WordPress Sicherheit: 11 Maßnahmen, um Ihre Website effektiv zu schützen
Inhalt
- WordPress Sicherheit – Die Sicherheitslücken
- WordPress-Sicherheit – darum ist vorsicht geboten
- Risiken für B2B-Unternehmen
- WordPress Security – So Schützen Sie Ihre Website
- 1. Verwenden Sie sichere Passwörter
- 2. Halten Sie Systeme & Backups aktuell
- 3. Verwenden Sie seriöse Plugins & Themes
- 4. Vergeben Sie sichere Benutzernamen & Rollen
- 5. Doppelte WP Sicherheit – Die Zwei-Faktor-Authentifizierung (2FA)
- 6. Verwenden Sie sichere URL-Protokolle
- 7. Nutzen Sie einen sicheren Hosting-Anbieter
- 8. htaccess Datei konfigurieren
- 9. Rest API einschränken
- 10. WordPress Security Plugins nutzen
- 11. Kommentare deaktivieren
- WordPress Security Checkliste
- Fazit
dotflow®
dotflow ist die B2B Digitalagentur für smartes Online-Marketing und überzeugende Websites.
WordPress ist das weltweit führende Content-Management-System (CMS) – über 43% aller Websites laufen unter WordPress. Diese Popularität macht es zur ersten Wahl für Webseiten jeder Größe, von einfachen Blogs über Landingpages bis hin zu großen E-Commerce-Shops.
Laut Bitkom e. V. entstehen in der deutschen Wirtschaft jährlich 206 Milliarden Euro Schaden durch den Diebstahl von IT-Ausrüstung, Daten sowie gezielte Cyberangriffe – 72 Prozent davon entfallen auf reine Cyberattacken. Kein Unternehmen kann sich vor diesen Bedrohungen sicher fühlen, da rund drei Viertel aller deutschen Unternehmen betroffen sind. Das macht die unangefochtene Reichweite von WordPress zu einem lukrativen Ziel.
Die WordPress Sicherheit ist daher wertvoller den je, um Ihre Webseite und sensible Daten vor Angriffen zu schützen. In diesem Ratgeber erfahren Sie, welche Angriffe besonders kritisch sind und wie Ihr WordPress bestmöglich absichern können. Zudem bieten wir eine Checkliste, mit der Sie die Sicherheit Ihrer WordPress-Seite Schritt für Schritt verbessern – damit Ihr Onlineauftritt nicht nur läuft, sondern auch sicher bleibt.
WordPress Sicherheit – Die Sicherheitslücken
Laut dem WordPress Security Report von Patchwork (Stand 2024) waren 97 % aller identifizierten Sicherheitslücken auf Plugins zurückzuführen. Lediglich 3 % entfielen auf unsichere Themes, und nur 0,2 % der Schwachstellen wurden im WordPress-Core selbst entdeckt. Die Hauptursache für gehackte WordPress-Websites sind also in der Regel unsichere Plugins und Themes sowie kompromittierte WordPress-Administratorkonten.
Daher bleibt es entscheidend, sowohl Erweiterungen sorgfältig auszuwählen als auch die Sicherheit von Benutzerkonten streng im Blick zu behalten.
WordPress-Sicherheit – darum ist vorsicht geboten
Wenn es um Angriffe auf die WordPress Sicherheit geht, setzen Hacker verschiedene Methoden ein, die zu Schäden unterschiedlicher Größenordnung führen können. Laut dem State of WordPress Security Report sind folgende Bedrohungen besonders kritisch zu betrachten:
Cross-Site Scripting (XSS)
Definition: Angriff, bei dem bösartiger Code in eine Webseite eingeschleust wird.
Lücken in der WordPress Sicherheit: 1963
Auswirkung: Kann zur Diebstahl persönlicher Daten oder zur Kompromittierung der Webseite führen.
SQL-Injection
Definition: Angriffsmethode, bei der Angreifer bösartige SQL-Codefragmente in Eingabeformulare oder URLs einschleusen.
Lücken in der WordPress Sicherheit: 279
Auswirkung: Kann dazu führen, dass sensible Datenbankinformationen preisgegeben, geändert oder gelöscht werden.
Cross-Site Request Forgery (CSRF)
Definition: Angriff, bei dem Aktionen im Namen eines angemeldeten Nutzers einer Webseite ausgeführt werden, ohne seines Wissens.
Lücken in der WordPress Sicherheit: 1098
Auswirkung: Kann dazu führen, dass unerwünschte Aktionen auf der betroffenen Webseite durchgeführt werden, wie das Ändern von Kontoinformationen oder das Durchführen von Transaktionen.
Fehlende Autorisierung und Umgehung von Autorisierung
Definition: Ein Hacker umgeht die Authentifizierungsmechanismen eines Geräts, um unbefugten Zugriff zu erhalten.
Lücken in der WordPress Sicherheit: 885
Auswirkungen: Erlaubt es Funktionen innerhalb der mobilen Anwendung oder von der mobilen Anwendung verwendeten Backend-Servers anonym auszuführen.
Offenlegung von Informationen
Definition: Sensible Informationen über eine Privatperson oder ein Unternehmen werden offengelegt.
Lücken in der WordPress Sicherheit: 98
Auswirkung: Private, persönliche Informationen, wie z. B. persönliche Nachrichten, Finanzdaten, Gesundheitsdaten, geografischer Standort oder Kontaktinformationen können offenkundig gemacht werden
Diese Sicherheitslücken zeigen deutlich, dass Unternehmen und Organisationen weiterhin mit ernsthaften Herausforderungen in Bezug auf die Sicherheit ihrer IT-Infrastruktur konfrontiert sind. Um sich gegen diese Bedrohungen zu schützen sind Updates an Ihrer Webseite unverzichtbar.
Experten-Insight
Überprüfen Sie regelmäßig die OWASP TOP 10 Liste. Die Liste Stellt eine Übersicht dar und beinhaltet die wichtigsten Sicherheitsrisiken für Webanwendungen.
Risiken für B2B-Unternehmen
WordPress Security für B2B-Firmen bedeutet, die digitalen Systeme, Daten und Kommunikationsprozesse vor Cyberangriffen zu schützen. B2B-Unternehmen verarbeiten oft sensible Daten ihrer Geschäftspartner, was sie zu besonders attraktiven Zielen für Angreifer macht. Eine unzureichende Absicherung kann gravierende Folgen haben:
- Umsatzverlust: Produktionsausfälle oder Systemausfälle können direkte finanzielle Schäden verursachen.
- Imageschaden: Vertrauensverlust bei Partnern und Kunden.
- Existenzgefahr: Besonders kleinere Unternehmen könnten existenziell bedroht sein.
- Strafzahlungen: Hohe Kosten durch Schadensersatzansprüche.
- Betriebsunterbrechung: Cyberangriffe können den Betrieb lahmlegen, was Lieferketten und Geschäftsabläufe erheblich stört.
- Erhöhter Sicherheitsaufwand: Die Kosten für Sicherheitsmaßnahmennach einem Angriff sind höher als es von Anfang richtig zu machen
WordPress Security – So Schützen Sie Ihre Website
Nach dem Pareto-Prinzip lassen sich mit nur 20 % Aufwand bereits 80 % der WordPress-Sicherheit herstellen. Der Schlüssel zum Erfolg ist manchmal ganz einfach – Fangen Sie einfach an etwas zu machen, bevor Sie nichts machen. Mit den Basics der Sicherheitsmaßnahmen haben Sie bereits einen großen Schritt getan, bevor Sie später tiefergehende Strategien ableiten und umsetzen können.
Experten-Insight
Die Umsetzung von Best Practices ist ein wichtiger Schritt zur Absicherung Ihrer WordPress-Website. Dennoch reicht es manchmal nicht aus, nur bestehende Sicherheitsmaßnahmen zu optimieren. Kritische Probleme in der Seitenarchitektur oder schlecht konfigurierte Server können weiterhin ein erhebliches Risiko darstellen.
Ein Security-Audit schafft in solchen Fällen Klarheit, indem es Schwachstellen aufdeckt, die auf den ersten Blick nicht erkennbar sind. Das Audit analysiert die komplette Website-Struktur und identifiziert potenzielle Sicherheitslücken, die dringend behoben werden sollten.
1. Verwenden Sie sichere Passwörter
Sichere Passwörter sind der erste Schutz gegen Brute-Force-Angriffe, bei denen Hacker automatisierte Skripte nutzen, um Millionen von Passwortkombinationen zu testen. Ein schwaches Passwort kann in Sekunden geknackt werden, was Ihre Website erheblich gefährdet.
Was macht ein sicheres Passwort aus?
- Mindestens 12 Zeichen lang
- Je länger & dynamischer die Zeichenkettung ist, desto schwieriger ist das Cracken des Passworts
- Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Keine einfachen Wörter oder persönliche Informationen wie Geburtsjahr, Firmengründung, Namen etc.
- Nutzen Sie auf keinen Fall Standard-Passwörter die beim generieren des Accounts vergeben werden
2. Halten Sie Systeme & Backups aktuell
Ein weiteres wichtiger Punkt für die WordPress Sicherheit ist die Aktualität der Daten. Updates schließen bekannte Sicherheitslücken in WordPress selbst sowie in Themes und Plugins. Sie beinhalten auch Patches für Schwachstellen, die von der Community oder Entwicklern entdeckt wurden.
Die Best-Practice:
- Aktivieren Sie die Funktion für automatische Updates bei Plugins & Themes
- Führen Sie neben Automatischen Updates auch manuelle Prüfungen durch. Insbesondere bei WordPress selbst.
- Falls größere Updates geplant sind lohnt es sich vorher ein gründliches Backup der Seite zu machen, um im Fall eines Problems einfach auf einen vorherigen funktionalen Stand zurückspringen zu können
3. Verwenden Sie seriöse Plugins & Themes
Die Installation von Plugins und Themes aus nicht verifizierte Quellen sollten Sie vermeiden. HIer besteht die Gefahr das die Dateien veraltet sind und und mangelnde Sicherheitsanforderungen haben, da sich nicht tiefgründig genug auf Schwachstellen geprüft wurden sind.
Folgendes sollten Sie daher beachten:
- Source: Installieren Sie nur Themes und Plugins von vertrauenswürdigen Anbietern oder aus offiziellen Quellen, um sicherzustellen, dass sie den nötigen Sicherheitsstandards entsprechen.
- Bewertungen prüfen: Achten Sie auf Rezensionen und die Häufigkeit von Updates. Regelmäßige Aktualisierungen sind ein Zeichen dafür, dass der Entwickler aktiv an Sicherheitslücken arbeitet.
- WordPress Sicherheitsaudit: Nutzen Sie CVE-Scanner und führen Sie ein Security-Audit durch, um Ihre Sammlung an Plugin und Themes auf Schwachstellen zu prüfen.
Experten-Insight
Bei der Sicherheit für WordPress-Plugins gilt: Qualität statt Quantität. Verwenden Sie von jeder Plugin-Kategorie (z.B. Firewall, Caching) nur ein Plugin. Andernfalls kann es zu Konflikten kommen, und das Risiko für Sicherheitslücken steigt.
4. Vergeben Sie sichere Benutzernamen & Rollen
Ein sicherer Benutzername ist ein essenzieller Schutz gegen Brute-Force-Angriffe, bei denen Hacker versuchen, Zugang zu einem Konto durch das Ausprobieren gängiger Benutzernamen wie „Admin“ zu erlangen. Vermeiden Sie daher Standardnamen und wählen Sie einzigartige, schwer zu erratende Benutzernamen, um die Sicherheit Ihrer WordPress-Seite zu erhöhen.
Zudem sollten Benutzerkonten mit Bedacht verwaltet werden. Nicht jeder benötigt Administratorrechte. Eine falsche Zuweisung von Rechten kann unbeabsichtigte Änderungen oder Sicherheitslücken schaffen. Vergeben Sie nur die notwendigsten Rechte, um das Risiko zu minimieren.
WordPress Sicherheit für Benutzerrollen:
- Nutzen Sie keine Standardnamen wie „Admin“ oder Firmennamen
- Achten Sie bei der Vergabe darauf, was Sie öffentlich von Ihrem Unternehmen Preis geben und welchen Accountnamen Sie anschließend vergeben wollen
- Vermeiden Sie folgendes Beispiel: Ihre Mitarbeiter sind auf der „Über Uns“ Seite abgebildet und das Gründungsjahr Ihrer Firma bzw. der Eintritt des Mitarbeiters ins Unternehmen ist als Information öffentlich Sichtbarkeit oder leicht zu recherchieren
- Rechte für Super-Administrator und Administrator sollten stark begrenzt werden, um potenziellen Missbrauch durch einen Angriff einzuschränken
Experten-Insight
Formulare auf WordPress-Websites sind ein häufiges Ziel für Angriffe. Schützen Sie Ihre Formulare durch Einschränkung der Dateitypen wie PDFs oder Bilder und Größen, um Malware oder schädliche Dateien zu blockieren.
5. Doppelte WP Sicherheit – Die Zwei-Faktor-Authentifizierung (2FA)
Zwei-Faktor-Authentifizierung (2FA) ist ein bekanntes Sicherheitsverfahren, das Sie vielleicht schon aus dem Online-Banking oder von Social-Media-Plattformen kennen. Zusätzlich zu einem sicheren Passwort wird ein weiterer Faktor benötigt – meist ein Code, der über ein zweites Medium, wie ein Smartphone, generiert wird. Erst durch die Eingabe dieses Codes wird der Login erfolgreich abgeschlossen. Diese zusätzliche Sicherheitsebene schützt Ihr WordPress-Admin-Konto vor unbefugtem Zugriff.
Best Practice:
- Verwenden Sie zur Einrichtung Plugins wie Wordfence oder WP 2FA
- Aktivieren Sie 2FA für alle Admin-Konten
6. Verwenden Sie sichere URL-Protokolle
Eine URL (Uniform Resource Locator) bezeichnet die Adresse einer Website, die aus dem Protokoll (http/https), dem Domainnamen und dem Dateipfad besteht. Das Protokoll spielt eine entscheidende Rolle bei der Sicherheit. Während HTTP (Hypertext Transfer Protocol) unverschlüsselte Daten überträgt und anfällig gegen Hackerangriffe sind, verwendet HTTPS (Hypertext Transfer Protocol Secure) eine Verschlüsselung, um die Kommunikation zwischen dem Browser und dem Server zu schützen.
Best Practice:
- Verwenden Sie HTTPS, um Daten sicher zu übertragen.
- Installieren Sie ein SSL-Zertifikat für die Verschlüsselung.
Experten-Insight
Neben den Sicherheitsaspekten sollten Sie auch aus Sicht der Suchmaschinenoptimierung (SEO) alle HTTP-URLs auf die entsprechenden HTTPS-URLs weiterleiten, um Duplikate und Abstrafungen durch Google zu vermeiden.
7. Nutzen Sie einen sicheren Hosting-Anbieter
Für die WordPress Security ist das Hosting von Elementarer Bedeutung. Gute Anbieter wie Strato oder Hetzner bietet zusätzlichen Schutz für Ihre WordPress-Seite, indem Sie serverseitige Sicherheitsmaßnahmen wie Firewalls, DDoS-Schutz, Backups und SSL-Zertifikate bereitstellt.
8. htaccess Datei konfigurieren
Die .htaccess-Datei sollte so angepasst werden, dass Ihre WordPress-Website auf Serverebene abgesichert ist, indem Sie den Zugriff auf bestimmte Verzeichnisse einschränken oder komplett blockieren.
Best-Practice:
- Sperren von PHP-Dateien: Blockieren Sie alle unnötigen PHP-Dateiaufrufe, um unbefugten Zugriff zu verhindern. Nur essenzielle Dateien wie index.php und wp-login.php sollten zugelassen werden.
- Absicherung von wp-content: Schützen Sie das Verzeichnis /wp-content durch eine angepasste .htaccess, um bösartigen Code und Backdoors in Plugins und Themes zu verhindern.
- Uploads-Ordner absichern: Sperren Sie PHP-Dateien im Ordner /wp-content/uploads
Beispiel Hauptverzeichnis: PHP-Dateien einschränken
# Blockiert alle PHP-Dateien außer wichtige Core-Dateien
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/(wp-admin|wp-content|wp-includes)
RewriteCond %{REQUEST_URI} !^/(index|wp-login|wp-comments-post|wp-cron|wp-trackback|xmlrpc)\.php
RewriteRule ^(.*\.php)$ – [R=403,L]
Experten-Insight
Die Änderung der URL für die Login-Seite von WordPress ist keine vollständige Lösung, da diese standardmäßig immer über /login erreichbar ist. Eine zusätzliche vorgeschaltete Seite vor dem Login bietet hier die Lösung und erhöht die Sicherheit durch eine weitere Schutzebene.
Haben Sie das Gefühl, Ihre Website könnte sicherer sein?
Selbst bewährte Best Practices genügen nicht immer – besonders bei komplexen Webseitenarchitekturen können tiefere Sicherheitsanalysen nötig sein. Als WordPress Agentur haben wir bereits hunderte Websites unter höchsten Sicherheitsanforderungen umgesetzt. Vertrauen Sie auf unsere Erfahrung und Expertise. Lassen Sie uns gemeinsam herausfinden, wie wir Ihre WordPress-Sicherheit auf das nächste Level heben.
9. Rest API einschränken
Die REST API ermöglicht es externen Anwendungen, mit Ihrer WordPress-Seite zu interagieren und Inhalte dynamisch zu verarbeiten. Über die REST API können Hacker jedoch auf Ihren Benutzernamen zugreifen und anschließend versuchen, mittels Brute-Force-Attacken Ihr Passwort zu knacken.
Eine vollständige Deaktivierung der REST API ist jedoch nur sinnvoll, wenn sie nicht für andere wichtige Funktionen wie den Gutenberg-Editor, mobile Apps oder E-Commerce-Integrationen benötigt wird. Sie können jedoch die Zugriffsrechte einschränken, sodass die API für nicht authentifizierte Benutzer deaktiviert ist.
Beispiel: REST API für nicht authentifizierte Benutzer deaktivieren
add_filter(‚rest_authentication_errors‘, function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( ‚rest_not_logged_in‘, ‚Sie müssen angemeldet sein, um die API zu nutzen.‘, array( ’status‘ => 401 ) );
}
return $result;
});
10. WordPress Security Plugins nutzen
Um die Sicherheit Ihrer WordPress-Seite weiter zu verbessern, sollten Sie unbedingt Security-Plugins verwenden. Diese bieten umfassende Schutzmaßnahmen, wie die aktive Überwachung der Website auf Anomalien, Datei- und Malware-Scans sowie Schutz vor Brute-Force-Angriffen.
Nutze bewerte Plugins wie:
- Ninja Firewall
- Sucuri
- WordFence
In unserem Ratgeber über WordPress Plugins finden Sie weitere nützliche Tools die als Grundlage bei jeder WordPress-Instanz nicht fehlen sollten.
11. Kommentare deaktivieren
Je nach dem ob Sie die Kommentarfunktion benötigen oder nicht sollten Sie diese vollständig deaktivieren oder so Einschränken, dass insbesondere Bots keine Möglichkeit haben schädliche Links zu posten oder Ihre Website mit kritischen Informationen zu fluten.
Best-Practice:
- Kommentare deaktivieren oder Einschränken
- Plugins wie Akismet gegen Spam nutzen
- Captchas implementieren
- Pflichtfelder für Name, Email etc. für das posten einstellen
WordPress Security Checkliste
- Installieren Sie ein SSL-Zertifikat
- Verwenden Sie HTTPs-Protokolle für Ihre URLs
- Führen Sie regelmäßige Backups durch
- Schränken Sie die Zugriffsrechte der Rest-API ein
- Aktivieren Sie 2FA
- Legen Sie feste Benutzerrollen fest
- Nutzen Sie WordPress Security Plugins (keine Dopplungen)
- Sperren Sie PHP-Dateien wie wp-config.php, install.php & wp-include sowie Verzeichnisse wie WP-Content
- Sicheres Paswort aus 12 Zeichen & Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Halten Sie Plugins, Themes und Ihre WordPress-Version aktuell
- Verwenden Sie einen kompetenten Hosting-Provider (z.B. Strato oder Hetzner)
- Einschränken oder deaktivieren der Kommentarfunktion
- Limitieren Sie den Datei-Upload auf Volumen und Dateiformat
- Führen Sie nach großen Updates ein Security-Audit oder Pentest durch z.B. mit Uns und unserem Partner enginsight, der Cybersecurity All-In-One Plattform
Fazit
Selbstverständlich kann keine Webseite zu 100 % vor Angriffen geschützt werden, da sich Sicherheitslücken ständig weiterentwickeln. WordPress ist jedoch von Haus aus ein sehr sicheres CMS, das regelmäßig aktualisiert wird, um CVEs zu beheben. Durch seine Popularität gerät es jedoch häufig ins Visier von Hackern, die gezielt nach Schwachstellen suchen. Daher ist es wichtig, bewährte Best Practice zur WordPress Sicherheit umzusetzen.
Um Ihre Website zusätzlich zu schützen, ist ein professionell durchgeführter Pentest oder ein Sicherheits-Audit eine sinnvolle Maßnahme. Diese Tests helfen dabei, Ihre Website-Architektur im Kern sicher zu gestalten und potenzielle Schwachstellen frühzeitig zu identifizieren, bevor sie ausgenutzt werden können.