Wie WordPress-Websites gehackt werden
Aufgrund seiner großen Beliebtheit als CMS ist WordPress auch ein beliebtes Ziel für Hacker.
Hacking-Angriffe sind meist eher opportunistisch als zielgerichtet (obwohl große Marken-Websites gezielt angegriffen werden können). Die meisten Angriffe sind automatisiert, wobei Bots das gesamte Internet nach Sicherheitslücken durchsuchen, die sie ausnutzen können.
Angriffe erfolgen häufig über:
- unsicheres Website-Hosting
- Anmeldedaten – z. B. durch den Versuch mehrerer zufälliger Kombinationen von Benutzernamen und Kennwort
- Sicherheitslücken in CMS-, Plugin- oder Themensoftware – in der Regel, wenn diese nicht aktualisiert wurde
Hacker haben eine Vielzahl unterschiedlicher Motive, aber oft geht es um Profit. Das Hacken von Websites, um Malware zu verbreiten, Benutzerdaten zu erlangen, Spam-E-Mails zu versenden oder Website-Besucher umzuleiten, kann äußerst lukrativ sein.
Solche Sicherheitsverletzungen können sich äußerst negativ auf Ihre Website und Ihr Unternehmen auswirken – sie untergraben das Vertrauen der Benutzer, führen zu Rechtsverstößen und kosten möglicherweise Tausende von Pfund. Daher ist es unerlässlich, Ihre WordPress-Website gegen Hackerangriffe zu schützen.
Ist meine WordPress-Website anfällig für Hackerangriffe?
WordPress-Anfänger und Besitzer kleiner Websites denken oft, dass sie sich keine Sorgen um die Sicherheit machen müssen. Sie gehen davon aus, dass ihre Website zu klein und unbedeutend ist, um für Hacker interessant zu sein.
Diese Annahme ist falsch.
WordPress-Seiten jeder Größe werden gehackt. Hacker verwenden automatisierte Bots, um das Internet nach Websites mit Sicherheitslücken zu durchsuchen, und hacken, wo immer sich eine Gelegenheit bietet.
Ein weiterer wichtiger Punkt ist, dass Sie möglicherweise nicht einmal merken, wenn Hacker versuchen, in Ihre Website einzubrechen. Wenn Sie nicht regelmäßig über Hacking-Versuche benachrichtigt werden, werden Sie es wahrscheinlich erst merken, wenn ein Hacking erfolgreich war und etwas auf Ihrer Website schief läuft.
Die Botschaft ist, dass alle Websites anfällig für Hacking sind – und Vorbeugen ist besser als Heilen. Installieren Sie unbedingt ein Sicherheits-Plugin und ergreifen Sie andere präventive Sicherheitsmaßnahmen, um Ihre Website zu schützen.
Wie Sie die WordPress-Hacker besiegen
Wir stellen Ihnen jetzt die 10 besten Möglichkeiten vor, wie Sie Ihre WordPress-Website schützen und verhindern können, dass sie gehackt wird.
1) Wählen Sie einen sicheren Hosting-Anbieter
Alle guten Hosting-Anbieter bieten einen Sicherheitsschutz, der gewährleistet, dass Ihre Website-Daten auf ihren Servern sicher sind.
Wenn Sie sich für einen Hosting-Anbieter entscheiden, achten Sie darauf, welche Sicherheitsmaßnahmen er anbietet (z. B. Firewalls und sicheres FTP), wie er sein Servernetzwerk überwacht und wie er auf Sicherheitsverletzungen reagiert.
Ihre WordPress-Site kann besonders anfällig für Hacker sein, wenn Sie einen Shared-Hosting-Plan haben, da Hacker möglicherweise andere Sites auf demselben Server nutzen können, um sich Zugang zu Ihrer Site zu verschaffen.
Die sicherste – aber auch teuerste – Hosting-Option ist ein dedizierter Server. Dies ist eine Überlegung wert, wenn Sie besonders viel Traffic haben oder sensible Daten auf Ihrer Seite speichern.
2) Besorgen Sie sich ein Sicherheits-Plugin
Ein hochwertiges Sicherheits-Plugin ist ein Muss, um zu verhindern, dass Ihre WordPress-Seite gehackt wird.
Sicherheits-Plugins beinhalten in der Regel:
- eine Firewall, um verdächtigen Datenverkehr zu blockieren
- Brute-Force-Schutz gegen mehrere zufällige Login-Versuche
- einen Scanner, der Ihre Dateien, Themes und Plugins auf Sicherheitsprobleme überprüft
- regelmäßige Sicherheitsbenachrichtigungen
Wir empfehlen Wordfence – ein ausgezeichnetes, kostenloses Sicherheits-Plugin. Sobald es installiert ist, erscheint „Wordfence“ im linken Menü Ihres WordPress-Dashboards. Sie können jederzeit darauf klicken, um Ihre Website zu scannen, die neuesten Benachrichtigungen zu sehen und Empfehlungen zur Verbesserung der Sicherheit Ihrer Website zu erhalten.
3) Wählen Sie ein sicheres Theme
Die Wahl des richtigen Themes für Ihre Website ist entscheidend. Natürlich muss es das richtige Aussehen und die richtigen Funktionen für Ihre Organisation haben. Aber es muss auch robust und sicher sein.
Ein sicheres Theme wird:
- Regelmäßig aktualisiert und gepatcht
- Guten Codierungsstandards folgen
- Nicht mit Bugs oder Kompatibilitätsfehlern verbunden sein
Bei mehr als 7.000 verfügbaren WordPress-Themes kann es schwierig sein, zu wissen, wo man anfangen soll!
Der beste Weg, ein sicheres Theme auszuwählen, ist ein Blick auf WordPress.org. Dort können Sie Theme-Bewertungen einsehen, überprüfen, wie viele Installationen ein Theme hatte und wann es zuletzt aktualisiert wurde – alles gute Hinweise auf die Sicherheit.
Sie können auch Ihre WordPress-Agentur nach Theme-Empfehlungen fragen, die den Anforderungen Ihrer Website und Ihres Unternehmens entsprechen.
4) WordPress auf dem neuesten Stand halten
Eine weitere wichtige Sicherheitsmaßnahme ist es, WordPress auf dem neuesten Stand zu halten. WordPress-Software-Updates werden regelmäßig durchgeführt, um die Leistung zu optimieren und Sicherheitsprobleme zu beheben, sobald sie entdeckt werden.
Es ist möglich, automatische Updates für die meisten WordPress-Kernversionen anzuwenden, so dass Ihre Website im Hintergrund aktualisiert wird, ohne dass Sie etwas tun müssen. Größere Versionen müssen Sie jedoch immer noch manuell durchführen – stellen Sie sicher, dass Sie zuerst ein Backup Ihrer Website erstellen!
Sobald Aktualisierungsmeldungen auf Ihrem WordPress-Dashboard erscheinen, sind sie verfügbar. Klicken Sie einfach darauf, um sie zu aktivieren. Es ist eine gute Idee, auch Plugins und Themes regelmäßig zu aktualisieren.
5) Verwenden Sie sichere Anmeldedaten
Wie bereits erwähnt, ist eine der wichtigsten Möglichkeiten für Hacker, auf Ihre WordPress-Website zuzugreifen, die automatisierten „erratenen“ Anmeldeversuche. Je offensichtlicher Ihr Benutzername und Ihr Passwort sind, desto wahrscheinlicher ist es, dass diese Versuche erfolgreich sind.
Um Hacking zu verhindern, sollten Sie einen untypischen Benutzernamen wählen. Das bedeutet im Wesentlichen, dass Sie nicht „admin“ verwenden, der so häufig vorkommt, dass er in der Regel der erste Benutzername ist, den Hacker versuchen.
Zweitens sollten Sie ein sicheres Passwort wählen, das eine Mischung aus Buchstaben, Symbolen und Zahlen enthält. Um maximale Sicherheit zu gewährleisten, sollte es mindestens 12 Zeichen lang sein und keine Wörter aus dem Wörterbuch enthalten.
Sichern Sie nicht nur Ihr WordPress-Dashboard-Login, sondern wählen Sie auch sichere Benutzernamen und Passwörter für Ihre anderen Konten im Zusammenhang mit der Website, z. B. Ihre benutzerdefinierte E-Mail-Adresse. Andernfalls könnten auch diese verwendet werden, um Ihre Website zu hacken.
6) Fügen Sie die Zwei-Faktor-Authentifizierung hinzu
Sie können Ihr WordPress-Login noch weiter verstärken, indem Sie die Zwei-Faktor-Authentifizierung aktivieren. Dies ist besonders nützlich, wenn Sie mehrere Benutzer haben, die sich im Backend Ihrer Website anmelden.
Bei der Zwei-Faktor-Authentifizierung melden sich die Benutzer in zwei Schritten an. Zuerst geben sie ihren Benutzernamen und ihr Passwort ein. Dann müssen sie einen einmaligen Passcode eingeben, um ihre Identität zu verifizieren.
Mit dem Wordfence-Sicherheits-Plugin, das wir oben empfohlen haben, ist die Zwei-Faktor-Authentifizierung einfach zu aktivieren. Es verwendet eine Authenticator-App, um Passcodes für Benutzer zu generieren.
Um das Plugin einzurichten, gehen Sie in Ihrem WordPress-Dashboard zu Wordfence > Login-Sicherheit und kopieren Sie den angegebenen Schlüssel. Laden Sie dann Google Authenticator (oder eine andere Authenticator-App) herunter und geben Sie diesen Schlüssel ein.
Die App liefert nun einen sechsstelligen Code. Geben Sie diesen einfach wieder in Ihr WordPress-Dashboard ein und klicken Sie auf „Aktivieren“.
Die Zwei-Faktor-Authentifizierung ist nun aktiviert. Das bedeutet, dass Sie jedes Mal, wenn Sie versuchen, sich bei WordPress anzumelden, aufgefordert werden, Ihre Authenticator-App aufzurufen und einen Passcode einzugeben.
7) Deaktivieren Sie die Dateibearbeitung
WordPress verfügt über einen Code-Editor, mit dem Sie die Dateien Ihrer Website über Ihr Dashboard bearbeiten können. Dies ist zwar eine nützliche Funktion, aber auch eine große Gefahr für Hacker. Wir empfehlen daher, ihn zu deaktivieren.
Eine weitere Möglichkeit, die Bearbeitung von Dateien zu verhindern, besteht darin, die Ausführung von PHP-Dateien in den Ordnern /wp-content/uploads/ zu deaktivieren. Öffnen Sie dazu Notepad – oder einen ähnlichen Texteditor – und fügen Sie Folgendes ein:
<Dateien *.php>
von allen verbieten
</Dateien>
Wenn Sie dies als .htaccess speichern und die Datei in den Ordner /wp-content/uploads/ auf Ihrer Website hochladen, verhindert dies auch, dass Hacker Hintertürchen in Ihre PHP-Ausführung einbauen können.
8) Scannen Sie Ihre Website und Ihren Computer
Es ist wichtig, Ihre Website regelmäßig auf Malware, Viren und verdächtigen Code zu überprüfen. Wenn Sie das Wordfence-Plugin verwenden, können Sie dies tun, indem Sie zu Wordfence > Scan gehen und auf „Neuen Scan starten“ klicken.
Wenn es Probleme gibt, schlägt Wordfence vor, wie Sie diese beheben und Ihre Website wieder sicher machen können. Wir empfehlen, mindestens einmal im Monat zu scannen – wenn Sie es häufiger tun können, umso besser!
Es nützt jedoch nichts, sich auf eine sichere Website zu verlassen, wenn der Computer, von dem aus Sie die Website betreiben, verwanzt oder infiziert ist. Daher sollten Sie auch Ihren Computer oder Ihr Gerät regelmäßig scannen.
Sie sollten eine gute Antiviren-Software auf Ihrem Gerät verwenden und sicherstellen, dass Sie Ihr System regelmäßig aktualisieren. Wir empfehlen außerdem, die Datenschutzeinstellungen Ihres Browsers zu überprüfen, um zu verhindern, dass Sie beim Surfen im Internet gehackt werden.
9) Verwenden Sie HTTPS
Eine HTTPS-Website bedeutet, dass die Kommunikation zwischen Ihrer Website und den Browsern der Nutzer verschlüsselt wird. Dies ist daher eine weitere wichtige Methode, um Hackerangriffe zu verhindern.
Wenn Sie noch keine HTTPS-Website haben, ist die Umstellung sehr einfach. Sie brauchen nur ein SSL-Zertifikat (Secure Sockets Layer), das für alle Websites kostenlos bei Let’s Encrypt erhältlich ist.
Wenn Sie bereits ein SSL-Zertifikat haben, sollten Sie sich in Ihrem Kalender daran erinnern lassen, es alle zwei Jahre zu erneuern. Andernfalls kann es leicht passieren, dass Sie es vergessen und den HTTPS-Status Ihrer Website – und die guten Sicherheitsdaten – verfallen lassen.
10) Sichern, sichern, sichern!
Unser letzter Tipp verhindert zwar keine Hackerangriffe, ist aber wahrscheinlich der wichtigste Schritt für den Fall, dass Ihre Website jemals gehackt wird.
Indem Sie regelmäßig Backups Ihrer Website erstellen, können Sie sie bei Bedarf schnell wiederherstellen. Ohne Backups könnten Sie alles verlieren, was Sie jemals auf Ihrer Website entworfen, gepostet oder geschrieben haben.
Wie Sie Ihre WordPress-Site sichern, hängt von der Art des Hostings ab, das Sie haben. Sprechen Sie mit Ihrem Hosting-Provider; möglicherweise sind Backups Teil Ihres Hosting-Pakets.
Alternativ dazu können Sie mit Ihrer WordPress-Agentur sprechen oder ein Backup-Plugin installieren. Wie auch immer Sie vorgehen, stellen Sie sicher, dass Sie Ihre WordPress-Website regelmäßig sichern und Ihre Sicherungsdateien sicher aufbewahren, damit Sie wissen, dass sie da sind, falls Sie sie jemals brauchen.