WordPress-Sicherheit: So schützen Sie Ihre Website vor Hackern

Egal, ob Sie eine Business-Site, einen Online-Shop oder einen Hobby-Blog starten, WordPress bietet Flexibilität, Benutzerfreundlichkeit und erweiterte Funktionen, die dazu beitragen, dass es ein voller Erfolg wird.

Aber bevor Sie bereit sind, live zu gehen, sollten Sie sich ein paar Minuten Gedanken über die Sicherheit machen. Schützen Sie Ihre Website so gut wie möglich, um sie vor Hackern zu schützen und jederzeit für Fans und Kunden zu arbeiten.

Warum ist WordPress-Sicherheit wichtig?

Ihre Website sagt Ihren Besuchern, wer Sie sind, welche Art von Inhalten und Dienstleistungen Sie anbieten und was sie von Ihrer Marke erwarten können. Es ist ein Ort, um einen guten ersten Eindruck zu hinterlassen und Vertrauen und Loyalität bei bestehenden Fans aufzubauen.

Deshalb ist es so wichtig sicherzustellen, dass Ihre Website jederzeit verfügbar ist. Wenn es plötzlich Links zu Malware enthält, nach einem Hack sehr langsam läuft oder ganz offline geht, wird es Ihren Ruf beeinträchtigen.

Wenn Ihre Website gehackt wird, können Sie aufgrund von weniger Aufrufen, Verkäufen oder Anzeigenimpressionen Geld verlieren. Es können Kosten anfallen, um es wieder in einen guten Betriebszustand zu versetzen. Sie könnten auch Platzierungen in Suchmaschinen verlieren – manchmal dauerhaft. Um also Geld zu sparen (und das Gesicht zu wahren!), stellen Sie sicher, dass Ihre Website gesperrt und sicher ist.

Wie werden WordPress-Websites gehackt?

Google hat kürzlich eine Liste mit den wichtigsten Methoden veröffentlicht, mit denen Hacker auf Websites zugreifen. Sehen wir uns einige davon im Detail an:

Kompromittierte Passwörter

Brute-Force-Angriffe sind eine der häufigsten Methoden, mit denen sich Hacker in eine Website einschleichen. Sie verwenden Bots, um verschiedene Benutzernamen und Passwörter auszuprobieren – Tausende von Kombinationen pro Sekunde – bis sie das richtige finden.

Unsichere Plugins und Themes

Sicherheitslücken, die in Plugins und Themes gefunden werden, sind eine relativ einfache Möglichkeit für Angreifer, in sie einzudringen. Entwickler hochwertiger Themes veröffentlichen Patches für diese Sicherheitslücken in regelmäßigen Updates, aber nicht alle WordPress-Benutzer aktualisieren ihre Website häufig. Und nulled, kostenlose Versionen von Premium-Plug-ins und Themes haben oft Hintertüren in ihren Code eingebettet – Zugangspunkte für Hacker, um sich aus der Ferne bei Ihrer Website anzumelden und zu tun, was sie wollen.

Schwache Sicherheitsrichtlinien

Schlechte Sicherheitspraktiken wie das Gewähren des Zugriffs auf die Website für Personen, die dies nicht benötigen, oder das Zulassen unsicherer Passwörter erleichtern es den Benutzern, auf Ihre Website zuzugreifen.

Warum sollte jemand eine Website hacken?

1. Sie wollen Geld stehlen . Sie möchten möglicherweise Kreditkarteninformationen von Kunden sammeln oder Besucher auf bösartige Websites leiten, die darauf abzielen, Menschen zu betrügen.
2. Sie wollen Informationen erfassen. Sie könnten personenbezogene Daten an Dritte verkaufen oder Informationen gegen Geld als Geiseln halten.
3. Sie wollen Ihre Website vom Netz nehmen . Dies hat normalerweise ein persönliches Motiv und ist selten eine Bedrohung für den gemeinsamen Website-Eigentümer.
4. Sie wollen Ihre Website zerstören. Auch dies ist normalerweise persönlich. Der Hacker könnte die Website von jemandem verunstalten, mit dem er nicht einverstanden ist, um eine Aussage zu machen.
5. Sie wollen jemand anderen angreifen . Angreifer können Ihre Website verwenden, um Malware oder Ransomware über das Internet zu verbreiten, oder Ihren Webserver verwenden, um jemand anderen böswillig anzugreifen.
6. Sie wollen lernen. Hacker müssen ja irgendwie üben, oder? Sie können Ihre Website in Zukunft als Trainingsgelände für größere, lukrativere Ziele nutzen.

So schützen Sie Ihre WordPress-Site vor Hackern

1. Wählen Sie einen Qualitätshost

Ihr Hosting-Unternehmen ist Ihr Sicherheitspartner und es ist wichtig, einen mit einem guten Ruf zu wählen. Sie bekommen, wofür Sie bezahlen, und viele Discount-Hosts implementieren keine soliden Sicherheitspraktiken.

Aber woher wissen Sie, welches Sie wählen sollen? Hier sind einige Hinweise auf einen sicheren Hosting-Anbieter:

• Regelmäßige Backups, in Ihrem Plan enthalten oder gegen eine zusätzliche Gebühr.
• SSL-Zertifikate, die die Daten Ihrer Website-Besucher schützen.
• 24/7-Support, falls Ihre Website jemals gehackt wird.
• Eine eingebaute Firewall, die die Dateien und die Datenbank auf Ihrem Server schützt.
• Sicherheitsscans, die Sie auf verdächtigen Code und verdächtige Aktivitäten auf Ihrer Website aufmerksam machen.
• Ein guter Ruf. Bewertungen und Empfehlungen sind oft der beste Weg, um die Qualität eines Gastgebers zu bestimmen.

Und denken Sie daran, dass ein Unternehmen mit guten Kenntnissen und starker Sicherheit alle zusätzlichen Kosten wert ist. Hier ist eine Liste empfohlener WordPress-Hosts, um Ihnen den Einstieg zu erleichtern.

2. Halten Sie die Software auf dem neuesten Stand

Der wichtigste Weg, um Ihre Website sicher zu halten, besteht darin, Ihre Software regelmäßig zu aktualisieren: WordPress, Themes und Plugins. Neue Versionen beheben oft Sicherheitslücken, also je früher Sie aktualisieren, desto besser.

Sie können WordPress-Sicherheitsrisiken auch minimieren, indem Sie vertrauenswürdige Plugins auswählen, die stabil sind und mehr als eine Anforderung gleichzeitig erfüllen. Zum Beispiel bietet Jetpack Security eine ganze Suite von WordPress-Sicherheitstools, die in das einzelne Jetpack-Plugin integriert sind. So können Sie auch von zusätzlichen Funktionen profitieren, ohne Dutzende von Plugins zu installieren und das Risiko eines Angriffs auf Ihre Website zu erhöhen.

3. Erstellen Sie sichere Benutzernamen und Passwörter

Lassen Sie Hacker rätseln, indem Sie einen eindeutigen Benutzernamen und ein sicheres Passwort wählen. Verwenden Sie mindestens 20 Zeichen, einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Symbol.

Wenn Sie eine Site mit zusätzlichen Benutzern erstellen, stellen Sie sicher, dass Sie für jeden die richtigen Berechtigungen festlegen. Möglicherweise möchten Sie nicht, dass Ihr neuer Praktikant beispielsweise Zugriff auf Kerndateien oder andere wichtige Daten hat. Hier ist ein großartiger Artikel über Benutzerberechtigungen für WooCommerce, aber vieles davon gilt für jede Art von Website.

Und wenn Sie ein Konto für einen Dritten erstellen – wie einen Entwickler, eine Marketingagentur oder eine Support-Person – stellen Sie sicher, dass Sie den Zugriff entfernen, sobald sie ihre Arbeit abgeschlossen haben.

4. Richten Sie externe Sicherungen ein

Backups sind entscheidend für den Schutz Ihrer Inhalte, harter Arbeit und Kunden- oder Besucherdaten. Unabhängig vom Problem mit Ihrer Website bedeutet ein vollständiges Backup, dass Sie schnell wieder einsatzbereit sind.

Aber es ist wichtig, die richtige Art von Backups zu wählen. Stellen Sie beispielsweise sicher, dass Ihre Backups extern gespeichert werden, in der Cloud und nicht auf Ihrem Server. Das bedeutet, dass Sie selbst dann, wenn Sie den Zugriff auf Ihre Website verlieren oder Ihr Server kompromittiert ist, immer noch eine saubere Version wiederherstellen können.

Hier glänzt Jetpack Backup. Sie speichern nicht nur alle Backups auf denselben sicheren Servern, die sie für ihre eigene Website verwenden, sondern bewahren auch mehrere verschlüsselte Backups für eine zusätzliche Schutzebene auf.

Außerdem können Sie zwischen zwei Optionen wählen: Echtzeit und täglich.

Echtzeit-Backups sind die beste Wahl für Online-Shops, Mitgliederforen oder Websites, die regelmäßig aktualisiert werden. Jetpack speichert jedes Mal eine Kopie Ihrer Website, wenn sich etwas ändert: ein Verkauf getätigt, eine Seite aktualisiert oder ein Kommentar hinzugefügt wird. Das bedeutet, dass Sie keinen einzigen Verkauf oder keine Information verlieren, egal was passiert.

Tägliche Sicherungen eignen sich gut für statische Websites, die nicht häufig aktualisiert werden. Jetpack speichert Ihre Dateien und Datenbanken einmal am Tag und nicht, wenn Änderungen vorgenommen werden.

Der beste Teil? Es ist super einfach einzurichten – es ist keine komplizierte Serverkonfiguration erforderlich. Gehen Sie einfach ein paar einfache Schritte durch und wenden Sie sich an das konkurrenzlose Kundensupport-Team von Jetpack, wenn Sie Hilfe benötigen.

Sie können das beste WordPress-Backup-Plugin als eigenständiges Tool oder als Teil der vollständigen Sicherheitssuite verwenden.

5. Schutz vor Brute-Force-Angriffen hinzufügen

Brute-Force-Angriffe treten auf, wenn Hacker Bots verwenden, um Tausende von Benutzernamen/Passwort-Kombinationen pro Sekunde zu erraten, bis sie schließlich Zugriff auf Ihre Website erhalten. Diese Angriffe gefährden nicht nur Ihre Website-Informationen, sie können auch die Dinge verlangsamen, indem sie Ihren Server überlasten.

Während sichere Anmeldeinformationen definitiv helfen, ist die beste Vorbeugung ein Tool, das sie aufhält. Die kostenlose Brute-Force-Angriffsschutzfunktion von Jetpack blockiert verdächtige IP-Adressen, bevor sie überhaupt auf Ihre Website gelangen!

Die Einrichtung könnte nicht einfacher sein – Sie müssen die Funktion nur einschalten – und Sie können die Anzahl der blockierten Angriffe direkt von Ihrem Dashboard aus anzeigen. Hinweis: Der Durchschnitt liegt bei 5.193!

6. Auf Malware scannen

Wenn es einem Hacker gelingt, einzudringen, möchten Sie es sofort wissen, damit Sie Fehler beheben können. Denn je länger Ihre Website ausfällt oder unsicher ist, desto größer ist der Schaden für Ihren Ruf und Ihre Daten.

Aber Jetpack Scan durchsucht Ihre Website automatisch nach Malware, böswilligen Akteuren und verdächtigen Aktivitäten und warnt Sie sofort, wenn etwas gefunden wird. Sie können sogar die meisten bekannten Hacks mit nur einem Klick beheben und so Zeit und Geld sparen.

Und Sie müssen keine Zeit damit verbringen, komplizierte Fachsprache zu entziffern – das Jetpack Scan-Dashboard erklärt alles in Laiensprache und führt Sie durch jeden Schritt, den Sie unternehmen müssen. Sie können es einfach einstellen und vergessen und sich darauf verlassen, dass Ihre Website rund um die Uhr überwacht wird.

Erfahren Sie mehr über unser WordPress-Malware-Scanning-Tool.

7. Implementieren Sie die Ausfallzeitüberwachung

Unabhängig davon, ob es sich um einen böswilligen Angriff oder einen einfachen Fehler handelt, wenn Ihre Website ausfällt, müssen Sie sofort handeln. Aber Sie haben keine Zeit, Ihre Website den ganzen Tag neu zu laden, um sicherzustellen, dass sie funktioniert!

Das WordPress-Tool zur Überwachung von Ausfallzeiten von Jetpack überwacht Ihre Website rund um die Uhr und benachrichtigt Sie, wenn sie nicht mehr reagiert. Sie können dann das Aktivitätsprotokoll verwenden, um genau festzustellen, was wann schief gelaufen ist, sodass Sie angemessen reagieren und innerhalb von Minuten, nicht Stunden oder Tagen, wieder einsatzbereit sein können.

8. Löschen Sie nicht verwendete Plugins und Themes

Je mehr Themes und Plugins Sie auf Ihrer Website installiert haben, desto mehr Möglichkeiten gibt es für einen Hacker, diese auszunutzen. Während Plugins eine großartige Möglichkeit sind, zusätzliche Funktionen hinzuzufügen, erledigen Sie ein wenig Ordnung und entfernen Sie diejenigen, die Sie nicht mehr verwenden.

Abgesehen von einem Standarddesign, auf das Sie bei der Fehlersuche auf der Website zurückgreifen können, müssen keine zusätzlichen Designs gespeichert werden.

Bonus: Das Löschen dieser kann auch die Geschwindigkeit Ihrer Website verbessern!

9. Aktivieren Sie die Zwei-Faktor-Authentifizierung für Administratoren

Die Zwei-Faktor-Authentifizierung ist eine äußerst effektive Methode zum Schutz Ihrer Anmeldeseite, da ein Hacker sowohl Ihr Passwort als auch einen physischen Gegenstand haben muss – eine unwahrscheinliche Kombination. Wenn sich ein Administrator bei Ihrer Website anmeldet, muss er einen Einmalcode eingeben, der an sein Telefon gesendet wird.

Jetpack bietet diese Funktion kostenlos an und ist damit eine einfache Möglichkeit, einen Schritt weiter zu gehen als starke Passwörter. Haben Sie mehrere Benutzer? Fordern Sie für alle ganz einfach eine Zwei-Faktor-Authentifizierung an.

10. Richten Sie eine WordPress-Firewall ein

Eine WordPress-Firewall überwacht den gesamten Datenverkehr auf Ihrer Website und fungiert als Barrikade gegen Hacker. Während ein guter Hosting-Plan eine Firewall enthält, die Ihren Server schützt, sollten Sie auch eine speziell für WordPress installieren.

Ein gutes Firewall-Plug-in verfügt über eine Datenbank mit Informationen über Angreifer – verdächtige IP-Adressen, bösartige Bots und Datenverkehr, der einfach „off“ zu sein scheint – und blockiert sie, bevor sie Ihre Website angreifen können. Sie können einige der beliebtesten Optionen im WordPress-Plugin-Repository sehen.

11. Behalten Sie Ihre Website-Aktivitäten im Auge

Wenn Sie ein Protokoll über alles haben, was auf Ihrer Website passiert, können Sie es leicht durchgehen und alles Verdächtige identifizieren. Und wenn Ihre Website gehackt wird, können Sie auch den Zeitpunkt des Vorfalls ermitteln, wissen, welche Maßnahmen ergriffen wurden, und viel einfacher herausfinden, welche Konten kompromittiert wurden.

Das Aktivitätsprotokoll von Jetpack für WordPress verfolgt alle wichtigen Änderungen, die auftreten, von Anmeldeversuchen und veröffentlichten Seiten bis hin zu gelöschten Plugins, aktualisierten Designs und geänderten Einstellungen. Für jedes Ereignis sehen Sie einen Zeitstempel, den Benutzer, der die Änderung vorgenommen hat, und eine Beschreibung dessen, was er getan hat. Sie können diese Informationen dann verwenden, um Fehler zu beheben oder eine Sicherung unmittelbar vor dem Auftreten eines Problems wiederherzustellen.

Was passiert, wenn meine WordPress-Seite nicht sicher ist?

Die meisten Angreifer zielen nicht speziell auf Sie ab, sie suchen nur nach der Website, auf die Sie am einfachsten zugreifen können. Wenn Ihre WordPress-Site also nicht richtig gesichert ist, ist es wahrscheinlicher, dass sie Opfer eines Hacks wird. Letztendlich könnte dies zu Folgendem führen:

• Ein beschädigter Ruf . Wenn Ihre Website Sicherheitswarnungen enthält, herunterfährt oder auf eine verdächtige Website weiterleitet, sieht dies für Website-Besucher nicht gut aus. Sie können das Vertrauen in Ihren Blog oder Ihr Unternehmen verlieren und Ihnen Verkäufe oder Werbeeinnahmen entgehen.
• Gestohlene Kundendaten . Wenn ein Hacker auf Ihren E-Commerce-Shop zugreift, sammelt er möglicherweise persönliche Informationen, die er selbst verwenden oder an Dritte verkaufen kann.
• Beschädigte Website-Dateien . Sie könnten einen Teil oder Ihre gesamte Website verlieren, möglicherweise Jahre harter Arbeit!
• Entfernung aus den Suchergebnissen . Wenn Ihre Website gehackt wird, wird sie möglicherweise von Google auf die Sperrliste gesetzt und vollständig aus den Suchergebnissen entfernt.
• Verlorener Site-Traffic . Zwischen niedrigeren (oder nicht vorhandenen) Suchmaschinenrankings und Personen, die eine Website mit einer Sicherheitswarnung nicht besuchen möchten, kann Ihr Website-Traffic erheblich zurückgehen.
• Reduzierte Werbeeinnahmen . Anzeigennetzwerke möchten nicht, dass die Anzeigen ihrer Kunden auf unsicheren Websites geschaltet werden. Wenn Ihre Website also gehackt wird, könnte sie aus den Werbenetzwerken entfernt werden und Sie könnten vollständig gesperrt werden, was Ihre Einnahmen aus Anzeigen verringert oder eliminiert. Selbst wenn es nicht entfernt wird, wirkt sich der reduzierte Traffic negativ auf Anzeigenklicks aus.

Woher weiß ich, ob meine WordPress-Seite gehackt wurde?

Manchmal ist es schwierig festzustellen, ob Ihre Website gehackt wurde oder ob ein anderes Problem vorliegt. Hier sind jedoch einige Hinweise auf einen Website-Hack:

• Ihre Website hat eine Sicherheitswarnung, wenn Sie Ihre URL laden.
• Ihr Sicherheits-Plugin meldet ein Problem.
• Ihr Gastgeber sendet Ihnen eine E-Mail über ein Problem.
• Ihre Website leitet woanders hin und Sie haben diese Weiterleitung nicht vorgenommen.
• Sie sehen auf Seiten Ihrer Website seltsame Codezeilen.
• Ihre Website ist vollständig ausgefallen, obwohl dies auch andere Ursachen haben könnte.
• Anzeigen auf Ihrer Website leiten auf verdächtige Websites weiter.
• Ihre Website lädt plötzlich sehr langsam oder verhält sich auf andere Weise merkwürdig.

Was mache ich, wenn meine WordPress-Seite gehackt wird?

Wenn Ihre WordPress-Site gehackt wurde, können Sie das Problem mit ein paar Schritten beheben und Ihre Dateien und Datenbank wiederherstellen:

1. Stellen Sie fest, was passiert ist. Wenn Sie Jetpack verwenden, werfen Sie einen Blick auf das Aktivitätsprotokoll, um zu sehen, wer sich wann angemeldet hat und was er geändert hat. Dies kann Ihnen helfen, kompromittierte Konten zu identifizieren und herauszufinden, welche Dateien betroffen sind.
2. Führen Sie einen Malware-Scan durch. Verwenden Sie ein Tool wie Jetpack Scan, um Ihre Website-Dateien nach Malware oder anderen Hinweisen auf einen Hack zu durchsuchen. Wenn Sie das Malware-Scan-Tool von Jetpack für WordPress verwenden, können Sie die meisten Probleme auch mit einem Klick beheben.
3. Stellen Sie eine Sicherung wieder her. Wenn Sie regelmäßig Backups Ihrer Website erstellen, stellen Sie eines vor dem Hack wieder her. Wenn Sie Jetpack Backup verwenden, werden Ihre Dateien getrennt von Ihrem Server gespeichert, sodass sie nicht kompromittiert werden sollten.
4. Setzen Sie alle Passwörter zurück und löschen Sie verdächtige Benutzer . Setzen Sie alle Passwörter für Ihre WordPress-Site und Ihren Hosting-Provider zurück. Wenn Sie verdächtige Benutzerkonten sehen, die Sie nicht erstellt haben, löschen Sie sie.
5. Stellen Sie einen Website-Sicherheitsexperten ein. Wenn Sie Malware nicht selbst entfernen können oder nur sichergehen möchten, dass Ihre Website sicher ist, sollten Sie einen Sicherheitsexperten von einem Dienst wie Codeable beauftragen.
6. Aktualisieren Sie Ihre Plugins, Themes und WordPress-Version. Dies hilft dabei, alle Schwachstellen zu sichern, die der Hacker hätte ausnutzen können.
7. Reichen Sie Ihre Website erneut bei Google ein. Wenn Ihre Website auf der Sperrliste steht, verwenden Sie die Google Search Console, um eine Überprüfung anzufordern und sie von der Liste entfernen zu lassen.

Für weitere Details lesen Sie unseren Leitfaden, der beschreibt, was zu tun ist, wenn Ihre WordPress-Seite gehackt wird.

Startbereit

Wenn Sie die Arbeit von Anfang an in die richtige WordPress-Sicherheit stecken, ist Ihre Website auf Erfolg eingestellt und trägt dazu bei, dass sie in den kommenden Jahren sicher und effizient läuft. Denken Sie daran, dass es viel einfacher ist, Website-Hacks zu verhindern, als sie zu beheben, nachdem sie aufgetreten sind.

Mit dem Jetpack-Sicherheitspaket können Sie die meisten Punkte auf dieser Liste in nur wenigen Minuten abhaken – ohne Entwickler oder komplizierte Einrichtung.

Beginnen Sie mit dem besten WordPress-Sicherheits-Plugin.