Wie du deine WordPress Website sicherer machst

Wie du deine WordPress Website sicherer machst

WordPress ist das meistgenutzte Content-Management-System der Welt. Das zeigt, wie großartig es ist, macht es aber auch zum beliebten Ziel für Angriffe aller Art. Nach der Installation und Einrichtung solltest du dich noch nicht entspannt zurücklehnen, sondern mit den nachfolgenden Schritten schauen, ob du bei deinem WordPress noch etwas optimieren kannst:

1. Sicheres Passwort wählen

Vergib unbedingt ein sicheres (=langes, komplexes) Administrator Passwort! Lass dies am beste von deinem Browser generieren und notfalls speichern. Und wie immer gilt: Nutze nicht überall das gleiche Passwort 🙂 Sonst ist vielleicht neben WordPress auch noch gleich dein E-Mail-Postfach und dein Facebook Account gehackt.

Suche dir zugleich am besten schon bei der WordPress Installation einen persönlichen Benutzernamen aus (statt dem Standard admin) und lösche nachträglich den admin Nutzer, falls er doch schon angelegt wurde. 

2. Plugins, Themes und WordPress selbst aktuell halten:

Die meisten Angriffe werden durch veraltete Plugins und Themes (oder zu einfache Passworte) möglich gemacht. Um hier immer auf dem neuesten Stand zu sein, solltest du nicht nur WordPress, sondern auch alle installierten Erweiterungen sehr regelmäßig aktualisieren. Falls du hier eine bequeme Lösung möchtest, kann ich dir das kostenlose Plugin „Easy Updates Manager“ sehr empfehlen. Hier kannst du genau einstellen, was alles automatisch aktualisiert werden soll (sobald es eine neue Version gibt) und was du lieber selbst händisch aktualisieren möchtest. Bei einigen Aktualisierungen empfiehlt es sich nämlich trotz der Sicherheit, noch ein wenig abzuwarten – z.B. falls für eine neue WordPress Version noch nicht alle Plugins kompatibel sind und somit noch gar nicht mit der neuen Version funktionieren würden.

3. Anzahl an installierten Plugins minimieren:

Installiere nur die Plugins, die du auch wirklich benötigst. Deinstalliere Plugins unbedingt, wenn sie dir nicht mehr länger dienen (nur deaktivieren reicht hier übrigens nicht, denn dann bleiben die Dateien trotzdem auf deinem Server). Und achte auch darauf, dass du dir keine WordPress Plugins einfach irgendwo herunterlädst, sondern installiere sie wenn möglich über den Plugins -> Installieren Menüpunkt deines Dashboards. Hier kannst du zudem schauen, wie häufig das Plugin im Einsatz ist und wann es zuletzt aktualisiert wurde:

Plugin Nutzung

Bei uralten, wenig genutzten Plugins ist ggf. Vorsicht geboten, gerade da sie vermutlich nicht mehr den neuesten Sicherheitsstandards entsprechen.

4. Ein Backup einrichten:

Damit du für den Fall der Fälle – falls die Seite doch gehackt wurde oder etwas bei einem Update schief gelaufen ist – abgesichert bist, empfehle ich dir, mind. 1x pro Woche ein automatisches Update machen zu lassen. Hierfür kannst du z.B. Updraft Plus oder BackWPup (ruhig in der kostenlosen Version) nutzen. Du musst einmal einstellen, wie häufig und wohin welche Daten gesichert werden sollen und wie viele Versionen beibehalten werde sollen und schon bis du fertig! Es ist nicht unbedingt notwendig, mehr als eine handvoll Versionen auf dem Server zu speichern, da diese meist auch mehrere hundert MB umfassen und du vermutlich nicht unendlich viel Speicherplatz zur Verfügung hast.

5. Sicherheits Plugins installieren:

Auch wenn du alles andere berücksichtigst, machen die folgenden Sicherheitsplugins Sinn:

  • Ninja Firewall, iThemes Security oder Wordfence Security um generelle Attacken auf deine Website zu verhindern (hier reicht jeweils die kostenlose Version für den normalen Schutz erstmal aus). Wenn ein schädliches Script z.B. mehrmals hintereinander versucht, sich als Administrator auf deiner Seite einzuloggen, wird der Account vorsichtshalber eine zeitlang blockiert. Die IP-Adresse der Nutzer wird durch diese Plugins evtl. mitgeloggt, sodass ein entsprechender Hinweis in deiner Datenschutzerklärung erfolgen sollte.
  • WPS Hide Login oder Loginizer – falls man den Adminbereich nicht über die Standard Adresse /wp-login und /wp-admin erreichbar machen möchte. Hilft gegen automatisierte Hackerattacken.

 

6. PHP Version aktuell halten:

Bei deinem Hoster kannst du in der Regel einstellen, welche PHP Version für deine Website genutzt werden soll. WordPress selbst zeigt mittlerweile bei veralteten Vesionen einen Warnhinweis im Backend an – spätestens dann ist es höchste Zeit, deine Seite auf die neueste PHP Version umzustellen. Solltest du hierbei Schwierigkeiten haben, kontaktiere am besten deinen Hoster. Bei all-inkl.com kannst du es nach dem Login in die Verwaltung über all-inkl.com/kas beim Menüpunkt Domain einstellen: PHP Version aktualisieren

Mit diesen wenigen Schritten hast du die Sicherheit deines WordPress schon sehr erhöht. Lass gern einen Kommentar hier, wenn du noch weitere Tipps oder Fragen hast 🙂