5 WordPress Sicherheitsfehler und was Sie dagegen tun können

5 WordPress Sicherheitslücken, die Hacker ausnutzen und was Sie dagegen tun können

Wer schon einmal Opfer eines Hackerangriffs geworden ist, weiß, wie aufwendig, zeitraubend und langwierig es ist, eine Website wieder zum Laufen zu bringen.

5 WordPress Sicherheitslücken, die Hacker ausnutzen und was Sie dagegen tun können

Wer schon einmal Opfer eines Hackerangriffs geworden ist, weiß, wie aufwendig, zeitraubend und langwierig es ist, eine Website wieder zum Laufen zu bringen.

Gehackt zu werden ist übel. Leider passiert es aber immer wieder. Vor allem, wenn Sie nicht die richtigen Vorsichtsmaßnahmen ergreifen, um Ihre Website zu schützen. Meist bringen WordPress Benutzer sich bzw. ihre Website mit Unwissenheit und falschen Einstellungen selbst in Gefahr und öffnen Hackern Tür und Tor.

Dabei ist es nicht schwierig WordPress zu sichern und WordPress Sicherheitslücken zu schließen. Mit ein paar grundlegenden Änderungen an Ihren aktuellen System-Einstellungen kann schnell eine Menge erreicht werden. Ich zeige Ihnen die 5 größten Sicherheitsfehler (von denen Sie nicht wussten, dass Sie sie wahrscheinlich auch gemacht haben?!) und wie Sie mit wenigen Handgriffen Ihre Seite sichern können.

Fehler #1: ADMIN als Benutzername

Frühere WordPress Versionen erstellten während des Installationsprozesses einen Standardbenutzer namens „ADMIN“. Auch heute gibt es noch zahlreiche WordPress Webseiten, die diesen Benutzer automatisch eingerichtet haben. Sofern Sie diesen Benutzer nicht manuell gelöscht haben, gibt es auch auf Ihrer Website eventuell einen Benutzer Namens ADMIN. Oder haben Sie sogar aktiv diesen Benutzernamen vergeben?

Diese Einstellung führt(e) zu großen Sicherheitsproblemen bei WordPress Installationen. Hackern wurde es damit leichtgemacht, in fremde Websites einzudringen. Wenn einer dieser bösen Buben eine Website knacken wollte, musste er nur den Benutzernamen ADMIN mit einer Reihe von Passwörtern ausprobieren. Dieser Prozess kann über eine entsprechende Software automatisiert werden, um Hunderte von Passwörtern pro Minute auszuprobieren. Bis eine funktionierende Kombination gefunden wird oder Ihr Server abstürzt. Dies wird landläufig als Brute-Force-Angriff bezeichnet.

WordPress ist im Laufe der Jahre schlauer geworden und zwingt Benutzer nicht mehr, einen Benutzer ADMIN zu erstellen. Jetzt können Sie Ihrem Hauptbenutzer so nennen, wie Sie wollen. Dennoch gibt es jede Menge WordPress-Seiten, die erstellt wurden, bevor diese Änderung stattfand. Analysetools zeigen, dass ADMIN noch immer der meist genutzte Name bei Hackern ist.

Wenn Sie (noch) einen Benutzer namens ADMIN auf Ihrem System haben, ist es Zeit, diesen loszuwerden. So gehen Sie vor:

#1 WORDPRESS SECURITY FIX: LÖSCHEN SIE ADMIN ALS BENUTZER

  1. Wechseln Sie zu Benutzer > Neu hinzufügen und erstellen Sie einen neuen Benutzer.
  2. Vergeben Sie einen „schwierigen“ Benutzernamen.
  3. Legen Sie die Rolle des neuen Benutzers als Administrator fest.
  4. Melden Sie sich unter „ADMIN“ ab und melden Sie sich mit dem neuen Benutzer erneut im System an.
  5. Gehen Sie wieder zu Benutzer und löschen Sie dann den Benutzer „ADMIN“.
  6. Sie werden von WordPress gefragt, ob Sie den Inhalt dieses Benutzers löschen oder einem anderen Benutzer zuweisen möchten. Wählen Sie diese Einstellung entsprechend aus und weisen Sie den gesamten Inhalt dem neuen Benutzer zu.

Fehler # 2: Verwendung von schwachen Passwörtern

Schwache Passwörter stellen in der Regel die größte Sicherheitsbedrohung für eine Website dar. Erst vor Kurzem wurden die schlimmsten Passwörter 2017 im englischsprachigen Raum veröffentlicht. Neben Zahlenkolonnen wie „123456“ oder „12345678“ sind Vornamen der Liebsten oder auch „Password“ auf dieser Liste gelandet. Sie glauben, solche „genialen“ Passwörter vergeben nur Amerikaner? Weit gefehlt!

Die Verwendung sicherer Passwörter ist eine der einfachsten Methoden, um Ihre Website sicher zu halten. WordPress hat einen eingebauten Passwort-Generator, der ein starkes Passwort für Sie erstellt. Mit ein paar Tricks erarbeiten Sie aber auch ohne WordPress ein sicheres Passwort.

#2 WORDPRESS SECURITY FIX: Aktualisieren Sie Ihr Passwort

  1. Klicken Sie in WordPress Backend auf Benutzer > Dein Profil.
  2. Scrollen Sie nach unten zum Abschnitt Benutzerkonten-Verwaltung.
  3. Klicken Sie auf die Schaltfläche Passwort generieren (notieren Sie sich Ihr neues Passwort) oder ersetzen Sie es durch eine Eigenentwicklung.
  4. Scrollen Sie zum Ende der Seite und klicken Sie auf Profil aktualisieren

Sie möchten Ihr eigenes Passwort erstellen? Fachleute sagen, ein Passwort sollte mindestens 12 Zeichen lang sein. Es sollte aus einer Mischung von großen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen und möglichst kein Wort aus dem Wörterbuch enthalten.

Persönliche Daten wie Namen, Geburtsdaten oder Adressen sollten auf keinen Fall verwendet werden.

Besonders Hilfreich ist hierbei der Weg über einen Merksatz: Im Sommer 2017 hat es immer nur geschneit!

Diesen Merksatz können Sie folgendermaßen zu Ihrem Passwort formen: IS2017hesing!

Und damit Sie sich nicht für unterschiedliche Internetzugänge immer ein neues Passwort ausdenken müssen, hängen Sie an das gerade erstellt Passwort ans Ende die Anfangsbuchstaben des genutzten Angebotes.

Facebook:       IS2017hesing!F
Google:           IS2017hesing!G
GMX:             IS2017hesing!G

Fehler #3: Keine Aktualisierungen durchführen

Updates werden zum einen veröffentlicht, um bestehende Sicherheitslücken in WordPress zu schließen und zum anderen, um das System mit neuen Features zu erweitern. Updates sollten also nach Erscheinen kurzfristig im System eingespielt werden. Dabei spielt es keine Rolle, ob wir über WordPress-, Plugin- oder Theme-Updates sprechen. Sie sollten alle Bereiche aktuell halten.

Warum führen Sie also nicht regelmäßig Updates durch? Haben Sie Angst etwas „kaputt“ zu machen? Das Ignorieren von Updates sollte nicht die Lösung sein!

Wenn Sie vor dem Einspielen von Updates ein Backup Ihres Systems erstellen, sind Sie in der Regel vor Update-Problemen geschützt. Sie können im Falle eines Fehlers den alten Zustand mit wenigen Handgriffen wiederherstellen. Aus Erfahrung kann ich Ihnen aber sagen, dass 99% aller Updates ohne Fehler von der Hand gehen.

# 3 WORDPRESS SECURITY FIX: Spielen Sie Updates regelmäßig ein

WordPress macht das Einspielen von Aktualisierungen einfach. Jedes Mal, wenn ein Plugin-, ein Theme- oder ein WordPress-Update verfügbar ist, erhalten Sie eine Benachrichtigung in Ihrem WordPress Backend. Sie sehen neben den Bereichen „Aktualisierungen“, „Themes“ und „Plugins“ einen orangefarbenen Kreis mit einer Zahl darin. Die Zahl teilt Ihnen mit, wie viele Updates im jeweiligen Bereich anstehen und eingespielt werden sollen.

Wenn Sie eine solche Update-Benachrichtigung sehen, gehen Sie folgendermaßen vor:

  1. Erstellen Sie eine Sicherungskopie Ihrer Website (Dieses habe ich im Einsatz: https://de.wordpress.org/plugins/updraftplus/ ). Wenn Sie automatische WordPress-Backups geplant haben, ist dieser Schritt bereits für Sie erledigt.
  2. Klicken Sie auf das Aktualisierungssymbol, um zur Aktualisierungsseite zu gelangen.
  3. Wählen Sie die Updates aus, die Sie ausführen möchten. WordPress wird den Rest für Sie erledigen.
  4. Sie erhalten eine Erfolgsmeldung, wenn das Update einspielt wurde.

Fehler #4: Kein Sicherheits-Plugin im Einsatz

Selbst mit den bisher genannten Sicherheitsmaßnahmen kann es immer noch passieren, dass Hacker über WordPress Sicherheitslücken in Ihre Website eindringen. Deshalb ist es empfehlenswert, ein WordPress Sicherheits-Plugin zu installieren. Ein solches Plugin macht Ihre Seite absolut sicher, überwacht diese und teilt Ihnen mit, wenn in Ihrem System irgendetwas Seltsames vorgeht.

Denken Sie daran: Vorbeugung zählt.

#4 WORDPRESS SECURITY FIX: Installieren Sie ein Sicherheits-Plugin

Für die Systemsicherheit kann ich Ihnen meine zwei bevorzugten Plugins empfehlen. Beide sind in der Basisversion kostenlos. Die Basisversion reicht für die meisten Einsätze aus. Leider liegen beide Plugins (noch) nicht in deutscher Sprache vor.

  1. Wordfence Security (https://de.wordpress.org/plugins/wordfence/)
  2. Sucuri Security (https://de.wordpress.org/plugins/sucuri-scanner/

Dabei ist Wordfence Security ein klein wenig mein Liebling. Wordfence hat bereits über zwei Millionen aktive Installationen und hat dabei eine Bewertung von 4,8 Sternen.

Fehler #5: Ungenutzte Plugins, Themes und Benutzerkonten nicht löschen

Sie haben ungenutzte Plugins im System? Es gibt angelegte Benutzer, die es nicht mehr gibt? Sie haben zahlreiche Themes installiert, die Sie nicht brauchen? Denken Sie daran und halten Sie Ihre Website so schlank wie möglich.

#5 WORDPRESS SECURITY FIX: Löschen Sie, was Sie nicht benötigen

Dieser Punkt ist ziemlich selbsterklärend, oder?

  1. Löschen Sie alle Benutzerkonten, die Sie nicht mehr verwenden. Denken Sie aber daran, den Inhalt dieses Benutzers einem anderen aktiven Benutzer zuzuweisen.
  2. Schauen Sie sich Ihre Plugins an. Gibt es deaktivierte Plugins? Löschen Sie diese.
  3. Unter Design > Themes finden Sie alle installierten Themes. Löschen Sie alle Themes die nicht genutzt werden. Gehen Sie mit der Maus über das entsprechende Theme und klicken Sie auf Theme-Details. Unten rechts finden Sie die Löschmöglichkeit.

Sie haben noch andere Tricks, um WordPress sicher zu halten? Teilen sie diese gerne mit uns.

WordPress Services

Du benötigst WordPress Hilfe, eine neue WordPress Website oder, oder, oder?

Service Übersicht

WordPress Hilfe

WordPress Wartung

WordPress Website & Blog

WordPress Umzugsservice

Hey, ich bin Markus

Markus Zarte


WordPress Fachmann und Online Marketing Nerd aus Ismaning bei München. Seit 2009 setze ich meine erprobten Strategien für den Onlineerfolg meiner Kunden ein. Ich bin Dein Partner in allen Fragen rund um die Themen „Erfolgreich ins Internet starten“ und „Genau passenden Kunden finden“.

Werbung:

CMS Hosting - Ideal für WordPress und Co.

Teile diesen Beitrag

Kontakt

Telefon: 089/381 56 13 - 80
Fax: 089/381 56 13 - 89
E-Mail: hallo@markus-zarte.de
Adress: Hauptstraße 19, 85737 Ismaning, Germany
BÜROZEITEN: MO-DO 08:30 - 16:30 UHR
Siegel WordPress Experte - Markus Zarte
erecht24-siegel-agenturpartner-rot