Wie sicher ist WordPress?
In den meisten Fällen lässt sich diese Frage mit folgenden Sätzen beantworten:
Solange alle verwendeten Plugins und die WordPress Version auf dem aktuellen Stand sind, ist WordPress eine ziemlich sichere Plattform.
Zusätzlich sollte sich die Systemadministration im Themenbereich Web- und Sicherheitswissen gut auskennen sowie sichere Passwörter aus Buchstaben, Zahlen und Sonderzeichen verwenden.
Letztendlich geht es bei einer sicheren Plattform nicht darum, dass sie unhackbar ist.
Der Fokus liegt eher auf der Minimierung des Hackrisikos durch angepasste Kontrollfunktionen und regelmäßige Softwareaktualisierungen.
Nutzen Sie alle Mittel, die Ihnen in einem angemessenen Budgetrahmen zur Verfügung stehen, um die Chance zu verringern das Ziel eines Hackangriffs zu werden.
Was kann ich tun, um die Sicherheit meines WordPress Auftritts zu erhöhen?
Wir möchten Ihnen an dieser Stelle ein paar Ratschläge geben, mit welchen Sie Ihre eigene Homepage besser schützen können.
Wir als WordPress Agentur stehen Ihnen bei Fragen zu WordPress gerne zur Verfügung!
Ein erster Sicherheitscheck
Sie möchten eine erste, kostenlose Überprüfung Ihrer Website durchführen und sich erst einmal einen generellen Überblick über Ihre WordPress Seitensicherheit verschaffen?
Der WordPress Security Scan ist eine erste Möglichkeit dafür.
Dieser kostenfreie Service der Triop AB aus Schweden prüft alle verwendeten Themes, Plugins und WordPress Versionen auf ihre Aktualität und teilt Ihnen mit, sobald er eine veraltete Software entdeckt.
Professionelles Hosting
Eine von WP Template veröffentlichte Studie hat herausgefunden, dass rund 41 % der erfolgreich durchgeführten Hackangriffe auf Grund mangelhaften Hostings durchgeführt worden sind (Quelle: 1 – WP Template).
In den meisten Fällen können Sie die Sicherheit des Webservers selbst nicht beeinflussen, weshalb Sie unbedingt einen zuverlässigen und sicheren Host auswählen sollten.
Auch wir von der IMMERCE bieten WordPress Hosting an, informieren Sie sich gerne in unserem Artikel dazu.
WordPress regelmäßig aktualisieren
Prüfen Sie Ihre WordPress Installation auf Updates und spielen Sie diese in geregelten Abständen auf.
Worauf Sie dabei achten sollten, wenn Sie die Wartung der Seite selbst durchführen, können Sie im Beitrag WordPress Update nachlesen.
Ein weiterer Tipp: verbergen Sie vor Dritten Ihre WordPress Version!
Gerne übernehmen wir als WordPress Agentur alle sicherheitsrelevanten Aufgaben.
Angepasste LogIn Daten
Verwenden Sie keine Standardwerte für Ihren Benutzernamen, das Passwort und den LogIn Bereich.
Der übliche Administratorzugang zu WordPress erfolgt über den Benutzernamen ‚Admin‘ und ist daher die erste potentielle Angriffsquelle eines Hackers.
Legen Sie sich deshalb direkt einen neuen Nutzernamen mit allen Berechtigungen an und entfernen Sie den Standardadministrator.
Setzen Sie ferner auf starke Passwörter. Wie das geht?
Verwenden Sie in Ihrem Kennwort mindestens 8 Zeichen und integrieren Sie Zahlen, Buchstaben sowie Sonderzeichen.
Das meistgehackteste Passwort, laut den Rechercheergebnissen von Futurezone, ist übrigens 123456, welches über 23,2 Millionen Mal durch Sicherheitslücken aufgedeckt wurde.
Erst auf Platz 4 folgt die kreativste Idee ‚password‘ mit 3,6 Millionen Hits (Quelle 2 – Futurezone).
Üblicherweise kommt man zu Ihrem WordPress LogIn Bereich über www.MEINEADRESSE.de/wp-admin.
Ein erster Sicherheitstipp von uns ist: Benennen Sie diese Adresse mit Hilfe eines Plugins um.
Zusätzlich können Sie den Zugriff von außen durch einen programmierten Verzeichnisschutz und das Begrenzen von LogIn-Versuchen weiter erschweren.
Backups erstellen
Sichern Sie regelmäßig Ihre WordPress Seiten damit Sie im Falle eines Hackangriffs den Ausgangszustand wiederherstellen können.
Falls Sie keine Sicherheitskopie haben, könnte es unter Umständen schwer sein, alle Spuren des Hackers restlos zu entfernen.
Gehen Sie deshalb lieber auf Nummer sicher und lassen Sie uns Ihren WordPress Auftritt auf einer virtuellen Maschine ablegen und sichern.
SSL verwenden
Sichere Webseiten sollten immer ein SSL-Zertifikat haben, da dadurch die Kommunikation zwischen Server und Browser verschlüsselt wird.
Sie erkennen eine SSL-zertifizierte Homepage am angezeigten Schlosssymbol vor der Seitenadresse und an dem Ausdruck https in der URL.
Übrigens markiert Google Chrome seit Juli 2018 Webseiten ohne HTTPS als nicht sicher und schreckt damit viele Nutzer vom Besuch Ihres Onlineauftritts ab.
Setzen Sie verstärkt auf eine gesicherte Verbindung über SSL, um das Vertrauen Ihrer Kundschaft zu behalten!
Neben dem Sicherheitsaspekt bringt SSL auch weitere Vorteile für SEO mit sich: die WordPress Seite wird besser von Google gerankt und lädt gleichzeitig auch schneller.
Verwendung von Plugins begrenzen
Plugins stellen immer eine potentielle Schwachstelle innerhalb Ihres WordPress Auftritts dar.
Wie bereits erwähnt, sollten Sie diese immer aktuell halten.
Ferner ist es aber genauso wichtig, Plugins und Themes auszusortieren.
Prüfen Sie immer, ob Sie eine Erweiterung (noch) brauchen bevor Sie sie in Ihre Webseite integrieren.
Aktuelle PHP-Version nutzen
Neben der Software werden auch Programmiersprachen in regelmäßigen Abständen aktualisiert.
WordPress nutzt PHP um seine Webseiten zu coden.
Sollten Sie in Ihrem Blog eine niedrigere Version als PHP 7.2 (Stand Januar 2021) verwenden, ist für diese Sprache kein Sicherheits-Support mehr gegeben und Ihre Seite ist dadurch angreifbarer.
Erschreckend ist an dieser Stelle die Erkenntnis, dass über 30% der verwendeten PHP-Versionen niedriger als 7.2 sind und damit keine ausreichende Sicherheit mehr bieten. (Quelle 3 – WordPress)
Verwenden einer Zwei-Faktor-Authentifizierung
Wie der Name schon vermuten lässt, beschreibt die Zwei-Faktor-Authentifizierung einen in zwei Stufen geteilten Prozess, bei dem man einerseits das Passwort zur Anmeldung benötigt und andererseits eine weitere, festgelegte Methode.
Im Normalfall kommen für die weitere Methode Telefonanrufe, SMS oder ein zeitlich begrenztes Einweg-Passwort zur Verwendung.
Mit Hilfe dieser Authentifizierung können Brute-Force-Angriffe auf die WordPress Homepage verhindert werden, weil es sehr unwahrscheinlich ist, dass ein Hacker sowohl Zugriff auf Ihr Handy und Ihr WordPress Passwort hat.
Folgende Berechtigungen gibt es:
Quellenverzeichnis:
- WP Template. (2018, 4. Juli). Safety and Security of WordPress Blog. WPTemplate.com.
http://www.wptemplate.com/tutorials/safety-and-security-of-wordpress-blog-infographic.html - Neumann, D. (2020, 13. August). Passwort gehackt: Diese 5 Codes werden ständig geknackt. futurezone.de.
https://www.futurezone.de/digital-life/article217007623/Diese-5-Passwoerter-werden-staendig-gehackt.html - WordPress. (2018, 28. März). Key WordPress Statistics. WordPress.org.
https://wordpress.org/about/stats/