Wie man die WordPress-Sicherheit verbessert: 22 Methoden zum Schutz Ihrer Website

WordPress ist das beliebteste Content-Management-System (CMS). 43,2 % aller Websites laufen mit dieser Software. Leider zieht diese Beliebtheit alle Arten von Cyberkriminellen an, die die Sicherheitsschwachstellen der Plattform ausnutzen.

Das bedeutet nicht, dass WordPress ein schlechtes Sicherheitssystem hat – Sicherheitsverletzungen können auch aufgrund des mangelnden Sicherheitsbewusstseins der Benutzer auftreten. Daher ist es am besten, vorbeugende Sicherheitsmaßnahmen zu ergreifen, bevor Ihre Website ein Ziel für Hacker wird.

Wir werden 22 Methoden zur Verbesserung der WordPress-Sicherheit und zum Schutz Ihrer Website vor verschiedenen Cyberangriffen erörtern. Der Artikel enthält bewährte Verfahren und Tipps – mit oder ohne WordPress-Plugins. Einige Methoden sind auch auf andere Plattformen als WordPress anwendbar. 

Wie man eine WordPress-Website sichert – Video-Tutorial

Keine Zeit zum Lesen? Erfahren Sie stattdessen mehr über WordPress-Sicherheitsmaßnahmen in unserem Tutorial.

Warum müssen Sie eine WordPress-Website sichern?

Wenn Ihre WordPress-Website gehackt wird, riskieren Sie den Verlust wichtiger Daten, Vermögenswerte und Ihrer Glaubwürdigkeit. Außerdem können diese Sicherheitsprobleme die persönlichen Daten und Rechnungsinformationen Ihrer Kunden gefährden.

Die Kosten für Schäden durch Cyberkriminalität können bis zum Jahr 2025 bis zu 10,5 Billionen Dollar pro Jahr erreichen. Sicherlich möchten Sie nicht zum Ziel von Hackern werden und dazu beitragen.

Basierend auf der WPScan Vulnerability Database sind dies einige der häufigsten Arten von WordPress-Sicherheitslücken:

• Cross-Site Request Forgery (CSRF) – zwingt den Benutzer, unerwünschte Aktionen in einer vertrauenswürdigen Webanwendung auszuführen.
• Distributed-Denial-of-Service–Angriff (DDoS) – legt Online-Dienste lahm, indem er sie mit unerwünschten Verbindungen überflutet und so eine Website unzugänglich macht.
• Umgehung der Authentifizierung – ermöglicht Hackern den Zugriff auf die Ressourcen Ihrer Website, ohne deren Authentizität zu überprüfen.
• SQL-Injection (SQLi) – zwingt das System, bösartige SQL-Abfragen auszuführen und Daten in der Datenbank zu manipulieren.
• Cross-Site-Scripting (XSS) – fügt bösartigen Code ein, der die Website in einen Transporter für Malware verwandelt.
• Lokale Dateieinbindung (LFI) – zwingt die Website zur Verarbeitung bösartiger Dateien auf dem Webserver.

WordPress-Sicherheitscheckliste und zusätzliche Tipps

Die Implementierung von ein oder zwei WordPress-Sicherheitsmaßnahmen wird nicht ausreichen, um Ihre WordPress-Website vollständig zu schützen. 

Laden Sie unsere WordPress-Sicherheitscheckliste herunter, um Ihre Fortschritte bei der Anwendung wichtiger Sicherheitsmaßnahmen auf Ihrer Website zu verfolgen. Außerdem geben wir Ihnen einige WordPress-Sicherheitstipps, mit denen Sie Ihre Website weiter schützen können.

Allgemeine Best Practices zur Verbesserung der Website-Sicherheit

In diesem Abschnitt gehen wir auf sechs allgemeine WordPress-Sicherheitstipps ein, die keine fortgeschrittenen technischen Kenntnisse und risikoreichen Investitionen erfordern. Diese einfachen Aufgaben, wie die Aktualisierung der WordPress-Software und die Entfernung nicht verwendeter Themes, können auch von Anfängern durchgeführt werden.

1. Aktualisieren Sie regelmäßig die WordPress-Version

WordPress veröffentlicht regelmäßig Software-Updates, um die Leistung und Web-Sicherheit zu verbessern. Diese Updates schützen Ihre Website auch vor Cyber-Bedrohungen. 

Die Aktualisierung Ihrer WordPress-Version ist eine der einfachsten Möglichkeiten, die Sicherheit von WordPress zu verbessern. Allerdings laufen fast 50 % der WordPress-Websites mit einer älteren WordPress-Version, wodurch sie anfälliger sind.

Um zu überprüfen, ob Sie die neueste WordPress-Version haben, melden Sie sich in Ihrem WordPress-Verwaltungsbereich an und navigieren Sie im linken Menü zu Dashboard → Aktualisierungen. Wenn dort angezeigt wird, dass Ihre Version nicht auf dem neuesten Stand ist, empfehlen wir, sie so bald wie möglich zu aktualisieren. 

Achten Sie auf die Veröffentlichungstermine zukünftiger Updates, um sicherzustellen, dass Ihre Website nicht mit einer veralteten WordPress-Version betrieben wird.

Wir empfehlen außerdem, die auf Ihrer WordPress-Website installierten Themes und Plugins zu aktualisieren. Veraltete Themes und Plugins können mit der neu aktualisierten WordPress-Kernsoftware in Konflikt geraten, Fehler verursachen und anfällig für Sicherheitsbedrohungen sein.

Führen Sie die folgenden Schritte aus, um veraltete Themes und Plugins zu entfernen:

1. Navigieren Sie zu Ihrem WordPress-Administrationsbereich und gehen Sie zu Dashboard → Aktualisierungen.
2. Scrollen Sie nach unten zu den Abschnitten Plugins und Themes und überprüfen Sie die Liste der Themes und Plugins, die für Updates bereit sind. Beachten Sie, dass sie alle auf einmal oder einzeln aktualisiert werden können.
3. Klicken Sie auf Plugins aktualisieren.

2. Verwenden Sie sichere WP-Admin-Anmeldedaten

Einer der häufigsten Fehler, den Benutzer machen, ist die Verwendung von leicht zu erratenden Benutzernamen wie „admin”, „administrator” oder „test”. Dadurch wird Ihre Website einem höheren Risiko von Brute-Force-Angriffen ausgesetzt. Außerdem nutzen Angreifer diese Art von Angriffen, um WordPress-Sites anzugreifen, die keine sicheren Passwörter haben.

Wir empfehlen daher, Ihren Benutzernamen und Ihr Passwort einzigartig und komplexer zu gestalten. 

Alternativ können Sie auch die folgenden Schritte ausführen, um ein neues WordPress-Administratorkonto mit einem neuen Benutzernamen zu erstellen:

1. Navigieren Sie in Ihrem WordPress-Dashboard zu Benutzer → Neu hinzufügen.
2. Erstellen Sie einen neuen Benutzer und weisen Sie ihm die Rolle Administrator zu. Fügen Sie ein Kennwort hinzu und klicken Sie auf die Schaltfläche Neuen Benutzer hinzufügen, sobald Sie fertig sind.

Verwenden Sie in Ihrem Passwort Zahlen, Symbole sowie Groß- und Kleinbuchstaben. Wir empfehlen außerdem, mehr als 12 Zeichen zu verwenden, da längere Passwörter schwerer zu knacken sind.

Wenn Sie Hilfe bei der Erstellung eines sicheren Passworts benötigen, verwenden Sie Online-Tools wie LastPass und 1Password. Sie können auch deren Passwortverwaltungsdienste nutzen, um starke Passwörter sicher zu speichern. Auf diese Weise müssen Sie sie nicht auswendig lernen.

Nachdem Sie einen neuen WordPress-Administrator-Benutzernamen erstellt haben, müssen Sie Ihren alten Benutzernamen löschen. Hier sind die Schritte dazu:

1. Melden Sie sich mit Ihren neu erstellten WordPress-Benutzerdaten an.
2. Navigieren Sie zu Benutzer → Alle Benutzer.
3. Wählen Sie das alte Administratorkonto, das Sie löschen möchten. Ändern Sie das Dropdown-Menü Mehrfachaktionen in Löschen, und klicken Sie auf Übernehmen.

Um die Sicherheit Ihrer Website zu gewährleisten, ist es außerdem wichtig, das Netzwerk zu überprüfen, bevor Sie sich anmelden. Wenn Sie unwissentlich mit einem Hotspot Honeypot, einem von Hackern betriebenen Netzwerk, verbunden sind, besteht die Gefahr, dass Sie Ihre Anmeldedaten an die Betreiber weitergeben.

Auch öffentliche Netzwerke wie das WiFi einer Schulbibliothek sind möglicherweise nicht so sicher, wie es scheint. Hacker können Ihre Verbindung abfangen und unverschlüsselte Daten, einschließlich der Anmeldedaten, stehlen.

Aus diesem Grund empfehlen wir die Verwendung eines VPN, wenn Sie sich mit einem öffentlichen Netzwerk verbinden. Es bietet eine Verschlüsselungsebene für die Verbindung, die das Abfangen von Daten erschwert und Ihre Online-Aktivitäten schützt.

3. Richten Sie eine Safelist und Blocklist für die Admin-Seite ein

Die Aktivierung der URL-Sperre schützt Ihre Anmeldeseite vor nicht autorisierten IP-Adressen und Brute-Force-Angriffen. Dazu benötigen Sie einen WAF-Dienst (Web Application Firewall) wie Cloudflare oder Sucuri.

Mit Cloudflare ist es möglich, eine Zonensperrungsregel zu konfigurieren. Sie gibt die URLs an, die gesperrt werden sollen, sowie den IP-Bereich, der auf diese URLs zugreifen darf. Jeder, der sich außerhalb des angegebenen IP-Bereichs befindet, kann nicht auf sie zugreifen.

Sucuri bietet eine ähnliche Funktion, die URL-Pfad-Blacklist. Zunächst fügen Sie die URL der Anmeldeseite zur Sperrliste hinzu, damit niemand darauf zugreifen kann. Dann setzen Sie die IP-Adressen, die auf die Anmeldeseite zugreifen dürfen, auf eine sichere Liste.

Alternativ dazu können Sie den Zugriff auf Ihre Anmeldeseite einschränken, indem Sie die .htaccess-Datei Ihrer Website konfigurieren. Navigieren Sie zu Ihrem Stammverzeichnis, um auf die Datei zuzugreifen.

Durch das Hinzufügen dieser Regel zu Ihrer .htaccess-Datei wird der Zugriff auf Ihre wp-login.php auf eine einzige IP beschränkt. So können Angreifer nicht von anderen Standorten aus auf Ihre Anmeldeseite zugreifen.

# Block IPs for login Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MYIP
allow from MYIP2
deny from all
</files>
# Block IPS for login Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>

Diese Regel sollte nach den Anweisungen # BEGIN WordPress und # END WordPress eingefügt werden, wie unten gezeigt.

Diese Regel gilt auch dann, wenn Sie keine statische IP haben, da Sie die Anmeldungen auf den allgemeinen Bereich Ihres Internetanbieters beschränken können. 

Sie können diese Regel auch verwenden, um andere authentifizierte URLs einzuschränken, wie z. B. /wp-admin.

4. Verwenden Sie vertrauenswürdige WordPress-Themes

Nulled WordPress-Themes sind unautorisierte Versionen der ursprünglichen Premium-Themes. In den meisten Fällen werden diese Themes zu einem niedrigeren Preis verkauft, um Nutzer anzulocken. Sie weisen jedoch in der Regel viele Sicherheitsprobleme auf.

Oft handelt es sich bei den Anbietern nicht autorisierter Themes um Hacker, die das ursprüngliche Premium-Theme gehackt und bösartigen Code eingefügt haben, einschließlich Malware und Spam-Links. Außerdem können diese Themes Hintertüren für andere Exploits sein, die Ihre WordPress-Website gefährden können.

Da Nulled Themes illegal verbreitet werden, erhalten ihre Nutzer keinen Support von den Entwicklern. Das bedeutet, dass Sie bei Problemen mit Ihrer Website selbst herausfinden müssen, wie Sie diese beheben und Ihre WordPress-Website sichern können.

Um zu vermeiden, dass Sie zum Ziel von Hackern werden, empfehlen wir, ein WordPress-Theme aus dem offiziellen Verzeichnis oder von vertrauenswürdigen Entwicklern zu wählen. Alternativ können Sie auch Themes von Drittanbietern auf offiziellen Theme-Marktplätzen wie ThemeForest prüfen, wo Tausende von Premium-Themes verfügbar sind.

5. Installieren Sie ein SSL-Zertifikat

Secure Sockets Layer (SSL) ist ein Datenübertragungsprotokoll, das die zwischen der Website und ihren Besuchern ausgetauschten Daten verschlüsselt und es Angreifern erschwert, wichtige Informationen zu stehlen.

Darüber hinaus verbessern SSL-Zertifikate auch die Suchmaschinenoptimierung (SEO) der WordPress-Website und helfen ihr, mehr Besucher zu gewinnen.

Websites mit installiertem SSL-Zertifikat verwenden HTTPS anstelle von HTTP, so dass sie leicht zu erkennen sind.

Die meisten Hosting-Unternehmen bieten SSL in ihren Tarifen an. Hostinger bietet zum Beispiel ein kostenloses Let’s Encrypt SSL-Zertifikat, wenn Sie Ihr Hosting kaufen.

Sobald Sie ein SSL-Zertifikat auf Ihrem Hosting-Konto installiert haben, aktivieren Sie es auf Ihrer WordPress-Website.

Plugins wie Really Simple SSL oder SSL Insecure Content Fixer können die technischen Aspekte und die SSL-Aktivierung mit ein paar Klicks erledigen. Die Premium-Version von Really Simple SSL kann HTTP Strict Transport Security-Header aktivieren, die die Verwendung von HTTPS beim Zugriff auf die Website erzwingen.

Ändern Sie anschließend die URL Ihrer Website von HTTP auf HTTPS. Navigieren Sie dazu zu Einstellungen → Allgemein und suchen Sie das Feld Website-Adresse (URL), um die URL zu ändern.

6. Entfernen Sie nicht verwendete WordPress-Plugins und Themes

Ungenutzte Plugins und Themes auf der Website zu belassen, kann schädlich sein, insbesondere wenn die Plugins und Themes nicht aktualisiert wurden. Veraltete Plugins und Themes erhöhen das Risiko von Cyberangriffen, da Hacker sie nutzen können, um sich Zugang zu Ihrer Website zu verschaffen.

Gehen Sie folgendermaßen vor, um ein nicht verwendetes WordPress-Plugin zu löschen:

1. Navigieren Sie zu Plugins → Installierte Plugins.
2. Es wird eine Liste aller installierten Plugins angezeigt. Klicken Sie unter dem Namen des Plugins auf Löschen.

Beachten Sie, dass die Schaltfläche Löschen erst nach der Deaktivierung des Plugins verfügbar ist.

Um hingegen ein unbenutztes Theme zu löschen, gehen Sie wie folgt vor:

1. Gehen Sie in Ihrem WordPress-Administrations-Dashboard zu Design → Themes.
2. Klicken Sie auf das Theme, das Sie löschen möchten. 
3. Es erscheint ein Pop-up-Fenster, in dem die Details des Themes angezeigt werden. Klicken Sie auf die Schaltfläche Löschen in der rechten unteren Ecke.

Wie man WordPress-Sicherheits-Plugins einsetzt

Die nächste Methode zur Verbesserung der WordPress-Sicherheit ist die Verwendung von WordPress-Plugins.

Es ist eine bequeme Möglichkeit, Ihre Website zu schützen, aber Sie sollten nicht unüberlegt alle diese Plugins auf einmal installieren, da zu viele Plugins Ihre Website verlangsamen können. 

Ermitteln Sie zunächst Ihren Bedarf, um die effektivsten Plugins für Ihre Website auszuwählen.

1. Aktivieren Sie die Zwei-Faktor-Authentifizierung für WP-Admin

Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), um den Anmeldeprozess auf Ihrer WordPress-Website zu verstärken. Diese Authentifizierungsmethode fügt der Anmeldeseite eine zweite Ebene der WordPress-Sicherheit hinzu, da Sie einen eindeutigen Code eingeben müssen, um den Anmeldevorgang abzuschließen.

Der Code ist nur für Sie über eine Textnachricht oder eine Authentifizierungs-App eines Drittanbieters verfügbar.

Um 2FA auf Ihrer WordPress-Website anzuwenden, installieren Sie ein Login-Sicherheits-Plugin wie Wordfence Login Security. Zusätzlich müssen Sie eine Authentifizierungs-App eines Drittanbieters wie Google Authenticator auf Ihrem Mobiltelefon installieren.

Sobald Sie das Plugin und die Authentifizierungs-App installiert haben, folgen Sie diesen Schritten, um die Zwei-Faktor-Authentifizierung zu aktivieren:

1. Rufen Sie die Plugin-Seite in Ihrer WordPress-Verwaltung auf. Wenn Sie Wordfence Login Security verwenden, navigieren Sie zum Menü Login Security auf der linken Menüleiste.
2. Öffnen Sie den Tab Two-Factor-Authetication.

3. Verwenden Sie die App auf Ihrem Mobiltelefon, um den QR-Code zu scannen oder den Aktivierungsschlüssel einzugeben.
4. Geben Sie den mit der App Ihres Mobiltelefons generierten Code in das verfügbare Feld unter dem Abschnitt Wiederherstellungscodes ein.
5. Klicken Sie auf die Schaltfläche AKTIVIEREN, um die Einrichtung abzuschließen.

Laden Sie außerdem die bereitgestellten Wiederherstellungscodes herunter, für den Fall, dass Sie den Zugriff auf das Gerät verlieren, das die Authentifizierungs-App enthält.

2. Sichern Sie WordPress regelmäßig

Die regelmäßige Erstellung eines Backups der WordPress-Site ist eine wichtige Aufgabe zur Schadensbegrenzung, da sie Ihnen hilft, Ihre Site nach Zwischenfällen wie Cyberangriffen oder physischen Schäden im Rechenzentrum wiederherzustellen. Die Sicherungsdatei sollte die gesamten WordPress-Installationsdateien, wie Ihre Datenbank und die WordPress-Kerndateien, enthalten.

Bei WordPress kann das Backup einer Website mit einem Plugin wie All-in-One WP Migration durchgeführt werden. Befolgen Sie diese Schritte, um eine Sicherungsdatei mit diesem Plugin zu erstellen:

1. Installieren und aktivieren Sie das Plugin.
2. Navigieren Sie zum Menü All-in-One WP Migration in der linken Menüleiste. 
3. Wählen Sie Backups.
4. Klicken Sie auf Backup erstellen.

5. Sobald das Backup erstellt ist, wird es in einer Liste auf der Seite Backups angezeigt.

6. Laden Sie das Backup herunter und speichern Sie es. Gehen Sie dazu zu All-in-One WP Migration → Exportieren.
7. Klicken Sie auf das Dropdown-Menü EXPORT ZU und wählen Sie Datei. Dadurch wird ein Backup für Ihre Website erstellt.

6. Sobald der Vorgang abgeschlossen ist, klicken Sie auf den Download-Link und speichern Sie die Sicherungskopie Ihrer Website an einem sicheren Speicherort, der sich vorzugsweise nicht auf demselben Server wie Ihre Website befindet. Denn Backups, die auf Ihrem Webserver gespeichert sind, sind öffentlich zugänglich, was sie anfällig für Cyberangriffe macht.

Im Falle eines Vorfalls können Sie Ihre WordPress-Website mit dem Import-Tool von All-in-One WP Migration wiederherstellen. 

Hostinger-Nutzer können auch ohne WordPress-Plugin Backups erstellen, indem sie die Backup-Funktion des hPanels nutzen.

3. Begrenzen Sie Login-Versuche

WordPress erlaubt seinen Nutzern eine unbegrenzte Anzahl von Anmeldeversuchen auf der Website. Leider können sich Hacker mit roher Gewalt Zugang zu Ihrem WordPress-Verwaltungsbereich verschaffen, indem sie verschiedene Passwortkombinationen verwenden, bis sie das richtige Passwort gefunden haben.

Daher sollten Sie die Anmeldeversuche begrenzen, um solche Angriffe auf die Website zu verhindern. Die Begrenzung der Fehlversuche hilft auch bei der Überwachung verdächtiger Aktivitäten auf Ihrer Website.

Die meisten Benutzer benötigen nur einen einzigen Versuch oder ein paar Fehlversuche, daher sollten Sie bei fragwürdigen IP-Adressen, die das Versuchslimit erreichen, misstrauisch sein.

Eine Möglichkeit, die Anzahl der Anmeldeversuche zu begrenzen, um die Sicherheit von WordPress zu erhöhen, ist die Verwendung eines Plugins. Es gibt viele großartige Optionen, wie zum Beispiel:

• Limit Login Attempts Reloaded – konfiguriert die Anzahl der fehlgeschlagenen Versuche für bestimmte IP-Adressen, fügt Benutzer zur Sicherheitsliste hinzu oder sperrt sie ganz und informiert die Benutzer der Website über die verbleibende Sperrzeit.
• Loginizer – bietet Login-Sicherheitsfunktionen wie 2FA, reCAPTCHA und Login-Herausforderungsfragen.
• Limit Attempts by BestWebSoft – blockiert automatisch IP-Adressen, die das Limit für Login-Versuche erreichen, und fügt sie zu einer Verweigerungsliste hinzu.

Eines der Risiken bei der Implementierung dieser WordPress-Sicherheitsmaßnahme besteht darin, dass ein legitimer Benutzer aus dem WordPress-Admin ausgesperrt wird. Das sollte Sie jedoch nicht beunruhigen, denn es gibt viele Möglichkeiten, gesperrte WordPress-Konten wieder freizugeben.

4. Ändern Sie die URL der WordPress-Anmeldeseite

Ein weiterer Schritt zum Schutz Ihrer Website vor Brute-Force-Angriffen ist die Änderung der URL der Loginseite.

Alle WordPress-Websites haben die gleiche Standard-URL für die Anmeldung – ihredomain.com/wp-admin. Die Verwendung der Standard-Anmelde-URL macht es Hackern leicht, Ihre Anmeldeseite ins Visier zu nehmen.

Plugins wie WPS Hide Login und Change wp-admin Login ermöglichen individuelle Login-URL-Einstellungen. 

Wenn Sie das WPS Hide Login-Plugin verwenden, gehen Sie wie folgt vor, um die URL Ihrer WordPress-Anmeldeseite zu ändern:

1. Gehen Sie in Ihrem Dashboard zu Einstellungen → WPS Hide Login.
2. Füllen Sie das Feld Login URL mit Ihrer benutzerdefinierten Login-URL aus.
3. Klicken Sie auf die Schaltfläche Änderungen speichern, um den Vorgang abzuschließen.

5. Melden Sie untätige Benutzer automatisch ab 

Viele Benutzer vergessen, sich von der Website abzumelden und lassen ihre Sitzungen weiterlaufen. Dadurch kann eine andere Person, die dasselbe Gerät verwendet, auf ihre Benutzerkonten zugreifen und möglicherweise vertrauliche Daten ausspähen. Dies gilt insbesondere für Benutzer, die öffentliche Computer in Internetcafés oder öffentlichen Bibliotheken nutzen.

Daher ist es wichtig, Ihre WordPress-Website so zu konfigurieren, dass inaktive Benutzer automatisch abgemeldet werden. Die meisten Bank-Websites verwenden diese Technik, um zu verhindern, dass unbefugte Besucher auf ihre Websites zugreifen, und um sicherzustellen, dass die Daten ihrer Kunden sicher sind.

Die Verwendung eines WordPress-Sicherheits-Plugins wie Inactive Logout ist eine der einfachsten Möglichkeiten, inaktive Benutzerkonten automatisch abzumelden. Dieses Plugin kann nicht nur untätige Benutzer abmelden, sondern auch eine benutzerdefinierte Nachricht senden, um untätige Benutzer darauf hinzuweisen, dass ihre Website-Sitzung bald beendet wird.

6. Überwachen Sie Benutzeraktivität

Identifizieren Sie unerwünschte oder bösartige Aktionen, die Ihre Website gefährden, indem Sie die Aktivitäten in Ihrem Adminbereich verfolgen. 

Wir empfehlen diese Methode für diejenigen, die mehrere Benutzer oder Autoren haben, die auf ihre WordPress-Website zugreifen. Denn Benutzer können Einstellungen ändern, die sie nicht ändern sollten, wie z. B. die Änderung von Themes oder die Konfiguration von Plugins.

Durch die Überwachung ihrer Aktivitäten wissen Sie, wer für diese unerwünschten Änderungen verantwortlich ist und ob eine unbefugte Person in Ihre WordPress-Website eingedrungen ist.

Die einfachste Möglichkeit, Benutzeraktivitäten zu verfolgen, ist die Verwendung eines WordPress-Plugins, wie z. B.:

• WP Activity Log – überwacht Änderungen an mehreren Website-Bereichen, einschließlich Beiträgen, Seiten, Themen und Plugins. Es protokolliert auch neu hinzugefügte Dateien, gelöschte Dateien und Änderungen an jeder Datei.
• Activity Log – überwacht verschiedene Aktivitäten in Ihrem WordPress-Admin-Panel und ermöglicht es Ihnen, Regeln für E-Mail-Benachrichtigungen festzulegen.
• Simple History – zusätzlich zur Aufzeichnung des Aktivitätsprotokolls im WordPress-Admin unterstützt es mehrere Plugins von Drittanbietern wie Jetpack, WP Crontrol und Beaver Builder und zeichnet alle damit verbundenen Aktivitäten auf.

7. Achten Sie auf Malware

Das AV-TEST Institut registriert jeden Tag über 450.000 neue Malware und potenziell unerwünschte Anwendungen (PUA). Manche Malware ist sogar polymorph, d. h. sie kann sich selbst so verändern, dass sie von der Sicherheit nicht erkannt wird.

Daher ist es wichtig, Ihre WordPress-Website regelmäßig auf Malware zu überprüfen, da Angreifer immer wieder neue Arten von Bedrohungen entwickeln.

Zum Glück gibt es viele großartige WordPress-Hack-Scanner-Plugins, die Malware scannen und die WordPress-Sicherheit verbessern können.

Unsere Experten empfehlen, diese Sicherheits-Plugins auf Ihrer Website zu installieren:

• Wordfence – ein beliebtes WordPress-Sicherheits-Plugin mit Echtzeit-Updates für Malware-Signaturen und Warnmeldungen, die Sie darüber informieren, wenn eine andere Website Ihre Website wegen verdächtiger Aktivitäten auf die Blockliste gesetzt hat.
• BulletProof Security – hilft bei der Sicherung Ihrer WordPress-Website mit einer Funktion zum Abmelden bei nicht genutzten Sitzungen, versteckten Plugin-Ordnern, die im WordPress-Plugin-Bereich nicht sichtbar sind, und Tools zur Sicherung und Wiederherstellung der Datenbank.
• Sucuri Security – eines der besten Sicherheits-Plugins auf dem Markt, das verschiedene SSL-Zertifikate, Remote-Malware-Scanning und Post-Hack-Sicherheitsfunktionen bietet.

Wie man WordPress ohne Plugins sichert

Es ist auch möglich, die Sicherheit Ihrer Webseite zu verbessern, ohne Plugins zu verwenden. Für die meisten dieser Aufgaben muss der Code Ihrer Website angepasst werden, aber keine Sorge – wir zeigen Ihnen Schritt für Schritt, wie es geht.

1. Deaktivieren Sie die PHP-Fehlerberichterstattung

Die PHP-Fehlerberichterstattung zeigt alle Informationen über die Pfade und die Dateistruktur Ihrer Website an und ist damit eine hervorragende Funktion zur Überwachung der PHP-Skripte Ihrer Website. 

Die Anzeige der Schwachstellen Ihrer Website im Backend ist jedoch eine schwerwiegende Sicherheitslücke in WordPress.

Wenn zum Beispiel ein bestimmtes Plugin angezeigt wird, bei dem die Fehlermeldung aufgetreten ist, könnten Cyberkriminelle die Schwachstellen dieses Plugins ausnutzen. 

Es gibt zwei Möglichkeiten, die PHP-Fehlermeldung zu deaktivieren – über die PHP-Datei oder über das Control Panel Ihres Hosting-Kontos.

Ändern der PHP-Datei

Gehen Sie folgendermaßen vor, um Ihre PHP-Datei zu ändern:

1. Öffnen Sie die Datei wp-config.php Ihrer Website mit einem FTP-Client wie FileZilla oder dem Dateimanager Ihres Hosting-Providers.
2. Fügen Sie den folgenden Codeschnipsel in die Datei ein. Stellen Sie sicher, dass Sie ihn vor allen anderen PHP-Anweisungen einfügen.

error_reporting(0);
@ini_set(‘display_errors’, 0);

3. Klicken Sie auf Speichern, um die Änderung zu übernehmen.

Ändern der PHP-Einstellungen über das Control Panel

Wenn Sie nicht programmieren möchten, können Sie die PHP-Fehlerberichterstattung über das Control Panel Ihres Hosting-Providers deaktivieren. So geht’s über das hPanel:

1. Navigieren Sie in Ihrem hPanel-Dashboard zum Abschnitt Erweitert. Klicken Sie dann auf PHP-Konfiguration.
2. Gehen Sie zum Tab PHP-Optionen und entfernen Sie das Häkchen bei der Option displayErrors.

3. Klicken Sie auf Speichern.

2. Wechseln Sie zu einem sichereren Webhost

WordPress-Sicherheitsmaßnahmen nützen nicht viel, wenn die Hosting-Umgebung anfällig für Cyberangriffe ist. Ihr Webhosting-Anbieter sollte einen sicheren Platz für alle Daten und Dateien Ihrer Website auf seinem Server garantieren, daher ist es wichtig, einen Anbieter mit einem ausgezeichneten Sicherheitsniveau zu wählen.

Wenn Sie der Meinung sind, dass Ihr derzeitiger Webhosting-Anbieter nicht sicher genug ist, ist es an der Zeit, Ihre WordPress-Website auf eine neue Hosting-Plattform zu migrieren. Bei der Suche nach einem sicheren Webhoster sollten Sie folgendes beachten:

• Art des Webhostings – Shared Hosting und WordPress-Hosting sind aufgrund der gemeinsamen Nutzung von Ressourcen anfälliger für Cyberattacken als andere Hosting-Typen. Wählen Sie einen Webhost, der auch VPS-Dienste oder dediziertes Hosting anbietet, um Ihre Ressourcen zu isolieren.
• Sicherheit – ein guter Hosting-Anbieter überwacht sein Netzwerk auf verdächtige Aktivitäten und aktualisiert regelmäßig seine Server-Software und -Hardware. Er muss auch über Serversicherheit und Schutz gegen alle Arten von Cyberangriffen verfügen.
• Funktionen – unabhängig vom Hosting-Typ sind automatische Backups und Sicherheitstools zur Vermeidung von Malware ein Muss, um Ihre WordPress-Website zu schützen. Im schlimmsten Fall können Sie damit eine gefährdete Website wiederherstellen.
• Support – Die Wahl eines Hosting-Unternehmens mit einem 24/7-Support-Team mit ausgezeichneten technischen Kenntnissen ist unerlässlich. Es wird Ihnen helfen, Ihre Daten zu schützen und alle technischen und sicherheitsrelevanten Probleme zu lösen, die auftreten können.

Das WordPress-Hosting von Hostinger bietet die wesentlichen Ressourcen und Funktionen, die zum Schutz Ihrer WordPress-Website erforderlich sind, wie eine Web Application Firewall und einen Malware-Scanner wie Monarx. Wir bieten auch virtuelle private Server und Cloud Server mit SSD an, wenn Sie Ihre Ressourcen lieber isoliert halten möchten.

3. Schalten Sie die Dateibearbeitung aus

WordPress verfügt über einen integrierten Datei-Editor, der die Bearbeitung von WordPress-PHP-Dateien erleichtert. Diese Funktion kann jedoch zu einem Problem werden, wenn Hacker die Kontrolle über sie erlangen.

Aus diesem Grund ziehen es einige WordPress-Benutzer vor, diese Funktion zu deaktivieren. Fügen Sie die folgende Codezeile in die Datei wp-config.php ein, um die Dateibearbeitung zu deaktivieren:

define( 'DISALLOW_FILE_EDIT', true );

Wenn Sie diese Funktion auf Ihrer WordPress-Website wieder aktivieren möchten, entfernen Sie einfach den vorherigen Code aus der Datei wp-config.php mit einem FTP-Client oder dem Dateimanager Ihres Hosting-Anbieters.

4. Beschränken Sie Zugriff der Datei .htaccess

Die Datei .htaccess sorgt dafür, dass WordPress-Links richtig funktionieren. Ohne diese Datei, die die richtigen Regeln festlegt, werden Sie viele 404 Not Found-Fehler auf Ihrer Website erhalten. 

Außerdem kann .htaccess den Zugriff von bestimmten IPs blockieren, den Zugriff auf nur eine IP beschränken und die Ausführung von PHP in bestimmten Ordnern deaktivieren. Im Folgenden zeigen wir Ihnen, wie Sie .htaccess verwenden, um die Sicherheit Ihres WordPress zu erhöhen.

Deaktivieren der PHP-Ausführung in bestimmten Ordnern

Hacker laden häufig Backdoor-Skripte in den Ordner Uploads hoch. Standardmäßig werden in diesem Ordner nur hochgeladene Mediendateien gespeichert, er sollte also keine PHP-Dateien enthalten.

Um Ihre WordPress-Website zu schützen, deaktivieren Sie die PHP-Ausführung in diesem Ordner, indem Sie eine neue .htaccess-Datei in /wp-content/uploads/ mit diesen Regeln erstellen:

<Files *.php>
deny from all
</Files>

Schutz der Datei wp-config.php

Die Datei wp-config.php im Stammverzeichnis enthält die Grundeinstellungen von WordPress und Details zur MySQL-Datenbank. Daher ist diese Datei normalerweise das Hauptziel von Hackern.

Schützen Sie diese Datei und halten Sie WordPress sicher, indem Sie diese .htaccess-Regeln implementieren:

<files wp-config.php>
order allow,deny
deny from all
</files>

5. Ändern Sie den Standard-Präfix der WordPress-Datenbank

Die WordPress-Datenbank enthält und speichert alle wichtigen Informationen, die für das Funktionieren Ihrer Website erforderlich sind. Daher zielen Hacker häufig mit SQL-Injection-Angriffen auf die Datenbank ab. Diese Technik injiziert schädlichen Code in die Datenbank und kann die WordPress-Sicherheitsmaßnahmen umgehen und den Datenbankinhalt abrufen.

Mehr als 50 % der Cyberangriffe bestehen aus SQL-Injection, was sie zu einer der größten Bedrohungen macht. Hacker führen diesen Angriff aus, weil viele Benutzer vergessen, das Standard-Datenbankpräfix wp_ zu ändern.

Schauen wir uns zwei Methoden an, mit denen Sie Ihre WordPress-Datenbank vor SQL-Injection-Angriffen schützen können.

Ändern des Tabellenpräfixes

1. Navigieren Sie in Ihrem hPanel Dashboard zum Dateimanager und öffnen Sie die Datei wp-config.php. Alternativ können Sie auch einen FTP-Client verwenden, um auf die Datei zuzugreifen.
2. Suchen Sie innerhalb des Codes nach dem Wert $table_prefix.

3. Ersetzen Sie das standardmäßige WordPress-Datenbankpräfix wp_ durch ein neues. Verwenden Sie eine Kombination aus Buchstaben und Zahlen, um ein eindeutiges Präfix für die Website zu erstellen.

4. Klicken Sie auf Speichern & Schließen.
5. Gehen Sie zurück zum hPanel-Dashboard, gehen Sie zum Abschnitt Datenbanken und klicken Sie auf phpMyAdmin. Öffnen Sie dann die Datenbank der Website, indem Sie auf phpMyAdmin aufrufen klicken.

6. Wenn Sie mehrere Datenbanken haben, suchen Sie den Namen der Datenbank in der Datei wp-config.php. Suchen Sie nach dem folgenden Code-Block:

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', 'MySQL Database' );

7. Scrollen Sie bis zum Ende und klicken Sie auf die Schaltfläche Check all.

8. Klicken Sie auf das Dropdown-Menü With selected: und wählen Sie die Option Replace table prefix.

9. Geben Sie das aktuelle Präfix zusammen mit einem neuen ein und wählen Sie Continue.

Aktualisieren von Präfixwerten in den Tabellen

Je nachdem, wie viele WordPress-Plugins auf Ihrer Website installiert sind, müssen Sie einige Werte in der Datenbank manuell aktualisieren. Führen Sie dazu separate SQL-Abfragen für die Tabellen durch, die wahrscheinlich Werte mit dem Präfix wp_ haben – dazu gehören die Tabellen options und usermeta.

Verwenden Sie den folgenden Code, um alle Werte zu filtern, die das folgende Präfix enthalten:

SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'

wp_1secure1_tablename enthält den Tabellennamen, in dem Sie die Abfrage durchführen möchten. Field_name steht für den Namen des Feldes/der Spalte, in dem/der am ehesten Werte mit dem Präfix wp_ erscheinen.

So können Sie den Präfix-Wert manuell ändern:

1. Navigieren Sie im phpMyAdmin-Dashboard zu einer Tabelle mit dem Präfixwert, den Sie aktualisieren möchten. Öffnen Sie zum Beispiel wp_1secure1_usermeta.

2. Navigieren Sie zum Tab SQL in der oberen Menüleiste.

3. Geben Sie den obigen Code in den SQL-Abfrage-Editor ein, um die Werte zu filtern, die wp_ enthalten, und klicken Sie auf Go. Achten Sie darauf, dass Sie die Informationen entsprechend Ihren tatsächlichen Tabellen- und Feldnamen ändern.

4. Die Filterergebnisse werden angezeigt. Klicken Sie auf die Schaltfläche Edit neben dem gewünschten Feld.

5. Ändern Sie den Präfixwert, und klicken Sie auf Go. Führen Sie die Schritte 4 und 5 für alle gefilterten Werte durch.

6. Wiederholen Sie die Schritte ab Schritt 1 für die übrigen Tabellen in der Datenbank, um alle Werte mit dem Präfix wp_ zu aktualisieren. 

6. Deaktivieren Sie XML-RPC

XML-RPC ist eine WordPress-Funktion für den Zugriff auf und die Veröffentlichung von Inhalten über mobile Geräte, die Aktivierung von Trackbacks und Pingbacks und die Verwendung des Jetpack-Plugins auf Ihrer WordPress-Website.

XML-RPC hat jedoch einige Schwachstellen, die von Hackern ausgenutzt werden können. Die Funktion ermöglicht es ihnen, mehrere Anmeldeversuche zu unternehmen, ohne von der Sicherheitssoftware erkannt zu werden, wodurch Ihre Website anfällig für Brute-Force-Angriffe wird.

Hacker können auch die Pingback-Funktion von XML-RPC nutzen, um DDoS-Angriffe durchzuführen. Sie ermöglicht es Angreifern, Pingbacks an Tausende von Websites auf einmal zu senden, wodurch die Zielseiten zum Absturz gebracht werden können.

Um festzustellen, ob XML-RPC aktiviert ist, lassen Sie Ihre Website durch einen XML-RPC-Validierungsdienst laufen und prüfen Sie, ob Sie eine Erfolgsmeldung erhalten. Dies bedeutet, dass die XML-RPC-Funktion ausgeführt wird.

Sie können die XML-RPC-Funktion entweder mit Hilfe eines Plugins oder manuell deaktivieren.

Deaktivieren von XML-RPC mit einem Plugin

Die Verwendung eines Plugins ist der schnellere und einfachere Weg, die XML-RPC-Funktion auf Ihrer Website zu blockieren. Wir empfehlen die Verwendung des Plugins Disable XML-RPC Pingback. Es schaltet automatisch einige der XML-RPC-Funktionen ab und verhindert so, dass Hacker diese WordPress-Sicherheitslücke für ihre Angriffe nutzen können.

Manuelles Deaktivieren von XML-RPC

Eine andere Möglichkeit, alle eingehenden XML-RPC-Anfragen zu stoppen, besteht darin, dies manuell zu tun. Suchen Sie die .htaccess-Datei in Ihrem Stammverzeichnis und fügen Sie den folgenden Codeschnipsel ein:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from 000.00.000.000
</Files>

Um XML-RPC den Zugriff auf eine bestimmte IP-Adresse zu erlauben, ersetzen Sie 000.00.000.000 durch die IP-Adresse oder löschen Sie die Codezeile ganz.

7. Verstecken Sie die WordPress-Version

Hacker können leichter in Ihre Website eindringen, wenn sie wissen, welche Version von WordPress Sie verwenden. Sie können die Schwachstellen dieser Version nutzen, um Ihre Website anzugreifen, insbesondere wenn es sich um eine ältere WordPress-Version handelt.

Glücklicherweise ist es möglich, diese Informationen mit dem WordPress-Theme-Editor aus Ihrer Website auszublenden. Gehen Sie dazu wie folgt vor:

1. Navigieren Sie in Ihrem WordPress-Dashboard zu Design → Theme-Datei-Editor. 
2. Wählen Sie Ihr aktuelles Theme aus und wählen Sie die Datei functions.php.

3. Um die Versionsnummer aus der Kopfzeile und den RSS-Feeds zu entfernen, fügen Sie den folgenden Code in die Datei functions.php ein:

function dartcreations_remove_version() {
return '';
} add_filter('the_generator', 'dartcreations_remove_version');

4. Der WordPress-Generator-Meta-Tag zeigt auch die WordPress-Versionsnummer an. Fügen Sie diese Zeile ein, um sie zu entfernen:

remove_action('wp_head', 'wp_generator');

5. Klicken Sie auf Datei aktualisieren, um die Änderungen zu speichern.

8. Blockieren Sie Hotlinking

Hotlinking ist der Begriff, der verwendet wird, wenn jemand ein Asset Ihrer Website, in der Regel ein Bild, auf seiner Website anzeigt. Jedes Mal, wenn Besucher eine Website mit Hotlinks zu Ihren Inhalten besuchen, werden die Ressourcen Ihres Webservers beansprucht und Ihre Website verlangsamt sich.

Um zu sehen, ob Ihr Inhalt mit einem Hotlink versehen wurde, geben Sie die folgende Abfrage in Google Images ein und ersetzen Sie dabei ihrewebsite.com durch Ihren Domainnamen:

inurl:yourwebsite.com -site:yourwebsite.com

Um Hotlinking zu verhindern, verwenden Sie einen FTP-Client, ein WordPress-Sicherheits-Plugin, ein CDN oder bearbeiten Sie die Einstellungen des Control Panels.

9. Verwalten Sie Dateiberechtigungen

Verhindern Sie, dass Hacker Zugriff auf Ihr Administratorkonto erhalten, indem Sie festlegen, welche Benutzer Ihre WordPress-Dateien oder -Ordner lesen, schreiben oder ausführen dürfen. 

Sie können den Dateimanager Ihres Webhosts, den FTP-Client oder die Befehlszeile verwenden, um die Datei- und Ordnerberechtigungen zu verwalten.

Im Allgemeinen sind die Berechtigungen standardmäßig festgelegt, was je nach Datei oder Ordner variieren kann. Speziell für den wp-admin-Ordner und die wp-config-Datei sollten Sie sicherstellen, dass nur der Eigentümer Schreibrechte hat. 

Fazit

Cyberangriffe können in verschiedenen Formen auftreten, von der Einschleusung von Malware bis hin zu DDoS-Angriffen. Vor allem WordPress-Websites sind aufgrund der Beliebtheit des CMS ein beliebtes Ziel für Hacker. Daher müssen die Besitzer von WordPress-Websites wissen, wie sie ihre Websites absichern können.

Die Sicherung einer WordPress-Website ist jedoch keine einmalige Aufgabe. Sie müssen sie ständig neu bewerten, da sich Cyberangriffe ständig weiterentwickeln. Das Risiko wird immer bestehen, aber Sie können WordPress-Sicherheitsmaßnahmen anwenden, um diese Risiken zu verringern.

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die Bedeutung von WordPress-Sicherheitsmaßnahmen zu verstehen und zu verstehen, wie Sie diese umsetzen können.

Wenn Sie Fragen haben oder weitere WordPress-Sicherheitstipps benötigen, können Sie gerne einen Kommentar hinterlassen.

Wie man die Sicherheit von WordPress verbessert FAQ