WordPress ist mit einem Marktanteil von 44 Prozent aller Websites im Internet ein \u00e4u\u00dferst beliebtes Content-Management-System (CMS). Ich bin ja selber Nutzer… Leider macht es seine weite Verbreitung auch zu einem bevorzugten Ziel f\u00fcr Angreifer. H\u00e4ufige Angriffsszenarien umfassen Brute-Force-Attacken, SQL-Injection und das Ausf\u00fchren von Schadcode. Ohne ausreichenden Schutz k\u00f6nnen sensible Nutzerdaten kompromittiert werden, die Website in Suchergebnissen abrutschen (Abstrafung durch Google) oder im schlimmsten Fall der komplette Zugriff verloren gehen. Doch keine Sorge: Mit einfachen Ma\u00dfnahmen k\u00f6nnen Sie Ihre Website deutlich besser sch\u00fctzen.<\/p>\n\n\n\n
Hier sind die wichtigsten Schritte, um Ihre WordPress-Installation sicherer zu machen:<\/p>\n\n\n\n
\u2022 Plug-ins und Themes sorgf\u00e4ltig w\u00e4hlen und aktuell halten<\/p>\n\n\n\n
\u25e6 Drittanbieter-Erweiterungen sind oft das Problem: Themes und Plug-ins von Drittananbietern weisen immer wieder Sicherheitsl\u00fccken auf.<\/p>\n\n\n\n
\u25e6 Weniger ist mehr: Installieren Sie nur so wenige Plug-ins wie wirklich n\u00f6tig. Pr\u00fcfen Sie, ob sich Funktionen von Plug-ins \u00fcberschneiden.<\/p>\n\n\n\n
\u25e6 Regelm\u00e4\u00dfige Updates: Halten Sie installierte Erweiterungen stets auf dem neuesten Stand. \u00dcberpr\u00fcfen Sie im Dashboard unter „Plugins“, ob automatische Aktualisierungen aktiviert sind, aber beachten Sie, dass dies auch zu Konflikten f\u00fchren kann. Manuelle Updates sind ebenfalls m\u00f6glich.<\/p>\n\n\n\n
\u25e6 Seriosit\u00e4t pr\u00fcfen: Vor der Aktivierung eines neuen Plug-ins sollten Sie pr\u00fcfen, wer der Hersteller ist, ob es regelm\u00e4\u00dfig aktualisiert wird und wann das letzte Update erfolgte. Nutzerkommentare im offiziellen Verzeichnis auf wordpress.org geben Aufschluss \u00fcber Probleme.<\/p>\n\n\n\n
\u25e6 Vorsicht vor „Gratis“-Angeboten: Kostenlose oder „Premium“-Themes und Plug-ins aus inoffiziellen Quellen k\u00f6nnen mit Schadcode verseucht sein.<\/p>\n\n\n\n
\u25e6 Informiert bleiben: Verfolgen Sie Sicherheitsnews auf Plattformen wie heise security, WP Tavern und Sucuri Blog, um \u00fcber Schwachstellen auf dem Laufenden zu bleiben. Deaktivieren Sie Erweiterungen im Zweifel, bis ein Sicherheitsupdate verf\u00fcgbar ist.<\/p>\n\n\n\n
\u2022 Sicherer Server und Webspace<\/p>\n\n\n\n
\u25e6 Aktuelle Server-Software: Achten Sie darauf, dass auf dem Server, auf dem WordPress l\u00e4uft, nur stabile, sichere und aktuelle Software (z.B. eine aktuelle PHP-Version) eingesetzt wird.<\/p>\n\n\n\n
\u25e6 Seri\u00f6ser Hoster: Bei Webspace-Paketen k\u00fcmmert sich der Webhoster um Server-Updates und Sicherheit; w\u00e4hlen Sie einen Anbieter, der L\u00fccken schnell schlie\u00dft.<\/p>\n\n\n\n
\u25e6 HTTPS nutzen: Sichern Sie Ihre Website mit HTTPS ab, um Daten verschl\u00fcsselt zu \u00fcbertragen.<\/p>\n\n\n\n
\u25e6 SFTP statt FTP: Verwenden Sie f\u00fcr den Upload von Daten und dem CMS selbst SFTP (verschl\u00fcsselte FTP-Verbindung), da Passw\u00f6rter und andere Daten dabei verschl\u00fcsselt und nicht im Klartext \u00fcbertragen werden.<\/p>\n\n\n\n
\u25e6 Separate Datenbank: Jede WordPress-Installation sollte eine eigene Datenbank haben.<\/p>\n\n\n\n
\u25e6 Tabellen-Pr\u00e4fix \u00e4ndern: Verwenden Sie nicht das \u00fcbliche Tabellen-Pr\u00e4fix wp_. Eine \u00c4nderung kann einige SQL-Injection-Angriffe vereiteln.<\/p>\n\n\n\n
\u2022 Konto sch\u00fctzen und Rechte verwalten<\/p>\n\n\n\n
\u25e6 Starke Passw\u00f6rter: Sch\u00fctzen Sie Ihr Admin-Konto mit einem sicheren, kryptischen Passwort, das Sonderzeichen und Zahlen enth\u00e4lt.<\/p>\n\n\n\n
\u25e6 Nutzername nicht „Admin“: Der Nutzername des Admin-Accounts sollte keinesfalls „Admin“ lauten, da die meisten unerlaubten Login-Versuche auf diesen Namen abzielen.<\/p>\n\n\n\n
\u25e6 Minimale Rechtevergabe: Vergeben Sie bei der Benutzerverwaltung so wenig Rechte wie m\u00f6glich an „Redakteure“, „Autoren“ und „Mitarbeiter“. Ein Redakteur ben\u00f6tigt beispielsweise keinen Zugriff auf Plug-ins oder Einstellungen. Administrationsrechte sollten nur die Person erhalten, die tats\u00e4chlich f\u00fcr die Pflege verantwortlich ist.<\/p>\n\n\n\n
\u25e6 Admin-Account nur f\u00fcr Technik: Nutzen Sie den Admin-Account idealerweise nur f\u00fcr die technische Verwaltung und nicht zum Schreiben von Beitr\u00e4gen; richten Sie daf\u00fcr ein separates Nutzerkonto mit weniger Rechten ein.<\/p>\n\n\n\n
\u25e6 Ungenutztes entfernen: L\u00f6schen Sie verwaiste Accounts sowie ungenutzte Themes und Plug-ins, um die Angriffsfl\u00e4che zu verkleinern.<\/p>\n\n\n\n
\u25e6 Aktivit\u00e4ten verfolgen: Plug-ins wie „WP Activity Log“ oder „Simple History“ k\u00f6nnen helfen, \u00c4nderungen und Nutzeraktivit\u00e4ten nachzuvollziehen.<\/p>\n\n\n\n
\u2022 Brute-Force-Attacken abwehren<\/p>\n\n\n\n
\u25e6 Login-Versuche limitieren: WordPress erlaubt standardm\u00e4\u00dfig unbegrenzt viele Anmeldeversuche, was Brute-Force-Attacken (systematisches Ausprobieren von Passwort-Kombinationen) beg\u00fcnstigt.<\/p>\n\n\n\n
\u25e6 Plug-in nutzen: Das Plug-in „Limit Login Attempts Reloaded“ begrenzt die Anzahl der zul\u00e4ssigen Anmeldeversuche (z.B. „3 Versuche in 15 Minuten“) und sch\u00fctzt auch die XML-RPC-Schnittstelle.<\/p>\n\n\n\n
\u25e6 Login-URL \u00e4ndern: „WPS Hide Login“ ver\u00e4ndert die Standard-URL \/wp-login, um Angriffe zu erschweren (Security through Obscurity). Beachten Sie, dass dies keine alleinige Schutzma\u00dfnahme ist, da Angriffe \u00fcber die XML-RPC-Schnittstelle weiterhin m\u00f6glich sind.<\/p>\n\n\n\n
\u2022 Zwei-Faktor-Authentifizierung (2FA) einrichten<\/p>\n\n\n\n
\u25e6 Starker Zusatzschutz: 2FA wird von WordPress dringend empfohlen und bietet einen starken Schutz, da zus\u00e4tzlich zum Passwort ein zweiter Faktor zur Anmeldung n\u00f6tig ist.<\/p>\n\n\n\n
\u25e6 Plug-ins erforderlich: WordPress enth\u00e4lt 2FA nicht von Haus aus. Beliebte Plug-ins sind „WP 2FA“, „MalCare“ oder das schlanke, kostenlose „Two-Factor“ von WordPress.org selbst.<\/p>\n\n\n\n
\u25e6 Funktionsweise: 2FA kann \u00fcber eine Zusatz-App (z.B. Google\/Microsoft Authenticator) oder einen per E-Mail versandten Code funktionieren. Das „Two-Factor“ Plug-in arbeitet mit Einmalpassw\u00f6rtern (TOTP).<\/p>\n\n\n\n
\u25e6 Wiederherstellungscodes: Erzeugen und sichern Sie Wiederherstellungscodes f\u00fcr den Notfall, um sich nicht versehentlich auszusperren.<\/p>\n\n\n\n
\u25e6 F\u00fcr alle Nutzer: Wenn weitere Nutzer aktiv sind, sollten auch diese 2FA einrichten. Viele Plug-ins erlauben Regeln, um bestimmte Nutzergruppen zur 2FA zu verpflichten.<\/p>\n\n\n\n
\u2022 WordPress durchleuchten<\/p>\n\n\n\n
\u25e6 Schwachstellen-Scan: Die Erweiterung „Jetpack Protect“ scannt Ihre WordPress-Installation (Core, Themes, Erweiterungen) auf Schwachstellen und Schadcode.<\/p>\n\n\n\n
\u25e6 Umfassende Datenbank: Das Plug-in nutzt die WPScan Sicherheitsl\u00fccken-Datenbank mit \u00fcber 63.000 Eintr\u00e4gen.<\/p>\n\n\n\n
\u25e6 Premium-Funktionen: F\u00fcr ca. 60 Euro\/Jahr bietet es Funktionen wie „One-click fix“ zur Probleml\u00f6sung und eine Firewall gegen Brute-Force-Attacken.<\/p>\n\n\n\n
\u2022 Regelm\u00e4\u00dfige Backups und Wiederherstellung<\/p>\n\n\n\n
\u25e6 Gold wert: Ein aktuelles Backup ist im Problemfall Gold wert und erleichtert die schnelle Wiederherstellung.<\/p>\n\n\n\n
\u25e6 Zwei Bereiche sichern: Sie m\u00fcssen die Datenbank und die Dateien Ihrer WordPress-Seite sichern.<\/p>\n\n\n\n
\u25e6 Backup-Plug-ins: Plug-ins wie „Jetpack Backup“ (kostenpflichtig) oder ehemals „BackWPup“ (aktuell mit Problemen) k\u00f6nnen diesen Job \u00fcbernehmen. Sie sichern die Installation und stellen sie wieder her, oft auch in Cloud-Dienste.<\/p>\n\n\n\n
\u25e6 Manuelle Sicherung:<\/p>\n\n\n\n
\u25aa XML-Export: Das integrierte Export-Werkzeug unter „Werkzeuge \/ Export“ sichert alle Inhalte (Beitr\u00e4ge, Seiten, Kommentare, etc.) als XML-Datei.<\/p>\n\n\n\n
\u25aa phpMyAdmin f\u00fcr Datenbank: Exportieren Sie die komplette Datenbank \u00fcber phpMyAdmin (die meisten Webhoster bieten dieses Tool an). Markieren Sie alle Tabellen mit dem Pr\u00e4fix wp_ und exportieren Sie sie als SQL-Datei.<\/p>\n\n\n\n
\u25aa FTP f\u00fcr Dateien: Laden Sie Themes, Plug-ins und hochgeladene Medien-Dateien (Bilder, Videos) per FTP herunter. Das Verzeichnis wp-content ist hier entscheidend. Sichern Sie auch die Konfigurationsdatei wp-config.php.<\/p>\n\n\n\n
\u2022 Regelm\u00e4\u00dfiger Website-Zustand pr\u00fcfen<\/p>\n\n\n\n
\u25e6 Dashboard-\u00dcberblick: \u00dcberpr\u00fcfen Sie regelm\u00e4\u00dfig den Bereich „Werkzeuge \/ Website-Zustand“ im WordPress-Dashboard. Hier werden Probleme angezeigt, z.B. wenn Themes l\u00e4nger keine Updates erhalten haben. Das Tool empfiehlt auch, inaktive Plug-ins und Design-Vorlagen zu entfernen.<\/p>\n\n\n\n
Fazit: WordPress ist leistungsstark und flexibel, aber nie eine absolut sichere Festung. Die genannten Ma\u00dfnahmen \u2013 regelm\u00e4\u00dfige Updates, sichere Passw\u00f6rter, Zwei-Faktor-Authentifizierung und restriktive Rechtevergabe \u2013 erh\u00f6hen die Sicherheit deutlich. Bleiben Sie am Ball, behalten Sie die Lage im Blick und reagieren Sie fr\u00fchzeitig. Gl\u00fccklicherweise \u00fcbernehmen Erweiterungen einen Gro\u00dfteil der Arbeit, sodass mehr Zeit zum Bloggen bleibt.<\/p>\n","protected":false},"excerpt":{"rendered":"
WordPress ist mit einem Marktanteil von 44 Prozent aller Websites im Internet ein \u00e4u\u00dferst beliebtes…<\/p>\n","protected":false},"author":1,"featured_media":822,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,7],"tags":[],"class_list":["post-821","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-tipps"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/821","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=821"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/821\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/822"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=821"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=821"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=821"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}