Sei im nächsten Website-CoWorking am 21. März dabei!

Sei im nächsten Website-CoWorking am 21. März dabei!

WordPress-Website-sicher-machen

10 Tipps, die deine WordPress-Website sicherer machen

Deine Website ist dein Zuhause im Internet. Und genauso, wie du dein Zuhause absperrst, solltest du das auch mit deiner Website tun. Dazu solltest du ein paar mehr Dinge beachten, als nur ein sicheres Passwort zu wählen. Wobei das schon ein sehr guter Anfang ist.

In diesem Beitrag bekommst du 10 Tipps, die deine WordPress-Website sicherer machen.

Inhalt

Warum ist es so wichtig, dass du deine WordPress-Website schützt?

Jeden Tag finden Millionen von Angriffen auf Websites statt, um sich Zugriff auf diese zu verschaffen. Die meisten davon sind sogenannte Brute-Force-Angriffe. Dabei wird versucht, schwache Passwörter auszunutzen und so Zugang zu (d)einer Website zu erhalten.

Computerprogramme, die für solche Angriffe eingesetzt werden, können zwischen 10.000 und 1 Milliarde Passwörter pro Sekunde überprüfen.1

Häufige Fehler, die deine Website unsicher machen

❌ Verwendung von schwachen Passwörtern – z.B. Website123
❌ Administrator-Rollen für Personen, die sie eigentlich nicht (mehr) benötigen
❌ fehlendes oder ungültiges SSL-Zertifikat
❌ Verwendung von “admin” als Benutzername
❌ Website wird nicht oder zu selten sichern und aktualisieren

5 Tipps, die deine WordPress-Website sicherer machen

Die hilfreichsten Möglichkeiten, deine Website vor solchen und anderen Angriffen zu schützen, will ich dir in den nächsten Absätzen erklären. Ich versuche alles möglichst einfach zu erklären. Wenn du zu einem Punkt eine Frage hast, dann schreib sie gerne unten in die Kommentare, damit ich den Beitrag noch besser verständlich gestalten kann.

🔒 Wähle ein sicheres Passwort

Bitte überspringe diesen Punkt nicht. Denn ein wirklich sicheres Passwort kann dich und deine Website vor Ärger bewahren. Deine Website ist eine große Investition in deinem Business. Entweder hast du viel Zeit oder Geld oder auch beides in sie investiert. Und diese Investition willst du auf keinen Fall wegen einem schwachen Passwort verlieren.

Ein sicheres Passwort besteht aus:

🔒 mindestens(!) 14 Zeichen
🔒 Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
🔒 am besten eine zufällige Kombination wie z.B. “NX%fY~YYcR5xEz<z”

Laut Hive Systems könnte ein 14-stelliges Passwort aus Kleinbuchstaben innerhalb nur eines Tages gehackt werden. Kombinierst du es aber mit Ziffern, Großbuchstaben und Sonderzeichen, würde es 3.000 Jahre brauchen.2

Meine Tipps zur praktischen Umsetzung:

✅ Verwende einen Passwort-Manager.
Ich persönlich verwende Bitwarden weil er als einer der sichersten Passwort-Manager gilt. Bitwarden gibt es als Browser-Erweiterung für jeden gängigen Browser. Ich brauche nur ein sogenanntes „Masterpasswort“ eingeben und kann auf meine Passwort-Bibliothek zugreifen.

Wenn du keinen Passwort-Manager nutzen willst, …
kannst du einen langen Satz bilden und von jedem Wort den Anfangsbuchstaben verwenden.

Zum Beispiel:
Ich bin dankbar, dass ich jeden Tag neu entscheiden kann!
Ich verwende hier immer gerne positive Sätze, weil ich so immer wieder an etwas Schönes denke.

Das Passwort, das du aus diesem Satz ableiten kannst ist:
Ibd,dijTnek!

Ergänze das Passwort noch mit einer Zahl zum Beispiel dem Jahr der Gründung deiner Selbständigkeit und fertig ist ein sicheres Passwort, dass du dir auch merken kannst:
Ibd,dijTnek!2020

Damit du das Passwort bzw. den Satz nicht vergisst, kannst du dir den ganzen Satz auf einem Post-It notieren und an deinem Arbeitsplatz anbringen.

🔒 Zwei-Faktor-Authentifizierung

Jeder meiner Kundinnen rate ich, eine Zwei-Faktor-Authentifizierung für ihre Website einzurichten.

Wie funktioniert eine Zwei-Faktor-Authentifizierung?

Du meldest dich mit deinem sicheren(!) Passwort bei WordPress an. Bevor du jetzt auf dein WordPress-Dashboard zugreifen kannst, musst du noch einen Code eingeben, den du entweder per E-Mail, SMS oder Authentifizierungs-App erhältst.

Warum eine Zwei-Faktor-Authentifizierung?

🔒 Wenn irgendjemand dein (sicheres) Passwort knacken sollte, muss diese Person zusätzlich auch Zugriff auf deine E-Mail-Adresse oder dein Smartphone haben. Es ist sehr unwahrscheinlich, dass sie auch darauf zugreifen kann.

Wichtig noch an dieser Stelle:
Verwende für deine E-Mail-Accounts niemals das gleiche Passwort, wie für deine Website. Allgemein solltest du Passwörter immer nur für eine Anwendung verwenden. Ganz besonders dann, wenn es sich um wichtige Dinge, wie deine Website, dein Newsletter-Tool, deinen Hosting-Anbieter, deine E-Mail-Adresse, … handelt.

🔒 Wenn du die Zwei-Faktor-Authentifizierung über eine E-Mail-Adresse oder eine SMS einrichtest, dann merkst du, wenn jemand versucht hat, sich einzuloggen, weil du einen Code zugeschickt bekommst. Sollte das einmal der Fall sein, empfehle ich dir, dein Passwort für deine Website unbedingt zu ändern.

Meine Tipps zur praktischen Umsetzung:

✅ Richte für jeden Benutzer mit Administrator-Berechtigung eine Zwei-Faktor-Authentifizierung ein.
Mit (kostenlosen) Sicherheits-Plugins, wie Wordfence geht das ganz leicht. Hier findest du eine Anleitung zur Einrichtung von Wordfence. In der Anleitung zeige ich dir, wie du deine Website mit diesem Plugin noch sicherer machen kannst.

🔒 Website regelmäßig sichern

Falls sich doch mal jemand unberechtigterweise Zugriff auf deine Website verschafft, ist es wichtig, dass du eine Sicherung von deiner Website hast. Diese sollte nicht nur bei deinem Hosting-Anbieter liegen, sondern, am besten auch extern, zum Beispiel in einer Cloud.

Ein empfehlenswertes Plugin für Sicherungen ist UpdraftPlus. Dort kannst du auch automatisierte Sicherungen einrichten. Mit einer Sicherung kannst du deine Website im Notfall wiederherstellen.

Meine Tipps zur praktischen Umsetzung:

✅ Richte das Backup Plugin UpdraftPlus einmal richtig ein, so dass es automatisch Sicherungen deiner Website in einer externen Cloud abspeichert. In diesem Video zeige ich dir Schritt für Schritt, wie du das machst.

🔒 Aktualisiere deine Website regelmäßig

Regelmäßige Aktualisierungen sind wirklich wichtig, um Sicherheitslücken zu schließen. Denn solche könnten von Hackern ausgenutzt werden.

Worauf du beim Aktualisieren deiner WordPress-Website achten solltest, kannst du hier nachlesen:
Plugins und Themes aktualisieren

Meine Tipps zur praktischen Umsetzung:

Lege dir in deinem Kalender oder Projektmanagement-Tool eine wöchentliche oder monatliche Aufgabe an und speichere dir dort das Video zum Aktualisieren deiner Plugins und Themes gemeinsam mit meiner Checkliste zur WordPress-Aktualisierung ab. So vergisst du nicht, deine Website regelmäßig zu aktualisieren und hast auch eine genaue Anleitung, wie’s gemacht wird.

✅ Lösche alle Themes und Plugins, die du nicht (mehr) verwendest.
Jedes Plugin bringt ein gewisses Sicherheitsrisiko mit. Mit dem Deaktivieren und Löschen unnötiger Plugins reduzierst du das Risiko. Und auch die Ladezeit deiner Website wird‘s dir danken.

✅ Installiere nur vertrauenswürdige Themes und Plugins.
Überprüfe vor dem Installieren eines jeden Plugins, wie oft es bereits installiert ist, ob es viele positive Bewertungen hat und wann es zum letzten Mal aktualisiert wurde.

🔒 SSL-Zertifikat

Ein SSL-Zertifikat verschlüsselt die Daten, die zwischen dem Benutzer und der Website übertragen werden. Das bedeutet, dass, wenn jemand versuchen würde, diese Daten abzufangen, sie nicht gelesen kann, weil sie verschlüsselt sind.

Ohne SSL-Zertifikat sind die Daten, die zwischen dem Benutzer und der Website übertragen werden, unverschlüsselt. Das bedeutet, dass sensible Informationen wie Benutzernamen, Passwörter, persönliche Daten und Kreditkarteninformationen von potenziellen Angreifern abgefangen und gestohlen werden könnten.

Wie du herausfindest, ob auf deiner Website ein SSL-Zertifikat aktiv ist und wie du es bei All Inkl aktivierst, kannst du hier nachlesen:
Ist ein gültiges SSL-Zertifikat für deine Website vorhanden?

Meine Tipps zur praktischen Umsetzung:

Prüfe, ob auf deiner Website ein SSL-Zertifikat aktiv ist. Falls nein, sorge dafür, dass du eines aktivierst, um deinen Besucher*innen eine sichere Verbindung zu deiner Website zu ermöglichen.

Bist du schon zum nächsten Website-CoWorking angemeldet?

5 Zusatz-Tipps für noch mehr Sicherheit

Konzentriere dich erst auf die 5 Tipps, die ich dir oben genannt habe. Wenn du diese umgesetzt hast und deine Website noch sicherer machen willst, zeige ich dir hier noch ein paar weitere Maßnahmen:

🔒 Anmeldeversuche limitieren (Brute Force Protection)
Mit dem Plugin Wordfence kannst du die Anzahl der Anmeldeversuche begrenzen. Das verhindert Angriffe, bei denen probiert wird, einen Account mit unzähligen Anmelde-Versuchen zu übernehmen.

Lass dich davon nicht aus der Ruhe bringen:
Bei meinem Unverpackt Online Shop, den ich geführt habe, habe ich großen Wert auf Sicherheit gelegt. Denn in diesen Shop sind Hunderte Stunden Arbeit geflossen. Also habe ich direkt das Plugin Limit Login Attempts installiert.

Die ersten Versuche ließen auch nicht lange auf sich warten. Bei den ersten Benachrichtigungen, dass sich jemand einloggen wollte, wurde ich extrem nervös. Ich hab mich selbst immer direkt eingeloggt und die IP-Adressen von denen die Angriffe stammten gesperrt.

Bis ich verstanden habe, dass hinter diesen Angriffen meist Bots stecken und keine Menschen. Bots ist es ganz egal, wie bekannt oder unbekannt deine Website ist. Sie greifen wahllos Websites an und haben es auf solche abgesehen, die schwache Passwörter verwenden. Denn 2023 waren “123456”, “123456789” und „hallo“ die 3 beliebtesten Passwörter in Deutschland.3 Das macht es Bots natürlich einfach.

🔒 Ändere die Standard-URL für den WordPress-Login-Bereich
Standardmäßig ist der Login-Link bei WordPress so aufgebaut: “deine-domain. com/wp-admin”. Mit dem Plugin WPS Hide Login kannst du die Standard-URL von /wp-admin zu einem anderen Begriff ändern.

Danach kannst du dich nur noch über die URL „deine-domain.com/dein-festgelegter-begriff“ einloggen. Merke dir diesen Link gut und notiere ihn dir an einem Ort, an dem du ihn wieder findest.

🔒 Verwende nicht „admin“ als Benutzernamen
Überleg dir einen Begriff, der nicht direkt auf deine Website schließen lässt. Sondern sorge dafür, dass Hacker sich zumindest die Mühe machen und deinen Benutzernamen herausfinden müssen.

🔒 Vergib die Administrator-Rolle nur an Personen, die sie wirklich benötigen
Überprüfe die Liste deiner Benutzer und ihre Rollen regelmäßig. Du kannst die Rollen ganz einfach anpassen und zum Beispiel vorübergehend auf eine Rolle mit weniger Berechtigungen setzen, bis die Administrator-Rolle wieder benötigt wird. Denn jeder zusätzliche Administrator erhöht das Sicherheitsrisiko für deine Website.

🔒 Vergib auch bei deinem Hosting-Anbieter ein sicheres Passwort.
Und aktiviere am besten auch dort die Zwei-Faktor-Authentifizierung. Denn dort liegen all die Daten für deine Website.

Checkliste zum Kopieren

Hier bekommst du von mir eine übersichtliche Checkliste zum Kopieren, die dir hilft deine WordPress-Website vor Hacker-Angriffen zu schützen.

Aufgaben für eine sicherere Website:
O Passwort mit mind. 14 Zeichen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen für alle Administrator*innen vergeben
O Zwei-Faktor-Authentifizierung für alle Administrator*innen einrichten
O Website mindestens monatlich sichern
O Website mindestens monatlich aktualisieren
O SSL-Zertifikat prüfen und ggf. einrichten

Aufgaben für eine noch sicherere Website:
O Anmeldeversuche limitieren (Plugin: Limit Login Attempts)
O Standard-URL für den WordPress-Login-Bereich ändern (Plugin: WPS Hide Login)
O Benutzername „admin“ zu anderem Benutzernamen ändern
O Benutzerrollen überprüfen und ggf. nicht benötigte Benutzer löschen oder andere Rolle vergeben
O sicheres Passwort und Zwei-Faktor-Authentifizierung beim Hosting-Anbieter einrichten

Bitte kümmere dich um die Sicherheit deiner Website

Diesen Artikel habe ich geschrieben, weil ich immer mal wieder verzweifelte Nachrichten erhalte von Selbständigen, unter ihnen auch Webdesignerinnen, deren Website gehackt wurde.

Die meisten Angriffe hätten mit sehr hoher Wahrscheinlichkeit bereits durch die ersten 5 Tipps in diesem Beitrag verhindert werden können.

Ich wünsche mir, dass du mich niemals aus diesem Grund kontaktieren musst. Viel mehr freue ich mich, wenn wir uns in einem der nächsten Website-CoWorkings sehen. Die Zeit kannst du zum Beispiel nutzen, um alle genannten Tipps aus diesem Beitrag umzusetzen.

Hier findest du alle CoWorking-Termine und kannst dich um 0 € anmelden.

  1. Quelle: https://nordpass.com/de/blog/brute-force-attack/ ↩︎
  2. Quelle: https://www.hivesystems.io/blog/are-your-passwords-in-the-green ↩︎
  3. Quelle: https://hpi.de/news/jahrgaenge/2023/123456789-ist-das-beliebteste-passwort-2023-in-deutschland.html ↩︎

Teile diesen Beitrag!

Hi, ich bin Anita, lebe am Segelboot und helfe dir, deine WordPress-Website selbst in die Hand zu nehmen.

Auf meiner Website findest du Inhalte und Angebote, damit du jederzeit selbst Änderungen an deiner Website vornehmen kannst.

Website-Checkliste
für 0 € holen

Teile diesen Beitrag!

aktuelle Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Melde dich hier zum Website-CoWorking an!

Melde dich zum Website-CoWorking an!

0 € - nur deine E-Mail-Adresse

Du bist mit deiner Anmeldung zu nichts verpflichtet und kannst dich natürlich jederzeit wieder abmelden.

Website-Adventsakalender

24 Türchen für deine WordPress-Website