5 WordPress Sicherheitslücken, die Hacker ausnutzen und was du dagegen tun kannst

Wer schon einmal Opfer eines Hackerangriffs geworden ist, weiß, wie aufwendig, zeitraubend und langwierig es ist, eine Website wieder zum Laufen zu bringen.

Gehackt zu werden ist übel. Leider passiert es aber immer wieder. Vor allem, wenn du nicht die richtigen Vorsichtsmaßnahmen ergreifst, um deine Website zu schützen. Meist bringen WordPress Benutzer sich bzw. ihre Website mit Unwissenheit und falschen Einstellungen selbst in Gefahr und öffnen Hackern Tür und Tor.

Dabei ist es nicht schwierig WordPress zu sichern und WordPress Sicherheitslücken zu schließen. Mit ein paar grundlegenden Änderungen an deinen aktuellen System-Einstellungen kann schnell eine Menge erreicht werden. Ich zeige dir die 5 größten Sicherheitsfehler (von denen du nicht wusstest, dass du sie wahrscheinlich auch gemacht hast?!) und wie du mit wenigen Handgriffen deine Seite sichern kannst.

Fehler #1: ADMIN als Benutzername

Frühere WordPress Versionen erstellten während des Installationsprozesses einen Standardbenutzer namens „ADMIN“. Auch heute gibt es noch zahlreiche WordPress Webseiten, die diesen Benutzer automatisch eingerichtet haben. Sofern du diesen Benutzer nicht manuell gelöscht hast, gibt es auch auf deiner Website eventuell einen Benutzer Namens ADMIN. Oder hast du sogar aktiv diesen Benutzernamen vergeben?

Diese Einstellung führt(e) zu großen Sicherheitsproblemen bei WordPress Installationen. Hackern wurde es damit leichtgemacht, in fremde Websites einzudringen. Wenn einer dieser bösen Buben eine Website knacken wollte, musste er nur den Benutzernamen ADMIN mit einer Reihe von Passwörtern ausprobieren. Dieser Prozess kann über eine entsprechende Software automatisiert werden, um Hunderte von Passwörtern pro Minute auszuprobieren. Bis eine funktionierende Kombination gefunden wird oder dein Server abstürzt. Dies wird landläufig als Brute-Force-Angriff bezeichnet.

WordPress ist im Laufe der Jahre schlauer geworden und zwingt Benutzer nicht mehr, einen Benutzer ADMIN zu erstellen. Jetzt kannst du deinen Hauptbenutzer so nennen, wie du willst. Dennoch gibt es jede Menge WordPress-Seiten, die erstellt wurden, bevor diese Änderung stattfand. Analysetools zeigen, dass ADMIN noch immer der meist genutzte Name bei Hackern ist.

Wenn du (noch) einen Benutzer namens ADMIN auf deinem System hast, ist es Zeit, diesen loszuwerden. So gehst du vor:

#1 WORDPRESS SECURITY FIX: LÖSCHE ADMIN ALS BENUTZER

  1. Wechsele zu Benutzer > Neu hinzufügen und erstelle einen neuen Benutzer.
  2. Vergebe einen „schwierigen“ Benutzernamen.
  3. Lege die Rolle des neuen Benutzers als Administrator fest.
  4. Melde dich unter „ADMIN“ ab und melde dich mit dem neuen Benutzer erneut im System an.
  5. Gehe wieder zu Benutzer und lösche dann den Benutzer „ADMIN“.
  6. Du wirst von WordPress gefragt, ob du den Inhalt dieses Benutzers löschen oder einem anderen Benutzer zuweisen möchtest. Wähle diese Einstellung entsprechend aus und weise den gesamten Inhalt dem neuen Benutzer zu.

Fehler # 2: Verwendung von schwachen Passwörtern

Schwache Passwörter stellen in der Regel die größte Sicherheitsbedrohung für eine Website dar. Erst vor Kurzem wurden die schlimmsten Passwörter 2017 im englischsprachigen Raum veröffentlicht. Neben Zahlenkolonnen wie „123456“ oder „12345678“ sind Vornamen der Liebsten oder auch „Password“ auf dieser Liste gelandet. Du glaubst, solche „genialen“ Passwörter vergeben nur Amerikaner? Weit gefehlt!

Die Verwendung sicherer Passwörter ist eine der einfachsten Methoden, um deine Website sicher zu halten. WordPress hat einen eingebauten Passwort-Generator, der ein starkes Passwort für dich erstellt. Mit ein paar Tricks erarbeitest du aber auch ohne WordPress ein sicheres Passwort.

#2 WORDPRESS SECURITY FIX: Aktualisiere dein Passwort

  1. Klicke im WordPress Backend auf Benutzer > Dein Profil.
  2. Scrolle nach unten zum Abschnitt Benutzerkonten-Verwaltung.
  3. Klicke auf die Schaltfläche Passwort generieren (notiere dir dein neues Passwort) oder ersetze es durch eine Eigenentwicklung.
  4. Scrolle zum Ende der Seite und klicke auf Profil aktualisieren

Du möchtest dein eigenes Passwort erstellen? Fachleute sagen, ein Passwort sollte mindestens 12 Zeichen lang sein. Es sollte aus einer Mischung von großen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen und möglichst kein Wort aus dem Wörterbuch enthalten.

Persönliche Daten wie Namen, Geburtsdaten oder Adressen sollten auf keinen Fall verwendet werden.

Besonders Hilfreich ist hierbei der Weg über einen Merksatz: Im Sommer 2017 hat es immer nur geschneit!

Diesen Merksatz kannst du folgendermaßen zu deinem Passwort formen: IS2017hesing!

Und damit du dir nicht für unterschiedliche Internetzugänge immer ein neues Passwort ausdenken musst, hängst du an das gerade erstellte Passwort ans Ende die Anfangsbuchstaben des genutzten Angebotes.

Facebook:       IS2017hesing!F
Google:           IS2017hesing!G
GMX:             IS2017hesing!G

Fehler #3: Keine Aktualisierungen durchführen

Updates werden zum einen veröffentlicht, um bestehende Sicherheitslücken in WordPress zu schließen und zum anderen, um das System mit neuen Features zu erweitern. Updates sollten also nach Erscheinen kurzfristig im System eingespielt werden. Dabei spielt es keine Rolle, ob wir über WordPress-, Plugin- oder Theme-Updates sprechen. Du solltest alle Bereiche aktuell halten.

Warum führst du also nicht regelmäßig Updates durch? Hast du Angst etwas „kaputt“ zu machen? Das Ignorieren von Updates sollte nicht die Lösung sein!

Wenn du vor dem Einspielen von Updates ein Backup deines Systems erstellst, bist du in der Regel vor Update-Problemen geschützt. Du kannst im Falle eines Fehlers den alten Zustand mit wenigen Handgriffen wiederherstellen. Aus Erfahrung kann ich Ihnen aber sagen, dass 99% aller Updates ohne Fehler von der Hand gehen.

# 3 WORDPRESS SECURITY FIX: Spiele Updates regelmäßig ein

WordPress macht das Einspielen von Aktualisierungen einfach. Jedes Mal, wenn ein Plugin-, ein Theme- oder ein WordPress-Update verfügbar ist, erhältst du eine Benachrichtigung in deinem WordPress Backend. Du siehst neben den Bereichen „Aktualisierungen“, „Themes“ und „Plugins“ einen orangefarbenen Kreis mit einer Zahl darin. Die Zahl teilt dir mit, wie viele Updates im jeweiligen Bereich anstehen und eingespielt werden sollen.

Wenn du eine solche Update-Benachrichtigung siehst, gehst du folgendermaßen vor:

  1. Erstelle eine Sicherungskopie deiner Website (Dieses habe ich im Einsatz: https://de.wordpress.org/plugins/updraftplus/). Wenn du automatische WordPress-Backups geplant hast, ist dieser Schritt bereits für dich erledigt.
  2. Klicke  auf das Aktualisierungssymbol, um zur Aktualisierungsseite zu gelangen.
  3. Wähle die Updates aus, die du ausführen möchtest. WordPress wird den Rest für dich erledigen.
  4. Du erhältst eine Erfolgsmeldung, wenn das Update einspielt wurde.

Fehler #4: Kein Sicherheits-Plugin im Einsatz

Selbst mit den bisher genannten Sicherheitsmaßnahmen kann es immer noch passieren, dass Hacker über WordPress Sicherheitslücken in deine Website eindringen. Deshalb ist es empfehlenswert, ein WordPress Sicherheits-Plugin zu installieren. Ein solches Plugin macht deine Seite absolut sicher, überwacht diese und teilt dir mit, wenn in deinem System irgendetwas Seltsames vorgeht.

Denke daran: Vorbeugung zählt.

#4 WORDPRESS SECURITY FIX: Installiere ein Sicherheits-Plugin

Für die Systemsicherheit kann ich dir meine zwei bevorzugten Plugins empfehlen. Beide sind in der Basisversion kostenlos. Die Basisversion reicht für die meisten Einsätze aus. Leider liegen beide Plugins (noch) nicht in deutscher Sprache vor.

  1. Wordfence Security (https://de.wordpress.org/plugins/wordfence/)
  2. Sucuri Security (https://de.wordpress.org/plugins/sucuri-scanner/

Dabei ist Wordfence Security ein klein wenig mein Liebling. Wordfence hat bereits über zwei Millionen aktive Installationen und hat dabei eine Bewertung von 4,8 Sternen.

Fehler #5: Ungenutzte Plugins, Themes und Benutzerkonten nicht löschen

Du hast ungenutzte Plugins im System? Es gibt angelegte Benutzer, die es nicht mehr gibt? Du hast zahlreiche Themes installiert, die du nicht brauchst? Denke daran und halte deine Website so schlank wie möglich.

#5 WORDPRESS SECURITY FIX: Lösche, was du nicht benötigst

Dieser Punkt ist ziemlich selbsterklärend, oder?

  1. Lösche alle Benutzerkonten, die du nicht mehr verwendest. Denke aber daran, den Inhalt dieses Benutzers einem anderen aktiven Benutzer zuzuweisen.
  2. Schaue dir deine Plugins an. Gibt es deaktivierte Plugins? Lösche diese.
  3. Unter Design > Themes findest du alle installierten Themes. Lösche alle Themes, die nicht genutzt werden. Gehe mit der Maus über das entsprechende Theme und klicke auf Theme-Details. Unten rechts findest du die Löschmöglichkeit.

Du hast noch andere Tricks, um WordPress sicher zu halten? Teile diese gerne mit uns! kD

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

5 WordPress Sicherheitsfehler und was Sie dagegen tun können

Werde teil der WordPress Made Easy Community!

Deine Website ist das Aushängeschild Deines Unternehmens und Deine digitale Visitenkarte. Genau darum, sollte Deine Website richtig rocken. Mach Deine Website zum Rock´n´Roll Superstar und werde Teil der kostenlosen WordPress Community ‚WordPress Made Easy‘!

Als Mitglied unserer Community erhältst Du regelmäßig:

  • kostenlose Tipps & Tricks sowie Ressourcen rund um das Thema WordPress und Trafficsteigerung
  • kostenlose Downloads, Checklisten und PDFs
  • aktuelle Informationen zu besonderen Angeboten
Was würdest Du tun, wenn Deine Website richtig rockt?

Trage Dich in meine E-Mail-Liste ein und erfahre, wie Du Deine Website zum Rocken bringst.

Du kannst jederzeit den Newsletter über einen Abmeldelink abbestellen. Meine E-Mails können gelegentlich Produktvorschläge enthalten. Deine Anmeldedaten, deren Protokollierung, der E-Mail-Versand und eine statistische Auswertung des Leseverhaltens, werden über Mailerlite, Litauen verarbeitet. Mehr dazu kannst Du auch in meiner Datenschutzerklärung nachlesen.