Das Wichtigste im Überblick
Die Sicherheit bei WordPress sollte oberste Priorität genießen, schließlich ist die Unternehmenswebseite für den wirtschaftlichen Erfolg essentiell. Nach der Installation ist WordPress relativ sicher. Damit es so bleibt sind einige allgemeine Vorsichtsmaßnahmen und regelmäßige Aktualisierungen unentbehrlich. Wir zeigen Dir in diesem Artikel verschiedene Maßnahmen, wie Du die WordPress-Sicherheit Deiner Seite erhöhst und Dich vor Malware und anderen Bedrohungen im Web bestmöglich schützt. Möchtest Du Dich nicht selbst um die Sicherheit Deiner Seite kümmern, hilft WordPress-Profi Dir gern mit günstigen Bodyguard-Paketen weiter.
Unternehmen aller Größenordnungen sollten die WordPress-Sicherheit nicht vernachlässigen, damit die Webseite nicht durch Hacker oder Malware lahmgelegt wird. Generell ist WordPress ein relativ sicheres Content Management System (CMS), doch die heutzutage meist vollkommen automatisiert ablaufenden Cyber-Attacken werden immer gewiefter und nutzen jede Schwachstelle. Wer sich mit Internetsicherheit nicht auskennt und seine Seite nicht ständig auf dem neuesten Stand hält, kann deshalb schnell Opfer eines Angriffs werden. Es gibt jedoch verschiedene Maßnahmen, mit denen man es Angreifern schwermachen und die WordPress-Seite gut absichern kann.
Sicheres WordPress-Login
Deine Unternehmens-Webseite ist Dein Kapital, deswegen solltest Du den WordPress Login schützen und eine sichere Kombination aus Benutzernamen und Passwort einrichten.
Über sogenannte Brute Force Login-Versuche nutzen Kriminelle mit automatisierten Skripten naheliegende Benutzernamen wie „admin“ und schwache Passwörter aus, um Zugang zu der Webseite zu erhalten. Um dies zu verhindern, wähle keinen Standardnamen als Benutzer und ein Passwort mit diversen Zahlen und Sonderzeichen. Du kannst außerdem die Loginseite mit einem zusätzlichen Passwort versehen, sodass die Programme der Angreifer gar nicht zu dem Login-Formular gelangen. Das bedeutet zwar einen kleinen Mehraufwand, weil Du Dich stets doppelt auf Deine WordPress-Seite einloggen musst, aber diese ist dadurch auf jeden Fall besser geschützt.
Sichere WordPress-Webseite: Geht das?
Updates
Grundsätzlich ist WordPress relativ sicher, aber findige Kriminelle spüren dennoch immer wieder kleinste Sicherheitslücken auf und nutzen sie für ihre Zwecke aus. Das WordPress-Sicherheitsteam schließt solche Schwachstellen schnellstmöglich, indem es aktuelle Updates bereitstellt. Ähnlich verhält es sich mit den von externen Programmierern bereitgestellten Plugins und Themes. Es ist ein ewiger Wettlauf zwischen den Guten und Bösen – für Dich bedeutet das, dass du WordPress und die Plugins und Themes immer auf dem neuesten Stand halten solltest, um das Risiko zu minimieren, dass die Seite Schaden nimmt. Wenn Dir das zu aufwendig erscheint, hilft WordPress-Profi Dir mit günstigen Paketen zur WordPress-Wartung gerne weiter. Damit musst Du Dich um nichts kümmern und Deine Seite bleibt immer up to date und bestens geschützt.
Sicherheits-Plugins
Möchtest Du die Sicherheit Deiner Webseite selbst in die Hand nehmen, ist ein gutes WordPress-Sicherheit Plugin das A und O. WordFence Security ist zum Beispiel ein Plugin, das Deine Webseite aktiv überwacht, mit einer Firewall schützt und regelmäßig auf Malware scannt. Auch SecuPress und Security Ninja sind leistungsstarke Tools, die die Sicherheit Deiner Webseite erhöhen.
WordPress sicher installieren
Um WordPress sicher zu installieren, solltest Du zunächst einen vertrauensvollen Hosting-Anbieter auswählen. Namhafte Hoster treffen bereits viele Sicherheitsvorkehrungen, um ihre Server bestmöglich vor Hackerangriffen und Malware zu schützen. Wir empfehlen Dir einen deutschen Hoster, weil Du dann auch deutschsprachigen Support erwarten kannst und Deine Webseite nebenbei von kürzeren Ladezeiten profitiert. Auch WordPress Profi bietet Dir hier ein Webhosting an. Bei der WordPress-Installation solltest Du des Weiteren, wie oben bereits erwähnt, auf eine klug gewählte Kombination aus Benutzernamen und Passwort setzen. Installiere außerdem nicht zu viele Plugins, denn jedes Plugin bietet Angriffsfläche und enthält möglicherweise Sicherheitslücken. Damit WordPress sicher bleibt, sind regelmäßige Sicherheitsupdates für das CMS sowie die Themes und Plugins essentiell.
Regelmäßige Backups
Es ist wichtig, die WordPress-Sicherheitslücken bestmöglich zu schließen, aber noch besser ist es, für den Fall einer lahmgelegten Webseite ein Backup in der Hinterhand zu haben. Das spielst Du dann einfach ein und Deine Seite erscheint wieder so, wie vor dem Cyber-Angriff. Der Angriff kann auch schon eine Weile vor der Aktivierung der Schadsoftware erfolgt sein, weswegen die Backups mindestens ein paar Wochen aufbewahrt werden sollten.
Ein Maximum an Sicherheit gewährleisten Dir tägliche Backups, die Du idealerweise nicht ausschließlich auf Deinem Server abspeichern solltest. Dieser kann schließlich bei einem Angriff ebenfalls von Schadsoftware verunreinigt werden. Speichere ein Backup also immer auch extern ab, zum Beispiel online auf einem anderen Server oder in der Cloud, um im Bedarfsfall auf eine funktionierende Version Deiner Seite zurückgreifen zu können. Bei vielen Problemen hilft Dir bei WordPress auch ein abgesicherter Modus, in dem WordPress ohne potenziell von Schadcode infizierten Themes und Plugins dargestellt wird.
SSL-Verschlüsselung nutzen
Um WordPress zu schützen, solltest Du ein SSL-Sicherheitszertifikat nutzen, das Deine Daten verschlüsselt. Bei SSL (Secure Sockets Layer) bzw. der aktuelleren Variante TLS (Transport Layer Security) handelt es sich um einen Code, der Deinen Traffic verschlüsselt und verhindert, dass Unbefugte sensible Informationen abgreifen. TLS-Zertifikate finden bei der HTTPS-Verbindung Anwendung, die durch ein grünes Schloss neben der URL in der Adresszeile des Browsers gekennzeichnet ist. Möchtest Du Dein WordPress nicht ständig selbst pflegen und auf Sicherheitslecks überprüfen, übernehmen wir das gerne mit unseren günstigen Bodyguard-Paketen für Dich.
Den eigenen PC schützen und sichere Verbindungen nutzen
Möchtest Du WordPress sicher machen, solltest Du in diesem Zusammenhang auch an den Schutz Deines Computers denken. Es besteht nämlich die Möglichkeit, mit Schadcode infizierte Dateien von Deinem PC auf Deine Webseite zu übertragen und diese somit zu infizieren. Wer seine Website sicher machen möchte, fängt deshalb schon beim PC an und schützt diesen mit einem leistungsstarken Anti-Viren-Programm. Ein potenzielles Sicherheitsrisiko stellen natürlich auch die Datenverbindungen dar. Das File Transfer Protocol (FTP) ist hier der Standard, bietet aber nur einen mäßigen Sicherheitsschutz. Achte darauf, dass Dein Hosting Anbieter SFTP (Secure File Transfer Protocol) bzw. das SSH-Datenübertragungsprotokoll verwendet, um Deine Daten bestmöglich zu schützen.
Datei- und Serverberechtigungen einstellen
Über die Dateiberechtigungen, die sich in Lese-, Schreib- und Ausführungsberechtigungen unterteilen, ist der Zugriff auf Deine Dateien festgelegt. Um WordPress vor Hackern zu schützen, sollten diese Berechtigungen nicht zu nachlässig eingestellt sein. Mithilfe von kostenfreien Tools wie iThemes Security kannst Du die Berechtigungen auf Deiner Seite ansehen und gegebenenfalls abändern.
Erhöhung der Datenbanksicherheit
Die Datenbanksicherheit kannst Du mit verschiedenen Methoden erhöhen. Eine davon ist die Nutzung eines sicheren Datenbanknamens. Üblicherweise ist der Datenbankname eng verwandt mit deinem Webseiten-Titel, was im Sinne der Sicherheit jedoch nicht optimal ist. Ändere den Datenbanknamen deshalb so ab, dass er nicht mehr in direkter Verbindung mit dem Webseiten-Titel steht.
WordPress-Sicherheit testen
Du kannst die Sicherheit Deiner Website auch regelmäßig selbst testen. Das Online-Tool wpRecon kann zum Beispiel einen WordPress Security Scan durchführen und potenzielle Sicherheitslücken aufzeigen. So bekommst Du Anhaltspunkte über die Schwachstellen Deiner Seite und kannst diese gezielt beseitigen.