WordPress-Website absichern: 8 Tipps für mehr Sicherheit

Werbehinweis: Links mit * können Provisions-Links sein. Mehr dazu erfährst du hier.

WordPress ist unglaublich beliebt und das aus gutem Grund: Es ist kostenlos, bietet viele Plugins, Themes und fertige Website-Templates, die dir den Aufbau einer professionellen Seite erleichtern. Doch diese Beliebtheit hat auch eine Schattenseite – WordPress ist ein häufiges Ziel für Hacker.

Aufgrund seiner weiten Verbreitung suchen Kriminelle gezielt nach Schwachstellen, um Millionen von Webseiten gleichzeitig anzugreifen.

Deshalb zeige ich dir in diesem Artikel acht einfache, aber essenzielle Tipps, um deine WordPress-Seite sicherer zu machen und vor solchen Angriffen zu schützen.

Kurz und knapp: Die wichtigsten Sicherheits-Tipps für deine Website

  • Sichere Passwörter: Nutze zufällig generierte, einzigartige Passwörter und einen Passwortmanager.
  • Zwei-Faktor-Authentifizierung (2FA): Implementiere eine zusätzliche Sicherheitsebene durch 2FA.
  • Regelmäßige Updates: Halte WordPress, Plugins und Themes aktuell, um Sicherheitslücken zu schließen.
  • DDoS-Schutz: Nutze ein Content Delivery Network (CDN) wie Cloudflare oder den integrierten Schutz deines Hosting-Anbieters gegen Überlastungsangriffe.
  • SSL-Zertifikat: Stelle sicher, dass deine Website ein gültiges SSL-Zertifikat verwendet und erzwinge HTTPS für alle Verbindungen.
  • Backups: Erstelle regelmäßige Backups sowohl über deinen Hosting-Anbieter als auch über Plugins wie UpdraftPlus.
  • Eingeschränkte Benutzerrechte: Vergebe Benutzerrollen nach dem Prinzip „so wenig wie möglich, so viel wie nötig“.
  • Virenscanner: Nutze Sicherheits-Plugins wie Wordfence für regelmäßige Malware-Scans.

Video-Anleitung: WordPress-Website sicher machen

In diesem YouTube-Video auf meinem Partner-Kanal von EXPERTE.de zeige ich dir Schritt-für-Schritt, wie du die folgenden Sicherheits-Tipps anwendest.

Tipp 1: Sichere Passwörter

Der erste und vielleicht wichtigste Schritt zur Absicherung deiner WordPress-Website sind sichere Passwörter – nicht nur für dich, sondern auch für alle anderen Benutzer, die auf deiner Seite registriert sind. WordPress generiert dir bereits automatisch sichere, zufällige Passwörter, die du problemlos übernehmen kannst. Vermeide einfache und wiederverwendete Passwörter wie „Hallo2025“, denn das macht es Hackern leicht, auf deine Seite zuzugreifen.

wordpress website absichern passwort
Idealerweise wählst du in WordPress ein starkes, zufällig generiertes Passwort für deinen Benutzer.

Um alle deine Passwörter sicher zu speichern, empfehle ich einen Passwortmanager. Das kann eine spezielle Software sein oder auch der Passwortmanager deines Browsers, wie Google Chrome. Denk daran, dass auch dein Hosting-Account mit einem einzigartigen Passwort geschützt sein sollte.

In diesem Video erkläre ich dir, wie du sichere Passwörter erstellst.

Zusätzlich kannst du über das Plugin „Wordfence Security“ sicherstellen, dass alle Benutzer starke Passwörter verwenden. Das Plugin bietet dir außerdem weitere hilfreiche Sicherheits-Funktionen für WordPress, wie eine Brute-Force-Protection, die IP-Adressen nach zu vielen falschen Anmeldeversuchen sperrt, und verhindert die Verwendung von Passwörtern, die bereits bei Datenpannen offengelegt wurden.

wordpress sichere passwoerter erzwingen
Mit Sicherheits-Plugins, wie Wordfence, kannst du „sichere“ Passwörter für alle WordPress-Benutzer erzwingen.

Tipp 2: 2-Faktor-Authentifizierung

Ein weiterer wichtiger Schritt, um deine WordPress-Website zu schützen, ist die Zwei-Faktor-Authentifizierung (2FA). Mit dieser zusätzlichen Sicherheitsmaßnahme stellst du sicher, dass sich niemand nur mit deinem Passwort einloggen kann. Neben dem WordPress-Passwort benötigst du dann einen sechsstelligen Code, den du über eine Zwei-Faktor-App wie den Google Authenticator, Microsoft Authenticator oder ähnliche Apps erhältst.

Wie funktioniert eigentlich 2FA und warum sicherst du damit deine Website ab? Das erkläre ich dir in diesem Video!

Die Einrichtung ist einfach: Im „Login Security“-Bereich des Wordfence-Plugins scannst du einen QR-Code mit deiner App ein. Ab dann musst du bei jedem Login nicht nur dein Passwort eingeben, sondern auch den Code aus der App, der sich alle 20 Sekunden neu generiert. Damit sind deine Anmeldedaten doppelt gesichert, auch wenn ein Hacker dein Passwort kennt.

wordpress wordfence 2fa 1
Einmal eingescannt, generierst du mit dem QR-Code einen 6-stelligen Zugangscode, der dein Account zusätzlich zu deinem Passwort absichert.

Ein wichtiger Tipp: Speichere unbedingt die Recovery-Codes ab, damit du den zweiten Faktor im Notfall wiederherstellen kannst. Zudem kannst du festlegen, dass bestimmte Benutzerrollen, wie Administratoren, zwingend die 2FA verwenden müssen – ein zusätzlicher Schutz für deine Website!

Tipp 3: Automatische Updates

Updates sind ein essenzieller Bestandteil der Sicherheit deiner WordPress-Website. Auch wenn sie manchmal lästig erscheinen, sind sie enorm wichtig, um bekannte Sicherheitslücken zu schließen, die Hacker ausnutzen könnten. Genau wie bei deinem Computer oder Smartphone sorgen regelmäßige Updates dafür, dass deine Website geschützt bleibt.

wordpress automatische updates
So sollte dein Update-Bereich in WordPress aussehen: WordPress-Core, Plugins, Themes und Übersetzungen sind auf dem aktuellen Stand.

Um sicherzustellen, dass alles auf dem neuesten Stand ist, kannst du im WordPress-Dashboard unter „Aktualisierungen“ nachsehen, ob Updates für WordPress selbst, Plugins oder Themes verfügbar sind. Es ist ratsam, diese so schnell wie möglich zu installieren.

wordpress ionos automatische updates
Manche Hosting-Anbieter, wie z.B. Managed WordPress-Hosting, kümmern sich sogar automatisch um Updates.

Falls du automatische Updates nicht aktivieren möchtest, weil es zu Konflikten zwischen Plugins kommen könnte, solltest du alle zwei bis vier Wochen manuell updaten und dabei sicherstellen, dass alle Funktionen einwandfrei laufen. Vor jedem Update ist es zudem wichtig, ein Backup deiner Website zu erstellen, um im Notfall auf eine ältere Version zurückgreifen zu können. Mehr zu Backups erkläre ich dir weiter unten.

Tipp 4: DDoS-Schutz

Ein weiterer wichtiger Tipp zur Absicherung deiner WordPress-Website ist der Schutz vor DDoS-Attacken. DDoS steht für „Distributed Denial of Service“, was bedeutet, dass deine Website mit so vielen Anfragen überflutet wird, dass der Server überlastet und die Seite nicht mehr erreichbar ist. Selbst wenn deine Website perfekt gegen Hacker gesichert ist, können solche Attacken sie dennoch lahmlegen.

Um dich davor zu schützen, kannst du ein Content Delivery Network (CDN) wie Cloudflare nutzen, das solche Angriffe abwehrt. Alternativ bieten viele Hosting-Anbieter einen Schutz gegen solche Attacken an, ohne dass du zusätzlich etwas einrichten musst. Bei Hostinger ist beispielsweise selbst im günstigsten Tarif ein DDoS-Schutz mit integriert.

hostinger ddos schutz
Hosting-Anbieter, wie Hostinger, haben bereits einen DDoS-Schutz inkludiert.

Diese blockieren verdächtig hohe Zugriffszahlen und halten deine Website funktionsfähig. Besonders für diejenigen, die mehrere Websites betreiben, ist Hostinger eine gute Wahl, da du hier zu einem günstigen Preis mehrere Seiten hosten kannst – eine solide Lösung, um sowohl Performance als auch Sicherheit zu gewährleisten.

Tipp 5: SSL-Zertifikat

Ein weiterer wichtiger Aspekt der Website-Sicherheit ist die Verwendung eines SSL-Zertifikats. SSL steht für „Secure Sockets Layer“ und sorgt dafür, dass die Daten, die zwischen deiner Website und den Besuchern ausgetauscht werden, verschlüsselt sind. Ohne ein SSL-Zertifikat erhalten Besucher deiner Seite möglicherweise eine Warnmeldung, dass die Website unsicher sei. Dies kann potenzielle Besucher abschrecken und das Vertrauen in deine Seite erheblich beeinträchtigen.

website unsicher beispiel
Du willst nicht, dass Benutzer mit dieser Warnung begrüßt werden, wenn sie deine Website besuchen? Dann verwende ein SSL-Zertifikat!

Bei modernen Hosting-Anbietern wie IONOS oder Hostinger wird das SSL-Zertifikat oft automatisch bereitgestellt und regelmäßig erneuert. Sollte dein Anbieter dies nicht automatisch tun, musst du das Zertifikat manuell einrichten oder in manchen Fällen sogar kaufen.

image 1
Die meisten Hosting-Anbieter kümmern sich mittlerweile automatisch um die Einrichtung eines SSL-Zertifikats.

Um sicherzugehen, dass deine Website immer über eine sichere Verbindung erreichbar ist, solltest du auch eine Weiterleitung von der unsicheren HTTP-Version zu HTTPS einrichten. Dies sorgt dafür, dass, selbst wenn jemand versucht, die unsichere Version aufzurufen, er automatisch zur sicheren Variante weitergeleitet wird. Dies kannst du je nach Hosting-Anbieter oft direkt einstellen.

Durch die Nutzung eines SSL-Zertifikats erhöhst du die Sicherheit und Vertrauenswürdigkeit deiner Website, indem du sicherstellst, dass alle Daten verschlüsselt übertragen werden.

Tipp 6: Backups

Ein weiterer essenzieller Schritt für die Sicherheit deiner Website ist die regelmäßige Erstellung von Backups. Diese Backups sind entscheidend, um deine Website nach einem Crash, einem Fehler oder einem Hackerangriff schnell wiederherstellen zu können. Es gibt zahlreiche Gründe, warum du ein Backup brauchst – sei es nach einem fehlgeschlagenen Update, bei einem versehentlich gelöschten Code oder um Änderungen rückgängig zu machen.

Es gibt zwei Möglichkeiten, Backups zu erstellen:

  • Direkt über deinen Hosting-Anbieter
  • Über ein WordPress-Plugin

Bei IONOS kannst du beispielsweise im Bereich „Backups“ sehen, dass täglich automatische Sicherungen erstellt werden, die für sieben Tage gespeichert werden. Mit einem Klick kannst du jederzeit eines dieser Backups wiederherstellen.

ionos wordpress backups
Viele Hosting-Anbieter erstellen automatisch Backups für dich.

Zusätzlich zu den Backups deines Hosting-Anbieters kannst du auch das WordPress-Plugin UpdraftPlus verwenden. Sobald das Backup erstellt wurde, kannst du es herunterladen oder direkt wiederherstellen. Ein weiterer Vorteil von UpdraftPlus ist, dass du die Backups in einem Cloud-Speicher wie Google Drive ablegen kannst. So hast du zusätzliche Sicherheit, falls etwas mit deinem Hosting-Account schiefgeht.

updraft backups speicherort
Mit vielen Backup-Plugins kannst du Backups an einen Cloud-Speicher schicken

Tipp 7: Eingeschränkte Benutzerrechte

Ein weiterer wichtiger Tipp betrifft die Benutzerverwaltung deiner Website. Wenn du mehrere Benutzer hast, ist es entscheidend, ihnen nur die Rechte zu geben, die sie wirklich benötigen. So minimierst du das Risiko, dass durch falsche Handlungen oder versehentliche Änderungen Probleme entstehen.

In WordPress gibt es unterschiedliche Rollen für Benutzer: Administrator, Redakteur, Autor, Mitarbeiter und Abonnent. Jede dieser Rollen hat unterschiedliche Berechtigungen:

  • Administrator: Hat vollen Zugriff auf alle Funktionen und Einstellungen der Website. Diese Rolle sollte nur an Personen vergeben werden, die wirklich Zugang zu allen Bereichen benötigen, da sie die gesamte Website ändern können, inklusive kritischer technischer Aspekte.
  • Redakteur: Kann Inhalte verwalten und veröffentlichen, aber keine technischen Einstellungen oder Plugins ändern. Diese Rolle ist ideal für Mitarbeiter, die regelmäßig Blogbeiträge oder Seiten aktualisieren, aber keinen Zugang zu den technischen Teilen der Website benötigen.
wordpress berechtigungen
Vergebe an möglichst wenige Benutzer Administrator-Berechtigungen.

Wenn du neue Benutzer erstellst, kannst du ganz einfach einen Benutzernamen, eine E-Mail-Adresse und ein sicheres Passwort eingeben. Anschließend wählst du die passende Rolle aus. Die Regel lautet: Weniger ist mehr – also nur so viele Rechte wie nötig vergeben.

Tipp 8: Virenscanner

Ein letzter wichtiger Tipp, um deine Website sicher zu halten, ist es, sie regelmäßig auf Viren und Schadsoftware zu scannen. Genauso wie du deinen Computer auf Malware überprüfst, solltest du auch deine Website im Auge behalten. Denn Sicherheitslücken auf deiner Website könnten zu großen Problemen führen, wie gehackten Seiten oder Datenlecks.

Auch hier hilft ein Sicherheits-Plugin wie Wordfence weiter. Es führt regelmäßige Scans durch, um sicherzustellen, dass keine Schadsoftware oder verdächtigen Dateien auf deiner Website vorhanden sind.

image
Wordfence führt automatische Scans im Hintergrund durch und benachrichtigt dich, falls Probleme gefunden werden.

Zusätzlich kannst du externe Tools verwenden, wie den kostenlosen Security-Check von Experte.de. Dieses Tool überprüft deine Website auf Malware, Phishing-Versuche und prüft auch, ob dein SSL-Zertifikat korrekt eingerichtet ist.

Fazit

Die Sicherheit deiner WordPress-Website ist entscheidend, um dich und deine Besucher vor potenziellen Gefahren zu schützen. Mit den richtigen Maßnahmen wie SSL-Verschlüsselung, regelmäßigen Backups, DDoS-Schutz und der Vergabe passender Benutzerrechte kannst du viele Risiken minimieren.

Zusätzlich solltest du deine Website regelmäßig auf Viren und Schadsoftware scannen, um potenzielle Bedrohungen frühzeitig zu erkennen. Mit den richtigen Hosting-Anbietern und Sicherheits-Plugins wie Wordfence kannst du diese Aufgaben weitgehend automatisieren und deine Website sicher betreiben.

Wie sicherst du deine Website ab? Ich bin gespannt auf deine Tipps in den Kommentaren 🙂

Ähnliche Artikel

11 kostenlose E-Mail-Anbieter im Vergleich

Obwohl E-Mails im Alltag immer weniger genutzt werden, kommen die meisten ohne eine E-Mail-Adresse trotzdem nicht aus. Viele greifen auf kostenlose E-Mail-Anbieter wie Gmail oder Outlook zurück. Doch willst du wirklich, dass diese großen Tech-Konzerne Zugriff auf deine privaten Daten

Weiterlesen »

Die 8 besten 2-Faktor Authentifizierungs Apps im Vergleich

Die Sicherheit deiner Online-Accounts ist in der digitalen Welt von entscheidender Bedeutung. Ein einfacher Weg, deine Konten sicherer zu machen, ist die Nutzung der Zwei-Faktor-Authentifizierung (2FA). Dadurch benötigst du neben deinem Passwort einen zusätzlichen Code, der über die Authentifizierungs-App generiert

Weiterlesen »

kSuite Test & Erfahrung: Die Funktionen im Überblick

Ohne ein digitales Produktivitätstool auszukommen, ist heutzutage ziemlich schwer – egal ob als Unternehmen oder Einzelperson. Meistens denken wir sofort an die beiden großen Anbieter: Google Workspace und Microsoft 365. Doch sind das wirklich die einzigen Optionen?  Ich habe mir

Weiterlesen »

Cloud-Speicher Vergleich: 10 Anbieter im Test

Die Auswahl an Cloudspeicher-Anbietern ist riesig. Dabei kann es schwierig sein, den Richtigen für deine Bedürfnisse zu finden. In diesem Artikel stelle ich dir deshalb die zehn wichtigsten Anbieter vor, die ich anhand verschiedener Kriterien getestet habe – von bekannten

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.