WordPress ist eines der am weitesten verbreiteten Content-Management-Systeme (CMS) weltweit. Aufgrund seiner Popularität ist es jedoch auch ein häufiges Ziel für Hackerangriffe. In diesem Artikel erfahren Sie, wie Sie Ihre WordPress-Installation effektiv absichern können.
Warum ist WordPress ein Angriffsziel?
Die hohe Verbreitung von WordPress macht es attraktiv für Hacker, die versuchen, bekannte Sicherheitslücken auszunutzen. Automatisierte Angriffe prüfen systematisch, ob eine WordPress-Installation veraltet ist oder Schwachstellen aufweist. Daher ist es essenziell, Ihr System stets aktuell zu halten.
Ein professioneller Webhoster mit integrierter Firewall kann zusätzlichen Schutz bieten. Wer keine Zeit hat, Updates regelmäßig selbst durchzuführen, sollte über die Beauftragung einer Agentur nachdenken.
WordPress sicher halten – Die wichtigsten Maßnahmen
1. WordPress und Plugins regelmäßig aktualisieren
- Aktivieren Sie die automatische Aktualisierung, sofern möglich.
- Loggen Sie sich regelmäßig ins WordPress-Dashboard ein und prüfen Sie ausstehende Updates.
- Achten Sie besonders auf Premium-Themes, die oft manuell aktualisiert werden müssen.
2. Sichere Verbindungen verwenden
- Verwenden Sie ein SSL-Zertifikat für Ihre Website, sodass der Zugriff immer über https:// erfolgt.
- Nutzen Sie sichere Verbindungen für E-Mail-Abrufe und FTP-Zugriffe.
- Falls Sie einmal eine unverschlüsselte Verbindung genutzt haben, ändern Sie umgehend alle Passwörter.
3. Die wp-login.php absichern
- Richten Sie eine zusätzliche Passwortabfrage für das Administrationsverzeichnis ein.
- Nutzen Sie eine
.htaccess-Sperre, um unbefugte Zugriffe zu verhindern.
4. Das WordPress-Administrationsverzeichnis schützen
Neben der Absicherung der Login-Seite sollten Sie auch das komplette Administrationsverzeichnis schützen:
- Aktivieren Sie den Verzeichnisschutz bei Ihrem Hoster.
- Wählen Sie ein sicheres Passwort mit mindestens 12 Zeichen, inklusive Sonderzeichen.
- Ergänzen Sie die
.htaccess-Datei um Schutzmechanismen gegen unbefugte Zugriffe:
ErrorDocument 401 "Gesperrt" ErrorDocument 403 "Gesperrt" # Erlaube Zugriff für Plugins auf admin-ajax.php trotz Passwortschutz <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
5. Sichere Plugins und Themes wählen
- Verwenden Sie nur Plugins und Themes, die häufig installiert und regelmäßig aktualisiert werden.
- Kaufen Sie Premium-Themes von vertrauenswürdigen Anbietern wie ThemeForest oder TemplateMonster.
- Achten Sie darauf, wann die letzte Aktualisierung eines Plugins oder Themes war.
Vermeiden Sie kostenlose Themes von unbekannten Webseiten, da diese oft mit Schadsoftware infiziert sind.
6. Nicht genutzte Plugins und Themes löschen
- Löschen Sie nicht genutzte Plugins direkt über die WordPress-Oberfläche.
- Entfernen Sie überflüssige Standard-Themes auch manuell per FTP, falls sie sich nicht einfach deinstallieren lassen.
7. Eine Application Firewall nutzen
Eine Application Firewall kann dabei helfen, Angriffe frühzeitig zu blockieren. Empfehlenswerte Lösungen sind:
- Fail2Ban (kostenlos, erkennt verdächtige Login-Versuche)
- mod_security WAF (Web Application Firewall zum Blockieren bekannter Angriffsmuster)
- Externe Firewall-Anbieter wie Barracuda, SonicWall oder Imperva (professionelle Lösungen ab 50-250 € pro Monat)
Bei Shared Hosting ist eine Firewall oft nicht möglich. In diesem Fall ist ein Managed V-Server die sicherere Alternative.
Fazit: Sicherheit in WordPress ist kein Hexenwerk
Mit regelmäßigen Updates, sicheren Passwörtern und den richtigen Schutzmaßnahmen können Sie Ihre WordPress-Website zuverlässig absichern. Investieren Sie in ein sicheres Hosting und vermeiden Sie kostenlose, unbekannte Plugins und Themes. Wer diese Tipps beachtet, minimiert das Risiko von Angriffen erheblich.
