Die einzige WordPress-Sicherheitscheckliste, die Sie im Jahr 2024 benötigen

WordPress ist ein sicheres Content-Management-System (CMS), aber die Art und Weise, wie Sie Ihre Website einrichten und konfigurieren, kann sich auf deren Sicherheitsniveau auswirken. Wenn Sie keine Maßnahmen zum Schutz Ihrer Website ergreifen, kann es zu einer Datenschutzverletzung oder zum Verlust Ihrer Inhalte kommen.

Um Ihnen zu helfen, haben wir die ultimative WordPress-Sicherheitscheckliste erstellt. Dieser führt Sie durch alle Schritte, die Sie zum Schutz Ihrer Website vor Bots und Angreifern benötigen.

In diesem Beitrag werfen wir einen Blick auf die integrierten Sicherheitsfunktionen von WordPress. Anschließend zeigen wir Ihnen 30 Dinge, die Sie tun können, um Ihre Website noch besser zu schützen.

Bietet WordPress integrierte Sicherheit?

Ja, WordPress bietet einige Sicherheitsmaßnahmen. Ihr Admin-Dashboard ist durch eine Anmeldeseite geschützt, auf der Benutzer einen gültigen Benutzernamen und ein gültiges Passwort eingeben müssen.

Das CMS erhält außerdem regelmäßig Patches und Updates, um Sicherheitslücken zu schließen. Generell gilt: Wenn Sie WordPress und seine Komponenten auf dem neuesten Stand halten, bleiben Sie von den häufigsten Schwachstellen verschont.

Allerdings ist auch der menschliche Faktor zu berücksichtigen. In vielen Fällen werden WordPress-Sites aufgrund menschlicher Fehler gehackt, beispielsweise durch die Weitergabe oder Wiederverwendung von Anmeldeinformationen. Wenn ein Angreifer Zugriff auf ein Konto mit hohen Berechtigungen erhält, kann er verheerende Schäden auf Ihrer Website anrichten.

Da das CMS eine so beliebte Plattform ist, scannen Angreifer das Web auf der Suche nach WordPress-Seiten mit bekannten Schwachstellen. Je mehr Ihre Website wächst, desto größer wird ihr Ziel.

Was ist der einfachste Weg, eine WordPress-Site zu sichern?

Um eine WordPress-Website zu sichern, müssen Sie die Konfiguration Ihrer Website ändern und mehrere Funktionen hinzufügen, die es Angreifern erschweren, einzudringen. Wenn Sie nicht die Zeit haben, diese gesamte WordPress-Sicherheitscheckliste zu befolgen, können Sie am besten eine Sicherheitslösung installieren Plugin.

Jetpack Security bietet Ihnen Zugriff auf verschiedene Sicherheitsfunktionen, wie automatisches Scannen und Entfernen von Malware, Spam-Schutz und Echtzeit-Backups.

Es ist wichtig zu beachten, dass kein einzelnes Plugin Ihre Website vor allen potenziellen Bedrohungen schützen kann, denen sie ausgesetzt sein kann. Daher sollten Sie Ihre Website noch weiter sichern, wenn Sie den Schutz Ihrer Daten und Ihre harte Arbeit ernst nehmen.

Beispielsweise möchten Sie sichere Passwörter erzwingen und die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Diese Sicherheitsmaßnahmen (und viele andere) werden wir in unserer Checkliste genauer unter die Lupe nehmen.

30-stufige WordPress-Sicherheitscheckliste

Denken Sie daran, dass Sie nicht an allen Sicherheitsmaßnahmen auf einmal arbeiten müssen. Es kann eine Weile dauern, jeden Punkt in der Checkliste abzuhaken, aber bei den meisten davon handelt es sich um Korrekturen, die Sie nur einmal umsetzen müssen.

Hier sind 30 Möglichkeiten, wie Sie die Sicherheit Ihrer Website erhöhen können.

1. Halten Sie WordPress auf dem neuesten Stand

Veraltete WordPress-Installationen sind möglicherweise die häufigste Ursache für Sicherheitslücken. Viele Benutzer vergessen, WordPress sowie die Plugins und Themes auf ihren Websites zu aktualisieren. Dies stellt ein erhebliches Problem dar, da veraltete Software häufig das Hauptziel von Angreifern darstellt.

Je älter die Software ist, desto mehr Zeit hatten Angreifer, ihren Code zu analysieren und Sicherheitslücken zu finden. Entwickler überwachen diese Bedrohungen und beheben sie, sobald sie auftreten. Daher sollten Sie Updates ausführen, sobald sie veröffentlicht werden.

Glücklicherweise macht es WordPress einfach, über Updates auf dem Laufenden zu bleiben. Gehen Sie in Ihrem Dashboard zu „Updates“ . Klicken Sie auf die Registerkarte und Sie sehen eine Übersicht über alles, was verfügbar ist.

Wenn Sie viele Updates durchführen müssen, ist es wichtig, dass Sie Ihre WordPress-Website sichern, bevor Sie fortfahren. Dies ist besonders wichtig, wenn Sie auf eine neuere WordPress-Version aktualisieren, da es manchmal zu Kompatibilitätsproblemen mit Plugins und Themes kommen kann.

Sie sollten Ihre Aktualisierungsseite täglich überprüfen. Alternativ können Sie automatische Updates für Ihre Plugins und Themes aktivieren.

Wenn Sie also vergessen, auf Ihrer Website nach Updates zu suchen, werden diese automatisch ausgeführt.

2. Erstellen Sie sichere Benutzernamen und Passwörter

Ihre Website ist nur so sicher wie die Anmeldeinformationen, mit denen Sie darauf zugreifen. WordPress selbst benachrichtigt Sie, wenn Sie beim Erstellen eines neuen Kontos ein schwaches Passwort festlegen.

Ein „schwaches“ Passwort ist alles, was leicht zu erraten ist. Wenn Ihre Anmeldeinformationen etwa „Administrator“ und „1234“ lauten, wird Ihre Website wahrscheinlich Opfer von Brute-Force-Angriffen.

Idealerweise sollte Ihr Passwort mindestens acht Zeichen und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten. Wenn Sie mehrere Benutzer auf Ihrer WordPress-Site haben, möchten Sie diese möglicherweise alle paar Monate daran erinnern, sichere Anmeldeinformationen zu verwenden und ihre Passwörter zu ändern.

3. Fügen Sie mit 2FA eine zusätzliche Schutzebene hinzu

Die Zwei-Faktor-Authentifizierung ist eine Sicherheitsmaßnahme, die erfordert, dass Sie beim Anmelden auf einer Website eine zweite Authentifizierungsebene verwenden. Auf einigen Websites müssen Sie beispielsweise möglicherweise einen Einmalcode eingeben, der per E-Mail oder SMS gesendet wird.

Das Ziel von 2FA besteht darin, es Angreifern nahezu unmöglich zu machen, Ihre Anmeldeinformationen zu erraten. Ohne Zugriff auf ein anderes Gerät oder Konto können sie sich nicht bei WordPress anmelden.

Standardmäßig enthält WordPress keine 2FA-Funktionalität, daher müssen Sie ein Plugin wie Jetpack verwenden, um diese Funktion zu Ihrer Website hinzuzufügen. Mit Jetpack können Sie 2FA (sogenannte sichere Authentifizierung) hinzufügen, die mit Ihrem WordPress.com-Konto funktioniert.

4. Installieren Sie ein vertrauenswürdiges Sicherheits-Plugin

Leistungsstarke WordPress-Sicherheits-Plugins helfen Ihnen dabei, mehrere Punkte auf dieser WordPress-Sicherheitscheckliste zu streichen. Idealerweise wählen Sie ein einzelnes Tool, das die folgenden Funktionen bietet:

Malware-Scanning

Wenn Ihre Website infiziert ist, möchten Sie es so schnell wie möglich wissen. Regelmäßige Malware-Scans informieren Sie darüber, ob ein Teil Ihrer Website gefährdet ist.

Tools zum Entfernen von Malware

Wenn Ihr Sicherheits-Plugin Malware erkennt, benötigen Sie Hilfe bei der Entfernung. Dies kann das Löschen oder Ersetzen der Dateien beinhalten, je nachdem, welcher Teil Ihrer WordPress-Site infiziert ist.

Backups

Es gibt viele eigenständige Backup-Lösungen und Plugins für WordPress. Einige All-in-One-Sicherheitstools umfassen automatische Backups, sodass Sie kein zusätzliches Plugin installieren müssen.

Sicherheitsprotokolle

Idealerweise möchten Sie alles wissen, was auf Ihrer Website passiert. Sicherheitsprotokolle zeichnen Ereignisse in WordPress auf und ermöglichen Ihnen, diese nach verdächtigen Aktivitäten zu durchsuchen.

2FA-Implementierung

Wie bereits erwähnt, ist 2FA ein wichtiges Tool, das Ihnen dabei helfen kann, das Risiko von Sicherheitsverletzungen aufgrund gestohlener Anmeldeinformationen zu minimieren.

Jetpack Security umfasst alle diese Funktionen, sodass Sie mehrere Schritte dieser Sicherheitscheckliste mit einem Tool ausführen können.

5. Verwenden Sie eine Web Application Firewall (WAF)

Eine WAF ist eine Sicherheitslösung, die dazu beiträgt, Anwendungen und Websites – einschließlich WordPress-Sites – vor Angriffen zu schützen, indem sie den Datenverkehr filtert und überwacht. Abhängig von der Software sollte sie in der Lage sein, bösartigen Datenverkehr anhand voreingestellter Regeln oder Datenbanken bekannter Angreifer zu identifizieren.

Viele Webhoster richten automatisch Firewalls für ihre Kunden ein. Sie können Jetpack Security auch verwenden, um eine WAF für Ihre WordPress-Website hinzuzufügen.

Mit Jetpack Security können Sie die WAF so konfigurieren, dass sie ihre voreingestellten Regeln verwendet und bestimmte IP-Adressen blockiert. Sie können auch Aktivitätsdaten mit Jetpack teilen, was dazu beiträgt, die WAF effektiver zu machen, indem die Datenbank bekannter Bedrohungen erweitert wird.

6. Scannen Sie WordPress regelmäßig auf Malware und Schwachstellen

Das Scannen Ihrer Website auf Malware und Schwachstellen umfasst die Überprüfung aller Dateien auf nicht autorisierte Änderungen oder bösartigen Code. Auch wenn der Prozess entmutigend erscheinen mag, gibt es Tools, die ihn für Sie erledigen können.

Jetpack Security verwendet WPScan (die größte Datenbank bekannter WordPress-Schwachstellen), um Ihre Website zu scannen.

Wenn das WordPress-Plugin Malware oder Schwachstellen findet, kann es Sie sofort benachrichtigen und sogar beim Entfernen oder Reparieren der betroffenen Dateien helfen. Dies ist viel einfacher als der manuelle Ansatz, bei dem Sie bestimmen müssen, welche Dateien gelöscht werden sollen, und herausfinden, wie Sie sie reparieren können.

7. Sichern Sie Ihre Website regelmäßig oder in Echtzeit

Backups sind ein wichtiger Bestandteil der Website-Sicherheit. Sollte Ihrer Website jemals etwas zustoßen, ermöglichen sie Ihnen, schnell wieder einsatzbereit zu sein.

Sich bei Backups auf Ihren Hosting-Anbieter zu verlassen, ist keine sichere Option, da eine Kompromittierung Ihres Servers sowohl Ihre WordPress-Site als auch ihre Backups unbrauchbar machen könnte.

Stattdessen benötigen Sie eine Echtzeit-Backup-Lösung außerhalb des Standorts, um sicherzustellen, dass Sie rund um die Uhr geschützt sind und Ihre Website jederzeit wiederherstellen können – selbst wenn sie vollständig ausgefallen ist.

Jetpack VaultPress Backup erledigt genau dies und speichert Ihre Website jedes Mal, wenn Sie eine Änderung vornehmen.

Das Plugin speichert diese Backups in der Cloud, um eine Überlastung des Servers zu vermeiden. Es verwendet eine Kombination aus inkrementellen und differenziellen Sicherungen, sodass nicht bei jeder Änderung Ihre gesamte Site und Datenbank kopiert werden muss, was den Prozess wesentlich effizienter macht.

Über Website-Änderungen hinaus speichert Jetpack VaultPress Backup neue Kommentare, Bestellungen und andere Benutzeraktionen. Es ist das führende Backup-Tool für WooCommerce-Shops, da es Bestellungen auch dann speichert, wenn Sie Ihre WordPress-Site auf eine frühere Version zurücksetzen müssen.

8. Speichern Sie Ihre Backups auf einem separaten Server

Wie oben erwähnt, reicht es nicht aus, einfach Backups zu erstellen. Sie müssen sie an mehreren, sicheren, externen Standorten speichern, damit Sie im Falle einer digitalen Sicherheitsverletzung oder einer physischen Katastrophe in einem Rechenzentrum weiterhin auf Ihre Standortdateien zugreifen und diese wiederherstellen können. Aus demselben Grund können Sie sich nicht nur auf die Backups Ihres Hosts verlassen – Ihre Website und Ihre Backups könnten gleichzeitig gefährdet sein.

Wenn Sie VaultPress Backup verwenden, wird dies alles für Sie erledigt. Ihre Backups werden an mehreren Orten in der Cloud gespeichert und sind immer zugänglich, auch wenn Ihre Website ausfällt.

9. Verfolgen Sie die Benutzeraktivität

Wenn Sie Zugriff auf die Aktivitätsprotokolle Ihrer Website haben, können Sie sehen, wenn jemand mehrmals versucht, sich anzumelden und dabei fehlschlägt, ob eine Änderung an einer WordPress-Datei vorliegt, ob jemand ein neues Plugin installiert und vieles mehr.

Betrachten Sie Protokolle als das technische Äquivalent von Sicherheitsaufzeichnungen. Sie hoffen, dass Sie sie nie verwenden müssen, aber es handelt sich nicht ohne Grund um eine weit verbreitete Sicherheitsfunktion. WordPress bietet diese Funktionalität nicht standardmäßig an, daher müssen Sie nach einem Plugin suchen, das dies bietet.

Mit Jetpack Security können Sie alles überwachen, was auf Ihrer Website passiert. Es führt ein Aktivitätsprotokoll, das mit Datum und Uhrzeit aufzeichnet, wer was tut. Wenn Sie auf ein Sicherheitsproblem stoßen, können Sie dieses Protokoll überprüfen, um festzustellen, was es verursacht hat.

Es lässt sich auch in die Backup-Funktion von VaultPress integrieren, sodass Sie Ihre Website basierend auf dem, was Sie im Aktivitätsprotokoll finden, zu einem bestimmten Zeitpunkt wiederherstellen können.

10. Kontrollieren Sie den Benutzerzugriff und die Berechtigungen

Eine der einfachsten Möglichkeiten, ein System sicher zu halten, besteht darin, den Zugriff darauf einzuschränken. Wenn Sie die einzige Person sind, die an Ihrer Website arbeitet, sollte niemand sonst Ihre WordPress-Anmeldeinformationen kennen.

Wenn Sie mit einem Team arbeiten, ist es wichtig, dass Sie das WordPress-Benutzerrollensystem vollständig nutzen. Das CMS bietet mehrere Rollen, die Sie Benutzern zuweisen können, je nachdem, welche Berechtigungen Sie ihnen wünschen.

Die höchste Rolle ist die des Administrators und das ist der einzige Benutzer mit vollem Zugriff auf alle WordPress-Funktionen und -Einstellungen. Andere WordPress-Benutzer, wie etwa Autoren, können nur ihre eigenen Inhalte veröffentlichen und haben nicht die Möglichkeit, die Konfiguration der Website zu ändern oder gar auf deren Einstellungen zuzugreifen.

Wenn Sie überlegen, welche Rolle Sie jedem Benutzer zuweisen möchten, denken Sie an die Berechtigungen, die er zum Ausführen seiner Aufgaben benötigt. Zu keinem Zeitpunkt sollte ein Benutzer mehr Berechtigungen haben, als er benötigt. Durch diese Einschränkungen wird Ihre Website sicherer.

11. Begrenzen Sie die Anzahl der zulässigen Anmeldeversuche

Wiederholte Anmeldeversuche können ein Zeichen dafür sein, dass jemand seine Zugangsdaten vergessen hat. Wenn die Anzahl der Versuche jedoch mehr als eine Handvoll beträgt, haben Sie es wahrscheinlich mit jemandem zu tun, der versucht, in Ihre Website einzudringen.

Sie sollten die zulässigen Anmeldeversuche innerhalb eines bestimmten Zeitraums begrenzen, um automatisierte Brute-Force-Angriffe zu stoppen. Auch hier können Sie Jetpack verwenden, um diese Sicherheitsmaßnahme zu implementieren.

Das Plugin kann Angreifer blockieren, die versuchen, mit gängigen Anmeldeinformationen auf Ihre Website zu gelangen. Sie können es auch so konfigurieren, dass bestimmte IP-Adressen auf die Zulassungsliste gesetzt werden, sodass sich nur deren Benutzer bei WordPress anmelden können.

12. Verwenden Sie ein CDN, um sich vor DDoS-Angriffen zu schützen

Ein Content Delivery Network (CDN) ist ein Datensystem, das Kopien Ihrer Website auf Servern an verschiedenen Standorten auf der ganzen Welt speichert. Dadurch wird die Latenz verringert, die entstehen kann, wenn jemand versucht, eine Website zu besuchen, die in einem weit entfernten Land gehostet wird. Wenn jemand versucht, Ihre WordPress-Site zu besuchen, antwortet das CDN automatisch auf die Anfrage von einem Server in der Nähe.

Das CDN kann die Belastung Ihrer Server verringern, Ihnen helfen, mehr Datenverkehr zu bewältigen, Ladezeiten zu verkürzen und Sie vor DDoS-Angriffen (Distributed Denial of Service) zu schützen. Da die Angriffe Ihren Server nicht direkt treffen, wird er nicht so stark beeinträchtigt, wenn er durch Bot-Verkehr überschwemmt wird.

Wenn Sie Jetpack Security verwenden, haben Sie Zugriff auf ein Image-CDN, das Ihnen dabei helfen kann, Mediendateien für schnellere Ladezeiten zwischenzuspeichern. Darüber hinaus passt es die Größe der Bilder automatisch an und stellt die beste Option basierend auf dem individuellen Gerät jedes Besuchers bereit. Sie können auch darüber nachdenken, andere CDNs in WordPress zu integrieren, um die Ladezeiten noch weiter zu verkürzen und Ihre Website vor plötzlichem Anstieg des Datenverkehrs zu schützen.

13. Installieren Sie ein SSL-Zertifikat

Ein SSL-Zertifikat (Secure Sockets Layer) ist ein Signal dafür, dass Ihre Website vertrauenswürdig ist. Außerdem können Sie Ihre Website über HTTPS laden, wodurch Daten verschlüsselt werden, die zu und von Ihrer Website fließen.

Die meisten Browser signalisieren mit einem einfachen Schlosssymbol in der Navigationsleiste, dass Websites über SSL-Zertifikate verfügen.

Heutzutage bieten die meisten seriösen Webhoster kostenlose SSL-Zertifikate und eine automatische Einrichtung für Benutzer an. Wenn Ihr Webhost dies nicht tut, können Sie ein kostenloses Zertifikat von einer Quelle wie Let's Encrypt erhalten.

Sobald das Zertifikat fertig ist, müssen Sie es installieren und dann HTTPS aktivieren. Es gibt mehrere Möglichkeiten, das Laden von WordPress über HTTPS zu erzwingen. Mit Really Simple SSL können Sie dies mit einem einfachen Klick tun.

Wir bewachen Ihre Website. Sie leiten Ihr Unternehmen.

Jetpack Security bietet benutzerfreundliche, umfassende WordPress-Site-Sicherheit, einschließlich Echtzeit-Backups, einer Webanwendungs-Firewall, Malware-Scans und Spam-Schutz.

Sichern Sie Ihre Website

14. Bevorzugen Sie beim Übertragen von Dateien SFTP gegenüber FTP

Mit dem File Transfer Protocol (FTP) können Sie eine Verbindung zu Ihrer Website herstellen und Dateien direkt hochladen, herunterladen und ändern. Das Protokoll verwendet andere Anmeldeinformationen, die Ihr Webhost für Sie bereitstellen sollte.

Einige Hosts verwenden eine aktualisierte und sicherere Version des Protokolls namens SFTP. Moderne FTP-Clients unterstützen beide Protokolle und funktionieren gleich. Der Hauptunterschied besteht darin, dass SFTP die Daten, die Sie vom Server senden und empfangen, verschlüsselt (ähnlich wie HTTPS).

Wenn Ihr Webhost Ihnen die Verwendung von FTP und SFTP ermöglicht, verwenden Sie standardmäßig Letzteres. Falls Ihr Webhost nur FTP unterstützt, sollten Sie einen Wechsel zu einem Anbieter in Betracht ziehen, der bessere Sicherheitsfunktionen bietet.

15. Halten Sie Ihre PHP-Version auf dem neuesten Stand

WordPress basiert auf PHP und die von Ihnen verwendete Version spielt eine wichtige Rolle für die Geschwindigkeit der Website. Neuere Versionen von PHP enthalten Sicherheitsfixes, die dazu beitragen können, dass Ihre Website schneller läuft und Exploits verhindert werden.

Sie können sehen, welche PHP-Version Ihr Server verwendet, indem Sie zu Site Health → Info navigieren und Öffnen des Servers Tab.

Vergleichen Sie diese Informationen mit der neuesten PHP-Version und prüfen Sie, ob Ihr Webhost die neueste Version verwendet. Bei einigen Webhosts können Sie möglicherweise zwischen PHP-Versionen wechseln. Wenn dies bei Ihnen nicht der Fall ist, ist es möglicherweise an der Zeit, über einen Wechsel zu einem neuen WordPress-Host nachzudenken.

16. Löschen Sie inaktive WordPress-Themes und Plugins

Als Faustregel gilt, alle Plugins oder WordPress-Themes, die Sie nicht mehr verwenden, zu deaktivieren und zu löschen. Dies kann die Wahrscheinlichkeit von Kompatibilitätsproblemen oder Schwachstellen verringern.

Durch das Löschen inaktiver Themes und Plugins bleibt Ihre Website sicherer und organisierter. Sie sollten Ihre aktiven Plugins regelmäßig überprüfen und diejenigen notieren, die Sie nicht mehr verwenden.

17. Bewerten Sie neue Plugins und Themes sorgfältig

Bevor Sie ein Plugin oder Theme auf Ihrer Website installieren, ist es wichtig sicherzustellen, dass es von seriösen Entwicklern stammt und eine gute Erfolgsbilanz vorweisen kann. Sie können dies tun, indem Sie die Bewertungen und Rezensionen überprüfen.

Das Gleiche gilt für WordPress-Themes. Die meisten Plugin- und Theme-Repositories zeigen Ihnen einen Update-Verlauf an. Ein seriöses Plugin oder Theme wird regelmäßig aktualisiert, was bedeutet, dass die Entwickler aktiv daran arbeiten.

Sie möchten WordPress-Plugins und Themes meiden, die keine Updates mehr erhalten. So nützlich sie auch sein mögen, sie können zu Schwachstellen auf Ihrer Website führen, da der Code veraltet ist.

18. Investieren Sie in einen sicheren Hosting-Anbieter

Nicht alle Hosting-Anbieter bieten das gleiche Maß an Service, Leistung und Funktionen. Einige sind besser als andere, und das bedeutet nicht unbedingt, dass sie teurer sind.

Die Wahl eines starken und sicheren WordPress-Hosting-Anbieters ist eine entscheidende Entscheidung, da Sie in der Regel über einen langen Zeitraum an ihn gebunden sind. Es ist wichtig, dass Sie so viele Bewertungen wie möglich lesen und recherchieren, bevor Sie sich auf eine Dienstleistung festlegen.

Wenn Sie Hilfe benötigen, können Sie sich diese Liste der von Jetpack empfohlenen Hosts ansehen, von denen einige wichtige Jetpack-Funktionen als Teil verwalteter WordPress-Hosting-Dienste enthalten.

19. Ändern Sie den Standardadministrator Nutzername

Wenn Sie WordPress einrichten, wird standardmäßig der Administrator-Benutzername erstellt. Dies macht es einfacher, sich Ihre Anmeldeinformationen zu merken, aber es macht es Angreifern auch leicht, Ihre Daten zu erraten.

Wenn Ihr WordPress-Administratorkonto bereits eingerichtet ist, haben Sie zwei Möglichkeiten, den Standard-Administrator-Benutzernamen zu ändern:

1. Erstellen Sie ein neues Administratorkonto. Sie können ein neues Administratorkonto mit einem beliebigen Benutzernamen erstellen und dann zu diesem wechseln. Sobald Sie dies getan haben, können Sie das alte Konto löschen und mit der Verwendung des neuen fortfahren.
2. Ändern Sie den Benutzernamen mit phpMyAdmin. Wenn Sie das bestehende Konto behalten möchten, können Sie den Benutzernamen über die Datenbank ändern.

Kein Benutzername sollte leicht zu erraten sein, insbesondere wenn es um das Administratorkonto geht. Wenn jemand Zugriff darauf erhält, kann er alle gewünschten Änderungen an Ihrer Website vornehmen.

20. Ändern Sie das Standarddatenbankpräfix

Das Standard-Datenbankpräfix in WordPress ist wp_ . Das heißt, wenn ein Angreifer den Namen der Datenbank kennt, kann er auch das Präfix erraten und diese Informationen nutzen, um eine Abfrage durchzuführen.

Sie können dieses Risiko minimieren, indem Sie das Standarddatenbankpräfix auf etwas anderes als wp_ ändern. Dies ist ein zweistufiger Prozess. Der erste Schritt besteht darin, das Datenbankpräfix in der Datei wp-config.php zu ändern, die eine Zeile enthalten sollte, die wie folgt aussieht:

 $table_prefix = 'wp_';

Nachdem Sie die Änderung in wp-config.php vorgenommen haben, müssen Sie die Tabellen in der Datenbank mit dem neuen Präfix aktualisieren. Sie können dies mit phpMyAdmin tun und mehrere Abfragen ausführen, die dieser ähneln:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Sie können diese Abfragestruktur verwenden und ändern, was nach dem „TO“ kommt. um den Tabellennamen mit dem aktualisierten Präfix abzugleichen. Bedenken Sie, dass Sie diese Abfrage für jede Tabelle in der Datenbank ausführen müssen und Ihre Website erst dann ordnungsgemäß funktionieren wird, wenn Sie dies tun.

21. Ändern Sie die Standard-URLs /wp-admin und /wp-login.php

Die URLs /wp-admin und /wp-login.php ermöglichen Ihnen den Zugriff auf das Dashboard und die Anmeldeseite in WordPress. Diese URLs sind leicht zu merken, machen Ihre Website jedoch anfälliger. Wenn jemand in Ihre Website eindringen möchte, beginnt er häufig mit der standardmäßigen WordPress-Anmelde-URL.

Sie können Angreifern das Leben schwerer machen, indem Sie diese Standard-URLs ändern. Es gibt Plugins, die Ihnen dies ermöglichen, wie z. B. WPS Hide Login. Alternativ können Sie die Anmelde-URLs über die .htaccess- Datei ändern, wenn Sie einen manuellen Ansatz bevorzugen.

22. Beschränken Sie den wp-admin- Zugriff nur auf autorisierte IP-Adressen

Die URL /wp-admin öffnet das Dashboard in WordPress. Technisch gesehen sollte niemand ohne die richtigen Anmeldeinformationen Zugriff auf das Dashboard haben. Sie können die Sicherheit noch einen Schritt weiter bringen, indem Sie den Zugriff nur auf IPs beschränken, die auf der Zulassungsliste stehen.

Das ist keine Funktion, die WordPress bietet. Um es zu implementieren, müssen Sie der .htaccess- Datei den folgenden Code hinzufügen:

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx steht für die IP-Adresse, die Sie auf die Zulassungsliste setzen möchten. Beachten Sie, dass Sie mehrere IPs hinzufügen können, indem Sie diese Zeile kopieren und die verschiedenen Adressen eingeben.

Sie müssen außerdem den Verzeichnispfad ändern, damit er mit dem Speicherort des Stammverzeichnisses auf dem Server übereinstimmt. Nach dem Speichern der Datei wird allen IP-Adressen, die nicht in der Liste enthalten sind, eine Fehlermeldung angezeigt, wenn sie versuchen, auf das Dashboard zuzugreifen.

23. Beschränken Sie den FTP-Zugriff nur auf autorisierte IP-Adressen

Sie können den FTP/SFTP-Zugriff auf Ihre Website einschränken, indem Sie einschränken, wer Zugriff auf die entsprechenden Anmeldeinformationen hat. Bei einigen Hosting-Kontrollfeldern können Sie den FTP-Zugriff auch nach IP-Adresse beschränken.

Dies ist ideal, wenn Sie über eine statische IP-Adresse verfügen, da dadurch verhindert wird, dass jemand anderes eine Verbindung zur Website herstellt und über FTP auf deren Dateien zugreift, selbst mit den richtigen Anmeldeinformationen. Ohne eine statische IP kann diese Einstellung sogar Ihren eigenen Zugriff auf die Site einschränken.

Beachten Sie, dass nur wenige Personen in der Lage sein sollten, über FTP eine Verbindung zur Website herzustellen. Wenn Sie mit anderen zusammenarbeiten und diese keinen Grund haben, direkt auf Kerndateien zuzugreifen oder diese zu bearbeiten, sollten sie keinen Zugriff auf Ihre FTP-Anmeldeinformationen haben.

24. Sichern Sie Ihre wp-config.php- Datei

Die Datei wp-config.php enthält wichtige Informationen zu Ihrer Website, einschließlich Details zur Datenbank. Standardmäßig befindet sich die Datei im WordPress- Stammverzeichnis .

Der einfachste Weg, die Datei zu sichern, besteht darin, sie direkt aus dem Stammverzeichnis zu verschieben. Wenn WordPress wp-config.php nicht dort finden kann, wo es sich normalerweise befindet, sucht es in einem Verzeichnis über seinem regulären Speicherort danach.

Eine andere Möglichkeit besteht darin, die Berechtigungen der Datei so zu konfigurieren, dass der Zugriff auf alle Personen außer dem Administrator (das sind Sie) beschränkt ist. Dazu müssen Sie verstehen, wie Dateiberechtigungen in UNIX-basierten Systemen funktionieren, und die Konfiguration der Datei mithilfe von SFTP ändern.

25. Deaktivieren Sie die Dateibearbeitung, um böswillige Änderungen zu blockieren

Nur der Administrator sollte die Berechtigung haben, auf WordPress-Kerndateien zuzugreifen und diese zu ändern. Normalerweise können Sie über das Dashboard auf die Dateibearbeitungsfunktion zugreifen. Das bedeutet, dass Sie Core-, Plugin- und Theme-Dateien direkt bearbeiten können, ohne den WordPress-Administrator zu verlassen.

Abhängig von der Berechtigungsstufe der Benutzer können sie möglicherweise auf den Dateieditor zugreifen. Der beste Weg, dies zu verhindern, besteht darin, die Dateibearbeitung vollständig zu deaktivieren.

Um diese Sicherheitsmaßnahme umzusetzen, öffnen Sie die Datei wp-config.php und fügen Sie vor dem Ende die folgende Codezeile hinzu:

 define('DISALLOW_FILE_EDIT', true);

Speichern Sie die Änderungen an der Datei und schließen Sie sie. Beachten Sie, dass Sie weiterhin Dateien bearbeiten können, dafür aber SFTP verwenden müssen, was eine bessere (und sicherere) Option als die Verwendung des WordPress-Dateieditors ist.

26. Deaktivieren Sie die Ausführung von PHP-Dateien

Das Deaktivieren der Ausführung von PHP-Dateien in bestimmten Verzeichnissen Ihrer WordPress-Website ist eine Sicherheitsmaßnahme, die dazu beiträgt, die Ausführung bösartiger Skripte zu verhindern. Wenn es einem Angreifer gelingt, ein PHP-Skript auf Ihre Website hochzuladen, kann er es möglicherweise ausführen, um sich unbefugten Zugriff zu verschaffen, Daten zu manipulieren oder Malware zu verbreiten.

Sie können die Ausführung von PHP-Dateien in bestimmten Verzeichnissen deaktivieren, indem Sie über FTP eine Verbindung zu WordPress herstellen und zum Stammordner navigieren. Darin können Sie auswählen, welche Verzeichnisse Sie schützen möchten, und in jedem von ihnen neue .htaccess- Dateien erstellen.

Hier ist der Code, den Sie diesen Dateien hinzufügen müssen:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Beachten Sie, dass die Deaktivierung der PHP-Ausführung auf der Ebene des Stammverzeichnisses Auswirkungen auf die Funktionalität von WordPress haben kann. Schließlich basiert das gesamte CMS auf PHP. Das bedeutet, dass es besser ist, es für einzelne Ordner wie das Mediendateiverzeichnis zu deaktivieren.

27. Deaktivieren Sie die PHP-Fehlerberichterstattung

Durch die öffentliche Anzeige von Fehlern können potenzielle Schwachstellen Ihrer WordPress-Website für Angreifer offengelegt werden. PHP-Fehlermeldungen können vertrauliche Informationen wie Dateipfade, Details zur Datenbankstruktur oder andere Daten enthalten, die zur Ausnutzung Ihrer Website verwendet werden können.

Mit WordPress können Sie die PHP-Fehlerberichterstattung deaktivieren, indem Sie die Datei wp-config.php ändern. Sie können der Datei den folgenden Code hinzufügen, um den WordPress-Debug-Modus zu deaktivieren und Fehler im Frontend auszublenden:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Fügen Sie diesen Code vor dem Ende der Datei wp-config.php hinzu und stellen Sie sicher, dass Sie über eine aktuelle Sicherung Ihrer WordPress-Site verfügen, bevor Sie diese speichern. Beachten Sie, dass Fehlerberichte manchmal bei der Fehlerbehebung hilfreich sein können. Daher müssen Sie diese Funktion möglicherweise irgendwann erneut aktivieren.

28. Deaktivieren Sie das Durchsuchen von Verzeichnissen auf Ihrer Website

Das Durchsuchen von Verzeichnissen ist eine Funktion, die es Besuchern ermöglicht, auf URLs wie yourwebsite.com/wp-content zuzugreifen und den Inhalt dieses Verzeichnisses anzuzeigen. Wenn das Durchsuchen von Verzeichnissen aktiviert ist, können Benutzer Listen interner Ordner und Dateien anzeigen und je nach ihren Berechtigungen sogar darauf zugreifen.

Aus Sicherheitsgründen ist es sinnvoll, das Durchsuchen von Verzeichnissen zu deaktivieren. Viele WordPress-Webhoster tun dies standardmäßig. Wenn dies bei Ihnen nicht der Fall ist, können Sie das Durchsuchen von Verzeichnissen deaktivieren, indem Sie den folgenden Code zu Ihrer .htaccess- Datei hinzufügen:

 Options -Indexes

Da es sich hierbei um eine einfache Änderung handelt, sollte die Implementierung nicht lange dauern. Wenn Benutzer anschließend versuchen, ein Verzeichnis aufzurufen, wird ihnen stattdessen eine einfache Fehlermeldung angezeigt.

29. Verstecken Sie Ihre WordPress-Version

Standardmäßig ist die aktuelle Version von WordPress, die Sie verwenden, in Ihrem Quellcode aufgeführt. Wenn jemand weiß, welche WordPress-Version Sie verwenden (und diese veraltet ist), kann er nach spezifischen Schwachstellen dieser Version suchen und so das Eindringen in Ihre Website erleichtern.

Um Ihre WordPress-Version auszublenden, können Sie diesen Code zu Ihrer Datei „functions.php“ hinzufügen:

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Vermeiden Sie CAPTCHA zum Schutz vor Spam

CAPTCHA ist eine gute Lösung zum Schutz von Websites und Formularen vor Spam, allerdings nicht ohne Probleme.

Die Verwendung von CAPTCHA auf Ihrer Website führt zu Komplikationen, die legitime Besucher verärgern und abschrecken können und sogar unmöglich zu lösen sind – insbesondere für Menschen mit Beeinträchtigungen.

Jüngste Entwicklungen bei Angriffsvektoren haben auch dazu geführt, dass CAPTCHAs weniger effektiv sind. Wenn Ihnen die Vermeidung von Spam wichtig ist (was zu Sicherheitsverletzungen führen kann), Sie aber auch die Konversionsraten durch ein optimales Benutzererlebnis maximieren möchten, ist es an der Zeit, über Alternativen nachzudenken.

Akismet ist eine All-in-One-Spam-Schutzlösung für WordPress, die vollständig im Hintergrund arbeitet. Das WordPress-Plugin hilft Ihnen, Spam zu blockieren, indem es seine Datenbank bekannter böswilliger Akteure nutzt und bestimmte Wörter und URLs aus Kommentaren auf Ihrer Website identifiziert und blockiert. Dies geschieht alles automatisch, ohne dass Besucher CAPTCHAs verwenden müssen, um zu überprüfen, ob sie ein Mensch sind.

Häufig gestellte Fragen zur WordPress-Sicherheit

Wenn Sie noch Fragen zum Schutz Ihrer WordPress-Website haben, finden Sie in diesem Abschnitt Antworten darauf.

Welche Vorteile bietet eine WordPress-Sicherheitscheckliste?

Wenn Sie Zugriff auf eine WordPress-Sicherheitscheckliste haben, können Sie feststellen, welche Maßnahmen Sie zum Schutz Ihrer Website ergriffen haben und was noch zu tun ist. Die Checkliste ist eine einfache Ressource, auf die Sie jederzeit zurückgreifen können, um zu sehen, welche Sicherheitsmaßnahmen Sie in WordPress implementieren können.

Was ist der schnellste Weg, meine WordPress-Sicherheit zu verbessern?

Der schnellste Weg, Ihre WordPress-Website zu schützen, ist die Verwendung von WordPress-Sicherheits-Plugins. Abhängig vom verwendeten Plugin erhalten Sie Zugriff auf Funktionen wie 2FA, Aktivitätsprotokolle, Backup-Tools und Malware-Scans. Jetpack Security umfasst alle diese Funktionen.

Wie kann ich meine WordPress-Site auf Malware und Schwachstellen scannen?

Sie können ein Plugin wie Jetpack Security verwenden, um Ihre WordPress-Site auf Malware zu scannen. Dieses Tool zeigt auch potenzielle Schwachstellen auf Ihrer Website auf. Anschließend können Sie die notwendigen Schritte unternehmen, um diese Probleme zu beseitigen.

Wenn Sie kein umfassendes WordPress-Sicherheits-Plugin benötigen, können Sie Malware auch über ein eigenständiges WordPress-Plugin wie Jetpack Protect scannen lassen.

Was ist der zuverlässigste Weg, meine WordPress-Site zu sichern und wiederherzustellen?

Am besten verwenden Sie eine automatisierte Lösung, sodass Sie Backups nicht manuell erstellen müssen. Das Plugin sollte außerdem Kopien auf einer externen Speicherlösung speichern, um Probleme zu vermeiden, wenn Ihr Server kompromittiert wird.

Das Jetpack VaultPress Backup-Plugin bietet Echtzeit-Backups. Es erstellt auch sichere Kopien Ihrer WordPress-Site in der Cloud. Sie können im Rahmen von Jetpack Security neben zahlreichen anderen Funktionen auch auf VaultPress Backup zugreifen.

Jetpack Security: Das Sicherheits-Plugin Nr. 1 für WordPress

Jetpack Security bietet eine Sammlung von Sicherheitsfunktionen, die Ihre WordPress-Website schützen. Mit diesem Plugin können Sie mehrere Punkte aus der WordPress-Sicherheitscheckliste streichen.

Sie erhalten beispielsweise Zugriff auf eine Backup-Lösung, Malware-Scans und Entfernung mit einem Klick, Spam-Schutz, Aktivitätsprotokolle, Zwei-Faktor-Authentifizierung und mehr. Damit ist Jetpack eines der umfassendsten Sicherheitstools, die Sie für WordPress verwenden können.

Sind Sie bereit, die Sicherheit Ihrer Website zu erhöhen? Beginnen Sie noch heute mit der Jetpack-Sicherheit!