WordPress ist das CMS, das am häufigsten verwendet wird. Allein dieser Punkt macht WordPress zu einem beliebten Angriffsziel für Hacker. Hinzukommt, dass es eine Fülle an Plugins gibt, die ebenfalls ein Angriffsziel sein können.
Das heißt aber nicht, dass WordPress an sich unsicher ist. Wie bei jedem CMS oder Shopsystem, muss der Webseitenbetreiber das Thema Sicherheit im Blick haben. Es gibt bei WordPress einige einfache Punkte, die Sie beachten sollten, um die Sicherheit Ihrer Webseite zu erhöhen.
Ein guter Hostinganbieter
Es gibt auf den Markt eine Reihe von Hostinganbietern mit sehr unterschiedlichen Leistungen und Preisen. Achten Sie jedoch nicht nur auf den Preis, sondern auf den Leistungsumfang. Für ein Unternehmen ist es sehr wichtig, dass die Webseite erreichbar und sicher ist, daher sollten Sie auch genauer hinsehen. Sehr günstige Hostingangebote bieten oft keine optimale Sicherheit und haben keinen Support, wenn Ihre Webseite gehackt wurde. Oft sind auch keine automatischen Backups im Hosting enthalten.
Komplexe Passwörter
Verwenden Sie keine einfachen Passwörter. Viele Nutzer neigen dazu, einfache Passwörter zu verwenden, um sich diese besser zu merken. Tun Sie das bitte nicht. Verwenden Sie komplexe und lange Passwörter mit Groß- und Kleinschreibung, Sonderzeichen, Zahlen usw.
Es gibt einige Passwortverwaltungstools, die das Problem mit dem Passwortmerken lösen. Sie benötigen am Ende zur ein Masterpasswort und können dann auf alle Ihre Passwörter zugreifen. So können Sie auch für unterschiedliche Seiten und Portalen auch jeweils unterschiedliche Passwörter verwenden.
Aktivieren Sie die Zwei-Faktor-Authentifizierung
Nutzen Sie in Verbindung mit einem Security-Plugin die Möglichkeit der 2-Faktor-Authentifizierung. Bei dieser Methode müssen Sie neben der Eingabe der richtigen Zugangsdaten separat auf einem anderen Gerät bestätigen, dass es wirklich Sie sind, der sich anmelden möchte. In den meisten Fällen passiert das über spezielle Apps auf Ihrem Handy.
Selbst wenn jemand an Ihr Passwort gelangt ist, haben Sie einen weiteren Schutz, der es Angreifern deutlich erschwert in Ihre Webseite zu gelangen.
Wichtige Dateien ausblenden und Bearbeitung deaktivieren
Jede WordPress-Seite hat Dateien, die essentiell für das Funktionieren von WordPress sind, wie die config.php und die .htaccess. In der wp-config finden sich z.B. einige wichtige Systemanmeldeinformationen. Erschweren Sie es Hackern daher, auf diese Dateien zuzugreifen. Sie können die Dateien ausblenden und zudem die Dateibearbeitung über WordPress deaktivieren. Eine Bearbeitung für Sie über eine FTP-Anwendung ist dabei weiterhin möglich.
Begrenzte Anmeldeversuche und verborgene Anmeldung
Standardmäßig ist die Login-Seite bei WordPress die /wp-admin. Diese Seite ist daher oft ein Ziel von Brute-Force Angriffen. Erschweren Sie diese Angriffe, indem Sie die Anmeldeseite verstecken bzw. unter einer anderen URL erreichbar machen. Hierfür gibt es verschiedene Plugins, die das können.
Verwenden Sie außerdem einen anderen Benutzernamen als „admin“. Dieser ist ein oft verwendeter Benutzernamen und ist in der Kombination mit der Login-Seite wp-admin ein beliebte Variante für Brute-Force Angriffe.
Zudem sollten Sie die Anzahl der Anmeldeversuche begrenzen. Nutzen Sie hierfür ein entsprechendes Firewall-Plugin.
Updates und Backups
Mit den bisher genannten Maßnahmen sind Sie auf einem guten Weg. Allerdings hört es damit nicht auf. Ihre WordPress Webseite fordert Ihre stetige Aufmerksamkeit, um die Sicherheit hoch zu halten.
WordPress selber und die verwenden Plugins werden regelmäßig verbessert und erweitert. Halten Sie diese daher aktuell. Oft werden mit Updates bekannte Sicherheitslücken geschlossen.
Regelmäßig Backups vorzunehmen, gehört natürlich auch dazu. Falls bei einem Update etwas schief geht oder Sie gehackt wurden, können Sie auf eine frühere Version Ihrer Webseite zurückgreifen, wo noch alles in Ordnung war.
Bekomme ich das alles hin?
Einige dieser Tipps sind auch für Laien relativ einfach umzusetzen. Bei anderen Punkten wird es eventuell schon schwieriger. Hier können wir Ihnen weiterhelfen. Als WordPress Agentur gehört das Hosting, die Wartung und die Sicherheit der WordPress-Seiten unserer Kunden zu den Kernkompetenzen.
