WordPress ist extrem beliebt und wird millionenfach als Content-Management-System (CMS) eingesetzt. Gerade deshalb sollten Sie unbedingt auf die WordPress-Sicherheit setzen. Ansonsten haben Angreifende ein leichtes Spiel, manipulieren Ihre Website oder stehlen brisante Daten. Hier erfahren Sie, wie Sie Ihre WordPress-Sicherheit steigern und damit das CMS sicherer machen.
Ist WordPress sicher?
Ja, grundsätzlich ist WordPress sicher. Trotzdem sollten Sie kontinuierlich die WordPress-Sicherheit erhöhen und Sicherheitslücken in Ihrer Website schnellstmöglich schließen. Denn aufgrund seiner Popularität sind WordPress-Websites bei Hackern und Hackerinnen sehr beliebt. Sie versuchen zuerst, einfache Opfer zu finden.
Ein Beispiel: Alleine Wordfence, ein Hersteller von WordPress-Sicherheit-Plugins, blockierte im Jahr 2022 über 159 Milliarden Credential-Stuffing-Attacken. Das sind nicht die einzigen Gefahrenquellen: Laut dem The Wordfence 2022 State of WordPress Security Report nutzen Angreifer und Angreiferinnen am liebsten XSS (Cross-Site-Scripting) für ihre WordPress-Hacker-Angriffe.
Angriffsarten: Wie wird WordPress angegriffen?
Es gibt verschiedene WordPress-Angriffsarten. Die Hacker und Hackerinnen nutzen dabei in der Regel Sicherheitslücken aus, um danach verschiedene Aktionen auszuführen. Hier ein paar Beispiele:
Cross-Site-Scripting
Beim Cross-Site-Scripting (XSS) schleusen Angreifende bösartige Codes in eine Website ein. Dieser manipulierte Code wird dann von Besuchenden der Seite ausgeführt. Damit können die Hacker und Hackerinnen unter anderem Passwörter abgreifen.
SQL-Injection
Diese Angriffsart nutzt Sicherheitsprobleme in der SQL-Datenbank aus, womit die Hacker und Hackerinnen Daten stehlen oder manipulieren können.
DDoS-Angriffe
Bei Distributed Denial-of-Service Attacken, kurz DDoS, wird ein WordPress-System mit Anfragen überlastet, damit es am Ende nicht mehr funktioniert. Das Ergebnis: Die WordPress-Webseite ist down.
Brute-Force-Angriffe
Bei einem WordPress-Brute-Force-Angriff versuchen Bots, sich in Ihr Dashboard einzuloggen. Meist nutzen sie dazu hunderte oder gar tausende gestohlene Login-Daten und Passwörter und versuchen durch automatisiertes, wahlloses Ausprobieren Ihr Passwort herauszufinden.
Gelingt es einem Bot, Ihr Passwort zu entschlüsseln, können sich Hacker und Hackerinnen in Ihr WordPress-System einloggen und so Zugang zu Ihrem Admin-Bereich und damit zu Ihren passwortgeschützten Seiten erhalten. Cyberkriminelle sind mit dieser Methode leicht in der Lage, Zehntausende Websites an einem einzigen Tag mit WordPress-Brute-Force-Angriffen zu beeinträchtigen.
Welche Schwachstellen hat WordPress?
Wie jede Software hat auch WordPress jede Menge Schwachstellen und Lücken, die von Hackern und Hackerinnen ausgenutzt werden können.
Zum einen finden sich diese im Quellcode des WordPress-CMS. Zum anderen können auch die Themes (die Designvorlagen) und die WordPress-Plugins (die Erweiterungen) die Sicherheit beeinträchtigen.
Auch Ihr Host kann ein Einfallstor für WordPress-Hack-Angriffe sein. Und zuletzt sind Kolleginnen und Kollegen sowie externe Dienstleistende, die zusammen mit Ihnen ein WordPress-System nutzen, eine potenzielle Gefahrenquelle.
Dementsprechend sollten Sie das Thema WordPress-Sicherheit holistisch betrachten und dauerhaft eine Vielzahl an Maßnahmen ergreifen. Nur so können Sie WordPress richtig absichern.
Woran erkennen Sie WordPress-Angriffe?
Als Laie oder Laiin erkennen Sie unter Umständen nur schwer bis gar nicht, dass Ihre WordPress-Seite gehackt wurde. Denn nur wenige Hacker und Hackerinnen haben destruktive Absichten. Viele Angreifer und Angreiferinnen agieren gerne im Verborgenen, um Ihre Website zu infiltrieren und langfristig Daten zu stehlen. Dieses Vorgehen ist oft lukrativer, da sich Informationen oder Dateien zu guten Preisen verkaufen lassen.
Hinweise, dass Ihr WordPress erfolgreich angegriffen wurde, sind zum Beispiel:
- Ihre Website ist über längere Zeit extrem langsam.
- Die Website rankt nicht mehr bei Google.
- Auf Ihrer Website erscheinen Inhalte, die nicht von Ihnen sind.
- Es gibt auf Ihrer Website plötzlich Links zu dubiosen Inhalten.
- Sie können sich nicht mehr als WP-Admin einloggen.
- WordPress-Sicherheit-Plugins schlagen Alarm.
13 WordPress-Tipps, um sich vor Angriffen zu schützen
Da Ihre Website der virtuelle Dreh- und Angelpunkt Ihres Unternehmens ist, ist es essenziell, dass Sie sie gut schützen. Denn im schlimmsten Fall müssen Sie Ihre Website nach einem Angriff komplett neu aufsetzen.
Wir haben aber gute Nachrichten für Sie: Auch als IT-Laie bzw. IT-Laiin ist es möglich, mit gezielten Vorkehrungen die Sicherheit Ihrer digitalen Präsenz zu gewährleisten. Die nachfolgenden Tipps helfen Ihnen dabei, Ihr WordPress-System gut abzusichern.
Tipp1: Die neueste Version bietet die meiste Sicherheit
Generell ist WordPress ein sicheres Content-Management-System. Bei der Verwendung von veralteten WordPress-Versionen lassen sich WordPress-Seiten jedoch leicht kapern. Deshalb sollten Sie immer darauf achten, WordPress auf dem neuesten Stand einzusetzen.
So wurde beispielsweise im Jahre 2012 die Website der Nachrichtenagentur Reuters gehackt, da sie eine veraltete Version von WordPress verwendete. Dadurch konnten Hacker und Hackerinnen gefälschte Berichte auf der Seite platzieren. Reuters musste daraufhin die Nachrichtenseite für kurze Zeit vom Netz nehmen und die Fake News entfernen.
Tipp 2: Starke Passwörter verwenden
Starke Passwörter erhöhen die Sicherheit. Zu diesem Zweck bietet WordPress einen Passwort-Generator. Damit können Sie bequem ein starkes Passwort erstellen. Alternativ verwenden Sie auch ein spezielles Programm für die Passwortsicherheit, wie Keepass.
Tipp 3: Anzahl der Logins beschränken
Sie können mithilfe eines Sicherheit-Plugins wie WP Limit Login Attempts die Anzahl der Login-Versuche beschränken. So dämmen Sie Brute-Force-Attacken zielgerichtet ein. Dieses Plugin bietet überdies die Möglichkeit, Sie per E-Mail über fehlgeschlagene Login-Versuche zu informieren.
Tipp 4: WP-Admin-Seite verschieben
Sie können Ihre Login-Seite mit dem einem speziellen WordPress-Plugin auch direkt verbergen. Sie erhalten anstatt der üblichen Login-URL https://beispiel.com/wp-login.php eine andere Zugangs-URL wie https://beispiel.com/login.
Tipp 5: Admin-Seite umbenennen
Eine weitere Option: Sie benennen den WordPress-Admin-Bereich um. Wie gerade erwähnt, ist der Admin-Bereich standardmäßig unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, können Sie den Bereich mit einem passenden Plugin einen anderen Namen geben. Beispielsweise ist der Admin-Bereich dann unter www.meineseite.de/meine-anmeldung erreichbar.
Tipp 6: Anti-Brute-Force-Plugins einsetzen
Es gibt WordPress-Sicherheit-Plugins, die sich auf Brute-Force-Angriffe spezialisieren. Sie blockieren automatisch eine IP-Adresse für eine bestimmte Zeit, wenn sich diese mit falschem Benutzerin- bzw. Benutzernamen und Passwort einloggen möchte.
Tipp 7: WordPress über Server absichern
Eine weitere gute Methode, um den WordPress Login-Bereich abzusichern, ist ein serverseitiger Schutz. Hierbei wird die Anmeldeseite durch spezielle Benutzerinnen- bzw. Benutzernamen und sichere Passwörter geschützt.
Der Nachteil ist, dass Sie sich bei diesem Vorgehen zusätzliche Login-Daten merken müssen. Jedoch bietet diese Taktik einen besonders hohen Schutz vor Brute-Force-Attacken und ist daher eine Überlegung wert.
Tipp 8: WordPress mit Wordfence sicherer machen
Mit Millionen von Downloads ist Wordfence Security eines der beliebtesten WordPress-Sicherheit-Plugins, da es mehrere Funktionen anderer Plugins in einer Oberfläche vereint.
Das funktioniert so: Das Plugin scannt die Website auf Schwachstellen und benachrichtigt Anwendende bei verdächtigen Aktivitäten per E-Mail. Außerdem bietet es als erweiterte Login-Sicherheitsmaßnahme die doppelte Authentifizierung und kann Brute-Force-Angriffe stoppen. Wordfence ist kostenlos. Es gibt aber auch eine kostenpflichtige Premium-Version, die erweiterte Features und einen persönlichen Support bietet.
Tipp 9: Sichere Themes auswählen
Damit sichergestellt ist, dass Ihr WordPress-Theme frei von Malware ist, sollten Sie Themes und Templates nur über die offiziellen WordPress-Quellen und etablierte Anbietende beziehen, die Nutzerbewertungen aufführen. Ebenso ist es für Ihre WordPress-Sicherheit wichtig, Ihr Theme regelmäßig upzudaten.
Tipp 10: Den richtigen WordPress-Quellen vertrauen
Es ist ebenfalls wichtig, Erweiterungen nicht aus unbekannten Quellen oder Portalen zu beziehen. Die offiziellen WordPress-Quellen sind hier definitiv die sicherste Option. Dort finden Sie zudem viele nützliche Informationen, wie beispielsweise die Beurteilungen der Plugins von anderen Nutzenden.
Tipp 11: Den eigenen PC absichern
Auch die Sicherheit der Computer und Geräte, mit denen Sie Ihr WordPress nutzen, ist eminent wichtig. Sind Ihre Systeme unsicher oder gar schon kompromittiert, wirkt sich das negativ auf Ihre WordPress-Sicherheit aus.
Tipp 12: Schulen Sie alle WordPress-User und -Userinnen
Eine Gefahr, die gerne vergessen wird, sind die WordPress-Nutzenden selbst. Wer unachtsam ist, öffnet Angreifenden vielleicht Tür und Tor. Eine relevante IT-Security-Maßnahme ist somit die Schulung aller WP-User und -Userinnen, damit diese keinen Schaden anrichten.
Tipp 13: WordPress-Sicherheit-Service nutzen
WordPress bietet von Haus aus einen Sicherheit-Service an. So erinnert einen das CMS daran, regelmäßige Updates für veraltete Themes und Plugins durchzuführen. Zudem gibt es die Funktion, alle Erweiterungen automatisch auf den aktuellsten Stand zu bringen. Aktivieren Sie diese Features, um Ihre WordPress-Sicherheit zu erhöhen. Auch interne Funktionen prüfen Fehler und die WordPress-Sicherheit.
Soll ich meine WordPress-Seite von einem Profi absichern lassen?
Jeden Tag werden Millionen Websites gehackt. Ein typisches Hacking-Beispiel ist der Datenklau. Hierbei versucht ein Angreifer oder eine Angreiferin, sensible Daten und Dateien von Ihrer Seite und Ihren Besuchern bzw. Besucherinnen zu stehlen. Das können sowohl E-Mail-Adressen als auch Bankdaten sein. Der Hacker oder die Hackerin kann beispielsweise ein falsches Formular auf Ihrer Seite platzieren und so sensible Daten abfangen.
Deshalb ist es wichtig, dass Sie sich mit dem Thema WordPress-Sicherheit befassen, denn es kann sehr aufwendig sein, eine zerstörte WordPress-Installation wiederherzustellen. Meist bleibt nur die Möglichkeit, die Website komplett neu aufzusetzen.
Daher kann es sinnvoll sein, Ihre WordPress-Website von professionellen Dienstleistenden abzusichern, beispielsweise wenn Ihnen die Zeit für regelmäßige Sicherheitsupdates fehlt, weil Sie sich auf Ihre Kernkompetenzen im Tagesgeschäft konzentrieren möchten.
Um passende IT-Dienstleistende zu finden, können Sie sich in Ihrer Branche umhören. Leistet ein IT-Support gute Arbeit, empfehlen ihn in der Regel andere Unternehmen weiter. Zusätzlich können Sie auch über Google nach einem geeigneten Partner oder einer geeigneten Partnerin für Ihr Unternehmen suchen und sich an guten Bewertungen orientieren.
Sind Sie zu WordPress-Sicherheit verpflichtet?
Ja. Als Website-Betreiber bzw. -Betreiberin sollten Sie immer den Schutz Ihrer Daten, Dateien und Inhalte im Sinn haben. Unternehmen sind zudem nach verschiedenen Regularien verpflichtet, IT-Systeme wie auch eingesetzte Software nach dem aktuellen Stand der Technik abzusichern, um so die Sicherheit Ihrer Dateien zu gewährleisten.
Fazit: WordPress-Sicherheit prüfen und verbessern
Es ist recht einfach, eine neue Website mit WordPress umzusetzen. Doch damit ist Ihre Arbeit nicht getan: Aufgrund der wachsenden Cyber-Bedrohungen müssen Sie Ihr WordPress absichern.
Dazu gehört zum einen, Ihr WordPress-System zu überprüfen und sukzessive mit mehreren Maßnahmen die WordPress-Sicherheit insgesamt zu verbessern. Das ist oft gar nicht so schwer, wie es klingt.
Wenn Sie Ihre WordPress-Seite aktuell halten und die Plugins sorgfältig auswählen, haben Sie schon viel gewonnen. Ein abgesicherter Admin-Bereich sowie die Verwendung von sicheren Passwörtern stellen die Weichen für eine sichere Webpräsenz. Betreiben Sie eine Unternehmenswebseite mit WordPress, sind Security-Plugins wie Wordfence sicherlich eine Überlegung wert.
Titelbild: WebFactory Ltd / Unsplash