So sichern Sie eine WordPress-Seite vor Hackern (Schritt für Schritt) 

Meine erste wirkliche Sicherheitskrise kam, als Spam-Bots über Nacht Hunderte Male meine Anmeldeseite bombardierten. Ich habe den Zugriff nicht verloren, aber ich war nah dran, und es hat mir schnell gezeigt, dass WordPress-Sicherheit keine Option ist.

Wenn Sie eine WordPress-Seite sichern müssen, zeigt Ihnen dieser Leitfaden die genauen Schritte, die ich jetzt verwende: Updates, starke Anmeldungen, Backups, Firewalls, SSL und mehr, alles ohne Code anzufassen.

Die Einsätze sind real. Google setzt täglich Tausende von infizierten Websites auf die schwarze Liste. Wenn Ihre Website auf dieser Liste landet, verlieren Sie über Nacht Traffic, und es dauert Monate, dieses Vertrauen wieder aufzubauen. Angreifer können auch Kundendaten stehlen, Spam-Links einschleusen, Malware auf Ihre Besucher verteilen oder Sie aussperren, bis Sie ein Lösegeld zahlen.

Die gute Nachricht ist, dass die meisten Hacks vermeidbare Schwachstellen ausnutzen. Befolgen Sie diese Schritte und Sie schließen die Tür für die überwiegende Mehrheit der Angriffe.

Häufige WordPress-Sicherheitsbedrohungen, die Sie kennen sollten

Bevor Sie sich mit den Lösungen befassen, ist es hilfreich zu wissen, womit Sie es zu tun haben. Dies sind die häufigsten Angriffstypen, die WordPress-Seiten ins Visier nehmen.

• Brute-Force-Angriffe sind automatisierte Skripte, die Tausende von Benutzer- und Passwortkombinationen gegen Ihre Anmeldeseite ausprobieren. Sie sind die häufigste Bedrohung für WordPress-Seiten und am einfachsten zu stoppen.
• Cross-Site-Scripting (XSS) ermöglicht es Angreifern, bösartigen JavaScript-Code in die Seiten Ihrer Website einzuschleusen. Besucher, die diese Seiten aufrufen, können ihre Daten stehlen, ohne dass etwas passiert.
• SQL-Injection tritt auf, wenn ein Angreifer bösartigen Code über ein Formular oder eine URL sendet, um Ihre Datenbank direkt zu manipulieren. Eine erfolgreiche SQL-Injection kann jedes Benutzerkonto, jedes Passwort und jeden Inhalt auf Ihrer Website preisgeben.
• DDoS-Angriffe fluten Ihren Server mit gefälschtem Traffic, bis er abstürzt und offline geht. Sie brechen nicht ein; sie sperren Sie einfach aus und machen Ihre Seite für echte Besucher unzugänglich.
• Veraltete Softwareausnutzung ist die am besten vermeidbare Bedrohung auf dieser Liste. Angreifer scannen aktiv nach Websites, auf denen alte Versionen von WordPress, Plugins oder Themes ausgeführt werden, da bekannte Schwachstellen öffentlich dokumentiert sind. Ein ungepatchtes Plugin ist eine offene Einladung.

So sichern Sie Ihre WordPress-Website: 11 Schritte

1. Aktualisieren Sie WordPress-Core-Dateien, um Hacks zu verhindern

Halten Sie WordPress auf dem neuesten Stand. Dies ist der einfachste Weg, bekannte Sicherheitslücken zu schließen.

WordPress Core, Plugins und Themes erhalten regelmäßige Updates, von denen viele Schwachstellen beheben. Kleinere Updates werden normalerweise automatisch installiert, aber Sie müssen größere Updates selbst anwenden. Wenn Sie diese ignorieren, ist Ihre Website anfällig für Angriffe.

Überprüfen Sie Ihr Dashboard häufig und aktualisieren Sie Ihre Plugins und Themes, sobald Updates verfügbar sind. Es dauert nur einen Klick und kann ernsthaften Schaden verhindern.

2. Entfernen Sie ungenutzte Plugins und Themes, um die Sicherheit zu verbessern

Löschen Sie Plugins und Themes, die Sie nicht verwenden. Jede inaktive Datei ist ein weiterer Einfallsweg für Hacker.

Auch wenn ein Plugin oder Theme deaktiviert ist, existiert sein Code immer noch auf Ihrem Server. Hacker können alte oder verlassene Software ausnutzen, um sich in Ihre Website einzuschleichen. Deshalb sind ungenutzte Tools ein Sicherheitsrisiko.

Bereinigen Sie Ihre Website regelmäßig, indem Sie alles entfernen, was Sie nicht benötigen. Dies hält Ihre WordPress-Installation schlank und einfacher zu verwalten, und es ist einer der effektivsten Schritte zur Härtung von WordPress, die Sie ohne Werkzeuge durchführen können.

3. Verwenden Sie starke Passwörter und Berechtigungen

Verwenden Sie eindeutige, starke Passwörter und beschränken Sie den Kontozugriff. Schwache Anmeldungen sind der einfachste Weg für Hacker, einzudringen.

Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein und eine Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen enthalten. Vermeiden Sie Namen, Geburtstage oder alles, was leicht zu erraten ist.

Verwenden Sie einen Passwort-Manager, um komplexe Passwörter zu generieren und zu speichern. Sie müssen sie nicht auswendig lernen und werden niemals dasselbe über mehrere Konten hinweg wiederverwenden.

Vermeiden Sie außerdem die Weitergabe des Hauptadministrator-Kontos. Weisen Sie Benutzerrollen und Berechtigungen zu, damit jede Person nur den Zugriff hat, den sie benötigt.

Für Websites mit mehreren Benutzern oder gemeinsam genutzten Computern sollten Sie ein Auto-Logout-Plugin wie Inactive Logout in Betracht ziehen. Es beendet Sitzungen automatisch nach einer festgelegten Zeit der Inaktivität, was das Risiko reduziert, wenn jemand vergisst, sich abzumelden.

Das Hinzufügen eines CAPTCHA zu Ihrer Anmeldeseite ist ein weiterer geringer Aufwand für die Sicherheit der WordPress-Anmeldung. Es blockiert Bot-Übermittlungen, bevor sie überhaupt einen Anmeldeversuch starten. WPForms enthält einen integrierten Spam-Schutz, den Sie für Formulare auf Ihrer gesamten Website verwenden können.

4. Wählen Sie ein sicheres WordPress-Hosting-Unternehmen

Ihr Hoster ist Ihre erste Verteidigungslinie. Wählen Sie daher einen sicheren WordPress-Hosting-Anbieter, der Ihre Website aktiv vor Angriffen schützt.

Die besten WordPress-Hosting-Unternehmen wie Bluehost, SiteGround und Hostinger bieten integrierte Sicherheitsebenen, um Hacker fernzuhalten.

• 24/7-Überwachung auf verdächtige Aktivitäten
• Schutz vor groß angelegten DDoS-Angriffen
• Aktuelle Server-Software und PHP-Versionen
• Disaster-Recovery- und Backup-Systeme

Shared Hosting kann Ihre Website gefährden, wenn eine andere Website auf demselben Server gehackt wird. Für stärkeren Schutz sollten Sie Managed WordPress Hosting in Betracht ziehen. Es beinhaltet automatische Updates, Backups und erweiterte Sicherheitsfunktionen.

5. Sichern Sie Ihre WordPress-Website, um sich von Hacks zu erholen

Ein zuverlässiges Backup ist Ihr Sicherheitsnetz. Es ermöglicht Ihnen, Ihre Website schnell wiederherzustellen, wenn Hacker, Fehler oder Abstürze sie zum Absturz bringen.

Die besten WordPress-Backup-Plugins ermöglichen es Ihnen, automatische Backups zu planen und sie sicher extern zu speichern, sodass Sie nie ohne eine funktionierende Kopie dastehen.

Die beiden wichtigsten Funktionen: Off-Site-Speicherung (damit Ihr Backup überlebt, auch wenn Ihr Hoster ausfällt) und Ein-Klick-Wiederherstellung (damit die Wiederherstellung Minuten statt Stunden dauert).

Beliebte Plugins sind Duplicator, UpdraftPlus, BlogVault und Jetpack VaultPress Backups. Sie sind anfängerfreundlich und erfordern keine Programmierung.

Schützen Sie den Ruf Ihrer Website während eines Sicherheitsvorfalls

Selbst bei guter Sicherheit gehen Websites manchmal wegen Wartungsarbeiten, Updates oder Bereinigungen nach einem Hack offline. Was Besucher während dieses Zeitfensters sehen, ist wichtig.

Ich verwende die "Coming Soon"- und Wartungsmodus-Seiten von SeedProd, um eine saubere, gebrandete Wartungsseite anzuzeigen, wann immer meine Website offline gehen muss.

Anstatt dass Besucher eine defekte Seite oder eine Fehlermeldung sehen, sehen sie etwas Professionelles, das ihr Vertrauen aufrechterhält.

Wenn Sie jemals Ihre Website offline nehmen müssen, um nach einem Sicherheitsvorfall aufzuräumen, macht SeedProd dies einfach. Aktivieren Sie eine Wartungsseite mit einem Klick, passen Sie sie an Ihre Marke an und bringen Sie die Website wieder online, sobald Sie bereit sind. Kein Code erforderlich.

6. Wählen Sie das beste WordPress-Sicherheits-Plugin

Ein Sicherheits-Plugin ist wie ein Wachhund für Ihre Website. Es scannt nach Bedrohungen, blockiert Angriffe und benachrichtigt Sie, wenn etwas nicht stimmt.

Mit dem richtigen Plugin können Sie fehlgeschlagene Anmeldungen überwachen, nach Malware scannen und schwache Stellen in WordPress härten, ohne Code anzufassen.

Sucuri ist meine erste Wahl. Gehen Sie nach der Installation zu Sucuri Security » Settings » Hardening und klicken Sie für jede Option auf „Hardening anwenden“. Diese Einstellungen sperren Bereiche, die Hacker häufig ins Visier nehmen.

Andere großartige Optionen sind Wordfence und iThemes Security, die beide Firewalls, Malware-Scans und Anmeldeschutz bieten.

Welches Plugin Sie auch wählen, richten Sie einen wöchentlichen automatischen Malware-Scan ein. Die meisten Sicherheit-Plugins erledigen dies in den Einstellungen. Wenn ein Scan etwas meldet, stellen Sie es aus Ihrem letzten sauberen Backup wieder her, kontaktieren Sie Ihren Hoster oder nutzen Sie den Malware-Entfernungsservice von Sucuri, der in deren kostenpflichtigen Plänen enthalten ist.

7. Blockieren Sie Hacker mit einer WordPress-Firewall (WAF)

Eine Firewall stoppt Hacker, noch bevor sie Ihre Website erreichen, indem sie bösartigen Datenverkehr herausfiltert.

Es gibt zwei Hauptarten von WordPress-Firewalls:

• DNS-Level-Firewall: Filtert den Datenverkehr über sichere Cloud-Server, bevor er Ihre Website erreicht.
• Application-Level-Firewall: Überprüft den Datenverkehr auf Ihrem Server, bevor WordPress-Skripte geladen werden.

Sucuri Firewall ist eine der effektivsten Optionen. Sie half WPBeginner, 450.000 Angriffe in 3 Monaten abzuwehren, was zeigt, was eine Firewall auf DNS-Ebene in großem Umfang leisten kann.

Mit Sucuri erhalten Sie auch Malware-Bereinigung und Blacklist-Entfernung. Wenn Ihre Website gehackt wird, während Sie sie verwenden, werden sie es ohne zusätzliche Kosten beheben. Das ist ein Service, der weit mehr als den Preis von 199 $/Jahr wert ist.

8. Deaktivieren Sie die WordPress-Dateibearbeitung

WordPress enthält einen integrierten Dateieditor unter Darstellung > Theme-Datei-Editor, mit dem Sie PHP-Dateien direkt aus dem Dashboard bearbeiten können. Wenn ein Angreifer jemals Administratorzugriff erhält, wird dieser Editor zu einem ernsthaften Problem.

Das Deaktivieren dauert 30 Sekunden und ist einer der effektivsten Schritte zur Härtung von WordPress, den die meisten Anfänger überspringen. Fügen Sie diese Zeile zu Ihrer wp-config.php-Datei hinzu:

define('DISALLOW_FILE_EDIT', true);

Sobald sie hinzugefügt wurde, verschwindet der Dateieditor vollständig aus Ihrem Dashboard. Selbst wenn jemand in Ihr Admin-Konto eindringt, kann er ihn nicht verwenden, um bösartigen Code in Ihre Theme-Dateien einzuschleusen.

9. Aktivieren Sie SSL/HTTPS, um WordPress-Daten zu sichern

SSL/HTTPS verschlüsselt die Daten zwischen Ihrer Website und den Besuchern, was es für Hacker erheblich erschwert, Informationen zu stehlen.

Sobald SSL aktiv ist, zeigt Ihre Website HTTPS anstelle von HTTP an, zusammen mit einem Vorhängeschloss-Symbol im Browser. Dies schafft Vertrauen und schützt sensible Daten wie Anmeldungen und Zahlungen.

Die meisten Hoster bieten mittlerweile kostenlose SSL-Zertifikate über Let’s Encrypt an. Wenn Ihrer dies nicht tut, können Sie eines von Domain.com kaufen, das eine Sicherheitsgarantie von 10.000 US-Dollar und ein TrustLogo-Siegel beinhaltet.

Hilfe bei der Einrichtung finden Sie in meinem Leitfaden SSL zu WordPress hinzufügen.

10. Stoppen Sie Brute-Force-Angriffe, indem Sie die Anmeldeversuche begrenzen

Die Begrenzung von Anmeldeversuchen verhindert, dass Hacker immer wieder Ihr Passwort erraten, bis sie eindringen.

Wenn jemand zu oft das falsche Passwort eingibt, wird er vorübergehend von Ihrer Website ausgesperrt. Dieser einfache Schritt blockiert Brute-Force-Angriffe und sendet Ihnen Benachrichtigungen bei verdächtigen Aktivitäten.

Der einfachste Weg ist das kostenlose Plugin Limit Login Attempts Reloaded. Es ermöglicht Ihnen, die Anzahl der erlaubten fehlgeschlagenen Versuche festzulegen und sendet Ihnen eine E-Mail, wenn eine Anmeldung fehlschlägt.

Sie können die Sicherheit der WordPress-Anmeldung weiter verbessern, indem Sie Ihre Standard-Anmelde-URL ändern. Bots und Skripte zielen standardmäßig auf /wp-login.php ab. Wenn Sie sie in etwas Benutzerdefiniertes ändern, stoppen Sie die Mehrheit der automatisierten Angriffe, bevor sie beginnen. Ein Plugin wie WPS Hide Login erledigt dies, ohne Code zu berühren.

11. Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) fügt Ihrer Anmeldung eine zusätzliche Sperre hinzu, sodass Hacker nicht nur mit Ihrem Passwort eindringen können.

Mit 2FA melden Sie sich mit Ihrem Benutzernamen und Passwort an und bestätigen dann einen einmaligen Code, der an Ihr Telefon oder Ihre App gesendet wird. Selbst wenn Ihr Passwort durchsickert, können Angreifer nicht auf Ihre Website zugreifen, ohne diesen zweiten Code.

Eine kostenlose Option ist das WordPress Two Factor Authentication Plugin. Nach der Installation gehen Sie zu Two Factor Auth in Ihrem Dashboard, scannen Sie den QR-Code mit einer App wie Google Authenticator, und Sie sind bereit.

Wenn Sie sich das nächste Mal bei WordPress anmelden, werden Sie nach Ihrem Passwort nach dem Code gefragt, um Ihre Website vor Brute-Force-Angriffen zu schützen.

FAQs zur Sicherung Ihrer WordPress-Website

Wie ändere ich meine WordPress-Anmelde-URL, um Brute-Force-Angriffe zu verhindern?

Verwenden Sie ein Plugin wie WPS Hide Login, um Ihre Standard-/wp-login.php-URL in einen benutzerdefinierten Pfad zu ändern. Dies hindert automatisierte Bots daran, Ihre Anmeldeseite zu finden, da sie standardmäßig die Standard-URL anvisieren.

Die Installation dauert weniger als eine Minute. Gehen Sie zu Einstellungen > WPS Hide Login, geben Sie Ihre benutzerdefinierte Anmelde-URL ein und speichern Sie. Ihre alte Anmelde-URL gibt für jeden, der sie versucht, einen 404-Fehler zurück.

Was ist das beste WordPress-Sicherheits-Plugin für Anfänger?

Sucuri ist für die meisten Anfänger die beste Wahl, da es eine Firewall, Malware-Scans, Login-Härtung und professionelle Malware-Entfernung an einem Ort kombiniert. Die kostenlose Version deckt die Grundlagen ab; der kostenpflichtige Plan fügt die DNS-Firewall hinzu.

Wordfence ist eine starke kostenlose Alternative mit einer integrierten Firewall und einem Scanner. Wenn Sie ein knappes Budget haben, deckt Wordfence die meisten Ihrer Bedürfnisse ab, ohne dass Sie etwas bezahlen müssen.

Woher weiß ich, ob meine WordPress-Seite gehackt wurde?

Warnsignale sind ein plötzlicher Rückgang des Traffics, seltsame Links oder Inhalte auf Ihren Seiten, eine Google-Warnung in den Suchergebnissen, die Sperrung Ihres Kontos durch Ihren Hoster oder dass Besucher auf andere Websites umgeleitet werden.

Führen Sie einen kostenlosen Scan unter Sucuri SiteCheck durch, um nach Malware und Blacklist-Status zu suchen. Die meisten Sicherheit-Plugins enthalten auch integrierte Malware-Scanner, die Sie von Ihrem Dashboard aus ausführen können.

Benötige ich ein Sicherheit-Plugin, wenn ich bereits einen Managed WordPress Hoster habe?

Managed Hosting bietet Ihnen Schutz auf Server-Ebene, aber es deckt nicht alles ab. Ihr Hoster kann nicht vor schwachen Passwörtern, anfälligen Plugins oder Angriffen schützen, die Ihre WordPress-Anwendung direkt ausnutzen.

Ein Sicherheit-Plugin fügt Anwendungs-Level-Monitoring, Malware-Scans und Login-Schutz zusätzlich zu dem hinzu, was Ihr Hoster bietet. Die beiden arbeiten zusammen, nicht anstelle voneinander.

Nächste Schritte

Diese Schritte decken alles ab, was Sie benötigen, um Ihre WordPress-Seite vor Hackern zu schützen, ohne dass Sie programmieren müssen. Beginnen Sie noch heute mit Updates und starken Passwörtern, und fügen Sie dann ein Sicherheit-Plugin, eine Firewall und 2FA hinzu.

Weitere Lektüre finden Sie in diesen Anleitungen:

• Beste WordPress Multisite-Plugins
• So schützen Sie eine WordPress-Website mit einem Passwort
• Beste WordPress-Duplizierer-Plugins
• So akzeptieren Sie sichere Stripe-Zahlungen in WordPress

Danke fürs Lesen! Wir würden uns freuen, Ihre Gedanken zu hören. Treten Sie also gerne der Konversation auf YouTube, X und Facebook bei, um weitere hilfreiche Ratschläge und Inhalte für das Wachstum Ihres Unternehmens zu erhalten.