WordPress Sicherheit: So kannst du deine Webseite effektiv absichern (5 Schritte)

Wordpress Sicherheit erhöhen

WordPress ist das mit Abstand beliebteste CMS System und somit auch im Fokus von Hacker und Malware. Aber keine Sorge – mit diesen 5 einfachen Schritten kannst du deine WordPress Webseite absichern.

Hinweis:
Kein System ist 100% sicher. Auch wenn du dich aktiv um deine WordPress Sicherheit kümmerst, besteht ein gewisses Restrisiko.

Video auf YouTube ansehen: https://www.youtube.com/watch?v=xlPbWLG3VGg

1. Wähle ein sicheres Passwort

Ein sicheres Passwort bietet den Grundstock dafür, um WordPress effektiv abzusichern. Das sollte eigentlich selbstverständlich sein, dennoch werden immer wieder WordPress Webseiten aufgrund von schwachen Passwörtern gehackt.

Ein sicheres Passwort sollte folgende Merkmale aufweisen:

  • Dein Passwort sollte kein echtes Wort beinhalten
  • Dein Passwort sollte Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten
  • Dein Passwort sollte mindestens 12 Zeichen lang sein (noch besser: 15 Zeichen)

Tipp: Merke dir einfach die Anfangsbuchstaben und Sonderzeichen eines Satzes.

Beispiel:

Das ist ein Beitrag über Wordpress Sicherheit, geschrieben von Robert Leitinger.

= DieBüWS,gvRL.

Auf checkdeinpasswort.de kannst du die Passwort-Sicherheit überprüfen.

2. WordPress Login absichern: Limit Login Attempts

Standardmäßig ist der WordPress Login (/wp-admin) nicht abgesichert. Es können unterschiedliche Passwortkombinationen unendlich oft eingegeben werden. Das stellt ein großes Sicherheitsrisiko dar.

Abhilfe schafft hierbei das Plugin Limit Login Attempts Reloaded, mit dem du den WordPress Login effektiv absichern kannst.

Mit dem Plugin kannst du einstellen, wie viele falsche Passworteingaben möglich sind, und wie lange der Nutzer nach mehreren Falscheingaben gesperrt ist. Vor allem Brute-Force Attacken auf deinen Login (/wp-admin) können damit verhindert werden.

Das Plugin kann einfach direkt über das WordPress-Backend installiert werden.

3. Regelmäßige Backups

Verlasse dich auf keinen Fall auf die Backups deines Hosting-Providers, sondern erstelle selbst regelmäßige Backups.

Ein Backup ist wie eine Versicherung für deine Webseite.

UpdraftPlus Backup/Restore ist ein kostenloses Plugin, welches ich dir wirklich empfehlen kann! Es gibt davon zwar auch eine Premium Version, aber auch die kostenlose Variante ist sehr umfangreich.

Das kann UpdraftPlus Backup/Restore:

  • Backup für die gesamte Webseite (Server + Datenbank)
  • Zeitgesteuerte Backups
  • Backups automatisch auch extern Speichern (z.B. in Dropbox oder Google Drive)
  • Backups über das Backend einspielen
  • Backup ohne Backend-Zugriff einspielen (über einen Workaround1)

Du solltest zumindest vor jedem Update (WordPress Core oder Plugins) ein Backup anlegen.

1 Workaround: Backup ohne Backend-Zugriff einspielen

Standardmäßig bietet Updraft Plus keine externe Konsole um ein Backup ohne Backend-Zugriff einzuspielen. Im absoluten Notfall kannst du aber eine komplett neue (leere) WordPress-Installation (z.B. über das Hosting-Backend) einspielen. Dort installierst du das UpdraftPlus Plugin und spielst dann dein Backup ein.

So kannst du deine WordPress Webseite im Notfall auch ohne Backend-Zugriff wieder herstellen.

4. FTP-Zugriff

Achte darauf, dass du zu jederzeit Zugriff auf deinen FTP-Server hast. Das kann in bestimmten Situationen essentiell sein.

Gar nicht so selten ist eine Plugin-Inkompatibilität dafür verantwortlich, dass du keinen Zugriff mehr auf dein WordPress-Backend hast.

Die Lösung bietet dir dein FTP-Server. Über FTP kannst du jedes Plugin deaktivieren, indem du einfach den Plugin-Ordner umbenennst. Ein kleines Tutorial dazu findest du in meinem Beitrag WordPress Plugin über FTP deaktivieren.

Deine FTP-Zugangsdaten bekommst du von deinem Hosting-Anbieter. Die meisten Provider bieten auch ein Web-FTP im Hosting-Backend. Ansonsten empfehle ich dir FileZilla – ein kostenloses FTP-Tool, dass ich selbst seit Jahren nutze.

5. Regelmäßige Updates

Veralterte Plugins oder WordPress Versionen sind Einfalltore für Hacker und wohl der häufigste Grund für die Infizierung mit Malware.

Deswegen solltest du unbedingt regelmäßige Updates aller Komponenten durchführen (Plugins, Themes und WordPress-Core).

Dabei solltest du aber folgende 3 Punkte beachten:

  1. Mache vor jedem Update ein Backup.
  2. Wenn du ein Caching-Plugin benutzt, solltest du den Cache nach dem Update löschen.
  3. Überprüfe danach, ob alles wie gewohnt funktioniert. In seltenen Fällen ist ein Plugin nach einem Update nicht mehr kompatibel und verursacht Probleme.

Fazit

Diese 5 Schritte für mehr WordPress Sicherheit setze ich bei jedem neuen Projekt ein (egal ob für Kunden in meiner Webdesign & SEO Agentur, oder auch für eigene Projekte). Sie bieten einen guten Grundstock zur effektiven Absicherung von WordPress – auch wenn niemals eine 100%ige Sicherheit garantiert werden kann.

Hast du noch weitere Anregungen oder Fragen zum Beitrag? Dann schreibe jetzt einfach ein Kommentar!

Inhaltsverzeichnis
Über den Autor
Robert Leitinger

In den letzten 10 Jahren habe ich mehrere erfolgreiche Online-Projekte umgesetzt.
Im Jahr 2018 folgte die Gründung meiner eigenen Webdesign und Online Marketing Agentur.
Ergänzend zu diesem Blog betreibe ich auch einen YouTube Kanal.

Mehr über mich erfahren

Robert Leitinger

2 Gedanken zu „WordPress Sicherheit: So kannst du deine Webseite effektiv absichern (5 Schritte)“

  1. Das Absichern von WordPress ist richtig und wichtig. Falsch ist es, wenn man sich auf ein Plugin wie Limit Login Attempts Reloaded verlässt. Es wird immer so getan als seien die Hackbots blöde.

    Sicherheitsexperten betonen des öfteren, dass Hackbots längst nicht mehr mit einer einzigen IP-Adresse ankommen sondern im Bruchteil von Sekunden auf neue (gefakte) IP-Adressen umschalten und damit die Arbeit fortsetzen. Deswegen vertraue ich lieber WP Cerber. Dort kann ich meine IP bzw. den Adressblock whitelisten und alles andere ablehnen lassen. Auch habe ich den Login-Pfad geändert und entsprechend die Dateirechte und die Sicherheitsschlüssel geändert.

    Antworten
    • Hey, danke für dein Kommentar. Klar ist es falsch, sich auf ein Plugin zu verlassen. Limit Login Attempts habe ich nur als einen Baustein von mehrere Sicherheitsmaßnahmen im Beitrag erwähnt. Generell wird der Beitrag auch noch erweitert, da das Thema WordPress Sicherheit doch sehr umfangreich ist! Danke auf den Hinweis mit WP Cerber – das Plugin kannte ich noch gar nicht, werde ich mir aber genauer anschauen und evtl. im Beitrag einfließen lassen.

Schreibe einen Kommentar

Kennzeichnung & Information: Affiliate Links / Partnerlinks
Bei einem Link, der mit einem Stern gekennzeichnet ist (*), handelt es sich um einen Affiliate Link. Wenn du über diesen Link etwas kaufst, erhalte ich eine kleine Provision. Für dich entstehen dadurch keine Mehrkosten. So kann diese Webseite finanziert werden und sie bleibt frei von externen Werbebanner. Vielen Dank! Weitere Informationen disbezüglich findest du in der Datenschutzerklärung.

Über robert-leitinger.com

Ich schicke dir eine Mail, sobald ein neuer Beitrag veröffentlicht wird.

Mit dem Absenden des Formulars erteilst du mir die Einwilligung, dir meinen E-Mail-Newsletter zuzusenden. Dies kannst du jederzeit wiederrufen. Mehr Infos: Datenschutzerklärung.

TEILEN ist wie TRINKGELD für mich : -)
Vielen Dank!

Inhaltsverzeichnis (scroll down)
Über robert-leitinger.com

Ich schicke dir eine Mail, sobald ein neuer Beitrag veröffentlicht wird.

Mit dem Absenden dieses Formulars erteilst Du mir die Einwilligung, dir meinen E-Mail-Newsletter zuzusenden. Dies kannst du jederzeit wiederrufen. Weitere Infos findest du in der Datenschutzerklärung.