Das weltweit beliebte Content-Management-System WordPress zeichnet sich vor allem durch hohe Benutzerfreundlichkeit und Anpassbarkeit aus. Doch aufgepasst – auch WordPress-Seiten können gehackt werden. Brute-Force-Attacken sind dabei die häufigste Angriffsart. Das IT-Sicherheitsunternehmen Sucuri zählte allein im Jahr 2019 1,3 Millionen solcher Angriffe.

Download: Arbeitsmappe für die Neugestaltung Ihrer Website

In diesem Artikel erfahren Sie, was genau ein Brute-Force-Angriff ist und wie Sie Ihre WordPress-Seite mit ein paar einfachen Schritten schützen können.

Was passiert bei einem Brute-Force-Angriff?

Bei einem Brute-Force-Angriff versuchen Bots, sich in Ihr WordPress-Dashboard einzuloggen. Meist nutzen sie dazu hunderte oder gar tausende gestohlene Login-Daten und Passwörter und versuchen durch automatisiertes, wahlloses Ausprobieren, Ihr Passwort herauszufinden.

Gelingt es einem Bot, Ihr Passwort zu entschlüsseln, können sich Hacker in Ihr WordPress-System einloggen und so Zugang zu Ihrem Admin-Bereich und damit zu Ihren passwortgeschützten Seiten erhalten. Hacker sind mit dieser Methode leicht in der Lage, bis zu 30.000 Websites an einem einzigen Tag mit Brute-Force-Angriffen zu beeinträchtigen.
 

Mit den richtigen Schritten WordPress-Sicherheit erhöhen

Da Ihre Website der virtuelle Dreh- und Angelpunkt Ihres Unternehmens ist, ist es essenziell, dass Sie sie gut schützen. Denn im schlimmsten Fall müssten Sie nach einem Hacker-Angriff Ihre Website komplett neu aufsetzen. Wir haben aber gute Nachrichten für Sie: Auch als IT-Laie ist es möglich, mit gezielten Vorkehrungen die Sicherheit Ihrer digitalen Präsenz zu gewährleisten. Die nachfolgenden Hinweise helfen Ihnen dabei, Ihr WordPress-System gut abzusichern.

Aktuelle WordPress-Versionen bieten die meiste Sicherheit

Generell ist WordPress ein sicheres Content-Management-System. Bei der Verwendung von veralteten WordPress-Versionen oder der Deaktivierung von wichtigen Plugins können WordPress-Seiten jedoch leicht gekapert werden.

So wurde beispielsweise im Jahre 2012 die Website der Nachrichtenagentur Reuters gehackt, da sie eine veraltete Version von WordPress verwendete. Dadurch konnten Hacker gefälschte Berichte auf der Seite platzieren. Reuters musste daraufhin die Nachrichtenseite für kurze Zeit vom Netz nehmen und die Fake News entfernen.

WordPress-Sicherheit: Plugins schützen Sie

  • Starke Passwörter erhöhen die Sicherheit. Zu diesem Zweck bietet WordPress einen Passwort-Generator. Damit können Sie bequem ein starkes Passwort erstellen lassen. Alternativ können Sie auch ein spezielles Programm für die Passwortsicherheit wie Keepass verwenden.

  • Sie können mithilfe eines Sicherheits-Plugins wie WP Limit Login Attempts die Anzahl der Login-Versuche eingrenzen. So dämmen Sie Brute-Force-Attacken zielgerichtet ein. Dieses Plugin bietet überdies die Möglichkeit, Sie per E-Mail über fehlgeschlagene Login-Versuche zu informieren. 

  • Zusätzlich können Sie Ihre Login-Seite mit dem Plugin Move Login auch direkt verbergen. Sie erhalten anstatt der üblichen Login-URL https://beispiel.com/wp-login.php eine andere Zugangs-URL wie https://beispiel.com/login

  • Sie können auch den WordPress-Admin-Bereich umbenennen. Standardmäßig ist der Admin-Bereich unter www.meineseite.de/wp-admin erreichbar. Um diesen Zugang zu schützen, können Sie den Bereich mit dem Plugin Rename wp-login.php umbenennen. Beispielsweise ist der Admin-Bereich dann unter www.meineseite.de/meine-anmeldung erreichbar. 

  • Das Plugin Brute Force Login Protection ist auf Brute-Force-Angriffe spezialisiert und blockiert automatisch eine IP-Adresse für eine bestimmte Zeit, wenn diese sich mit falschem Benutzernamen und Passwort einloggen möchte.

Tipp: Eine weitere gute Methode, um den Login-Bereich abzusichern, ist ein serverseitiger Schutz. Hierbei wird die Anmeldeseite durch Benutzername und Passwort geschützt. Der Nachteil ist, dass Sie sich bei diesem Vorgehen zusätzliche Login-Daten merken müssen. Jedoch bietet diese Taktik einen besonders hohen Schutz vor Brute-Force-Attacken und ist daher eine Überlegung wert.

WordPress mit Wordfence absichern

Mit mehr als 22 Millionen Downloads ist Wordfence Security eines der beliebtesten WordPress-Sicherheits-Plugins. Es vereint mehrere Funktionen anderer Plugins in einer Oberfläche.

In 30 Tagen blockiert Wordfence weltweit mehr als 30 Milliarden Hacker-Angriffe. So sorgt die Erweiterung effektiv für die Sicherung von Webseiten. Das funktioniert so: Das Plugin scannt die Website auf Schwachstellen und benachrichtigt den Anwender bei verdächtigen Aktivitäten per E-Mail. Außerdem bietet es als erweiterte Login-Sicherheitsmaßnahme die doppelte Authentifizierung und kann Brute-Force-Angriffe stoppen.

Wordfence ist kostenlos. Es gibt aber auch eine kostenpflichtige Premium-Version, die erweiterte Features und einen persönlichen Support bietet.

Sichere Themes auswählen

Damit sichergestellt ist, dass Ihr Wordpress-Theme frei von Malware ist, sollten Sie Themes und Templates nur über die offiziellen WordPress-Quellen und etablierte Anbieter beziehen, die Nutzerbewertungen aufführen.

Den richtigen WordPress-Quellen vertrauen

Es ist ebenfalls wichtig, Erweiterungen nicht aus unbekannten Quellen oder Portalen zu beziehen. Die offiziellen WordPress-Quellen sind hier definitiv die sicherere Option. Dort finden Sie zudem viele nützliche Informationen, wie beispielsweise die Beurteilungen bestimmter Plugins von anderen Nutzern.

Den eigenen PC ebenfalls absichern

Bitte beachten Sie, dass die Sicherheit am lokalen PC bei der Abwehr von Hacker-Angriffen ebenso eine wichtige Rolle spielt. Auch Ihre Betriebssysteme und Ihre Software müssen auf dem aktuellen Stand sein. Denn die WordPress Sicherheit nützt wenig, wenn am heimischen PC per Trojaner Daten ausgelesen werden können.

Soll ich meine WordPress-Seite von einem Profi absichern lassen?

Laut Internet Live Stats werden jeden Tag weit über 100.000 Websites gehackt. Ein typisches Hacking-Beispiel ist der Datenklau. Hierbei versucht ein Angreifer, sensible Daten von Ihrer Seite und Ihren Besuchern zu stehlen. Das können sowohl E-Mail-Adressen als auch Bankdaten sein. Der Hacker kann beispielsweise ein falsches Formular auf Ihrer Seite platzieren und so sensible Daten abfangen.

Deshalb ist es wichtig, dass Sie sich mit dem Thema WordPress-Sicherheit befassen, denn es kann sehr aufwendig sein, eine zerstörte WordPress-Installation wiederherzustellen. Meist bleibt nur die Möglichkeit, die Website komplett neu aufzusetzen. Daher kann es sinnvoll sein, Ihre WordPress-Website von einem professionellen Dienstleister absichern zu lassen, beispielsweise wenn Ihnen die Zeit für regelmäßige Sicherheitsupdates fehlt, weil Sie sich auf Ihre Kernkompetenzen im Tagesgeschäft konzentrieren möchten.

Um einen passenden IT-Dienstleister zu finden, können Sie sich in Ihrer Branche umhören. Leistet ein IT-Support gute Arbeit, empfehlen ihn in der Regel andere Unternehmen weiter. Zusätzlich können Sie auch über Google nach einem geeigneten Partner für Ihr Unternehmen suchen und sich an guten Bewertungen orientieren.

Wenn Sie Ihre WordPress-Seite aktuell halten und die Plugins sorgfältig auswählen, haben Sie schon viel gewonnen. Ein abgesicherter Admin-Bereich sowie die Verwendung von sicheren Passwörtern stellen die Weichen für eine sichere Webpräsenz. Betreiben Sie eine Unternehmenswebseite mit WordPress, sind die umfassenden Angebote von Plugins wie Wordfence sicherlich eine Überlegung wert.

New call-to-action

Titelbild: WebFactory Ltd / Unsplash

Ursprünglich veröffentlicht am 28. April 2020, aktualisiert am April 28 2020

Themen:

Wordpress