WordPress-Sicherheitscheckliste (2023): So schützen Sie Ihre Website

Während Sie dies lesen, sind über 60.000 Plugins im WordPress-Repository verfügbar.

Das ist das Schöne an WordPress!

Aber möglicherweise auch der schlimmste Albtraum eines jeden Websitebesitzers. Tatsächlich hängen satte 56 % der WordPress-Schwachstellen mit Plugins zusammen und allein im Jahr 2021 wurden über 86 Milliarden Passwortangriffe durch das Sicherheits-Plugin WordFence blockiert.

Unabhängig davon, ob Sie gehackt wurden oder sich einfach vor böswilligen Absichten schützen möchten, hilft Ihnen diese Sicherheitscheckliste dabei, jeden Cyberangriff abzuwehren.

Warum WordPress-Sicherheit für Ihr Online-Geschäft wichtig ist

Mit einem Marktanteil von 64,2 % kann man mit Sicherheit sagen, dass WordPress-Sicherheit für 810 Millionen Websites weltweit unerlässlich ist – unabhängig von Branche, Größe und Ruf. Hier ist der Grund.

• Datenschutz: Ihre Website enthält sensible Daten, darunter Kundeninformationen, Zahlungsdetails und geschäftsbezogene Inhalte. Die Gewährleistung der Sicherheit ist von entscheidender Bedeutung, um Datenschutzverstöße zu verhindern und Ihren Ruf zu schützen.
• Aufrechterhaltung des Kundenvertrauens: Eine sichere Website fördert das Vertrauen Ihrer Besucher und Kunden. Wenn Menschen wissen, dass ihre Daten sicher sind, ist es wahrscheinlicher, dass sie mit Ihrer Website interagieren und Käufe tätigen.
• Ausfallzeiten verhindern: Sicherheitsverletzungen, Hacks oder Malware-Infektionen können zu Ausfallzeiten der Website führen. Dies stört nicht nur Ihren Geschäftsbetrieb, sondern schadet auch Ihrer Online-Präsenz und Ihrem Geschäftsergebnis.
• Rechtliche Konsequenzen vermeiden: Datenschutzverletzungen und Sicherheitsprobleme können rechtliche Konsequenzen nach sich ziehen, einschließlich Bußgeldern und Klagen, insbesondere wenn Kundendaten kompromittiert werden.
• SEO verbessern: Suchmaschinen wie Google priorisieren sichere Websites in ihren Rankings. Eine sichere Website mit einem SSL-Zertifikat und robusten Sicherheitsmaßnahmen kann Ihre Sichtbarkeit in Suchmaschinen verbessern.

Was sind einige häufige WordPress-Sicherheitsprobleme?

Obwohl die WordPress-Plattform allgemein als sicher gilt, kann ihre Open-Source-Technologie über Plugins und Themes, SQL, CSRF, Datei-Exploits, unsicheres Hosting und mehr verschiedene Schwachstellen mit sich bringen.

Zu den beliebten Sicherheitsbedenken bei WordPress gehören:

• Veraltete Software: Wenn Sie den WordPress-Kern, die Themes und Plugins nicht regelmäßig aktualisieren, kann Ihre Website anfällig für bekannte Sicherheitslücken sein.
• Schwache Passwörter: Die Verwendung schwacher oder leicht zu erratender Passwörter erleichtert Angreifern den unbefugten Zugriff auf Ihre Website.
• Schwachstellen bei Plugins: Wenn Sie sich dafür entscheiden, Ihrem Tech-Stack unsichere Plugins hinzuzufügen, eröffnen sich böswilligen Angreifern die Möglichkeit, Ihre Website zu hacken.
• Brute-Force-Angriffe: Angreifer versuchen, sich Zugriff zu verschaffen, indem sie wiederholt verschiedene Kombinationen aus Benutzername und Passwort ausprobieren, bis sie die richtige Kombination gefunden haben.
• SQL-Injection: Dies geschieht, wenn ein Angreifer bösartigen SQL-Code in die Eingabefelder Ihrer Website einfügt und sich so möglicherweise Zugriff auf Ihre Datenbank und vertrauliche Informationen verschafft.
• Cross-Site Scripting (XSS): Angreifer fügen schädliche Skripte in Webseiten ein, die von anderen Benutzern angezeigt werden, was zu Datendiebstahl oder zur Verunstaltung der Website führen kann.
• Cross-Site Request Forgery (CSRF): Hierbei werden authentifizierte Benutzer dazu verleitet, ohne ihr Wissen böswillige Aktionen auszuführen.
• Dateieinschluss-Exploits: Angreifer nutzen schlecht bereinigte Benutzereingaben aus, um schädliche Dateien auf Ihrem Server einzubinden.
• Spam und Malware: Wenn der Schutz vor Kommentar-Spam und Malware fehlschlägt, kann dies zu einer Kompromittierung der Website führen.
• Phishing: Angreifer können gefälschte Anmeldeseiten oder E-Mails verwenden, um Benutzer dazu zu verleiten, Anmeldeinformationen oder andere vertrauliche Informationen preiszugeben.
• Datenlecks: Schlecht konfigurierte Websites oder Dienste von Drittanbietern können zu Datenschutzverletzungen oder dem Verlust von Benutzerinformationen führen.
• DDoS-Angriffe: Distributed-Denial-of-Service-Angriffe können die Verfügbarkeit einer Website beeinträchtigen, indem sie diese mit Datenverkehr überlasten.

Schwachstellen im LiteSpeed-Cache-Plugin und die Bedeutung sicherer WordPress-Plugins

Eine aktuelle Skript-Schwachstelle im beliebten LiteSpeed ​​Cache-Plugin betraf über 4 Millionen Websites.

Es ermöglichte Bedrohungsakteuren mit Berechtigungen auf Mitwirkender-Ebene oder höher, mithilfe des Shortcodes des Plugins bösartige Webskripte in Seiten einzuschleusen. Glücklicherweise wurde der Verstoß vom WordFence-Team rechtzeitig erkannt und gemeldet.

So stellen Sie sicher, dass Ihr Tech-Stack Ihrer Website keinen Schaden zufügt:

• Überprüfen Sie den Verlauf und den Ruf des Plugins: Eine große Anzahl aktiver Installationen und positive Bewertungen helfen Ihnen dabei, die Zuverlässigkeit des Plugins einzuschätzen.
• Analysieren Sie die Aktualisierungshäufigkeit: Stellen Sie sicher, dass das Plugin regelmäßig aktualisiert wird, wobei das letzte Update nicht älter als ein paar Monate sein darf.

• Überprüfen Sie die Support-Antworten des Entwicklers: Schauen Sie in den Support-Foren für das Plugin nach, wie reaktionsschnell und hilfsbereit die Entwickler sind. Ein guter Support kann ein Hinweis auf ein Engagement für die Qualität und Sicherheit des Plugins sein.
• Überprüfen Sie die Kompatibilität mit Ihrer WordPress-Version: Inkompatible Plugins können Sicherheitslücken verursachen oder Funktionsprobleme verursachen.
• Bewerten Sie die Funktionen und Berechtigungen des Plugins: Seien Sie vorsichtig bei Plugins, die unnötige Berechtigungen erfordern oder einen aufgeblähten Funktionsumfang bieten, der nicht benötigt wird. Mehr Code kann mehr Möglichkeiten für Sicherheitslücken bedeuten.
• Führen Sie Sicherheitsprüfungen durch: Verwenden Sie Tools wie WPScan, um alle bekannten Schwachstellen eines Plugins zu identifizieren. Suchen Sie nach Sicherheitshinweisen oder Diskussionen zum Plugin.

• Beginnen Sie mit einer Testumgebung: Bevor Sie ein neues Plugin auf Ihrer Live-Site installieren, testen Sie es auf einer Staging-Site, um sein Verhalten zu überwachen und sicherzustellen, dass es keine Schwachstellen verursacht.
• Suchen Sie nach Sicherheitsempfehlungen oder Zertifizierungen: Einige Plugins verfügen möglicherweise über Sicherheitsüberprüfungen oder Zertifizierungen von seriösen Drittunternehmen, was ihre Glaubwürdigkeit erhöhen kann.
• Seien Sie vorsichtig mit kostenlosen Plugins: Auch wenn viele kostenlose Plugins sicher sind und gut gewartet werden, lassen Sie immer die gebotene Sorgfalt walten, da kostenlose Plugins möglicherweise nicht immer kontinuierlichen Support und Updates bieten.
• Sichern Sie Ihre Website regelmäßig: Trotz aller Vorsichtsmaßnahmen ist es wichtig, regelmäßige Sicherungen Ihrer Website durchzuführen. Dies verhindert zwar keine Probleme, stellt aber sicher, dass Sie sich schnell erholen können, wenn etwas schief geht.

Optimieren Sie Ihre Geschwindigkeit und Leistung mit einem Plugin, das die Sicherheit Ihrer Website gewährleistet. Beginnen Sie mit NitroPack →

Wie überprüfen Sie, ob Ihre WordPress-Site sicher ist?

Im Zweifelsfall können Sie Ihre Website zunächst durch einen Online-Website-Sicherheitsscanner wie Qualys, SiteLock oder VirusTotal laufen lassen. Diese Tools können nach Malware, Schwachstellen und anderen Sicherheitsproblemen suchen.

Darüber hinaus können Sie aus mehreren seriösen WordPress-Sicherheits-Plugins wie Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner und WPScan wählen. Gehen Sie direkt zu den besten WordPress-Sicherheits-Plugins, um weitere Details und Funktionen zu erhalten und die Wahl für Ihre Website zu treffen.

WordPress-Sicherheitsgrundlagen

Ihr erster Schritt zum Schutz Ihrer Website besteht darin, eine vollständige WordPress-Sicherheitsüberprüfung durchzuführen. Folgen Sie den unteren Schritten:

1. Aktualisieren Sie Ihren WordPress-Kern, Ihre Themes und Plugins

Die Aktualisierung Ihrer Software ist eine der wirksamsten Sicherheitsmaßnahmen. Besuchen Sie einfach Ihren WP-Administrator und prüfen Sie, ob Updates verfügbar sind. WordPress bietet eine einfache Möglichkeit, Ihre Plugins in großen Mengen zu aktualisieren. Stellen Sie einfach sicher, dass Sie ein Backup erstellen und Ihre Website überprüfen, sobald sie aktualisiert ist.

Profi-Tipp : Entfernen Sie nicht verwendete Plugins vollständig aus Ihrem Tech-Stack.

2. Stellen Sie sicher, dass Sie und Ihre Benutzer sichere, eindeutige Passwörter verwenden

Erwägen Sie die Verwendung eines seriösen Passwort-Managers wie LastPass, Dashlane oder 1Password. Diese Tools können komplexe Passwörter für Sie generieren, speichern und automatisch ausfüllen. Sichere Passwörter bestehen aus mehr als 10 Zeichen, verwenden sowohl Groß- als auch Kleinbuchstaben und überspringen keine Sonderzeichen.

3. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA)

Fügen Sie eine zusätzliche Schutzebene hinzu, indem Sie 2FA mit einem Plugin wie WP 2FA einrichten, bei dem Benutzer zusätzlich zu ihrem Passwort eine zweite Form der Verifizierung angeben müssen. Eine weitere zusätzliche Maßnahme besteht darin, die Anmeldeversuche zu begrenzen und ein Timeout für Benutzer festzulegen, die verdächtiges Verhalten zeigen.

4. Sichern Sie die Datenbank und Dateien Ihrer Website

Wenn Sie von Ihren technischen Fähigkeiten überzeugt sind:

Greifen Sie über FTP (File Transfer Protocol) oder einen von Ihrem Hosting-Anbieter bereitgestellten Dateimanager auf die Dateien Ihrer Website zu. Laden Sie alle Dateien aus Ihrem WordPress-Stammverzeichnis (normalerweise der Ordner public_html oder www ) auf Ihren lokalen Computer herunter. Greifen Sie dann mit phpMyAdmin auf die Datenbank Ihrer Website zu, die häufig in Ihrem Hosting-Kontrollfeld verfügbar ist. Wählen Sie Ihre WordPress-Datenbank aus und exportieren Sie die gesamte Datenbank. Speichern Sie die exportierte Datenbank als SQL-Datei auf Ihrem lokalen Computer.

Alternativ können Sie ein Plugin wie Updraft Plus verwenden, um automatische Backups in einem gewünschten Intervall festzulegen.

5. Verwenden Sie die Web Application Firewall (WAF)

Eine Website-Firewall blockiert den gesamten bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht. Hierfür gibt es zwei Methoden:

• Website-Firewall auf DNS-Ebene: Ermöglicht das Senden von echtem Datenverkehr an Ihren Webserver nur durch Weiterleitung des Datenverkehrs über deren Cloud-Proxyserver.
• Firewall auf Anwendungsebene: Analysiert den Datenverkehr, sobald er Ihren Server erreicht und bevor die meisten WordPress-Skripte geladen werden. Allerdings ist es nicht so effizient, da es tendenziell die Serverlast erhöht.

Schauen Sie sich die besten WordPress-Firewall-Plugins an.

6. Wechseln Sie zu einem seriösen Hosting-Anbieter

Ein seriöser Hosting-Anbieter für WordPress sollte robuste Sicherheitsfunktionen, proaktive Überwachung und reaktionsschnellen Support bieten, um die Sicherheit Ihrer Website zu gewährleisten.

Zu den zu suchenden Funktionen gehören (ohne darauf beschränkt zu sein):

• Starke Infrastruktursicherheit
• Einbindung von SSL-Zertifikaten
• Regelmäßige Backups
• Netzwerküberwachung rund um die Uhr
• DDoS-Schutz
• Scannen und Entfernen von Malware
• Automatische WordPress-Updates
• Speziell für WordPress konfiguriertes Caching auf Serverebene
• Unterstützung für Secure File Transfer Protocol (SFTP)
• Isolation zwischen Konten bei Shared Hosting

Sehen Sie sich unseren umfassenden Leitfaden zur Auswahl des richtigen Webhosting-Anbieters für Ihre Website an.

Fortgeschrittene Techniken zur Verbesserung der WordPress-Sicherheit

Die folgenden Techniken erfordern Administratorzugriff auf WordPress und ein ausreichendes Maß an technischen Kenntnissen. Bevor Sie versuchen, die Schritte auszuführen, sichern Sie immer Ihre Website und nehmen Sie sich die Zeit, darüber nachzudenken, einen WordPress-Sicherheitsexperten zu kontaktieren.

Verschieben Sie Ihre WordPress-Site auf SSL/HTTPS

SSL (Secure Sockets Layer) verschlüsselt die zwischen dem Browser des Benutzers und Ihrem Webserver übertragenen Daten und erhöht so die Sicherheit Ihrer Website.

Anweisungen:

• Erwerben Sie ein SSL-Zertifikat von Ihrem Hosting-Anbieter oder nutzen Sie ein kostenloses
• Installieren und aktivieren Sie das Zertifikat über Ihr Hosting-Konto
• Aktualisieren Sie Ihre WordPress-URL, indem Sie zu Einstellungen > Allgemein gehen und Ihre WordPress-Adresse (URL) und Site-Adresse (URL) von http:// auf https:// aktualisieren.
• Erzwingen Sie SSL, indem Sie den folgenden Code zu Ihrer .htaccess-Datei hinzufügen:

RewriteEngine Ein
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R,L]

Ändern Sie die URL der WordPress-Anmeldeseite

Standardmäßig sind WordPress-Anmeldeseiten über wp-login.php oder wp-admin leicht zugänglich. Wenn Sie dies ändern, können Sie sich vor unbefugten Anmeldeversuchen schützen.

Anweisungen:

• Bearbeiten Sie die .htaccess-Datei in Ihrem WordPress-Stammverzeichnis und fügen Sie Folgendes hinzu:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

• Ersetzen Sie mylogin durch den neuen Login-URL-Slug und 123 durch eine zufällige Zeichenfolge.

Ändern Sie den Standardbenutzernamen „admin“.

Der Standardbenutzername „admin“ ist ein Ziel für Hacker, daher ist es besser, ihn zu ändern.

Anweisungen:

• Erstellen Sie einen neuen Benutzer in WordPress, indem Sie zu Benutzer > Neu hinzufügen gehen.
• Weisen Sie dem neuen Benutzer die Rolle des Administrators zu.
• Melden Sie sich ab und wieder mit dem neuen Administratorkonto an.
• Löschen Sie den alten „admin“-Benutzer und weisen Sie alle Inhalte dem neuen Benutzer zu.

Deaktivieren Sie die Dateibearbeitung

Mit WordPress können Administratoren PHP-Dateien von Plugins und Themes bearbeiten. Das Deaktivieren dieser Funktion erhöht die Sicherheit.

Anweisungen:

• Fügen Sie die folgende Zeile zu Ihrer wp-config.php-Datei hinzu:

define('DISALLOW_FILE_EDIT', true);

Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen

Das Verhindern der PHP-Ausführung in Verzeichnissen wie wp-content/uploads kann dazu beitragen, die Ausführung bösartiger Skripte zu verhindern.

Anweisungen:

• Erstellen Sie eine .htaccess-Datei in dem Verzeichnis, das Sie schützen möchten, und fügen Sie Folgendes hinzu:

abgelehnt von allen

Ändern Sie das standardmäßige WordPress-Datenbankpräfix

Das standardmäßige wp_- Datenbankpräfix ist bekannt, sodass eine Änderung dazu beitragen kann, Ihre Datenbank vor SQL-Injection-Angriffen zu schützen.

Anweisungen:

• Sichern Sie Ihre Datenbank.
• Gehen Sie zu phpMyAdmin, wählen Sie Ihre Datenbank aus und wählen Sie die Registerkarte „Operationen“.
• Ändern Sie unter „Tabellenpräfix“ wp_ in Ihr neues Präfix (z. B. wpnew_) und klicken Sie auf „Los“.

Deaktivieren Sie die Verzeichnisindizierung und das Durchsuchen

Dadurch wird verhindert, dass Hacker die Dateien in Ihren Verzeichnissen sehen.

Anweisungen:

• Fügen Sie Ihrer .htaccess-Datei die folgende Zeile hinzu:

Optionen – Indizes

Deaktivieren Sie XML-RPC in WordPress

XML-RPC kann für Brute-Force-Angriffe ausgenutzt werden. Durch die Deaktivierung kann die Sicherheit erhöht werden.

Anweisungen:

• Fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu:

# WordPress xmlrpc.php-Anfragen blockieren

Befehl verweigern, zulassen
abgelehnt von allen

Inaktive Benutzer in WordPress automatisch abmelden:

Dies kann die unbefugte Nutzung von Leerlaufsitzungen verhindern.

Anweisungen:

• Fügen Sie diesen Code zur Datei „functions.php“ Ihres Themes hinzu:

add_action('wp_enqueue_scripts', 'idle_logout');
Funktion empty_logout() {
if (is_user_logged_in()) {
wp_enqueue_script('idle_logout', '/path-to-your-script/idle-logout.js', array('jquery'), '1.0.0', true);
}
}

• Erstellen Sie dann mit JavaScript eine Datei „idle-logout.js“ , um die Leerlaufzeit zu verfolgen und Benutzer abzumelden.

Verstecken Sie die WordPress-Version

Die Offenlegung der WordPress-Version kann Hackern wertvolle Informationen zur Suche nach Sicherheitslücken liefern.

Anweisungen:

• Fügen Sie der Datei „functions.php“ Ihres Themes die folgende Zeile hinzu:

remove_action('wp_head', 'wp_generator');

Hotlinking blockieren

Hotlinking kann Bandbreite stehlen, indem es von anderen Websites aus direkt auf die Dateien Ihrer Website verlinkt.

Anweisungen:

• Fügen Sie Ihrer .htaccess-Datei den folgenden Code hinzu:

RewriteEngine aktiviert
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Überprüfen Sie die Benutzerrollen und legen Sie Dateiberechtigungen fest

Beschränken Sie den Zugriff auf sensible Bereiche nur auf diejenigen, die ihn benötigen, und legen Sie entsprechende Dateiberechtigungen für Verzeichnisse und Dateien auf Ihrem Server fest. Beschränken Sie den Zugriff auf wichtige Dateien und Ordner.

WordPress-Dateien und -Verzeichnisse verwenden einen dreistelligen Zahlencode zur Darstellung von Berechtigungen. Jede Ziffer entspricht einer bestimmten Berechtigungsstufe:

4: Lesen (r)
2: Schreiben (w)
1: Ausführen (x)

Die empfohlenen Berechtigungen für verschiedene WordPress-Dateien und -Verzeichnisse lauten wie folgt:

• Dateien (z. B. .php, .html): 644 (Eigentümer kann lesen und schreiben; andere können lesen)
• Verzeichnisse: 755 (Eigentümer können lesen, schreiben und ausführen; andere können lesen und ausführen)
• wp-config.php (wichtige Konfigurationsdatei): 600 (Besitzer kann lesen und schreiben; andere haben keinen Zugriff)
• .htaccess (Serverkonfiguration): 644 (Eigentümer kann lesen und schreiben; andere können lesen)
• Uploads-Verzeichnis (z. B. wp-content/uploads): 755 (Eigentümer kann lesen, schreiben und ausführen; andere können lesen und ausführen)

Die 5 besten WordPress-Sicherheits-Plugins

Es stehen mehrere WordPress-Sicherheits-Plugins zur Verfügung, die Ihnen bei der Überprüfung und dem Schutz Ihrer Website helfen können:

1. Wordfence-Sicherheit

Wordfence ist ein umfassendes Sicherheits-Plugin für WordPress. Es umfasst Funktionen wie Firewall-Schutz, Malware-Scanning, Überwachung von Anmeldeversuchen und mehr. Die kostenlose Version bietet wertvolle Sicherheitsüberprüfungen, während die Premium-Version erweiterte Funktionen bietet.

Anzahl der Installationen: 4+ Millionen
Bewertung: 4,7/5

2. Sucuri-Sicherheit

Sucuri ist eine Web-Sicherheitsplattform, die ein kostenloses Website-Scanner-Tool bietet. Es überprüft Ihre Website auf Malware, Sicherheitsprobleme und Schwachstellen. Sie bieten auch einen kostenpflichtigen Sicherheitsdienst für Echtzeitschutz und -überwachung an.

Anzahl der Installationen: 900.000+
Bewertung: 4,2/5

3. Solide Sicherheit

Solid Security ist ein hochmodernes WordPress-Sicherheits-Plugin, das zur Absicherung Ihrer Website entwickelt wurde. Vollgepackt mit wichtigen Funktionen wie Echtzeit-Firewall-Schutz, Malware-Scan und sicheren Anmeldemechanismen bietet es eine Komplettlösung zur Sicherung Ihrer Online-Präsenz. Mit seiner intuitiven Benutzeroberfläche und automatisierten Sicherheitsprüfungen sorgt Solid Security für Sicherheit, indem es Ihre Website vor den neuesten Bedrohungen schützt.

Anzahl der Installationen: 900.000+
Bewertung: 4,6/5

4. Sicherheits-Ninja

Security Ninja ist ein umfassendes Sicherheits-Plugin, das speziell auf WordPress-Websites zugeschnitten ist. Mit seinem robusten Satz an Tools, einschließlich Kernscanner, Malware-Erkennung und automatischem Fixer, stellt es die Integrität und Widerstandsfähigkeit Ihrer Website sicher. Die proaktiven Sicherheitsprüfungen und Ein-Klick-Korrekturen des Plugins ermöglichen es Websitebesitzern, ihre Websites zu schützen. Egal, ob Sie ein Anfänger oder ein technisch versierter Mensch sind, Security Ninja ist ein großartiges Tool gegen Cyber-Bedrohungen.

Anzahl der Installationen: 10.000+
Bewertung: 4,8/5

5. Jetpack Protect

Jetpack Protect ist auf den Schutz von WordPress-Sites vor unerwünschten Eindringlingen spezialisiert. Es verfügt über einen robusten Brute-Force-Angriffsschutz und eine Ausfallzeitüberwachung, um Ihre Website sicher und betriebsbereit zu halten. Mit seinem optimierten Setup integriert Jetpack Protect nahtlos Echtzeit-Backups und Spam-Abwehr und stellt so sicher, dass die Daten Ihrer Website intakt bleiben und Ihre Interaktionen authentisch bleiben.

Anzahl der Installationen: 100.000+
Bewertung: 4,8/5

Was tun, wenn Ihre WordPress-Website gehackt wird?

Zu entdecken, dass Ihre WordPress-Website gehackt wurde, kann eine beunruhigende Erfahrung sein, aber es ist wichtig, schnell zu handeln, um den Schaden zu begrenzen und die Sicherheit Ihrer Website wiederherzustellen.

1. Isolieren Sie die Website: Wenn Sie mehrere Websites auf demselben Server gehostet haben, isolieren Sie die gehackte Website, um zu verhindern, dass sich die Infektion auf andere ausbreitet. Dies kann bedeuten, dass die betroffene Website vorübergehend offline geschaltet wird.
2. Stellen Sie das letzte Backup Ihrer Website wieder her: Um das Problem schnell zu beheben, kehren Sie zu einer früheren Version Ihrer Website zurück. Wenn Sie Ihre Website in letzter Zeit nicht gesichert haben, sollten Sie die Entwicklung einer Sicherungsstrategie in Betracht ziehen, nachdem Sie die folgenden Schritte abgeschlossen haben.
3. Passwörter ändern: Ändern Sie die Passwörter für alle Benutzerkonten auf Ihrer WordPress-Site, einschließlich Administratoren, Redakteuren und Mitwirkenden. Stellen Sie sicher, dass sichere, eindeutige Passwörter verwendet werden.
4. Auf Malware scannen: Verwenden Sie ein Sicherheits-Plugin oder ein Malware-Scan-Tool eines Drittanbieters, um Ihre Website auf schädlichen Code und Malware zu scannen. Wenn Sie bereits eine aktiviert haben, wenden Sie sich an die Entwickler, um das Problem mit professioneller Hilfe zu lösen.
5. Verdächtige Dateien identifizieren und entfernen: Überprüfen Sie die Dateien und Verzeichnisse Ihrer Website auf unbekannte oder verdächtige Dateien. Hacker schleusen häufig bösartigen Code in Kerndateien, Themes oder Plugins ein. Entfernen Sie alle Dateien, von denen Sie vermuten, dass sie gefährdet sind.
6. Bereinigen Sie die Datenbank: Überprüfen Sie Ihre WordPress-Datenbank auf nicht autorisierte Änderungen oder verdächtige Inhalte. Stellen Sie alle geänderten Tabellen oder Einträge in ihren ursprünglichen Zustand zurück.
7. Überprüfen Sie Benutzerkonten: Überprüfen Sie Ihre Liste der registrierten Benutzer und entfernen Sie alle unbekannten oder nicht autorisierten Konten. Stellen Sie sicher, dass es keine unbefugten Administratoren gibt.
8. Sicherheitsschlüssel und Salts ändern: Ändern Sie in Ihrer wp-config.php- Datei Ihre Sicherheitsschlüssel und Salts. Dieser Schritt kann dazu beitragen, gestohlene Anmeldeinformationen ungültig zu machen.
9. Besucher benachrichtigen: Wenn der Hack möglicherweise sensible Benutzerdaten offenlegt, befolgen Sie die Gesetze zur Meldung von Datenschutzverletzungen und informieren Sie betroffene Benutzer über die Verletzung.

Häufig gestellte Fragen zur Verbesserung der WordPress-Sicherheit

Ist WordPress sicher genug?

WordPress ist ein seriöses Content-Management-System (CMS) und wird aufgrund seiner Beliebtheit oft zum Ziel von Angreifern. Ob WordPress jedoch „sicher genug“ ist, hängt von mehreren Faktoren ab, unter anderem davon, wie Sie es konfigurieren, warten und verwenden. Wenn Sie die in diesem Leitfaden beschriebenen Best Practices befolgen, können Sie eine sichere Umgebung für Ihr Online-Geschäft gewährleisten.

Ist WordPress das am häufigsten gehackte CMS?

Im Jahresbericht von Sucuri aus dem Jahr 2022 wurde WordPress als das am häufigsten gehackte CMS hervorgehoben, wobei sich 96,2 % der Angriffe auf die Plattform konzentrierten. Aufgrund seiner weit verbreiteten Verwendung ist WordPress ein häufiges Ziel und weist eine hohe Anzahl gemeldeter Hackerangriffe auf. Dies bedeutet jedoch nicht unbedingt, dass es weniger sicher ist als andere CMS-Plattformen.

Was ist der anfälligste Teil einer WordPress-Website?

Die anfälligsten Teile sind oft Themes und Plugins sowie schwache Admin-Passwörter.

Wie sichere ich meine WordPress-Site kostenlos?

Implementieren Sie sichere Passwörter, halten Sie WordPress auf dem neuesten Stand und verwenden Sie kostenlose Sicherheits-Plugins wie Wordfence oder Security Ninja, um die Sicherheit Ihrer Website zu erhöhen.

Sind ältere Versionen von WordPress leichter zu hacken?

Ja, ältere Versionen von WordPress sind leichter zu hacken, da sie oft ungepatchte Sicherheitslücken enthalten. Suchen Sie immer nach den neuesten Updates, um den Schutz Ihrer Website zu gewährleisten.

Wie verhindere ich Malware auf WordPress?

Halten Sie WordPress auf dem neuesten Stand, verwenden Sie seriöse Themes und Plugins und installieren Sie Sicherheits-Plugins, die Malware-Scans und Firewall-Schutz bieten.

Brauche ich wirklich ein Sicherheits-Plugin für WordPress?

Ein Sicherheits-Plugin wird dringend empfohlen, da es umfassende Sicherheitsmaßnahmen bietet und viele der Aufgaben automatisieren kann, die für die Sicherheit einer WordPress-Site erforderlich sind.