19 Möglichkeiten, eine Website zu sichern (7 sind der Schlüssel!)

Veröffentlicht: 2022-08-20


Besorgt über die WordPress-Sicherheit?

Du solltest sein! Aber machen Sie sich keine allzu großen Sorgen – wenn Sie einige Best Practices für die Sicherheit von WordPress-Websites auf Ihrer Website implementieren, können Sie sicher sein, dass auf Ihrer Website keine Probleme auftreten werden.

WordPress ist sicher. Aber die Aktionen, die Benutzer ausführen (und die Plugins, die Benutzer installieren), können alle Arten von WordPress-Schwachstellen einführen.

Um diese Fehler zu vermeiden, müssen Sie nur die Tipps in diesem Beitrag befolgen.

Um diesen Beitrag so umsetzbar wie möglich zu gestalten, werden wir unsere WordPress-Sicherheitstipps in zwei Kategorien unterteilen:

Sieben UNBEDINGT zu befolgende Best Practices für WordPress-Sicherheit

Wenn Sie aus diesem Beitrag nichts anderes mitnehmen, empfehle ich Ihnen, mindestens diese sieben Best Practices für die WordPress-Sicherheit auf Ihrer Website zu implementieren.

Wenn Sie diese sieben Dinge nicht tun, öffnen Sie Ihre Website für riesige Schwachstellen.

1. Wenden Sie Core- und Plugin-Updates so schnell wie möglich an

Eines der absolut besten Dinge, die Sie tun können, um WordPress sicher zu halten, besteht darin, Updates immer umgehend auf den WordPress-Kern, die Plugins und die Themen anzuwenden.

Egal wie großartig eine Software ist, es ist ganz natürlich, dass neue Schwachstellen entdeckt werden. Mit einem qualitativ hochwertigen Entwicklungsteam werden diese Schwachstellen jedoch behoben, bevor sie von böswilligen Akteuren ausgenutzt werden können … solange Sie die Updates umgehend anwenden!

So viele der jüngsten weitverbreiteten WordPress-Exploits hätten vermieden werden können, wenn die Leute einfach ihre Seiten aktualisiert hätten .

Um über neue Updates informiert zu werden, achten Sie auf den Bereich Dashboard → Updates in Ihrem WP-Adminbereich.

Das Anwenden von WordPress-Updates ist für die WordPress-Sicherheit unerlässlich

Wenn Sie Kompatibilitätsprobleme befürchten, können Sie Updates auf einer Staging-Site testen, bevor Sie sie auf Ihre Live-Site anwenden. Sie sollten auch ein Backup erstellen, bevor Sie Updates anwenden – dazu später mehr.

Hinweis – Die einzige Ausnahme von dieser Regel sind größere Updates, die sich ausschließlich auf das Hinzufügen neuer Funktionen konzentrieren und keine Sicherheitsfixes enthalten. Sie können getrost einige Wochen warten, um diese wichtigen Updates anzuwenden.

  • Hauptversion (Features) – 5.0, 5.1, 6.0 usw. – Sie können warten, bis Sie diese Updates anwenden.
  • Nebenversionen (Sicherheits-/Fehlerbehebungen ) – 5.0.1, 5.1.2, 6.0.4 usw. – Sie müssen diese IMMER SO BALD WIE MÖGLICH anwenden.

2. Verwenden Sie nur Plugins und Themes von seriösen Entwicklern (und keine nulled Plugins)

Während die WordPress-Kernsoftware sicher ist, kann das nicht von jedem einzelnen Plugin und Theme da draußen ( meistens Plugins ) gesagt werden.

Durch das Hinzufügen von neuem Code und das Ändern der Funktionalität Ihrer Website können Plugins alle Arten von Schwachstellen einführen.

Gleichzeitig ist die Verwendung von Plugins keine wirkliche Option, da Plugins ein wesentlicher Bestandteil jeder WordPress-Seite sind.

Daher ist es wichtig, sich darauf zu konzentrieren, nur Plugins und Themes von seriösen Entwicklern mit einer Erfolgsbilanz guter Codequalität und schneller Wartung zu verwenden.

Achten Sie also darauf, welche Plugins Sie auf Ihrer Website installieren .

Hier sind einige Tipps, die Ihnen dabei helfen sollen, nur qualitativ hochwertige Plugins und Themes zu verwenden:

  • Lesen Sie die Bewertungen . Schlechte Bewertungen können auf schlechte Codequalität hindeuten.
  • Überprüfen Sie die Anzahl der aktiven Installationen . Obwohl dies keine strenge Regel ist, erhalten beliebte Plugins im Allgemeinen eher Aufmerksamkeit.
  • Suchen Sie nach aktuellen Updates . Es ist wichtig, einen aktiven Entwickler zu haben, um alle neu entdeckten Schwachstellen zu patchen.
  • Installieren Sie keine unnötigen Plugins . Da jedes Plugin, das Sie installieren, ein potenzieller Angriffsvektor ist, sollten Sie nur Plugins installieren, die für Ihre Website wichtig sind.

Wir haben auch eine vollständige Anleitung zur Auswahl von WordPress-Plugins.

Schließlich sollten Sie auch Null-Plugins vermeiden, da Sie nicht wissen, welcher Code dem Plugin hinzugefügt wurde.

3. Verwenden Sie sicheres WordPress-Hosting

Die Wahl eines hochwertigen WordPress-Hosting-Anbieters kann einen großen Beitrag zur Gewährleistung der Sicherheit Ihrer Website leisten.

Zunächst einmal stellt ein hochwertiger WordPress-Hosting-Anbieter sicher, dass Ihre Umgebung für die WordPress-Sicherheit optimiert ist, wie z. B. ordnungsgemäße Dateiberechtigungen und eine sichere wp-config.php-Datei.

Viele WordPress-Hosts werden auch proaktivere Schutzmaßnahmen einbauen, wie z. B. integrierte Firewalls oder Malware-Scans.

Einige verwaltete WordPress-Hosts bereinigen Ihre Website sogar kostenlos, wenn ihr etwas passiert.

Grundsätzlich kümmern sie sich bei einem Qualitätshost (insbesondere einem verwalteten WordPress-Host) um viele dieser Best Practices, sodass Sie sich nur auf das Wachstum Ihrer Website konzentrieren können.

Um einige Qualitätsoptionen zu finden, schau dir unsere Posts mit dem am besten verwalteten WordPress-Hosting und dem besten WordPress-Hosting im Allgemeinen an.

Wenn du es dir leisten kannst, erwäge Optionen wie Flywheel (was wir für WPKube verwenden – unser Flywheel-Test) oder Kinsta (unser Kinsta-Test).

Ein guter Host kann Sicherheitstipps für WordPress-Websites implementieren

4. Sperren Sie Ihre Anmeldeseite und Ihren Kontozugriff

Alle WordPress-Sicherheitstipps der Welt können Ihnen nicht helfen, wenn ein böswilliger Akteur Zugriff auf eines Ihrer legitimen WordPress-Benutzerkonten ( insbesondere ein Admin-Konto ) erlangen kann.

Stellen Sie sich das in der realen Welt vor – Sie könnten das absolut beste Haussicherheitssystem der Welt haben, aber es wird nichts bewirken, wenn ein Dieb Ihren Hausschlüssel und Sicherheitscode hat.

Das bedeutet, dass es wichtig ist, dass Sie Wege finden, den Anmeldeprozess und die Benutzerkonten Ihrer WordPress-Site zu schützen.

Zu Beginn sollten Sie starke Kontoanmeldeinformationen verwenden:

  • Benutzername – Verwenden Sie niemals „admin“ als Benutzernamen. Wählen Sie stattdessen einen eindeutigen Benutzernamen, den Sie nirgendwo anders verwenden.
  • Passwort – Verwenden Sie ein starkes, eindeutiges Passwort. Verwenden Sie für beste Ergebnisse einen Passwort-Manager wie LastPass oder Bitwarden, um eindeutige Passwörter für jede Website zu generieren.

Darüber hinaus können Sie auch Taktiken anwenden, um die WordPress-Anmeldeseite zu schützen:

  • Ändern Sie die Anmelde-URL – dies reduziert auch viel Bot-Traffic. Wie? Verwenden Sie das kostenlose WPS Hide Login-Plugin.
  • Anmeldeversuche begrenzen – vorübergehend eine IP-Adresse sperren, wenn sie zu viele falsche Anmeldeversuche unternimmt (genau wie es Banken tun). Wie? Verwenden Sie das kostenlose Plugin Limit Login Attempts Reloaded.
  • Erfordern Sie eine Zwei-Faktor-Authentifizierung (2FA) – lassen Sie Personen zusätzlich zu ihren Anmeldeinformationen einen Code aus einer Authentifizierungs-App, SMS oder E-Mail eingeben. Wie? Verwenden Sie kostenlose Plugins wie WP 2FA oder Two-Factor.
Ein Beispiel für die Begrenzung von Anmeldeversuchen bei WordPress

Alle Websites sollten die Anmelde-URL ändern und Anmeldeversuche einschränken, aber die Verwendung der WordPress-Zwei-Faktor-Authentifizierung ist wirklich nur für unternehmenskritische Websites erforderlich.

5. Installieren Sie ein SSL-Zertifikat und verwenden Sie HTTPS

Mit einem SSL-Zertifikat können Sie auf Ihrer Website HTTPS anstelle von HTTP verwenden.

Mit HTTPS werden alle Daten, die zwischen Ihrem Browser und Ihrem Server ausgetauscht werden, verschlüsselt. Dies ist nicht nur allgemein gut für die Privatsphäre, sondern auch wichtig, um wichtige Daten wie Ihren Benutzernamen und Ihr Passwort zu schützen.

Ohne HTTPS kann ein böswilliger Akteur in Ihrem Internetnetzwerk alle Daten sehen, die zwischen Ihrem Browser und Ihrer Website ausgetauscht werden. Wenn Sie sich beispielsweise über HTTP auf Ihrer Website in Ihrem örtlichen Café anmelden, kann jemand in diesem Netzwerk Ihren Benutzernamen und Ihr Passwort im Klartext sehen.

Wenn Sie jedoch HTTPS verwenden, werden Ihr Benutzername und Ihr Passwort (zusammen mit allen anderen Daten) sicher verschlüsselt, was bedeutet, dass böswillige Akteure nur eine Reihe zufälliger Zeichen sehen würden.

WordPress-HTTPS-Nutzung

Heutzutage bieten die meisten hochwertigen WordPress-Hosting-Anbieter kostenlose SSL-Zertifikate an.

Sobald Sie ein SSL-Zertifikat über Ihr Hosting-Dashboard installiert haben, können Sie Ihre Website für die Verwendung von HTTPS konfigurieren. Wenn Sie Hilfe bei der Umstellung Ihrer Website auf HTTPS benötigen, bietet das kostenlose Really Simple SSL-Plugin eine Ein-Klick-Einrichtung.

Folgen Sie unserem WordPress-HTTPS-Leitfaden für weitere Details.

6. Verwenden Sie unterstützte PHP-Versionen

WordPress ist in der Programmiersprache PHP geschrieben. Es gibt jedoch verschiedene PHP-Versionen, die Sie auf Ihrem Hosting-Konto verwenden können.

Ältere Versionen von PHP werden nicht mehr gewartet, was bedeutet, dass sie ungepatchte Sicherheitsprobleme haben können.

Ab 2022 ist die älteste PHP-Version, die Sicherheitsupdates erhält, PHP 7.4. Ab 2023 sollten Sie jedoch mindestens PHP 8.0 verwenden.

Sie können die Unterstützung der aktuellen PHP-Version auf dieser Seite überprüfen.

WordPress PHP-Unterstützung

Als zusätzlichen Bonus bieten neuere Versionen von PHP auch große Leistungsverbesserungen, was bedeutet, dass Ihre Website schneller geladen wird und gleichzeitig sicherer ist.

Wenn Sie sich nicht sicher sind, wie Sie PHP aktualisieren, können Sie den Support Ihres Hosts fragen. Wir haben auch eine Anleitung zum Aktualisieren von PHP bei beliebten WordPress-Hosts.

7. Sichern Sie Ihre Website regelmäßig

Das Sichern Ihrer Website verhindert nicht, dass Sicherheitsprobleme auf Ihrer Website auftreten. Es verhindert jedoch, dass Sicherheitsprobleme zu größeren Problemen werden.

Ohne ein Backup kann jeder Sicherheitsvorfall auf Ihrer Website absolut verheerend sein. Sie könnten Daten verlieren, viele Ausfallzeiten haben und so weiter.

Bei einem aktuellen Backup ist der schlimmste Fall eines Sicherheitsvorfalls jedoch normalerweise, dass Sie nur das saubere Backup Ihrer Website wiederherstellen müssen. Immer noch ärgerlich – aber viel weniger katastrophal.

Wenn Ihr Host noch keine sicheren automatischen Backups anbietet, bieten kostenpflichtige Tools wie Jetpack Backup oder BlogVault die einfachste Möglichkeit, sichere Offsite-Backups zu ermöglichen.

Wenn Sie nicht das Budget haben, um für ein Tool zu bezahlen, ist UpdraftPlus auch eine großartige kostenlose Option – stellen Sie einfach sicher, dass Sie es mit einem externen Speicheranbieter wie Google Drive oder Amazon S3 verbinden.

Hier ist unser vollständiger Beitrag zu den besten WordPress-Backup-Plugins.

Zwölf zusätzliche Tipps zum Härten der WordPress-Sicherheit

Wenn Sie die oben genannten Best Practices für die Sicherheit von WordPress-Websites gewissenhaft implementieren, werden Sie 99 % der Probleme auf Ihrer Website vermeiden.

Wenn Sie die Dinge jedoch noch weiter verbessern möchten, gibt es einige zusätzliche Härtungstipps, die Sie implementieren können, um Ihre Website weiter zu schützen.

8. Richten Sie eine Firewall ein

Eine Firewall kann Ihre Website proaktiv vor Bedrohungen schützen, indem böswilliger Datenverkehr oder böswillige Aktionen blockiert werden, bevor sie Ihre Website oder Ihren Server beeinträchtigen können.

Viele Hoster implementieren bereits ihre eigenen Firewalls, weshalb dies möglicherweise kein Muss für Websites ist, wenn Sie hochwertiges WordPress-Hosting verwenden ( siehe oben ).

Wenn Ihr Host dies nicht tut (oder wenn Sie mehr Schutz wünschen), können Sie eine Firewall auf Anwendungsebene mit einem Plugin wie Wordfence oder auf DNS-Ebene mit einem Dienst wie Cloudflare oder Sucuri hinzufügen.

9. Verwenden Sie ein WordPress-Sicherheits-Plugin

Sie können sichere WordPress-Sites ohne ein dediziertes Sicherheits-Plugin erstellen, daher ist ein Sicherheits-Plugin definitiv nicht erforderlich, um eine sichere Website zu erstellen.

Abgesehen davon kann ein Sicherheits-Plugin aus mehreren Gründen immer noch nützlich sein:

  1. Sicherheits-Plug-ins können Echtzeit-Firewalls zum Schutz vor neuen Bedrohungen bieten.
  2. Ein hochwertiges Sicherheits-Plugin macht es einfach, viele der anderen Härtungstipps auf dieser Liste zu implementieren, was die Dinge für Sie vereinfachen und Ihnen Zeit sparen kann.

Im Zweifelsfall ist das Wordfence-Plugin eine großartige Option für den Einstieg. Weitere Optionen finden Sie in unserer vollständigen Sammlung der besten WordPress-Sicherheits-Plugins.

10. WordPress-Version ausblenden

Das Verstecken der WordPress-Versionsnummer fügt eine vernachlässigbare Menge an „Sicherheit durch Verschleierung“ hinzu, indem es böswilligen Akteuren etwas schwerer gemacht wird, die Versionsnummer Ihrer Website zu erkennen.

Um es auszublenden, kannst du den folgenden Code zur Datei functions.php deines Child-Themes oder einem Plugin wie Code Snippets hinzufügen.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Wenn Sie weiter gehen möchten, haben wir eine Anleitung, wie Sie verbergen können, dass Ihre Website WordPress verwendet.

11. Überprüfen Sie die Dateiberechtigungen

Wenn Sie einen Qualitätshost verwenden, sollten die Dateiberechtigungen Ihrer Website bereits korrekt sein. Es könnte sich jedoch lohnen, dies noch einmal zu überprüfen, da es wichtig ist, die richtigen Dateiberechtigungen zu haben.

Um mehr zu erfahren, sieh dir unseren vollständigen Leitfaden zu WordPress-Dateiberechtigungen an.

12. Verwenden Sie nur sichere Verbindungen für FTP

Wenn Sie sich über FTP oder andere Technologien mit Ihrer Website verbinden, stellen Sie sicher, dass Sie sichere Protokolle wie SFTP verwenden.

So wie HTTPS die Daten schützt, die zwischen Ihrem Browser und Ihrer Website ausgetauscht werden, schützt SFTP die Verbindung zwischen Ihrem FTP-Client und Ihrem Server.

Sie sollten auch vermeiden, Ihre FTP-Passwörter in Ihrem FTP-Client zu speichern, es sei denn, diese Passwörter sind sicher verschlüsselt.

13. Richten Sie die Aktivitätsprotokollierung ein

Mit der Aktivitätsprotokollierung können Sie verfolgen, was Benutzer in Ihrem Dashboard tun, was Ihnen helfen kann, verdächtige Aktivitäten zu erkennen (insbesondere, wenn Sie anderen Benutzern Zugriff auf das Dashboard gewähren).

WordPress-Aktivitätsprotokollierung für Website-Sicherheit

Um dies einzurichten, können Sie ein Plugin wie WP Activity Log verwenden. Wir haben ein Tutorial zum Einrichten der Aktivitätsprotokollierung sowie einen exklusiven WP Activity Log-Gutschein, mit dem Sie etwas Geld sparen können.

14. Führen Sie regelmäßige Malware-/Sicherheitsscans durch

Auch wenn auf Ihrer Website keine Probleme auftreten sollten, wenn Sie die oben genannten Best Practices implementiert haben, empfiehlt es sich dennoch, regelmäßig Malware-/Sicherheitsscans auf Ihrer Website durchzuführen.

Um nach Problemen im Frontend Ihrer Website zu suchen, können Sie das kostenlose Sucuri SiteCheck-Tool verwenden.

Um einen vollständigen Scan der Dateien Ihres Servers durchzuführen, können Sie Tools wie MalCare oder Wordfence in Betracht ziehen.

Ihr WordPress-Host führt möglicherweise auch seine eigenen täglichen Malware-Scans durch, wodurch diese Tools möglicherweise überflüssig werden.

15. Deaktivieren Sie XML-RPC

XML-RPC hilft externen Tools, sich mit Ihrer WordPress-Site zu verbinden, wie z. B. der Desktop-WordPress-App.

Wenn Sie diese Tools jedoch nicht verwenden, fügt es Ihrer Website nur einen unnötigen Angriffsvektor hinzu. Um es vollständig zu deaktivieren, können Sie das kostenlose Plugin Disable XML-RPC verwenden.

16. Hotlinking blockieren

Hotlinking ist, wenn jemand Inhalte von Ihrem Server auf seiner Website einbettet (z. B. ein Bild). Es kann die Sicherheit Ihrer Website beeinträchtigen, indem es die Ressourcen Ihres Servers ohne Ihre Erlaubnis entleert.

Um Hotlinking zu blockieren, können Sie der .htaccess-Datei Ihrer Website Code hinzufügen.

Um den .htaccess-Code zu generieren, der zum Blockieren von Hotlinks benötigt wird, können Sie dieses kostenlose Tool verwenden. Damit können Sie bestimmte Hotlinking-Anbieter (wie die Google-Bildsuche) auf eine sichere Liste setzen und andere blockieren.

17. Ändern Sie das WordPress-Datenbankpräfix

Das Ändern des WordPress-Datenbankpräfixes fügt ein wenig „Sicherheit durch Unklarheit“ hinzu, obwohl einige Experten (einschließlich Wordfence) sagen, dass die Sicherheitsvorteile ziemlich trivial sind.

Wenn Sie eine bestehende WordPress-Site haben, empfehle ich dies nicht, da die Risiken einer Beschädigung Ihrer Site alle potenziellen Sicherheitsvorteile überwiegen.

Wenn Sie jedoch eine neue WordPress-Site einrichten, können Sie genauso gut ein benutzerdefiniertes Datenbankpräfix verwenden, auch wenn es keine große Wirkung hat.

18. Deaktivieren Sie die Ausführung von PHP-Dateien im Ordner wp-content/uploads

Du kannst einige Edge-Case-Angriffe blockieren, indem du die Ausführung von PHP-Dateien in deinem wp-content/uploads- Ordner deaktivierst.

Hier ist wie:

  1. Verwenden Sie Notepad, um eine neue .htaccess-Datei zu erstellen.
  2. Fügen Sie das Code-Snippet unten hinzu.
  3. Lade diese Datei in den Ordner wp-content/uploads hoch.
 <Files *.php> deny from all </Files>

19. Deaktivieren Sie die Codebearbeitung im Dashboard

Standardmäßig können Sie mit WordPress Themen- und Plugin-Dateien über das WordPress-Dashboard bearbeiten, wodurch ein Angreifer bösartigen Code hinzufügen könnte, wenn er jemals Zugriff auf ein Admin-Konto erhält.

Um dies zu verhindern, kannst du die Dateibearbeitung deaktivieren, indem du dieses Snippet zu deiner wp-config.php- Datei hinzufügst:

define( 'DISALLOW_FILE_EDIT', true );

Häufig gestellte Fragen zur Sicherheit von WordPress-Websites

Zum Abschluss noch ein paar häufig gestellte Fragen zur WordPress-Sicherheit.

Hat WordPress Sicherheitsprobleme?

WordPress selbst hat keine Sicherheitsprobleme, aber die Installation von Plugins auf Ihrer Website kann Sicherheitslücken einführen, insbesondere im Fall von schlecht codierten und/oder gewarteten Plugins.

Ist WordPress leicht zu hacken?

Die überwiegende Mehrheit der WordPress-Sites wird aufgrund von Benutzerfehlern gehackt, nicht wegen der Software selbst. Wenn Sie einige grundlegende Best Practices für die Sicherheit befolgen, wird es sehr schwierig, Ihre Website zu hacken.

Kann man WordPress sicher machen?

Ja absolut. Solange Sie Best Practices befolgen, kann WordPress sehr sicher sein. Es gibt einen Grund, warum so viele große Marken WordPress vertrauen.

Benötigen Sie ein WordPress-Sicherheits-Plugin?

Sie können eine sichere WordPress-Site ohne ein umfassendes Sicherheits-Plugin erstellen. Diese Plugins können jedoch den Prozess der Implementierung von Best Practices für die Sicherheitshärtung vereinfachen und Ihnen Zugriff auf nützliche Funktionen wie Firewalls und Sicherheitsscans geben.

Implementieren Sie diese Best Practices für WordPress-Sicherheit noch heute

Wenn Sie diesem Beitrag nichts weiter entnehmen, hoffe ich, dass Sie mindestens die sieben Must-Follow-WordPress-Sicherheitstipps von oben umsetzen.

Wenn Sie nur diese sieben Dinge tun, können Sie sicher sein, dass Sie 99,9 % der Sicherheitsprobleme auf Ihrer Website vermeiden.

Wenn Sie noch besseren Schutz wünschen, können Sie alle 19 Tipps auf dieser Liste fortsetzen und umsetzen.

Du hast noch Fragen zur WordPress-Sicherheit? Lass es uns in den Kommentaren wissen!