So sichern Sie Ihre WordPress-Website im Jahr 2023 (ausführliche Anleitung)

Veröffentlicht: 2023-07-28

WordPress hat sich zu einem der weltweit beliebtesten Content-Management-Systeme (CMS) entwickelt, auf dem über 44 % der Websites basieren. Wie bei jeder Online-Plattform sollte die Sicherheit ganz oben auf Ihrer Sorgenliste stehen. In diesem Beitrag gehen wir auf die Sicherheitsbedenken von WordPress ein und geben Tipps, wie Sie Ihre WordPress-Website sicher und geschützt halten.

Lass uns eintauchen.

Inhaltsverzeichnis
  • 1 Ist WordPress sicher?
  • 2 WordPress-Sicherheitsbedenken
  • 3 So sichern Sie Ihre WordPress-Website
    • 3.1 WordPress-Sicherheit: Wählen Sie gutes WordPress-Hosting
    • 3.2 Schützen Sie Ihr WordPress-Login
    • 3.3 Verwenden Sie eine Suite von WordPress-Sicherheits-Plugins
    • 3.4 Halten Sie PHP auf dem neuesten Stand
    • 3.5 Wählen Sie sichere Passwörter
    • 3.6 WordPress-Sicherheit: Halten Sie die Software auf dem neuesten Stand
    • 3.7 SSL-Zertifikat installieren
    • 3.8 Führen Sie ein Sicherheitsaudit durch
    • 3.9 Erweiterte WordPress-Sicherheitstechniken
  • 4 Was tun, wenn Ihre WordPress-Website gehackt wird?
  • 5 abschließende Gedanken zur WordPress-Sicherheit

Ist WordPress sicher?

WordPress.org

Größtenteils ja. WordPress-Entwickler arbeiten hart daran, die Sicherheit ihrer Plattform durch regelmäßige Patches und Updates aufrechtzuerhalten. Da WordPress jedoch auf einem Open-Source-Framework basiert, können Hacker seinen Aufbau analysieren und häufig neue Wege entwickeln, um die Kontrolle über WordPress-Websites zu erlangen. Aus diesem Grund ist die Sicherheit von WordPress von entscheidender Bedeutung. Um besser zu verstehen, wie Sie Ihre Website sichern können, ist es wichtig, die mit der Verwendung von WordPress verbundenen Risiken zu kennen.

Bedenken hinsichtlich der WordPress-Sicherheit

Beim Betrieb einer WordPress-Website sind mehrere potenzielle Risiken zu beachten. Eine der größten Sorgen sind Hacker. Da WordPress so beliebt ist, zieht es die Aufmerksamkeit ruchloser Akteure auf sich, die versuchen, Schwachstellen wie veraltete Plugins oder Kerndateien auszunutzen, um sich unbefugten Zugriff auf Ihre Website zu verschaffen. Sie können Methoden wie Hintertüren, Brute-Force-Angriffe, Pharma-Angriffe, Denial-of-Service-Angriffe (DoS) oder Cross-Site-Scripting (XSS) einsetzen.

B. Malware (bösartiger Code, der die Besucherinformationen Ihrer Website stehlen soll), die Weiterleitung Ihrer Website auf eine völlig andere, das Hinzufügen von Inhalten, die Sie nicht kennen, und Google-Warnungen, die Ihre Position beeinträchtigen können die SERPs oder schlimmer noch, Sie können sich nicht auf Ihrer Website anmelden.

So sichern Sie Ihre WordPress-Website

Im folgenden Abschnitt werden Best Practices zur Verbesserung der WordPress-Sicherheit untersucht, um Ihre Website vor potenziellen Bedrohungen zu schützen.

Abonnieren Sie unseren Youtube-Kanal

WordPress-Sicherheit: Wählen Sie gutes WordPress-Hosting

Der erste Schritt besteht darin, mit einem guten WordPress-Hosting-Unternehmen zusammenzuarbeiten. Bei der großen Auswahl kann es schwierig sein, den richtigen Host auszuwählen. Wenn Sie ein Anfänger sind, ist es wahrscheinlich am besten, sich für einen guten Managed-Hosting-Anbieter wie SiteGround zu entscheiden, der alle Sicherheitsupdates für WordPress bereitstellt und gleichzeitig den Server, auf dem es installiert ist, verwaltet. Für diejenigen, die technisch versierter sind, ist ein Cloud-Hosting-Anbieter wie Cloudways eine ausgezeichnete Wahl.

SiteGround WordPress-Hosting

Mit beiden Optionen erhalten Sie alle Tools, die Sie benötigen, um sicherzustellen, dass Ihre Website sicher und geschützt ist, einschließlich:

  • Kostenloses SSL-Zertifikat
  • Webanwendungs-Firewall (WAF)
  • SFTP-Zugriff
  • DDoS-Schutz (Distributed Denial of Service).
  • Malware Schutz

Halten Sie Ihr WordPress-Login sicher

Eine weitere einfache Möglichkeit, Ihre WordPress-Sicherheit zu erhöhen, besteht darin, Ihre Anmeldeinformationen zu sperren. Dies kann auf verschiedene Arten erfolgen, einschließlich der Verwendung eines Plugins, um die Anmelde-URL von /wp-admin in eine Ihrer Wahl zu ändern. Sie können Ihrer Anmeldung auch eine Zwei-Faktor-Authentifizierung (2FA) hinzufügen und Anmeldeversuche begrenzen, um Bots abzuwehren.

Anmeldung bei Google Apps

Eine weitere Möglichkeit, Ihr Login zu schützen, besteht darin, es über das Google Apps-Login für WordPress mit Ihrem Google-Konto zu verknüpfen. Sobald Ihr Login gesperrt ist, sollten Sie die IP-Adressen Ihrer Benutzer auf die Whitelist setzen. Dadurch wird sichergestellt, dass nur registrierte Benutzer Zugang haben, auch wenn sie Ihr Passwort herausgefunden haben.

Verwenden Sie eine Suite von WordPress-Sicherheits-Plugins

Eine weitere sehr nützliche Sache, die Sie tun können, ist die Installation eines guten Sicherheits-Plugins, wie z. B. iThemes Security. Damit können Sie 2FA hinzufügen, Anmeldeversuche begrenzen, Backups planen und Ihr WordPress-Login verbergen.

ithemes-Sicherheits-Plugin

Erwägen Sie zusätzlich zu einem WordPress-Sicherheits-Plugin die Installation eines guten Backup-Plugins wie UpdraftPlus, wenn Ihr Host keine Backups anbietet. Ein Backup-Plugin schützt Sie vor dem Verlust der Dateien Ihrer Website und hilft Ihnen, WordPress nicht von Grund auf neu erstellen zu müssen. Sie können Ihre Website problemlos und mit geringem Aufwand wiederherstellen, wenn etwas schief geht. Schließlich können Sie durch die Integration eines Aktivitätsprotokoll-Plugins wie WP Activity Log genau bestimmen, was wann schief gelaufen ist.

Halten Sie PHP auf dem neuesten Stand

WordPress benötigt drei Dinge, um richtig zu funktionieren: PHP-, MySQL- und HTTPS-Unterstützung. PHP oder Hypertext-Präprozessor ist eine beliebte Open-Source-Skriptsprache, die in der Webentwicklung verwendet wird und das Rückgrat von WP bildet. Da es Open Source ist, ist es wie WordPress offen für böswillige Akteure, die es ausnutzen wollen. Um diese potenziellen Probleme zu vermeiden, ist es am besten, PHP auf dem neuesten Stand zu halten. Dies trägt nicht nur zur WordPress-Sicherheit bei, sondern sorgt auch dafür, dass Ihre Website optimal läuft.

Wie PHP funktioniert

Wählen Sie starke Passwörter

Einer der wichtigsten Aspekte der WordPress-Sicherheit ist die Wahl sicherer Passwörter für die Anmeldung. Schwache oder leicht zu erratende Passwörter machen Ihre Website anfällig für unbefugten Zugriff und setzen Ihre Website Botnets aus. Botnets sind eine Ansammlung von Computern, die mit Malware infiziert wurden und unter die Kontrolle eines Hackers geraten. Sie sind die Hauptursache für DDoS-Angriffe im Internet. Sie können jedoch verhindern, dass Ihre Website ihnen zum Opfer fällt, indem Sie die richtigen Vorsichtsmaßnahmen treffen.

Plugin zum Erstellen von Passwortrichtlinien

Sie können Ihre Website beispielsweise schützen, indem Sie sicherstellen, dass alle Benutzer eine Passwortrichtlinie einhalten. Eine gute Möglichkeit hierfür ist die Installation eines Plugins wie Password Policy Maker.

WordPress-Sicherheit: Halten Sie die Software auf dem neuesten Stand

Ein weiterer einfacher Schritt zur WordPress-Sicherheit besteht darin, Ihren WordPress-Kern, Ihre Plugins und Themes auf dem neuesten Stand zu halten. Wenn Software nicht mehr auf dem neuesten Stand ist, kann dies negative Folgen für Ihre Website haben, einschließlich Sicherheitsverletzungen, dem „White Screen of Death“ von WordPress oder einer Reihe häufiger Fehler.

Sie können entweder selbst über Updates auf dem Laufenden bleiben oder automatische Updates aktivieren. Was für Sie das Richtige ist, hängt von mehreren Faktoren ab, darunter Zeit, Fachwissen und die Art der Software, die Ihre WordPress-Installation ausführt. Unabhängig davon, ob Sie Updates durchführen oder sich für die automatische Aktualisierung entscheiden, sollten Sie immer ein Backup erstellen, bevor Sie Aktualisierungen durchführen.

Installieren Sie das SSL-Zertifikat

Wenn Sie mit einem guten Hosting-Anbieter zusammenarbeiten, ist einer der damit verbundenen Vorteile ein kostenloses SSL-Zertifikat. Es kann jedoch Situationen geben, in denen Sie selbst eines installieren müssen. Die meisten Anbieter, wie SiteGround, bieten ein kostenloses SSL an, das in wenigen Minuten installiert wird. Wenn Sie dies lesen, fragen Sie sich vielleicht : „Warum benötige ich ein SSL-Zertifikat?“. Lass es uns erklären.

SSL-Zertifikat WordPress-Sicherheit

Bild mit freundlicher Genehmigung von Valery Brozhinsky | Shutterstock.com

SSL oder Secure Socket Layer erweitert das Hypertext Transfer Protocol (HTTP) zum Hypertext Transfer Protocol Secure (HTTPS) und fügt Verschlüsselung und eine zusätzliche Sicherheitsebene hinzu. Wenn ein Verbraucher beispielsweise einen Kauf über HTTP tätigt, besteht das Risiko, dass seine Kreditkarteninformationen ausgenutzt werden. Andererseits wären ihre Informationen geschützt, wenn sie denselben Kauf über HTTPS getätigt hätten. Ohne diese sichere Verbindung sind Ihre Website und ihre Besucher gefährdet und angreifbar. Aus diesem Grund ist die Installation eines SSL-Zertifikats auf jeder neuen Website von entscheidender Bedeutung.

Führen Sie ein Sicherheitsaudit durch

Sobald Sie Maßnahmen zur Sicherung Ihrer Website ergriffen haben, ist es wichtig, gelegentlich eine WordPress-Sicherheitsüberprüfung durchzuführen. So wie sich die Technologie täglich ändert, ändert sich auch das Arsenal an Werkzeugen eines Hackers. Malware und andere Taktiken werden regelmäßig entwickelt, sodass die Sicherung Ihrer WordPress-Website keine einmalige Angelegenheit ist. Planen Sie regelmäßige Sicherheitsüberprüfungen und achten Sie auf Anzeichen dafür, dass Ihre Website möglicherweise in Schwierigkeiten ist. Wenn Sie bemerken, dass Ihre Website langsam lädt, Ihr Datenverkehr sinkt, Sie neue Links entdecken, die Sie nicht hinzugefügt haben, oder wenn es zu häufigen Anmeldeversuchen kommt, ist es möglicherweise an der Zeit, einen Sicherheitsscan durchzuführen, um sicherzustellen, dass Ihre Website sicher und geschützt bleibt.

Erweiterte WordPress-Sicherheitstechniken

Zusätzlich zu den oben aufgeführten Schritten gibt es einige fortgeschrittenere Techniken, die Sie in Ihre Website integrieren können, um die Sicherheit von WordPress zu erhöhen.

Härten Sie die Datei wp-config.php ab

Ein häufiger Einstiegspunkt für Hacker ist die Datei wp-config.php Ihrer WordPress-Website. Es enthält Informationen über Ihre Datenbank, einschließlich Name, Host, Benutzername und Passwort. Das Offenlassen dieser wichtigen Datei kann schädlich sein, daher ist es immer eine gute Idee, sie zu verstecken.

Verschieben Sie Ihre wp-config.php-Datei

Um die wp-config zu verschieben, können Sie sie in den Stammordner Ihrer Site (öffentliches HTML) ziehen und WordPress sucht danach, wann immer die Site gepingt wird. Wenn die Dateistruktur Ihrer Site jedoch eine htaccess-Datei enthält, können Sie sie weiter schützen, indem Sie eine Anweisung hinzufügen, um den Zugriff darauf zu verweigern, indem Sie den folgenden Code verwenden:

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Hinweis: Bevor Sie dies tun, stellen Sie sicher, dass Ihr Hosting-Anbieter nicht bereits Schritte unternommen hat, um Ihre wp-config-Datei für Sie zu verschieben. Einige Hoster, wie zum Beispiel Kinsta, tun dies automatisch, um die Sicherheit Ihrer Website zu gewährleisten.

WordPress Salt Keys ändern

WordPress-Salt-Keys

Eine weitere Möglichkeit, Ihre wp-config-Datei zu schützen, besteht darin, die Salt-Schlüssel Ihrer Site zu ändern. Diese Schlüssel bieten eine zusätzliche Schutzebene beim Speichern von Passwörtern in Ihrer Datenbank, beim Anmelden bei Cookies und bei anderen wichtigen WordPress-Sicherheitsaspekten. Wenn Hacker an Ihre Salt-Schlüssel gelangen, können sie auf die Datenbank und Dateien Ihrer Website zugreifen, einschließlich gespeicherter Kreditkarteninformationen, Passwörter und anderer wichtiger Informationen. Daher wird empfohlen, sie regelmäßig zu ändern.

Dateiberechtigungen ändern

Standardmäßig sind Dateien in Ihrem Stammverzeichnis auf 644 eingestellt, was bedeutet, dass sie sowohl lesbar als auch beschreibbar sind und somit anfällig für bösartige Akteure sind. Laut WordPress sollten diese nicht auf den Standardberechtigungen belassen werden. Sie sollten vielmehr auf 440 oder 400 geändert werden, um zu verhindern, dass andere auf demselben Server sie lesen. Es ist jedoch wichtig, sich bei Ihrem Hosting-Anbieter zu erkundigen, bevor Sie Änderungen an Ihren Dateiberechtigungen vornehmen. Sie verfügen möglicherweise über ein einzigartiges System, sodass eine Änderung der Berechtigungen zu Störungen auf Ihrer Website führen kann.

Deaktivieren Sie XML-RPC

XML-RPC ist eine WordPress-API, die es Ihnen ermöglicht, Ihre Website mit Apps und Tools von Drittanbietern zu verbinden. In den letzten Jahren wurde es durch Brute-Force-Angriffe ausgenutzt und ermöglichte den Zugriff auf WordPress-Sites. Es wird hauptsächlich zum Herstellen von Zapier-Verbindungen oder zum Fernzugriff auf Ihre Website über eine App verwendet. Sie sollten XML-RPC auf Ihrem Server deaktivieren, wenn Sie keine dieser Verbindungen verwenden.

Es gibt mehrere Möglichkeiten, dies zu tun, einschließlich der Deaktivierung über htaccess, mithilfe eines Code-Snippets oder mit einem Plugin. Die fortschrittlichste Methode, htaccess, kann für Anfänger schwierig sein, daher ist die Verwendung eines Code-Snippets die am meisten empfohlene Vorgehensweise.

Verwenden Sie für die htaccess-Methode einen FTP-Client, um auf die Dateien Ihrer Site zuzugreifen, und fügen Sie dann den folgenden Code zu Ihrer htaccess-Datei hinzu:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Hinweis: Stellen Sie sicher, dass Sie die IP 123.123.123.123 durch Ihre eigene ersetzen.

Alternativ können Sie den Code über die Registerkarte „Tools htaccess“ des AIOSEO-Plugins einfügen:

AIOSEO

Wenn Sie XML-PRC lieber über ein Code-Snippet deaktivieren möchten, können Sie dies ganz einfach mit dem WPCode-Plugin erreichen. Es verfügt über ein integriertes Snippet, mit dem Sie die API deaktivieren können.

Deaktivieren Sie XML-PRC

WordPress-Version ausblenden

Dies ist ein oft übersehener Schritt, wenn es um die WordPress-Sicherheit geht, aber ein wichtiger. Standardmäßig hinterlässt WordPress einen Fußabdruck im Code Ihrer Website, der anzeigt, welche Version installiert ist. Das mag harmlos erscheinen, aber durch den Zugriff auf den Quellcode der Website können Hacker feststellen, welche Version von WordPress Sie verwenden. Wenn sie veraltet ist, können sie diese Informationen nutzen, um Ihre Website zu hacken, indem sie Malware oder bösartige Skripte einschleusen.

WordPress-Version ausblenden

Als zusätzliche WordPress-Sicherheitsmaßnahme sollten Sie also die WordPress-Version Ihrer Website verbergen, um es Hackern zu erschweren, die Kontrolle über Ihre Website zu übernehmen. Dafür gibt es gute Möglichkeiten. Sie können entweder ein Code-Snippet-Plugin implementieren, das die Zeile im Quellcode entfernt, oder ein untergeordnetes Theme erstellen und es in Ihre Datei „functions.php“ einfügen.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Wenn Sie alternativ die WP-Version im Meta-Tag, in Datenbankabfragezeichenfolgen und in RSS-Feeds entfernen möchten, verwenden Sie diesen Code:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Was tun, wenn Ihre WordPress-Website gehackt wird?

Selbst wenn Sie alles richtig machen, kann es sein, dass Ihre Website gehackt wurde. Glücklicherweise gibt es einige Schritte, die Sie unternehmen können, darunter das Versetzen Ihrer Website in den Wiederherstellungsmodus, das Wiederherstellen von Ihrem letzten Backup oder das Zurücksetzen Ihrer Passwörter. Wenn alles andere fehlschlägt, kann Ihr Hosting-Anbieter möglicherweise helfen.

Abschließende Gedanken zur WordPress-Sicherheit

Indem Sie die notwendigen Schritte zur Erhöhung Ihrer WordPress-Sicherheit unternehmen, können Sie sicherstellen, dass Ihre Website weiterhin normal funktioniert und gleichzeitig für Ihre Besucher sicher ist. Obwohl WordPress enorme Vorteile und Benutzerfreundlichkeit bietet, ist es wichtig, seine Mängel zu verstehen. Zum Glück gibt es eine Reihe von WordPress-Sicherheits-Plugins wie iThemes, die dabei helfen können, den Überblick zu behalten.

Suchen Sie weitere Informationen zu WordPress? Schauen Sie sich einige unserer ausführlichen Artikel an, die Sie im Handumdrehen in einen WordPress-Experten verwandeln:

  • So installieren Sie WordPress: Der endgültige Leitfaden
  • Die 10 besten WordPress-Hosting-Optionen im Jahr 2023 (handverlesen)
  • Die 31 besten WordPress-Plugins im Jahr 2023 (alles, was Sie brauchen)
  • Die 10 besten WordPress-Themes im Jahr 2023 (im Vergleich und in der Rangliste)

Ausgewähltes Bild über Pikovit / Shutterstock.com