7 Sicher­heitss­tipps für Ihre WordPress Website

Beispielbild für Blogbeiträge Internet Webdesign SEO WordPress

 

Wie Sie Ihre WordPress Website vor Hackern schützen

Täglich werden unzählige Webseiten gehackt. Kaum eine Woche vergeht ohne die Nachricht von öffentlichen oder kommerziellen Portalen, die Hacking-Angriffen zum Opfer fallen. Und natürlich kann auch Ihre WordPress Website das Ziel von Attacken sein. Und das erfahren Sie mitunter erst, wenn Google vermeldet: „Diese Seite wurde wahrscheinlich gehackt.“

Was dann passiert ist? Ihre Internetseite wurde mit hoher Wahrscheinlichkeit auf einem der folgenden Wege infiziert:

  • „Malicious Redirects“ – Ihre Website wurde durch Hacking der .htaccess-Datei gekapert und zu Internetseiten weitergeleitet, die mit Schadsoftware infiziert sind
  • „Pharma-Hacks“ – Schwachstellen Ihrer Website wurden von einem sogenannten Exploit genutzt, um Suchmaschinen mit Links zu pharmazeutischen Seiten, Online-Casinos, Porno-Seiten oder dubiosen Kreditgebern zu füttern; Pharma-Hacks sind nur für Suchmaschinen sichtbar
  • „Backdoors“ – Angriff durch eine Hintertür in der Umgebung der normalen Zugriffssicherung
  • „Drive-by Downloads“ – Infektion beim Herunterladen von Software

Einen hundertprozentigen Schutz gegen Schadsoftware gibt es nicht. Aber es gibt einfach und schnell anzuwendende Maßnahmen, die die Wahrscheinlichkeit eines erfolgreichen Hacking-Angriffs massiv reduzieren. Und sollte es dennoch zum Schlimmsten kommen, ist mithilfe eben dieser Maßnahmen Ihre Website ebenso schnell wieder herstellbar.

Tipp 1: Wählen Sie ein starkes Passwort für Ihr Backend!

Auch wenn es unangenehm ist, eine Hieroglyphen-Passwort einzugeben, das aus 16 oder mehr Buchstaben, Zahlen und Sonderzeichen besteht, es lohnt sich! Nutzen Sie am besten den Passwort-Generator, der Ihnen WordPress im Backend anbietet. Diese Passwörter sind nicht zu knacken. Zumindest nicht in den nächsten drei Millionen Jahren.
Zusätzlich sollten Sie die URL für Ihre Anmeldung abändern. Wählen Sie nicht die übliche URL http://meine-website.de/admin oder /wp-admin als Zugang zu Ihrem Backend! Weitere Sicherheit bietet eine Zwei-Faktoren-Authentifizierung, die ähnlich wie das TAN-System beim Online-Banking funktioniert.

Tipp 2: Halten Sie alle Komponenten Ihrer Website aktuell!

Es dauert nicht lange, ist aber eine der besten Maßnahmen für mehr Sicherheit: Die regelmäßige Aktualisierung von WordPress, Themes und Plugins. Und verwenden Sie ausschließlich Komponenten von Elite-Programmierern, die zeitnah Updates zur Verfügung stellen. Eines sollten Sie vor einer jeden Aktualisierung nicht vergessen: Die Erstellung eines Backups für alle Komponenten Ihrer Website. Nutzen Sie auch die Option eines Child-Themes für problemlose Updates Ihrer Theme-Dateien!

Tipp 3: Erstellen Sie regelmäßig Backups aller Komponenten Ihrer Website!

Eine erfolgreiche Hacker-Attacke ist ärgerlich, aber kein Drama für den Fall, dass Sie regelmäßige Sicherungskopien Ihrer Website, Ihrer Theme- sowie SEO-Einstellungen und Ihrer Datenbank erstellt haben. Eine Backup-Routine stellt nahezu jede Sicherheitssoftware zur Verfügung. Als Speicherort bietet sich ein Verzeichnis außerhalb des Verzeichnisses Ihrer Website an.

Tipp 4: Schützen Sie Ihre Serverdateien vor unbefugtem Zugriff!

Für die Verzeichnisse und Dateien auf Ihrem Server können diverse Zugriffsrechte für Lesen, Schreiben und Ausführen vergeben werden. Sind sensible Dateien wie die .htaccess oder wp-config.php offen für Zugriffe von außen, werden potenzielle Hacker geradezu eingeladen. Hier sollte nur „Lesen“ erlaubt sein. Bei Dateien im Verzeichnis „wp-content“ sollten die öffentlichen Zugriffsrechte auf „Lesen“ und „Ausführen“ beschränkt sein.

Tipp 5: Prüfen Sie Ihre Website regelmäßig auf Schadsoftware!

Nutzen Sie eine Scan-Software, die Ihre Website auf Schadsoftware wie Pharma-Hacks untersucht. Manche Services bieten sogar Routinen an, die Ihnen regelmäßigen Reports liefern.

Tipp 6: Nutzen Sie „WordPress Brute Force Protection“!

Software für Brute-Force-Schutz („Brute Force“ für erschöpfende Suche) schützt Ihre Website lokal vor Angreifern, die versuchen, durch Ausprobieren aller möglichen Kombinationen Zugriff zum Backend zu erhalten. Sie identifiziert jedoch auch Hacker und ihre Vorgehensweise im World-Wide-Web und bewahrt Ihre Website automatisch vor deren Hacking-Versuchen.

Tipp 7: Installieren Sie eine Sicherheitssoftware!

Das Beste zum Schluss: Eine Sicherheitssoftware bietet Ihnen zahlreiche Schutzmaßnahmen an, die Sie vor allem auf eine einfache Weise aktivieren und modifizieren können. Eine gute Software beinhaltet unter anderem eine Backup-Routine (siehe Tipp 3), die Überprüfung von Datei-Zugriffsberechtigungen (siehe Tipp 4), einen Malware-Scan (siehe Tipp 5), Brute Force Protection (siehe Tipp 6), eine IP-Whitelist-Funktion und vieles mehr!

Wie bereits gesagt, einen hundertprozentigen Schutz vor Hackern gibt es nicht. Man kann es ihnen aber möglichst schwer machen. Und sollte ein Hacking-Angriff doch einmal erfolgreich gewesen sein, garantieren Backups und diverse Tools die schnelle Wiederherstellung Ihrer Website und eine erneute Listung bei Google!

 

Update September 2021

Zum Thema „Hacking“ ist aktuell auch ein Newsletter erschienen, den Sie hier abrufen können.