WordPress ist das meistgenutzte Content-Management-System der Welt. Das zeigt, wie großartig es ist, macht es aber auch zum beliebten Ziel für Angriffe aller Art. Nach der Installation und Einrichtung solltest du dich noch nicht entspannt zurücklehnen, sondern mit den nachfolgenden Schritten schauen, ob du bei deinem WordPress noch etwas optimieren kannst:
Sicheres Passwort wählen
Vergib unbedingt ein sicheres (=langes, komplexes) Administrator Passwort! Lass dies am beste von deinem Browser generieren und notfalls speichern. Und wie immer gilt: Nutze nicht überall das gleiche Passwort 🙂 Sonst ist vielleicht neben WordPress auch noch gleich dein E-Mail-Postfach und dein Facebook Account gehackt.
Suche dir zugleich am besten schon bei der WordPress Installation einen persönlichen Benutzernamen aus (statt dem Standard admin) und lösche nachträglich den admin Nutzer, falls er doch schon angelegt wurde.
Plugins, Themes und WordPress selbst aktuell halten
Die meisten Angriffe werden durch veraltete Plugins und Themes (oder zu einfache Passworte) möglich gemacht. Um hier immer auf dem neuesten Stand zu sein, solltest du nicht nur WordPress, sondern auch alle installierten Erweiterungen sehr regelmäßig, am besten alle 2-4 Wochen, aktualisieren. Falls du hier eine bequeme Lösung möchtest, kann ich dir das kostenlose Plugin „Easy Updates Manager“ sehr empfehlen. Hier kannst du genau einstellen, was alles automatisch aktualisiert werden soll (sobald es eine neue Version gibt) und was du lieber selbst händisch aktualisieren möchtest. Bei einigen Aktualisierungen empfiehlt es sich nämlich trotz der Sicherheit, noch ein wenig abzuwarten – z.B. falls für eine neue WordPress Version noch nicht alle Plugins kompatibel sind und somit noch gar nicht mit der neuen Version funktionieren würden.
Anzahl an installierten Plugins minimieren
Installiere nur die Plugins, die du auch wirklich benötigst. Deinstalliere Plugins unbedingt, wenn sie dir nicht mehr länger dienen (nur deaktivieren reicht hier übrigens nicht, denn dann bleiben die Dateien trotzdem auf deinem Server). Und achte auch darauf, dass du dir keine WordPress Plugins einfach irgendwo herunterlädst, sondern installiere sie wenn möglich über den Plugins -> Installieren Menüpunkt deines Dashboards. Hier kannst du zudem schauen, wie häufig das Plugin im Einsatz ist und wann es zuletzt aktualisiert wurde:
Bei uralten, wenig genutzten Plugins ist ggf. Vorsicht geboten, gerade da sie vermutlich nicht mehr den neuesten Sicherheitsstandards entsprechen.
Ein Backup einrichten
Damit du für den Fall der Fälle – falls die Seite doch gehackt wurde oder etwas bei einem Update schief gelaufen ist – abgesichert bist, empfehle ich dir, mind. 1x pro Woche ein automatisches Update machen zu lassen. Hierfür kannst du z.B. Updraft Plus oder BackWPup (ruhig in der kostenlosen Version) nutzen. Du musst einmal einstellen, wie häufig und wohin welche Daten gesichert werden sollen und wie viele Versionen beibehalten werde sollen und schon bis du fertig! Es ist nicht unbedingt notwendig, mehr als eine handvoll Versionen auf dem Server zu speichern, da diese meist auch mehrere hundert MB umfassen und du vermutlich nicht unendlich viel Speicherplatz zur Verfügung hast.
Sicherheits Plugins installieren
Auch wenn du alles andere berücksichtigst, machen die folgenden Sicherheitsplugins Sinn:
- Ninja Firewall, iThemes Security oder Wordfence Security um generelle Attacken auf deine Website zu verhindern (hier reicht jeweils die kostenlose Version für den normalen Schutz erstmal aus). Wenn ein schädliches Script z.B. mehrmals hintereinander versucht, sich als Administrator auf deiner Seite einzuloggen, wird der Account vorsichtshalber eine zeitlang blockiert. Die IP-Adresse der Nutzer wird durch diese Plugins evtl. mitgeloggt, sodass ein entsprechender Hinweis in deiner Datenschutzerklärung erfolgen sollte.
- WPS Hide Login oder Loginizer – falls man den Adminbereich nicht über die Standard Adresse /wp-login und /wp-admin erreichbar machen möchte. Hilft gegen automatisierte Hackerattacken.
PHP Version aktuell halten
Bei deinem Hoster kannst du in der Regel einstellen, welche PHP Version für deine Website genutzt werden soll. WordPress selbst zeigt mittlerweile bei veralteten Vesionen einen Warnhinweis im Backend an – spätestens dann ist es höchste Zeit, deine Seite auf die neueste PHP Version umzustellen. Solltest du hierbei Schwierigkeiten haben, kontaktiere am besten deinen Hoster. Bei all-inkl.com kannst du es nach dem Login in die Verwaltung über all-inkl.com/kas beim Menüpunkt Domain einstellen:
Mit diesen wenigen Schritten hast du die Sicherheit deines WordPress schon sehr erhöht. Lass gern einen Kommentar hier, wenn du noch weitere Tipps oder Fragen hast 🙂
0 Kommentare