseiten aufgrund von schwachen Passwörtern gehackt.

Ein sicheres Passwort sollte folgende Merkmale aufweisen:

  • Dein Passwort sollte kein echtes Wort beinhalten
  • Dein Passwort sollte Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten
  • Dein Passwort sollte mindestens 12 Zeichen lang sein (noch besser: 15 Zeichen)

Tipp: Merke dir einfach die Anfangsbuchstaben und Sonderzeichen eines Satzes.

Beispiel:

Das ist ein Beitrag über WordPress Sicherheit, geschrieben von Robert Leitinger.

= DieBüWS,gvRL.

Auf checkdeinpasswort.de kannst du die Passwort-Sicherheit überprüfen.

2. WordPress Login absichern: Limit Login Attempts

Standardmäßig ist der WordPress Login (/wp-admin) nicht abgesichert. Es können unterschiedliche Passwortkombinationen unendlich oft eingegeben werden. Das stellt ein großes Sicherheitsrisiko dar.

Abhilfe schafft hierbei das Plugin Limit Login Attempts Reloaded, mit dem du den WordPress Login effektiv absichern kannst.

Mit dem Plugin kannst du einstellen, wie viele falsche Passworteingaben möglich sind, und wie lange der Nutzer nach mehreren Falscheingaben gesperrt ist. Vor allem Brute-Force Attacken auf deinen Login (/wp-admin) können damit verhindert werden.

Das Plugin kann einfach direkt über das WordPress-Backend installiert werden.

3. Regelmäßige Backups

Verlasse dich auf keinen Fall auf die Backups deines Hosting-Providers, sondern erstelle selbst regelmäßige Backups.

Ein Backup ist wie eine Versicherung für deine Webseite.

UpdraftPlus Backup/Restore ist ein kostenloses Plugin, welches ich dir wirklich empfehlen kann! Es gibt davon zwar auch eine Premium Version, aber auch die kostenlose Variante ist sehr umfangreich.

Das kann UpdraftPlus Backup/Restore:

  • Backup für die gesamte Webseite (Server + Datenbank)
  • Zeitgesteuerte Backups
  • Backups automatisch auch extern Speichern (z.B. in Dropbox oder Google Drive)
  • Backups über das Backend einspielen
  • Backup ohne Backend-Zugriff einspielen (über einen Workaround1)

Du solltest zumindest vor jedem Update (WordPress Core oder Plugins) ein Backup anlegen.

1 Workaround: Backup ohne Backend-Zugriff einspielen

Standardmäßig bietet Updraft Plus keine externe Konsole um ein Backup ohne Backend-Zugriff einzuspielen. Im absoluten Notfall kannst du aber eine komplett neue (leere) WordPress-Installation (z.B. über das Hosting-Backend) einspielen. Dort installierst du das UpdraftPlus Plugin und spielst dann dein Backup ein.

So kannst du deine WordPress Webseite im Notfall auch ohne Backend-Zugriff wieder herstellen.

4. FTP-Zugriff

Achte darauf, dass du zu jederzeit Zugriff auf deinen FTP-Server hast. Das kann in bestimmten Situationen essentiell sein.

Gar nicht so selten ist eine Plugin-Inkompatibilität dafür verantwortlich, dass du keinen Zugriff mehr auf dein WordPress-Backend hast.

Die Lösung bietet dir dein FTP-Server. Über FTP kannst du jedes Plugin deaktivieren, indem du einfach den Plugin-Ordner umbenennst. Ein kleines Tutorial dazu findest du in meinem Beitrag WordPress Plugin über FTP deaktivieren.

Deine FTP-Zugangsdaten bekommst du von deinem Hosting-Anbieter. Die meisten Provider bieten auch ein Web-FTP im Hosting-Backend. Ansonsten empfehle ich dir FileZilla – ein kostenloses FTP-Tool, dass ich selbst seit Jahren nutze.

5. Regelmäßige Updates

Veraltete Plugins oder WordPress Versionen sind Einfalltore für Hacker und wohl der häufigste Grund für die Infizierung mit Malware.

Deswegen solltest du unbedingt regelmäßige Updates aller Komponenten durchführen (Plugins, Themes und WordPress-Core).

Dabei solltest du aber folgende 3 Punkte beachten:

  1. Mache vor jedem Update ein Backup.
  2. Wenn du ein Caching-Plugin benutzt, solltest du den Cache nach dem Update löschen.
  3. Überprüfe danach, ob alles wie gewohnt funktioniert. In seltenen Fällen ist ein Plugin nach einem Update nicht mehr kompatibel und verursacht Probleme.

Fazit

Diese 5 Schritte für mehr WordPress Sicherheit setze ich bei jedem neuen Projekt ein (egal ob für Kunden in meiner Webdesign & SEO Agentur, oder auch für eigene Projekte). Sie bieten einen guten Grundstock zur effektiven Absicherung von WordPress – auch wenn niemals eine 100%ige Sicherheit garantiert werden kann.

Hast du noch weitere Anregungen oder Fragen zum Beitrag? Dann schreibe jetzt einfach ein Kommentar!

🎉 Insider-Tipps zu den Themen künstliche Intelligenz, WordPress, SEO & Online Business
Hier bekommst du Zugang zu exklusiven Inhalten und profitierst von weiteren Vorteilen (z.B. spezielle Rabattaktionen, etc.)

Double-Opt-In und DSGVO (du erhältst im Anschluss noch eine E-Mail, um die Anmeldung zu bestätigen). Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung der hier eingegebenen Daten zu. Mehr Informationen dazu in der Datenschutzerklärung.

Robert Leitinger - Experte für Online Marketing, KI und SEO
Über den Autor
Robert Leitinger

In den letzten 10 Jahren habe ich mehrere erfolgreiche Online-Projekte umgesetzt. Im Jahr 2018 folgte die Gründung meiner eigenen Webdesign und Online Marketing Agentur. Ergänzend zu diesem Blog betreibe ich auch einen YouTube Kanal.

Mehr über mich erfahren ➔

Weitere Beiträge lesen:

*Kennzeichnung & Information: Affiliate Links / Partnerlinks
Bei einem Link, der mit einem Stern gekennzeichnet ist (*), handelt es sich um einen Affiliate Link. Wenn du über diesen Link etwas kaufst, erhalte ich eine kleine Provision. Für dich entstehen dadurch keine Mehrkosten. So kann diese Webseite finanziert werden und sie bleibt frei von externen Werbebanner. Vielen Dank! Weitere Informationen disbezüglich findest du in der Datenschutzerklärung.