Verbessern Sie die Sicherheit Ihrer WordPress-Site

WordPress ist das weltweit am häufigsten benutzte CMS. Derzeitig basieren ca. 40% aller Webseiten auf WordPress. Leider ist es aufgrund seiner Beliebtheit auch bei Hackern sehr beliebt. Deshalb empfehlen wir Ihnen, Ihre WordPress-Website mit zusätzlichen Sicherheitsvorkehrungen auszustatten, um das Risiko, gehackt zu werden, zu minimieren.

Hier haben wir eine Liste von Empfehlungen zusammengestellt, die Sie umsetzen können, um eine sicherere WordPress-Website zu garantieren:

• Immer alles aktualisieren
• Entfernen Sie nicht verwendete Plugins und Themes
• Überwachen Sie den Status Ihrer Website
• Schützen Sie Ihren wp-admin Ordner mit einem Passwort
• Erstellen Sie einen benutzerdefinierten Admin-Benutzernamen
• Deaktivieren Sie das Ausführen von PHP-Code in Ihrem Uploadverzeichnis

Immer alles aktualisieren

Ein Teil der WordPress-Updates behebt Sicherheitslücken, die von Hackern ausgenutzt werden könnten, daher ist es wichtig, immer alles so aktuell wie möglich zu halten und regelmäßig Updates durchzuführen. Sie können Ihre WordPress-Version, Plugins und Themes ganz einfach über Ihren WP-Admin aktualisieren. Wenn Sie keinen Zugang zu Ihrem WP-Admin haben, können Sie Ihre Kerninstallation auch manuell updaten.

• Warum Sie WordPress immer aktuell halten sollten
• WordPress manuell aktualisieren (ohne WP Admin Zugang)

Neben Ihrer WordPress-Kerninstallation müssen Sie auch regelmäßig überprüfen, ob Updates für Ihre installierten Plugins und Themes verfügbar sind.

Wussten Sie schon? 
Falls Ihnen der Aufwand zu groß ist, alles selbst manuell upzudaten, lesen Sie mehr über one.com's Managed WP und den darin integrierten Update Manager.

Managed WP kaufen

Entfernen Sie nicht verwendete Plugins und Themes

Jedes Plugin und Theme, das Sie verwenden, kann ein potenzielles Sicherheitsrisiko darstellen. Je weniger Sie also davon haben, desto besser.

Wir empfehlen, alle Themes zu entfernen, die Sie nicht verwenden, mit Ausnahme der Standard-WordPress-Themes (Twenty Nineteen, Twenty Twenty usw.). Das Gleiche gilt für Plugins, die Sie nicht mehr benötigen. Sie können sie direkt über Ihren WP Admin entfernen oder von Ihrem Webspace löschen.

Stellen Sie sicher, dass Sie alle alten WordPress Installationen, die Sie eventuell auf Ihrem Webspace haben, vielleicht zum Testen oder als Backup, entfernen. Diese sind anfällig für Hacks.

Tipp: Installieren Sie nur Plugins und Designs aus vertrauenswürdigen Quellen. Wenn Sie eine kostenlose Version eines Themes finden, für das Sie normalerweise bezahlen müssen, ist das Risiko leider groß, dass es mit "kostenloser" Malware versehen ist.

Überwachen Sie den Status Ihrer Website

Stellen Sie sicher, dass Sie das kostenlose one.com Plugin installiert haben, um von seinen hilfreichen Website-Analysefunktionen wie Health Monitor zu profitieren.

Health Monitor führt Basis-Checks der Website durch, zum Beispiel, ob Sie die neueste WordPress-Version verwenden. Mit diesem Tool können Sie die wichtigsten Sicherheits- und Performance-Checkpoints im Auge behalten und werden über Probleme informiert, die behoben werden müssen. Je nachdem, ob alles in Ordnung ist, erhalten Sie entweder die Meldung "Alles in Ordnung" oder eine Liste mit Empfehlungen, worum Sie sich kümmern sollten.

Tipp: Mit dem Tool Health Monitor Pro, das im Managed WP Add-on enthalten ist, können Sie solche Probleme mit nur einem Mausklick beheben.

Schützen Sie Ihren wp-admin Ordner mit einem Passwort

Blocken Sie Hacker ab und schützen Sie Ihren wp-admin Ordner mit einem Passwort, um eine zusätzliche Sicherheitsebene für Ihre WordPress-Administration zu schaffen.

Werfen Sie einen Blick in unsere Anleitung, wie Sie Ihre Webseite mit einer .htaccess Datei schützen können. Stellen Sie dabei aber sicher, dass Sie nur den wp-admin Ordner schützen und nicht Ihre gesamte Seite, da sonst Ihre Webseite nicht erreichbar ist.

• Wie kann ich meine Webseite per Passwort schützen?

Hinweis: Falls Sie schon eine .htaccess Datei in Ihrem wp-admin Ordner haben sollten, fügen Sie den erstellten Code einfach in die existierende Datei ein. Ersetzen Sie diese aber bitte nicht.

Eine weitere Möglichkeit, Hacker daran zu hindern, auf Ihre WordPress-Website zuzugreifen, besteht darin, Ihre WordPress-Loginseite mithilfe der Advanced Login Protection über Ihr Kontrollpanel umzuleiten.

• Was ist Advanced Login Protection für WordPress?

Erstellen Sie einen benutzerdefinierten Admin-Benutzernamen

Hacker versuchen oft durch sog. "Brute-Force-Attacken" Zugriff auf Ihr WP Admin zu bekommen. Roboter versuchen dabei, sich mit Millionen von verschiedenen Benutzernamen- und Passwort-Kombinationen einzuloggen. Um es so schwer wie möglich zu machen, Ihre Logindaten zu erraten, empfehlen wir Ihnen, einen einzigartigen Benutzernamen zu erstellen.

Sie können Ihren Admin-Benutzernamen in phpMyAdmin, in der wp_users Tabelle, ändern. Schauen Sie dafür gerne in unsere Anleitung, wie man auf die Datenbank zugreift.

• Wie greife ich mit phpMyAdmin auf die Datenbank zu?

Sobald Sie eingeloggt sind:

• Finden Sie die Tabelle mit dem Namen wp_users (diese kann auch 0_users heißen)
• Finden Sie den Admin-Benutzernamen und klicken Sie auf Bearbeiten .
• Unter user_login geben Sie einen neuen Benutzernamen in dem Feld unter Value ein.
• Klicken Sie OK um dies zu speichern.

Deaktivieren Sie das Ausführen von PHP-Code in Ihrem Uploadverzeichnis

Wenn Sie WordPress manuell installiert haben, empfehlen wir Ihnen, die Ausführung von PHP (=PHP execution) in Ihrem Uploads-Ordner zu deaktivieren. Wenn Sie das 1-click-Installationstool verwendet haben, können Sie diesen Abschnitt überspringen. Bei 1-Klick-WordPress-Installationen ist die PHP-Ausführung standardmäßig deaktiviert.

PHP-Hintertüren (PHP backdoors) sind meist im Upload-Verzeichnis zu finden. Von dort aus wird die Malware auf andere Bereiche Ihrer Seite verbreitet. Sie können nicht verhindern, dass diese Backdoor auf Ihren Webspace hochgeladen wird, allerdings können Sie die Verbreitung von Malware auf andere Stellen Ihrer Website verhindern, indem Sie die von PHP-Ausführungen deaktivieren.

Sie können die PHP-Dateiausführung deaktivieren, indem Sie diese Codezeilen zu Ihrer .htaccess-Datei hinzufügen, welche sich im uploads-Ordner (wp-content/uploads) befindet.

# Block executables
<FilesMatch "\.(php|phtml|php3|php4|php5|pl|py|jsp|asp|html|htm|shtml|sh|cgi|suspected)$">
    deny from all
</FilesMatch>

Sehen Sie sich gerne unsere Anleitung zum Erstellen einer .htaccess-Datei und zum Deaktivieren der Dateiausführung im uploads-Ordner an, um Informationen zu allen erforderlichen Schritten zu erhalten.

• Dateiausführung im uploads-Ordner von WordPress unterbinden

Hinweis: Wenn Sie bereits eine .htaccess Datei auf Ihrem Webspace haben, müssen Sie keine neue erstellen. Stattdessen können Sie die bestehende Datei bearbeiten.

Verwandte Artikel:

• Ändern Sie Ihr WordPress Passwort in der Datenbank
• Welches SiteLock Paket soll ich auswählen?