WordPress Sicherheit: So schützt du deine Website

Sicherheit für Wordpress

WordPress ist eines der beliebtesten, wenn nicht DAS beliebteste Content Management System. Millionen von Websites sind in WordPress erstellt und die Nutzer lieben es. 🙂 Aber leider auch Hacker. Die Sicherheit deiner WordPress Website ist also ein äußerst wichtiges Thema. Das mag dich im ersten Moment vielleicht etwas einschüchtern, aber ich kann dich beruhigen: Mit ein paar einfachen Handgriffen und Tipps, die schnell und einfach umzusetzen sind, schützt du deine Website. Sechs davon stelle ich dir in diesem Artikel vor.

Tabellen-Präfix ändern

Schon bei der Installation kannst du etwas für die Sicherheit deiner Website tun. Bei der Einrichtung von WordPress kannst du neben dem Datenbanknamen, Benutzernamen, Passwort auch den Datenbank Präfix ändern. Vorgegeben ist hier „wp_“. Ändere dies, z.B. auf „ks28_“.

Sicheres Hosting für deine WordPress Website

Bei der Wahl eines Hosting-Anbieters solltest du nicht den niedrigsten Preis entscheiden lassen. Sieh dir an, wie es mit der Sicherheit und dem Ruf des Unternehmens aussieht. Aus den Kundenstimmen lässt sich hier schon genug herausfinden, um zu entscheiden, ob es sich um einen seriösen Anbieter handelt oder nicht.

Du selbst kannst zwar WordPress absichern, aber auf Webserver-Ebene ist dein Host dafür verantwortlich. Beispielsweise ist eine verschlüsselte SFTP-Datenübertragung (nicht nur FTP) dringend zu empfehlen. Prüfe auch regelmäßig im Kundenbereich deines Anbieters, ob die neueste PHP Version vorhanden ist. Die Aktualisierung passiert meist nicht automatisch, sondern auch diese musst du mit einem Klick anstoßen.

SSL-Verschlüsselung einrichten

Nicht nur für Google birgt die verschlüsselte Verbindung mittels HTTPS Vorteile. Damit sicherst du die Verbindung zwischen Browser und Website und verhinderst Hackern den Zutritt.

Neben dem Sicherheitsfaktor ist HTTPS auch vorteilhaft aus SEO-Gründen, weil Google Websites mit HTTPS bevorzugt. Es erhöht aber auch das Vertrauen der User, da eine Website mit HTTPS eine höhere Glaubwürdigkeit erzeugt.

Aktualisiere deine Website regelmäßig

Hacker nehmen gerne den einfachsten Weg und einer davon ist über veraltete Software oder PlugIns. Was machst du also? Updates! Richtig. 🙂

Logge dich regelmäßig in dein Backend und prüfe, ob Aktualisierungen von PlugIns oder Themes vorliegen. Wenn dies der Fall ist, aktualisiere sie mit einem Klick. Ich empfehle dir auch, unbedingt nicht genutzte PlugIns und Themes zu löschen. Regelmäßiges Ausmisten zahlt sich hier auf jeden Fall aus.

Ein besonders wichtiges Update ist jenes auf eine neue WordPress Version. Manchmal macht das System es selbständig, manchmal aber auch nicht. Dann musst du das Update mit einem Klick selbst anstoßen. Mach das unbedingt, um deine Website sicherer zu machen.

Wähle ein sicheres Passwort

Du glaubst, das ist selbstverständlich? Tja, beliebte Passwörter sind nach wie vor noch „12345“ oder „password“. Kein Witz! Dabei ist gerade das Passwort eine der größten Hürden für Angriffe von außen. Einfach, oder?

Bitte nimm dir das zu Herzen und überlege dir ein sicheres Passwort, das man nicht sofort erraten kann. Nutze neben Zahlen, Groß- und Kleinschreibung auch Sonderzeichen und eine Passwortlänge von mindestens 10 Zeichen. Es muss auch kein Wort sein. Überlege dir einen Satz, den du nicht vergisst und nimm nur die Anfangsbuchstaben in der Reihenfolge der Worte in dein Passwort auf. Nur nimm bitte nicht „123456“ oder dergleichen. Es zahlt sich nicht aus, nur aus Bequemlichkeit auf Sicherheit zu verzichten.

Inzwischen musst du dir die Passwörter auch nicht einmal mehr all merken. Passwortmanager sind die Lösung, die deine Passwörter sicher in der Cloud speichern. Ich verwende LastPass, es gibt aber noch zahlreiche andere Anbieter auf dem Markt.

Apropos mehrere Passwörter: Ich hoffe stark, du verwendest nicht für jede deiner Websites dasselbe Passwort?? Auch hier schlägt gerne die Bequemlichkeit zu und wir verwenden ein Passwort für verschiedenste Anwendungen. Das ist nicht gut, aber das brauche ich dir wahrscheinlich auch nicht zu sagen. Tief in deinem Inneren weißt du das bestimmt. 😉

Was bei WordPress noch wichtig ist: der Benutzername. „Admin“ oder „wordpressadmin“ sind naturgemäß nicht sicher. Den Benutzernamen änderst du im Backend ändern. Hierzu musst du zuerst unter „Profil“ einen neuen Benutzer anlegen. Diesen Benutzer ernennst du dann zum Administrator. Sobald dies geschehen ist, löscht du den alten Benutzer „admin“.

.

Zwei-Faktor Authentifizierung

Schnell eingerichtet und sehr effektiv. Du kennst das System vielleicht schon von Banken: Bei der Zwei-Faktor Authentifizierung benötigst du ein zweites Gerät, in der Regel dein Smartphone. Nach der Passwort-Eingabe erhältst du einen Code auf dein Smartphone und musst diesen in einem zweiten Schritt bei der Anmeldung eintippen.

Um die Authentifizierung einzurichten benötigst du ein PlugIn wie beispielsweise Two Factor Authentication oder Google Authenticator sowie Duo Two-Factor Authentication.

Du siehst, du kannst selbst schon sehr viel machen, um deine Website vor Angriffen von außen zu schützen. Und es ist auch nicht so kompliziert. Kompliziertere bzw. aufwändigere Methoden gibt es natürlich auch. Da empfehlen sich dann allerdings schon Programmierkenntnisse.

Wie sieht es aus? Hast du deine Website schon abgesichert?

Schreib mir deine Erfahrung gerne in die Kommentare. 🙂

–> Willst du deine Website lieber von einem Profi erstellen lassen? Ich helfe dir gerne! Mein Angebot „Deine erste Website“ ist dann genau richtig für dich. Bei Interesse melde dich für ein kostenloses Erstgespräch bei mir.

–> Du hast schon eine Website, aber möchtest sie etwas überarbeiten? Wunderbar! Dann profitieren von meinem Website-Check. Ich analysiere deine Website und in einem 60-minüten Zoom-Call besprechen wir alles durch, damit du möglichst schnell in die Umsetzung gehen kannst. Legen wir los!

2 Gedanken zu „WordPress Sicherheit: So schützt du deine Website“

  1. Guten Abend Kerstin,

    erst einmal herzlichen Glückwunsch zum erfolgreichen Umzug auf die neue Onlinepräsenz. Gerade wenn mehr als eine Person Artikel in einer WordPress Installation bearbeiten darf ist das Thema Sicherheit und ein passendes Berechtigungskonzept und Rollenzuordnung elementar.

    Entsprechend freut es mich immer noch, dass alle Redaktuere bei uns in der WordPress Installation auch die vorgeschlagenen Sicherheitsmaßnahmen akkzeptiert haben und so neben den von dir beschriebenen Punkten auch noch zwei Schnittstellen im Theme deaktiviert worden sind (XMLRPC und JSON-API). Zumindest wenn ohnehin ein Childtheme eingesetzt wird ist das schnell erledigt gewesen (siehe https://www.andreas-unkelbach.de/blog/?go=show&id=1119 ).

    Noch eine schöne Adventswoche und weiterhin viel Erfolg bei der Weiterentwicklung :-).

    Viele Grüße
    Andreas Unkelbach

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.