WordPress ist das mit Abstand beliebteste CMS System und somit auch im Fokus von Hacker und Malware. Aber keine Sorge – mit diesen 5 einfachen Schritten kannst du deine WordPress Webseite absichern.
Hinweis:
Kein System ist 100% sicher. Auch wenn du dich aktiv um deine WordPress Sicherheit kümmerst, besteht ein gewisses Restrisiko.
Video auf YouTube ansehen: https://www.youtube.com/watch?v=xlPbWLG3VGg
1. Wähle ein sicheres Passwort
Ein sicheres Passwort bietet den Grundstock dafür, um WordPress effektiv abzusichern. Das sollte eigentlich selbstverständlich sein, dennoch werden immer wieder WordPress Webseiten aufgrund von schwachen Passwörtern gehackt.
Ein sicheres Passwort sollte folgende Merkmale aufweisen:
- Dein Passwort sollte kein echtes Wort beinhalten
- Dein Passwort sollte Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten
- Dein Passwort sollte mindestens 12 Zeichen lang sein (noch besser: 15 Zeichen)
Tipp: Merke dir einfach die Anfangsbuchstaben und Sonderzeichen eines Satzes.
Beispiel:
Das ist ein Beitrag über WordPress Sicherheit, geschrieben von Robert Leitinger.
= DieBüWS,gvRL.
Auf checkdeinpasswort.de kannst du die Passwort-Sicherheit überprüfen.
2. WordPress Login absichern: Limit Login Attempts
Standardmäßig ist der WordPress Login (/wp-admin) nicht abgesichert. Es können unterschiedliche Passwortkombinationen unendlich oft eingegeben werden. Das stellt ein großes Sicherheitsrisiko dar.
Abhilfe schafft hierbei das Plugin Limit Login Attempts Reloaded, mit dem du den WordPress Login effektiv absichern kannst.
Mit dem Plugin kannst du einstellen, wie viele falsche Passworteingaben möglich sind, und wie lange der Nutzer nach mehreren Falscheingaben gesperrt ist. Vor allem Brute-Force Attacken auf deinen Login (/wp-admin) können damit verhindert werden.
Das Plugin kann einfach direkt über das WordPress-Backend installiert werden.
3. Regelmäßige Backups
Verlasse dich auf keinen Fall auf die Backups deines Hosting-Providers, sondern erstelle selbst regelmäßige Backups.
Ein Backup ist wie eine Versicherung für deine Webseite.
UpdraftPlus Backup/Restore ist ein kostenloses Plugin, welches ich dir wirklich empfehlen kann! Es gibt davon zwar auch eine Premium Version, aber auch die kostenlose Variante ist sehr umfangreich.
Das kann UpdraftPlus Backup/Restore:
- Backup für die gesamte Webseite (Server + Datenbank)
- Zeitgesteuerte Backups
- Backups automatisch auch extern Speichern (z.B. in Dropbox oder Google Drive)
- Backups über das Backend einspielen
- Backup ohne Backend-Zugriff einspielen (über einen Workaround1)
Du solltest zumindest vor jedem Update (WordPress Core oder Plugins) ein Backup anlegen.
1 Workaround: Backup ohne Backend-Zugriff einspielen
Standardmäßig bietet Updraft Plus keine externe Konsole um ein Backup ohne Backend-Zugriff einzuspielen. Im absoluten Notfall kannst du aber eine komplett neue (leere) WordPress-Installation (z.B. über das Hosting-Backend) einspielen. Dort installierst du das UpdraftPlus Plugin und spielst dann dein Backup ein.
So kannst du deine WordPress Webseite im Notfall auch ohne Backend-Zugriff wieder herstellen.
4. FTP-Zugriff
Achte darauf, dass du zu jederzeit Zugriff auf deinen FTP-Server hast. Das kann in bestimmten Situationen essentiell sein.
Gar nicht so selten ist eine Plugin-Inkompatibilität dafür verantwortlich, dass du keinen Zugriff mehr auf dein WordPress-Backend hast.
Die Lösung bietet dir dein FTP-Server. Über FTP kannst du jedes Plugin deaktivieren, indem du einfach den Plugin-Ordner umbenennst. Ein kleines Tutorial dazu findest du in meinem Beitrag WordPress Plugin über FTP deaktivieren.
Deine FTP-Zugangsdaten bekommst du von deinem Hosting-Anbieter. Die meisten Provider bieten auch ein Web-FTP im Hosting-Backend. Ansonsten empfehle ich dir FileZilla – ein kostenloses FTP-Tool, dass ich selbst seit Jahren nutze.
5. Regelmäßige Updates
Veraltete Plugins oder WordPress Versionen sind Einfalltore für Hacker und wohl der häufigste Grund für die Infizierung mit Malware.
Deswegen solltest du unbedingt regelmäßige Updates aller Komponenten durchführen (Plugins, Themes und WordPress-Core).
Dabei solltest du aber folgende 3 Punkte beachten:
- Mache vor jedem Update ein Backup.
- Wenn du ein Caching-Plugin benutzt, solltest du den Cache nach dem Update löschen.
- Überprüfe danach, ob alles wie gewohnt funktioniert. In seltenen Fällen ist ein Plugin nach einem Update nicht mehr kompatibel und verursacht Probleme.
Fazit
Diese 5 Schritte für mehr WordPress Sicherheit setze ich bei jedem neuen Projekt ein (egal ob für Kunden in meiner Webdesign & SEO Agentur, oder auch für eigene Projekte). Sie bieten einen guten Grundstock zur effektiven Absicherung von WordPress – auch wenn niemals eine 100%ige Sicherheit garantiert werden kann.
Hast du noch weitere Anregungen oder Fragen zum Beitrag? Dann schreibe jetzt einfach ein Kommentar!