WordPress-Sicherheit für Einsteiger

Ganz gleich, ob du eine geschäftliche Website, einen Onlineshop oder ein Hobby-Blog einrichtest: WordPress bietet Flexibilität, Benutzerfreundlichkeit und fortschrittliche Funktionen, die deine Website zu einem durchschlagenden Erfolg machen.

Bevor du die Website aber in Betrieb nimmst, solltest du dir ein paar Minuten Zeit für das Thema Sicherheit nehmen. Schütze deine Website so gut wie möglich, damit sie vor Hackern sicher ist und für Fans und Kunden jederzeit erreichbar bleibt.

Warum ist Sicherheit wichtig?

Auf deiner Website erfahren deine Besucher, wer du bist, welche Art von Inhalten und Dienstleistungen du anbietest und was sie von deiner Marke erwarten können. Hier kannst du einen guten ersten Eindruck hinterlassen und Vertrauen und Loyalität bei bestehenden Fans aufbauen.

Deshalb ist es so wichtig, dass deine Website jederzeit fehlerfrei und verfügbar ist. Wenn sie plötzlich Links zu Malware enthält, nach einem Hackerangriff sehr langsam läuft oder ganz ausfällt, wirkt sich das auf deinen Ruf aus.

Sollte deine Website gehackt werden, kannst du Geld verlieren, weil die Anzahl der Seitenaufrufe, der Umsatz oder die Zahl der Anzeigenaufrufe sinkt. Die Wiederherstellung der Funktionsfähigkeit kann mit Kosten verbunden sein. Außerdem könnte sich dein Suchmaschinenranking verschlechtern – manchmal unwiderruflich. Um Geld zu sparen (und deinen Ruf zu schützen) solltest du daher darauf achten, dass deine Website gut geschützt ist.

Wie werden WordPress-Websites gehackt?

Google hat vor Kurzem eine Liste der gängigsten Methoden von Hackerangriffen auf Websites veröffentlicht. Sehen wir uns einige davon näher an: 

Kompromittierte Passwörter

Brute-Force-Angriffe zählen zu den gängigsten Methoden, mit denen Hacker versuchen, sich Zugriff auf eine Website zu verschaffen. Sie verwenden Bots, um unterschiedliche Benutzernamen und Passwörter auszuprobieren. Dabei werden pro Sekunde Tausende von Kombinationen getestet, bis die richtige gefunden wird.

Unsichere Plugins und Themes

Bei Sicherheitslücken in Plugins und Themes haben böswillige Akteure relativ leichtes Spiel, um auf deine Website zu gelangen. Die Entwickler hochwertiger Themes veröffentlichen in regelmäßigen Updates Patches für diese Sicherheitslücken, aber nicht alle WordPress-Benutzer aktualisieren ihre Website regelmäßig. Und bei genullten, kostenlosen Versionen von Premium-Plugins und -Themes sind oft sogenannte „Hintertüren“ in den Code eingebettet, also Zugriffspunkte, über die sich Hacker aus der Ferne bei deiner Website anmelden und tun können, was sie möchten.

Unzureichende Sicherheitsrichtlinien

Unzulängliche Sicherheitspraktiken, wie z. B. die Erteilung von Website-Zugriff an Personen, die ihn nicht benötigen, oder das Zulassen unsicherer Passwörter, erleichtern Fremden den Zugang zu deiner Website. 

Aus welchen Gründen hackt jemand eine Website?

1. Hacker möchten Geld stehlen. Möglicherweise möchten sie Kreditkartendaten sammeln oder Besucher auf bösartige betrügerische Websites weiterleiten.
2. Sie möchten Informationen sammeln. Sie könnten personenbezogene Daten an Dritte verkaufen oder Personen anhand von Informationen erpressen, um an Geld zu kommen.
3. Sie möchten einen Absturz deiner Website verursachen. Der Grund dafür liegt oft im persönlichen Bereich und die Gefahr eines solchen Angriffs ist bei herkömmlichen Website-Betreibern eher gering.
4. Sie möchten deine Website mutwillig verunstalten. Auch hier sind meistens persönliche Motive im Spiel. Die Hacker könnten die Website von jemandem, mit dem sie nicht einer Meinung sind, verunstalten, um ein Zeichen zu setzen.
5. Sie möchten jemand angreifen. Angreifer können deine Website nutzen, um Malware oder Ransomware über das Internet zu verbreiten oder deinen Webserver für böswillige Angriffe auf andere zu nutzen.
6. Sie möchten etwas lernen. Hacker müssen ja auch irgendwie üben, oder? Sie könnten deine Website als Übungsfeld für größere, lukrativere Ziele in der Zukunft nutzen.

So schützt du deine WordPress-Website

1. Wähle einen qualitativ hochwertigen Host aus

Dein Hosting-Unternehmen ist dein Sicherheitspartner und es ist wichtig, ein Unternehmen mit gutem Ruf zu wählen. Man bekommt das, wofür man bezahlt, und viele günstige Anbieter setzen keine soliden Sicherheitsverfahren ein.

Doch woran erkennst du den richtigen Anbieter? An folgenden Dingen kannst du einen sicheren Hosting-Anbieter ausmachen:

• Regelmäßige Backups, die in deinem Tarif enthalten oder gegen Aufpreis erhältlich sind
• SSL-Zertifikate, die die Daten deiner Website-Besucher schützen
• Support rund um die Uhr, falls deine Website einmal gehackt werden sollte
• Eine integrierte Firewall, die die Dateien und Datenbank auf deinem Server schützt
• Sicherheits-Scans, bei denen du über verdächtigen Code und auffällige Aktivitäten auf deiner Website benachrichtigt wirst
• Ein guter Ruf. Die Qualität eines Hosts lässt sich oft am besten anhand von Bewertungen und Empfehlungen erkennen.

Und denk daran: Ein Unternehmen, das über umfassendes Wissen und solide Sicherheitspraktiken verfügt, ist etwaige Zusatzkosten wert. Hier findest du eine Liste empfohlener WordPress-Hosts zum Einstieg.

2. Halte Software auf dem aktuellen Stand

Der beste Weg, um die Sicherheit deiner Website zu gewährleisten, besteht darin, deine Software – WordPress, Themes und Plugins – regelmäßig zu aktualisieren. In neuen Versionen werden häufig Sicherheitslücken geschlossen. Je früher du daher ein Update durchführst, desto besser.

Außerdem lassen sich Sicherheitsrisiken bei WordPress minimieren, wenn du vertrauenswürdige Plugins auswählst, die stabil laufen und mehr als eine Anforderung gleichzeitig erfüllen. So bietet Jetpack Security z. B. eine gesamte Suite mit WordPress-Sicherheitstools, die in das Jetpack-Plugin integriert sind. So kannst du auch von zusätzlichen Funktionen profitieren, ohne Dutzende von Plugins zu installieren und das Risiko eines Angriffs auf deine Website zu erhöhen.

3. Erstelle sichere Benutzernamen und Passwörter

Lass Hacker im Dunkeln tappen, indem du einen eindeutigen Benutzernamen und ein sicheres Passwort wählst. Verwende mindestens 20 Zeichen, einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Symbol. 

Wenn du eine Website mit zusätzlichen Benutzern erstellst, achte darauf, für jeden die richtigen Berechtigungen festzulegen. So sollte z. B. dein neuer Praktikant vermutlich keinen Zugriff auf Kerndateien oder andere wichtige Daten haben. Hier findest du einen guten Artikel zu Benutzerberechtigungen für WooCommerce, aber ein Großteil der Informationen gilt für jede Art von Website. 

Und wenn du ein Konto für einen Dritten – etwa einen Entwickler, eine Marketing-Agentur oder einen Support-Mitarbeiter – einrichtest, achte darauf, den Zugang wieder zu löschen, sobald dieser seine Arbeit beendet hat.

4. Richte Backups an einem externen Standort ein

Backups sind wichtig, um deine Inhalte, deine harte Arbeit und die Daten von Kunden oder Besuchern zu schützen. Ganz gleich, welches Problem mit deiner Website auftritt: Wenn du ein vollständiges Backup zur Hand hast, kannst du den Betrieb schnell wieder aufnehmen. 

Allerdings ist es wichtig, die richtige Art von Backups auszuwählen. Achte z. B. darauf, dass deine Backups nicht auf deinem Server, sondern extern in der Cloud gespeichert werden. So kannst du selbst dann eine fehlerfreie Version wiederherstellen, wenn du nicht mehr auf deine Website zugreifen kannst oder dein Server beschädigt ist.

An dieser Stelle kommen die Vorteile von Jetpack Backup ins Spiel. Jetpack speichert nicht nur alle Backups auf denselben sicheren Servern, die es auch für seine eigene Website verwendet, sondern erstellt für zusätzlichen Schutz auch mehrere verschlüsselte Backups. 

Außerdem kannst du zwischen zwei Optionen wählen: Echtzeit und täglich. 

Echtzeit-Backups sind die beste Wahl für Onlineshops, Mitgliedschaftsforen oder Websites, die regelmäßig aktualisiert werden. Jetpack speichert jedes Mal eine Kopie deiner Website, wenn sich etwas ändert, also etwa wenn ein Kauf getätigt, eine Seite aktualisiert oder ein Kommentar hinzugefügt wird. Das bedeutet, dass dir kein einziger Verkauf und keine einzige Information verloren gehen, egal, was passiert.

Tägliche Backups sind für statische Websites geeignet, die nicht häufig aktualisiert werden. Anstatt bei jeder Änderung speichert Jetpack deine Dateien und deine Datenbank einmal pro Tag.

Das Beste daran? Es ist super einfach einzurichten: Du brauchst keine komplizierte Serverkonfiguration vorzunehmen. Du musst lediglich ein paar einfache Schritte durchführen und falls du Hilfe brauchst, kannst du dich an das hervorragende Kundensupport-Team von Jetpack wenden.

Du kannst das beste Plugin für WordPress-Backups als eigenständiges Tool oder als Bestandteil der kompletten Sicherheitssuite verwenden.

5. Füge Schutz vor Brute-Force-Angriffen hinzu

Bei Brute-Force-Angriffen setzen Hacker Bots ein, um Tausende von Kombinationen aus Benutzername und Passwort pro Sekunde zu erraten, bis sie schließlich Zugriff auf deine Website erhalten. Diese Angriffe gefährden nicht nur die Informationen auf deiner Website, sondern können auch zu einer Verlangsamung führen, da sie deinen Server überlasten. 

Sichere Anmeldeinformationen sind zwar hilfreich, aber die beste Vorbeugung ist ein Tool, das die Angreifer schon im Ansatz stoppt. Das kostenlose Jetpack-Feature für Schutz vor Brute-Force-Angriffen blockiert verdächtige IP-Adressen, bevor sie überhaupt zu deiner Website gelangen! 

Die Einrichtung könnte gar nicht einfacher sein: Du musst das Feature lediglich aktivieren. Die Anzahl der blockierten Angriffe kannst du dann direkt in deinem Dashboard sehen. Tipp: Im Durchschnitt sind es 5.193!

6. Führe Malware-Scans durch

Falls es einem Hacker doch gelingen sollte, in die Website einzudringen, solltest du dies sofort wissen, damit du das Problem beheben kannst. Schließlich ist der Schaden für deinen Ruf und deine Daten umso größer, je länger deine Website ausfällt oder unsicher ist. 

Jetpack Scan durchsucht deine Website aber automatisch nach Malware, böswilligen Akteuren und verdächtigen Aktivitäten und alarmiert dich sofort, wenn etwas gefunden wird. Die meisten bekannten Hacks lassen sich sogar mit nur einem Klick beheben, wodurch du Zeit und Geld sparst. 

Und du musst keine Zeit mit dem Entschlüsseln komplizierter Fachbegriffe verbringen: Im Jetpack Scan-Dashboard wird alles in einfachen Worten erklärt und du wirst durch jeden Schritt geführt. Wenn das Tool erst einmal eingerichtet ist, kannst du dir sicher sein, dass deine Website rund um die Uhr überwacht wird — und du kannst es quasi vergessen. 

Weitere Informationen zu unserem Tool für WordPress-Malware-Scans.

7. Implementiere eine Überwachung von Ausfallzeiten

Ganz gleich, ob die Ursache ein bösartiger Angriff oder ein einfacher Fehler ist: Wenn deine Website ausfällt, musst du sofort handeln. Aber du hast nicht die Zeit, deine Website den ganzen Tag lang neu zu laden, um sicherzustellen, dass sie funktioniert!

Das Jetpack-Tool zur Überwachung von Ausfallzeiten für WordPress hat deine Website rund um die Uhr im Blick und benachrichtigt dich, wenn sie nicht mehr reagiert. Anhand des Aktivitätsprotokolls kannst du dann genau feststellen, was wann schiefgelaufen ist. So kannst du angemessen reagieren und den Betrieb innerhalb von Minuten, nicht Stunden oder Tagen, wieder aufnehmen.

8. Lösche nicht mehr benötigte Plugins und Themes

Je mehr Themes und Plugins du auf deiner Website installiert hast, desto mehr Angriffsfläche bietest du Hackern. Auch wenn Plugins eine großartige Möglichkeit sind, zusätzliche Funktionen hinzuzufügen, solltest du ein wenig aufräumen und diejenigen entfernen, die du nicht mehr brauchst.

Und abgesehen von einem Standard-Theme, auf das du bei der Behebung von Website-Fehlern zurückgreifen kannst, gibt es keinen Grund, zusätzliche Themes zu speichern. 

Übrigens: Wenn du diese löschst, kann sich dadurch die Geschwindigkeit deiner Website verbessern!

9. Aktiviere die zweistufige Authentifizierung für Administratoren

Die zweistufige Authentifizierung ist eine äußerst wirksame Methode, um deine Anmeldeseite zu schützen. Sie erfordert nämlich, dass ein Hacker sowohl dein Passwort als auch einen physischen Gegenstand besitzt — eine unwahrscheinliche Kombination. Wenn sich ein Administrator bei deiner Website anmeldet, muss er einen Einmal-Code eingeben, der an sein Handy geschickt wird.

Jetpack stellt diese Funktion kostenlos bereit und bietet damit noch mehr Schutz als durch starke Passwörter. Hast du mehrere Benutzer? Du kannst auf einfache Weise von allen deinen Benutzern die zweistufige Authentifizierung verlangen.

10. Richte eine WordPress-Firewall ein

Eine WordPress-Firewall überwacht den gesamten Traffic zu deiner Website und dient als Barrikade gegen Hacker. Ein guter Hosting-Tarif enthält zwar eine Firewall, die deinen Server schützt, aber du solltest auch eine speziell für WordPress installieren. 

Ein gutes Firewall-Plugin verfügt über eine Datenbank mit Informationen über bösartige Akteure — verdächtige IP-Adressen, bösartige Bots und Traffic, der einfach ungewöhnlich erscheint — und blockiert diese, bevor sie deine Website angreifen können. Im WordPress-Plugin-Verzeichnis findest du einige der beliebtesten Varianten.

11. Behalte deine Website-Aktivitäten im Blick

Wenn du ein Protokoll über alle Aktivitäten auf deiner Website hast, kannst du es ganz einfach durchgehen und etwas Verdächtiges erkennen. Und wenn deine Website gehackt wird, kannst du auch viel leichter herausfinden, wann das passiert ist, welche Maßnahmen ergriffen wurden und welche Konten kompromittiert wurden.

Das Jetpack-Aktivitätsprotokoll für WordPress zeichnet alle wichtigen Änderungen auf, von Anmeldeversuchen und veröffentlichten Seiten bis hin zu gelöschten Plugins, aktualisierten Themes und geänderten Einstellungen. Für jedes Ereignis siehst du einen Zeitstempel, welcher Benutzer die Änderung vorgenommen hat und was die Änderung war. Diese Informationen kannst du dann zur Fehlerbehebung oder zur Wiederherstellung eines Backups vom Zeitpunkt unmittelbar vor dem Auftreten des Problems verwenden. 

Was geschieht, wenn meine WordPress-Website nicht sicher ist?

Die meisten Angreifer haben es nicht speziell auf dich abgesehen, sondern suchen nur nach der Website, auf die sie am leichtesten zugreifen können. Wenn deine WordPress-Website also nicht richtig geschützt ist, ist es wahrscheinlicher, dass sie Ziel eines Hackerangriffs wird. Letztendlich könnte dies folgende Konsequenzen haben:

• Rufschädigung. Wenn deine Website Sicherheitswarnungen anzeigt, ausfällt oder auf eine verdächtige Website weiterleitet, sieht das für die Besucher deiner Website nicht gut aus. Sie könnten das Vertrauen in dein Blog oder dein Unternehmen verlieren, wodurch dir Umsätze oder Werbeeinnahmen entgehen.
• Gestohlene Kundendaten. Wenn ein Hacker auf deinen E-Commerce-Shop zugreift, könnte er persönliche Informationen sammeln, die er selbst nutzen oder an Dritte verkaufen kann.
• Beschädigte Website-Dateien. Du könntest einen Teil deiner Website oder deine gesamte Website verlieren und damit möglicherweise Jahre harter Arbeit!
• Entfernung aus Suchergebnissen. Wenn deine Website gehackt wurde, kann sie von Google blockiert und ganz aus den Suchergebnissen entfernt werden.
• Verlust von Website-Traffic. Aufgrund der niedrigeren (oder nicht vorhandenen) Suchmaschinenrankings und der Tatsache, dass Besucher keine Website mit einer Sicherheitswarnung aufrufen möchten, kann der Traffic auf deiner Website deutlich abnehmen.
• Verringerte Werbeeinnahmen. Werbenetzwerke möchten nicht, dass Werbung ihrer Kunden auf unsicheren Websites geschaltet wird. Wenn deine Website also gehackt wurde, wird sie möglicherweise aus Werbenetzwerken entfernt, und du könntest komplett gesperrt werden. Damit sinken deine Werbeeinnahmen oder fallen gänzlich weg. Selbst wenn deine Website nicht entfernt wird, sinkt die Anzahl der Anzeigenaufrufe durch den reduzierten Traffic.

Woher weiß ich, ob meine WordPress-Website gehackt wurde?

Es kann manchmal schwierig sein, zu erkennen, ob deine Website gehackt wurde oder ob ein anderes Problem vorliegt. Es gibt jedoch einige Hinweise auf einen Hackerangriff auf deine Website:

• Auf deiner Website wird beim Laden deiner URL eine Sicherheitswarnung angezeigt.
• Dein Sicherheits-Plugin meldet ein Problem.
• Du erhältst von deinem Host E-Mails zu einem Problem.
• Deine Website leitet dich ganz woanders hin und du hast diese Weiterleitung nicht eingerichtet.
• Du siehst auf Seiten deiner Website merkwürdige Codezeilen.
• Deine Website ist komplett ausgefallen, obwohl dies auch andere Ursachen haben könnte.
• Werbeanzeigen auf deiner Website leiten auf verdächtige Websites weiter.
• Deine Website wird plötzlich sehr langsam geladen oder zeigt anderes merkwürdiges Verhalten.

Was soll ich tun, wenn meine WordPress-Website gehackt wurde?

Wenn deine WordPress-Website gehackt wurde, gibt es einige Schritte, die du unternehmen kannst, um das Problem zu beheben und deine Dateien und Datenbank wiederherzustellen:

1. Finde heraus, was passiert ist. Wenn du Jetpack verwendest, kannst du anhand des Aktivitätsprotokolls erkennen, wer sich wann angemeldet und was geändert hat. Dies kann dir helfen, kompromittierte Konten zu identifizieren und herauszufinden, welche Dateien betroffen sind.
2. Führe einen Malware-Scan durch. Verwende ein Tool wie Jetpack Scan, um die Dateien deiner Website nach Malware oder anderen Anzeichen eines Hackerangriffs zu durchsuchen. Wenn du das Tool für Malware-Scans für WordPress von Jetpack verwendest, kannst du außerdem die meisten Probleme mit einem Klick beheben.
3. Stelle ein Backup wieder her. Wenn du regelmäßig Backups deiner Website erstellst, stelle ein Backup vom Zeitpunkt vor dem Hackerangriff wieder her. Wenn du Jetpack Backup verwendest, werden deine Dateien nicht auf deinem Server gespeichert, sodass sie nicht kompromittiert sein sollten.
4. Setze alle Passwörter zurück und lösche verdächtige Benutzer. Setze alle Passwörter für deine WordPress-Website und deinen Hosting-Anbieter zurück. Wenn du verdächtige Benutzerkonten siehst, die du nicht erstellt hast, solltest du diese löschen.
5. Hol dir einen Experten für Website-Sicherheit. Wenn du Malware nicht selbst entfernen kannst oder einfach sichergehen willst, dass deine Website geschützt ist, solltest du einen Sicherheitsexperten von einem Dienst wie Codeable beauftragen.
6. Aktualisiere deine Plugins, Themes und WordPress-Version. Dadurch werden etwaige Sicherheitslücken geschlossen, die Hacker ausnutzen können.
7. Reiche deine Website erneut bei Google ein. Wenn deine Website von Google auf die Sperrliste gesetzt wurde, fordere über Google Search Console einen Review an und beantrage, dass sie von der Liste entfernt wird. 

Nähere Informationen zur Vorgehensweise, wenn deine Website gehackt wurde, findest du in unserem Leitfaden.

Bereit zum Start

Wenn du dich von Anfang an um die Sicherheit von WordPress kümmerst, ist deine Website für den Erfolg gerüstet und kann jahrelang sicher und effizient laufen. Denk daran: Es ist viel einfacher, Hackerangriffe auf Websites zu verhindern, als sie zu beheben, nachdem sie aufgetreten sind.

Mit dem Jetpack Security-Paket kannst du die meisten Punkte auf dieser Liste in wenigen Minuten abhaken – du brauchst weder einen Entwickler, noch ist die Einrichtung kompliziert. 

Steige ein mit dem besten WordPress-Sicherheits-Plugin.

---