Mittlerweile werden über 30 Prozent aller Websiten über WordPress verwaltet (Quelle: statista.com).
Durch diesen hohen Beliebtheitsgrad gerät das Content-Management-System immer öfter ins Visier von Hackern.

Wir zeigen Ihnen in einem dreiteiligen Tutorial, wie Sie Ihre WordPress-Website besser gegen Angriffe schützen können.

1.1 Verwenden Sie sichere Zugangsdaten

Die meisten Angriffe auf WordPress werden mittels der sog. Brute-Forde-Methode (deutsch: rohe Gewalt) vorgenommen. Die Hacker versuchen, durch ein automatisiertes Skript, welches in der Sekunde mehrere Anfragen an den Server und die Datenbank Ihrer Website schickt, in das WordPress-Backend Ihrer Homepage zu gelangen. Dabei werden in kürzester Zeit mehrere Kombinationen aus Benutzername und Passwort ausprobiert, bis der Login erfolgreich ist und die Betrüger dann „ihr Ding durchziehen können“.

Verwendet man also einfache Zugangsdaten z. B.

  • Benutzername:  „Admin“
  • Passwort: test1234 ,

macht man es den Betrügern umso leichter.

Unsere Empfehlung für sichere Zugangsdaten:

  • Benutzername = E-Mail-Adresse
  • Passwort = mind. 8 Zeichen, darin sollten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen vorkommen.
  • Bei einer umfangreichen Website mit viel Traffic (hohe Aufrufe) sollten Sie das Passwort zudem regelmäßig ändern.

1.2 regelmäßige Datensicherung

Erstellen Sie regelmäßig ein Backup Ihrer Daten (Datenbank und FTP-Server), am besten im ein- oder zweiwöchigem Turnus. Speichern Sie das Backup auf einem externen Datenträger, nicht auf dem Webserver Ihrer Homepage. Sollten Sie nun Opfer eines Angriffs werden, so können Sie einfach Ihre Website über das Backup wiederherstellen und die Zugangsdaten ändern.

Für die Erstellung des Backups eignen sich Plugins wie Updraft Plus oder BackWPup.

Manche Hostinganbieter wie Strato nehmen automatisch eine Datensicherung des FTP-Verzeichnisses vor, andere stellen ein PHP-Skript zur Verfügung, welches über einen Cronjob regelmäßig automatische Backups vornimmt.

Gerne können Sie hierzu unseren Beitrag vom 27. Mai 2017 lesen.

1.3 SSL-Verschlüsselung (HTTPS)

Das Hypertext Transfer Protocol Secure (HTTPS) ermöglicht es, Informationen verschlüsselt und abhörsicher zu übertragen.

Nicht nur im Bereich der Informationssicherheit wird dieses Thema heiß diskutiert.

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 wird die sichere Transportverschlüsselung mittels HTTPS-Protokoll von Datenschützern immer mehr in den Vordergrund gestellt. Es wurden auch schon zahlreiche Websitenbetreiber abgemahnt, weil sie keine SSL-Verschlüsselung in Kontaktformularen aktiviert hatten.

Mittlerweile beinhalten die meisten Webhosting-Anbieter kostenlose SSL-Zertifikate von Let’s Encrypt. Diese lassen sich in wenigen Minuten mit geringem Aufwand einrichten.

Fazit:

Aus unserer Sicht ist die SSL-Verschlüsselung ein Muss. Auch Suchmaschinen stufen Websiten mit verschlüsselter Verbindung besser ein.

Wenn Ihre Seite noch kein SSL-Zertifikat hat, dann richten Sie jetzt eines ein!

1.4 Plugins

Auch eine noch so gute Login-Sicherung nützt nichts, wenn der Schadcode bereits im System ist. Viele Betrüger gelangen über eine versteckte Hintertüre, z. B. einen Schadcode in einem WordPress-Plugin an die Daten im Backend.

Beachten Sie bitte folgendes:

  1. Installieren Sie nur vertrauenswürdige Plugins (mit hoher Bewertung oder Empfehlungen von einigen Nutzern)
  2. Achten Sie auf Aktualität der Plugins (das Plugin sollte für die aktuelle WordPress-Version optimiert sein.
  3. Führen Sie regelmäßige Updates durch (vergessen sich nicht, vorher ein Backup zu erstellen und den Changelog vor dem Update zu prüfen)
  4. Entfernen Sie nichtbenötigte Plugins