So erhöhst du deine Sicherheit bei WordPress

Wenn die Website eine der wichtigsten Ressourcen für dein Business ist, entsteht natürlich schnell die Angst davor, dass sie gehackt wird und somit weg ist. 

Tatsächlich kannst du dich davor recht einfach schützen, oder zumindest die Wahrscheinlichkeit senken, dass ein Angriff erfolgreich ist. Mit einigen Maßnahmen kannst du deine WordPress Installation sicherer machen, die meisten davon sind einmalig umzusetzende Dinge.

Lass uns loslegen und nicht nur deine Website sicherer machen, sondern gleichzeitig auch ein besseres Verständnis dafür bekommen, wo die Angriffspunkte liegen.

Ist WordPress sicher?

Über 43 % aller Websites weltweit laufen mit WordPress, was es ohne Frage zum weltweit am häufigsten genutzten Content-Management-System macht. Aber bedeutet das nun, dass es aufgrund seiner Verbreitung unsicher ist?

Aufgrund der Beliebtheit stellt WordPress ein attraktives Ziel für Hacker dar. Täglich werden schätzungsweise 13.000 WordPress-Websites gehackt, was hochgerechnet zu einer jährlichen Gesamtzahl von etwa 4,7 Millionen gehackten WordPress-Websites führt. Es wird geschätzt, dass etwa 4,3 % aller WordPress-Websites bereits gehackt wurden​​.

Prozentual gesehen wird also gerade mal eine in 25 WordPress Installationen erfolgreich gehackt.

Ob du diese Zahl für viel hältst oder für wenig – trotz all dieser Zahlen ist WordPress nicht grundsätzlich unsicher. Es wird laufend aktualisiert, um Sicherheitslücken zu schließen, und es gibt eine Vielzahl von Sicherheits-Plugins, die die Sicherheit einer Website zusätzlich stärken können.

Dass WordPress selbst ein eher sicheres System ist, sehen wir auch an den Verantwortlichen der Sicherheitslücken. Für 99 % der in 2022 entdeckten Sicherheitslücken im WordPress-Ökosystem sind Plugins und Themes verantwortlich. 

Schauen wir uns das noch detaillierter an, sehen wir, dass nur 2 % dieser Plugins und Themes für 99 % der Sicherheitslücken gesorgt haben.

Das Hauptproblem liegt neben diesen Plugins mit Sicherheitslücken eher bei den Anwender*innen und deren Handhabung von WordPress.

Zum einen sehe ich sehr häufig, dass regelmäßige Updates vernachlässigt werden. Dadurch können bekannte Sicherheitslücken in Plugins, Themes oder WordPress für einen längeren Zeitraum ausgenutzt werden.

Dieses Problem wird klarer ersichtlich, wenn wir wissen, dass 61 % der angegriffenen Websites nicht mehr aktuell sind.

Zum anderen kommt die Nutzung unsicherer oder gestohlener Passwörter hinzu, die für 8 % der Hacks auf WordPress-Seiten verantwortlich sind​​. 97 % der Angriffe auf WordPress sind automatisiert, oft in Form von Brute-Force-Angriffen. Bei diesen verwenden Hacker Software, um sich mit zufälligen Benutzernamen und Passwörtern auf Websites einzuloggen​​. Mit unsicheren Passwörtern machst du es diesen Angriffen mit leicht.

Zusammenfassend lässt sich sagen, dass WordPress trotz der relativ hohen Anzahl an Angriffen nicht grundsätzlich unsicher ist. Die größten Einfallstore bieten Sicherheitslücken in Plugins und Themes, wenn du sie nicht zeitnah durch ein Update behebst und auch die Nutzung unsicherer Passwörter.

Hat WordPress Sicherheitslücken? Und wenn ja, was kann man dagegen machen?

Wie du den Statistiken oben entnehmen kannst, entstehen die meisten Sicherheitsprobleme bei WordPress nicht durch Lücken im Core (also WordPress selber), sondern durch veraltete oder unsichere Plugins und Themes.

Um es nochmal kurz in den Kopf zu rufen: Je nach Quelle ist WordPress selber gerade mal für 1-3 % aller Sicherheitslücken verantwortlich. Alle bekannten Sicherheitslücken kannst du jederzeit bei WP Scan sehen.

Die gute Nachricht ist, dass WordPress regelmäßig aktualisiert wird, um bekannte Sicherheitslücken zu schließen. Zudem gibt es eine Vielzahl von Sicherheits-Plugins, die dazu beitragen können, die Sicherheit deiner Website zu stärken. 

Denke daran, dass regelmäßige und häufige Updates der beste Weg sind, um WordPress-Sicherheitslücken zu schließen.

Es ist mir allerdings wichtig zu betonen, dass keine Plattform vollständig immun gegen Angriffe ist. Daher ist es entscheidend, dass du übliche Best Practices befolgst. Dazu gehören im Fall des WordPress Cores:

• Regelmäßige Updates
• Starke Passwörter mit Sonderzeichen, willkürlichen Buchstaben & Zahlen 
• Zwei-Faktor-Authentifizierung
• Automatisierte Backups
• Sicherheits-Checks

Zu all diesen Maßnahmen erfährst du im nächsten Abschnitt mehr.

12 Tipps, was bei der Sicherheit von WordPress-Seiten zu beachten ist

Wie du im bisherigen Text herauslesen konntest, gibt es zwar anfällige WordPress Websites, allerdings ist meistens das Vernachlässigen der Website durch den Betreiber das Problem.

Die folgenden Tipps helfen dir, WordPress sicherer zu machen. Keine Sorge, du musst sie nicht alle umsetzen!

Die wichtigsten Maßnahmen sind die ersten zwei bis drei Tipps. Setzt du sie um, bist du sehr sicher unterwegs.

1. Regelmäßige WordPress-, Theme- & Plugin-Updates
⁠

⁠Baue eine Routine auf, mit der du deine Website regelmäßig aktualisierst. Wichtig ist, dass du sowohl WordPress, als auch deine Themes und Plugins auf dem aktuellen Stand hältst.
⁠⁠Ich würde dir empfehlen, am besten einmal pro Woche, mindestens aber alle zwei Wochen Updates vorzunehmen. Denke bei Updates an die sichere Reihenfolge:

1. ⁠Backup erstellen
2. Caching deaktivieren
3. Plugins & Themes aktualisieren
4. WordPress aktualisieren
5. Website prüfen
   

Denke daran, dass du bei kostenpflichtigen Plugins und Themes manchmal keine Info über ein Update im WordPress Backend bekommst. Das kommt insbesondere vor, wenn du sie über eine Plattform wie Themeforest gekauft hast.
⁠

2. Nutze sichere Passwörter & keinen Standard-Benutzernamen
⁠

⁠Da sehr viele Angriffe über die WordPress Login-Maske stattfinden, ist ein sicheres Passwort wichtig. 
⁠

⁠Du kannst dir nicht vorstellen, wie viele Menschen Passwörter wie “123456” oder “asdf123” nutzen…
⁠

⁠Setze am besten keine “echten Wörter” in deinem Passwort ein, sondern nutze eine willkürliche Aneinanderreihung von Buchstaben (klein und groß geschrieben), Ziffern und Sonderzeichen. Um es dir einfach zu machen, kannst du dir von einem Passwort-Generator ein sicheres Passwort erstellen lassen.
⁠

⁠Zusätzlich ist es zu empfehlen, dass du als Benutzernamen nicht “admin” oder “administrator” wählst. Zwar ist das nur eine Kleinigkeit aus Sicht der zusätzlichen Sicherheit, aber es ist auch eine schnell umgesetzte Sache.
⁠

⁠Das Gleiche gilt natürlich auch für deinen Hoster-Login, FTP-Zugänge und E-Mail-Postfächer.
⁠
⁠

3. Richte automatische Backups ein
⁠

⁠Sollte deine Website doch mal gehackt werden, kannst du mit einem ordentlichen Backup schnell und einfach auf einen sicheren Stand deiner Website zurückgehen.
⁠

⁠Liegt deine Website bei einem speziellen WordPress Hoster, werden hier in der Regel automatische Backups für dich angelegt. Ist das der Fall, musst du kein weiteres Backup-System installieren. 
⁠
⁠

Bild: Automatische Backups bei raidboxes (Screenshot des Autors)
⁠

⁠Allerdings empfehle ich dir hin und wieder eines der Backups herunterzuladen und an einem weiteren Ort (auf deinem Rechner, auf einer externe Festplatte oder im Cloud-Speicher) zu speichern.
⁠

⁠⁠Möchtest du die Backups selber im Griff haben oder nutzt keinen Hoster, bei dem du saubere Backups und reibungslosen Zugriff auf sie bekommst, empfehle ich dir das kostenlose Plugin UpdraftPlus.
⁠
⁠

UpdraftPlus ermöglicht dir, auf einfache Art und Weise, automatisierte Backups einzurichten, die entweder auf dem Server deiner Website oder auch in einem Cloud-Speicher abgelegt werden. Hier findest du einen weiterführenden Artikel zur Erstellung von WordPress Backups.
⁠

4. Setze auf WordPress Hosting
⁠

⁠Da wir gerade schon über WordPress Hosting gesprochen haben: Ein auf WordPress ausgelegtes Hosting hat meistens eine deutlich sicherere Infrastruktur als ein allgemeiner Hoster.
⁠

⁠Ich kann hier aus eigener Erfahrung Anbieter wie raidboxes, SiteGround oder WP Space sehr empfehlen.
⁠

⁠Das liegt beispielsweise an getrennten Websites, wodurch bei erfolgreichen Angriffen auf eine Website, die anderen davon nicht betroffen sind. Zudem werden wichtige WordPress-Dateien von spezialisierten Hostern meist blockiert, sodass Angreifende hier keine Chance haben.
⁠

⁠Es gibt noch viele weitere technische Details, mit denen WordPress Hoster deine Website besser absichern, als andere. Um dich aber nicht mit technischem Gerede zu langweilen, fasse ich es mal so zusammen:
⁠

⁠WordPress Hoster haben ihre Server-Infrastruktur, Software und Abläufe auf WordPress spezialisiert, wodurch eine höhere Sicherheit entsteht, als bei allgemeinen Hostern.
⁠
⁠

5. Achte auf die PHP-Version
⁠

⁠WordPress basiert auf der Skriptsprache PHP. Diese Sprache wird laufend weiterentwickelt, wodurch es auch hier immer wieder Updates gibt.
⁠

⁠Aktuell im Juni 2023 benötigt WordPress mindestens Version 7.4, wobei ich dir eher zu 8.0 raten würde.
⁠

⁠Manchmal gibt es in PHP Sicherheitslücken, welche dann durch ein Update geschlossen werden. Diese Updates der PHP-Version musst du in der Regel bei deinem Hoster selber durchführen.
⁠

⁠Die gute Nachricht ist, dass es meistens mit einem Klick gemacht ist, da du einfach nur die gewünschte neuere Version auswählen musst.
⁠

⁠Etwas komplizierter wird es leider dadurch, dass bei neuen PHP-Versionen hin und wieder Kompatibilitätsprobleme bei Plugins und Themes entstehen. WordPress selbst ist meistens sehr schnell dabei, mit Updates die neuesten PHP-Versionen zu unterstützen, Plugin- und Theme-Hersteller sind aber nicht immer so schnell.
⁠

⁠Solltest du deine PHP-Version hochsetzen und danach deine Website nicht mehr erreichbar sein, kannst du wieder zurück auf die vorherige Version gehen. Dann läuft zumindest deine Website erst einmal wieder, aber natürlich solltest du dich auf die Suche nach der Ursache für den Fehler begeben.
⁠
⁠

6. Ändere die WordPress-Admin-URL

Wegen der vielen Angriffe auf die WordPress Login-Maske kann es hilfreich sein, die allseits bekannte Admin-URL “domain.de/wp-login.php” zu verstecken beziehungsweise zu verändern.

Wenn diese klassische URL nicht erreichbar ist, geben sehr viele der automatisierten Angriffs-Programme (Bots) direkt auf.

Ein einfacher Weg, die Admin-URL zu verändern, ist das kostenlose Plugin “WPS Hide Login”. Nach der Installation des Plugins kannst du in deinen Einstellungen eine beliebige URL für die Login-Seite hinterlegen, vergiss sie nur nicht ;)

Solltest du sie doch mal vergessen, kannst du dich per FTP auf deinem Server einloggen und im Ordner “wp-content” → “plugins” den Ordner des WPS-Hide-Login-Plugins umbenennen. Dadurch wird es deaktiviert und du kannst dich über die Standard-URL einloggen.

Hast du das Performance-Plugin “perfmatters” bereits im Einsatz, kannst du damit die gleiche Maßnahme vornehmen, ohne ein weiteres Plugin installieren zu müssen. 

Bild (Screenshot des Autors): Du kannst deine Login-URL im perfmatters Plugin ändern und somit vor Angreifern verstecken

7. Verstecke deine genutzte WordPress Version

Grundsätzlich ist es gut, wenn du Angreifenden so wenige Infos über deine WordPress Website gibst, wie möglich. Dazu gehört auch, die genutzte WordPress Version zu verstecken.

Vor allem ältere WordPress Versionen locken bösartige Bots und Angreifer*innen an, wie ein helles Licht in der Nacht die Motten.

Von Haus aus zeigt WordPress die im Quellcode für jeden sichtbar an:

<meta name="generator" content="WordPress 6.2.2" />

Um diese Anzeige im Quellcode zu verhindern, kannst du den folgenden Code in die functions.php-Datei deines Themes einfügen:

function wp_version_remove_version() {

⁠return '';

⁠}

⁠add_filter('the_generator', 'wp_version_remove_version');

Füge diesen Code am besten in deinem Child-Theme ein, da er ansonsten beim nächsten Theme-Update überschrieben wird.

8. Passe die Dateiberechtigungen an

Mit Dateiberechtigungen kannst du steuern, wer die Ordner und Dateien deiner WordPress Installation bearbeiten, sehen und ausführen darf. Dadurch sind diese Berechtigungen ein mächtiges Werkzeug, um unerwünschte Änderungen zu verhindern.

Hier bist du mal wieder im Vorteil, wenn deine Website bei einem WordPress Hoster liegt. Sie sorgen in der Regel dafür, dass genau die richtigen Dateiberechtigungen vergeben sind, wodurch du nichts mehr tun musst.

Insbesondere bei allgemeinen Hostern sind aber nur sehr allgemeine Rechte vergeben, daher solltest du hier eingreifen.

Am wichtigsten ist in meinen Augen, die Dateiberechtigungen der wp-config.php-Datei anzupassen. In dieser Datei liegen wichtige Daten wie der Zugang zur genutzten Datenbank und mehr.

Während hier sehr strikte Berechtigungen vergeben werden können, ist es sinnvoller, sie auf eine Art und Weise einzustellen, dass sie dich in deiner Arbeit nicht behindern. Du möchtest ja nicht bei jedem Update die Dateiberechtigungen ändern.

Die Berechtigungen der wp-config.php Datei solltest du auf 640 stellen.

Ebenfalls sehr wichtig ist die .htaccess Datei, welcher du am besten 644 zuweist.

Für alle weiteren Dateien ist es sinnvoll, 644 oder 640 Dateirechte zu vergeben. Die Ordner würde ich auf 755 oder 750 stellen.

Um Dateirechte zu ändern, benötigst du entweder einen FTP-Zugang und einen FTP-Client wie Filezilla oder über deinen Hoster Zugriff auf das Dateisystem deiner Website:

Bild (Screenshot des Autors): Dateiberechtigungen kannst du per FTP ändern

9. Stelle auf HTTPS um

Wenn du es noch nicht getan hast, ist es jetzt aber dringend Zeit!

Leider sehe ich tatsächlich immer wieder mal Websites, die nach wie vor über das HTTP Protokoll laufen und somit die Dateiübertragung nicht per SSL-Zertifikat abgesichert ist. Abgesehen von dem erhöhten Vertrauen in deine Website, der höheren Geschwindigkeit durch das HTTP/2 Protokoll und weiteren Vorteilen, sorgt HTTPS zudem für mehr Sicherheit.

Im Vergleich zu einer über HTTP laufenden Website werden bei einer SSL-verschlüsselten Seite übertragene Daten nicht im Klartext übertragen. Stelle dir also vor, du loggst dich auf deiner Website ein und dein Passwort wird im Klartext, also nicht verschlüsselt, übertragen. So kann ein Hacker einfachen Zugang zu deinem Passwort bekommen. 

Läuft deine Website über HTTPS, wird alles verschlüsselt übertragen und ist somit um ein Vielfaches sicherer.

Die dafür nötigen SSL-Zertifikate gibt es bei ordentlichen Hostern kostenlos über Let’s Encrypt oder einen ähnlichen Anbieter.

10. Aktiviere 2-Faktor-Authentifizierung

Du kennst sie sicherlich von vielen anderen Anbietern wie Facebook, Google und vielen anderen: die 2-Faktor-Authentifizierung.

Falls du davon noch nie gehört hast:

Statt nur ein Passwort zum Login zu nutzen, wird bei der “2-FA” eine weitere Hürde eingebaut, um sich einzuloggen. Beispielsweise ist das ein Code, der beim Login per E-Mail oder SMS gesendet wird und eingegeben werden muss oder es wird eine App wie der “2FA Authenticator” genutzt, mit dem sich der einloggende Nutzer zusätzlich authentifizieren muss.

Der große Vorteil liegt auf der Hand: Selbst wenn jemand dein Passwort klauen sollte, würde der Login beim Schritt der 2-Faktor-Authentifizierung scheitern.

Um die 2-FA in WordPress einzubauen, kannst du beispielsweise das kostenlose Plugin “Two Factor Authentication” nutzen, das vom selben Hersteller kommt, wie das oben bereits erwähnte UpdraftPlus Plugin für Backups.

Es unterstützt die üblichen Apps für 2-FA und bringt nützliche Einstellungsmöglichkeiten mit, die dich beispielsweise festlegen lassen, ob die Zwei-Faktor-Authentifizierung bei jedem Login stattfinden soll, oder erst nach einer gewissen Zeit.

11. Schränke die XML-RPC Schnittstelle ein

Ich weiß, dieses Thema klingt wieder sehr technisch, ich werde es daher gerne möglichst einfach erklären.

Die XML-RPC Schnittstelle ist von WordPress früher für die Verbindung mit der WordPress Mobile App genutzt worden oder auch für die Kommunikation mit anderen Websites, um Services wie Pingbacks bereitzustellen.

Seit WordPress 4.4 übernimmt all das aber die REST-API, die XML-RPC Schnittstelle ist somit lediglich ein Überbleibsel vergangener Zeiten.

Aus Sicht der Sicherheit ist sie relevant, da über die xmlrpc.php-Datei bzw. die durch sie hergestellten Verbindungen Angriffe stattfinden können. Da wir diese Schnittstelle seit WordPress 4.4 (die Version kam bereits 2015 raus) nicht mehr benötigen, solltest du sie deaktivieren.

Bei Hostern wie raidboxes oder Kinsta ist diese Schnittstelle bereits deaktiviert und auch mit einem Plugin wie perfmatters kannst du das erledigen. Um zu prüfen, ob die Schnittstelle bei dir aktiv ist, rufe einfach mal deinedomain.de/xmlrpc.php auf. Wenn du nun die Meldung “403 forbidden” bekommst, ist sie bereits deaktiviert.

Nutze hierfür entweder das Plugin “Disable XML-RPC-API” oder spare dir das Plugin, indem du einen Code in die functions.php-Datei deines (Child-)Themes oder in die .htaccess Datei einfügst.

Wenn du über die functions.php-Datei gehst, füge den folgenden Code ein:

add_filter( 'xmlrpc_enabled', '__return_false' );

Möchtest du die .htaccess Datei nutzen (das funktioniert nur bei Apache-Servern, nicht bei nginx), füge den folgenden Code ein:

<Files xmlrpc.php>

⁠Order Allow,Deny

⁠Deny from all

⁠</Files>

12. Nutze einen Datenbank-Präfix

Die Datenbank-Tabellen, in denen all deine WordPress Inhalte und Einstellungen liegen, haben normalerweise das Präfix “wp_”. 

Wie schon bei Tipp sechs, als wir die URL des WordPress-Logins versteckt haben, werden wir hier für etwas mehr Sicherheit sorgen, indem wir dieses Präfix ändern. Das sorgt dafür, dass es für Angreifer*innen etwas schwieriger ist, diese Tabellen zu finden.

Bei der Installation einer frischen WordPress-Instanz kannst du das Präfix ganz einfach in dem dafür vorgesehene Feld ändern:

Bild (Screenshot des Autors): Während der WordPress-Installation kannst du das Tabellen-Präfix ändern

Auch bei einer bestehenden WordPress Installation kann das Präfix geändert werden. Hier ist allerdings Vorsicht geboten, da hierbei einiges schiefgehen und deine Website abschießen kann.

Mache das also nur, wenn du weißt, was du tust oder lasse es von einem Profi umstellen.

4 Tools, mit denen die Sicherheit von WordPress überprüft werden kann

Möchtest du prüfen, ob deine Website aktuell infiziert oder anfällig ist, kannst du verschiedene Tools nutzen.

Grundsätzlich haben alle Hoster eigene Virenscanner laufen und informieren dich natürlich, wenn sie anschlagen. Zusammen mit meinem ersten Tool-Tipp ist das auch alles, was ich selbst bei meinen Websites im Einsatz habe.

Bedenke beim Einsatz von Tools zur Prüfung der Sicherheit, dass sie alle nicht zu 100 % verlässlich sind und ebenfalls nicht alle möglicherweise angezeigten “Schwachstellen” wirklich wichtig und zu beheben sind.

1. Google Search Console
   ⁠
   
   
   
   ⁠Die Google Search Console sollte jeder Website-Betreiber mit seiner Website verbunden haben. Wenn du das noch nicht gemacht hast, zack zack! ;)
   ⁠
   
   
   
   ⁠Sollte Google feststellen, dass deine Website gehackt wurde oder sich so verhält, dass sie Besuchern Schaden zugefügt wird (zum Beispiel über Phishing), wird Google dir das im Bericht “Sicherheitsprobleme” mitteilen.
   ⁠
2. Sucuri Sitecheck
   ⁠
   
   
   
   ⁠Der kostenlose Sitecheck von Sucuri prüft deine Website auf bekannte Malware, Viren, Blacklisting, Website Fehler, veraltete Software und Schadcode.
   ⁠
   
   
   
   ⁠Zusätzlich bietet Sucuri eine komplette Überwachung inklusive Schutz deiner Website an. Als einer der wohl größten Namen in der WordPress-Sicherheits-Szene ist Sucuri immer eine gute Anlaufstelle.
   ⁠
3. WP SEC
   ⁠
   
   
   
   ⁠WP Sec bietet einen weiteren kostenlosen Scanner, der deine Website auf Malware und Ähnliches überprüft. 
   ⁠
   
   
   
   ⁠Wenn du dich mit einem kostenlosen Konto anmeldest, kannst du den Scanner automatisiert jede Woche laufen lassen und bekommst etwas detailliertere Berichte.
   ⁠
4. Pentest Tools WordPres Scanner
   ⁠
   
   
   
   ⁠Der ebenfalls kostenlose WordPress Scanner von Pentest Website Scanner zeigt dir Sicherheitslücken in deiner genutzten WordPress Version, prüft die Website-Header und checkt, ob WP-Cron aktiviert ist.
   ⁠
   
   
   
   ⁠In der Premium-Version bietet dir dieser Test deutlich umfangreichere und nützlichere Auswertungen an. Beispielsweise eine Prüfung auf Sicherheitslücken innerhalb genutzter Plugins und Themes und einige weitere Sicherheits-Faktoren.

7 Plugins, mit denen die Sicherheit von WordPress erhöht werden kann

Wenn du deine WordPress Sicherheit weiter erhöhen möchtest, kannst du das mit einem der vielen Sicherheits-Plugins tun.

Ich habe hierbei zwei wichtige Hinweise für dich:

Zum einen solltest du umfangreiche Sicherheits-Plugins mit Firewalls und weiteren technischen Funktionen nur einrichten, wenn du weißt, was du tust. Sie können sonst mehr Probleme verursachen, als sie Lösungen bringen.

Zum anderen solltest du beachten, dass die meisten dieser Plugins dir Meldungen über fehlgeschlagene Angriffe und Logins anzeigen (und teilweise per E-Mail senden). Das sollte dir keine Angst machen, da jede WordPress Website jeden Tag immer und immer wieder angegriffen wird. Es ist also leider normal.

Diese Dinge sind wichtig zu wissen, da ansonsten Plugins für mehr Sicherheit schnell nach hinten losgehen. 

Übrigens: Wenn du bei einem auf WordPress spezialisierten Hoster liegst, benötigst du in meinen Augen meistens kein solches Plugin.

1. Wordfence Security

Mit über vier Millionen aktiven Installationen ist Wordfence Security das wohl beliebteste Sicherheits-Plugin für WordPress, was sicherlich unter anderem an dem riesigen Umfang der kostenlosen Version liegt.

Das Plugin bietet dir sowohl Schutz gegen Angriffe, als auch Unterstützung beim Erkennen potenzieller Sicherheits-Schwachpunkte. Bereits in der kostenlosen Version bietet Wordfence eine Menge nützlicher Funktionen, unter anderem:

• eine Firewall, um bösartigen Traffic zu erkennen und zu blockieren
• ein Scanner, der deine Dateien auf gehackten Code prüft und Änderungen an den WordPress-Core-Dateien erkennt
• Absicherung des Logins mit 2-FA und CAPTCHA 
• und vieles mehr…

In der Premium-Version ist das Plugin noch besser. Bedenke, dass es zwar viele nützliche Funktionen mitbringt, du diese aber auch zunächst korrekt einstellen musst.

2. iThemes Security

Direkt hinter Wordfence Security reiht sich mit über einer Million aktiven Installationen das iThemes Security Plugin bei den meist installierten Sicherheits-Plugins ein.

Es hat einen ähnlichen Funktionsumfang wie Wordfence Security:

• Schutz vor Brute-Force-Attacken, die alle Websites mit iThemes Security im Einsatz für Angreifer blockiert
• Absicherung des Logins durch 2-FA
• Überwachung von Änderungen in deinen Dateien
• Einfacher Einrichtungsassistent

In der Pro-Version bekommst du noch deutlich mehr nützliche Funktionen. Der Umfang der kostenlosen Version steht dem von Wordfence in einigen Dingen nach.

Ich möchte aber herausheben, dass der Einrichtungsassistent in iThemes Security es dir deutlich einfacher macht, das Plugin zu konfigurieren.

3. Sucuri Security

Ja richtig, den Sucuri Sitecheck habe ich dir oben bei den Tools zur Überprüfung deiner WordPress-Sicherheit bereits vorgestellt. Jetzt geht es aber um das Plugin Sucuri Security, das mit fast einer Million aktiven Installationen zu den größten Sicherheits-Plugins gehört. 

Wie die bereits genannten Sicherheits-Plugins, bringt Sucuri Security eine recht umfangreiche Absicherung für deine Website mit und bietet dir ebenfalls Funktionen zur Umsetzung vieler der oben genannten Sicherheitstipps an.

Eine Website-Firewall gibt es leider erst in der kostenpflichtigen Version, mit der Überwachung von Änderungen in deinen Dateien, dem Malware-Scanner und einer Anzeige möglicher Schwachstellen, ist das Plugin aber definitiv eine einfach einzurichtende Alternative zu den beiden Flagschiffen.

4. WPS Hide Login

Den Namen “WPS Hide Login” hast du oben ja bereits gelesen, als es um die Absicherung der Login-Seite durch das Verändern der URL ging.

Das Plugin ist wirklich einfach zu bedienen, da es dir lediglich in den WordPress Einstellungen ein neues Feld hinzufügt, in das du die gewünschte URL für deine Login-Seite eingeben kannst. Wenn du also eine Lösung zum Verstecken deiner Login-Seite suchst, ist es das perfekte Plugin.

5. Disable XML-RPC

Ebenfalls bereits vorhin erwähnt, darf “Disable XML-RPC-API” natürlich in dieser Liste nicht fehlen.

Um es nochmal kurz zusammenzufassen:

Mit diesem Plugin kannst du die XML-RPC-Schnittstelle deaktivieren. Sie wurde vor vielen Jahren für Funktionen wie Pingbacks oder die Verbindung zur WordPress mobile App genutzt, was mittlerweile alles von der REST-API übernommen wurde.

Somit wird diese Funktion heutzutage in so gut wie allen Fällen nicht benötigt, bietet Angreifern aber eine Angriffsfläche.

6. WP Activity Log

Wenn bei dir mehrere Nutzer*innen auf WordPress zugreifen, ist es gut, deren Verhalten und Änderungen nachzuvollziehen.

WP Activity Log ist hierfür ideal und in einer abgespeckten Version sogar kostenlos. Es zeichnet auf, was die Nutzer*innen deiner Website getan haben, welche Seiten oder Beiträge sie geändert haben, ob Plugins installiert wurden und vieles mehr. So kannst du verdächtiges Verhalten frühzeitig erkennen.

7. UpdraftPlus

Wie du zu Beginn dieses Ratgebers gelesen hast, gehört zu meinen Top-3-Tipps für mehr WordPress Sicherheit das automatische Anlegen von WordPress Backups.

Mit UpdraftPlus sind automatisierte Backups innerhalb weniger Minuten eingerichtet. Die einfache Bedienung des Plugins macht es auch für Anfänger*innen zu einer super Wahl.

Fazit: WordPress ist mit einfachen Maßnahmen gut absicherbar

Tja, was solltest du aus diesem ausführlichen Ratgeber mitnehmen?

Zunächst einmal, dass WordPress kein unsicheres System ist. Die meisten erfolgreichen Angriffe erfolgen über Plugins und Themes, zudem spielt der Anwender eine wichtige Rolle dabei, da ein Großteil der Hacks durch regelmäßige Updates von WordPress, Plugins und Themes verhindert werden kann.

Es gibt sehr viele Methoden, mit denen du WordPress noch sicherer machen kannst. Die wohl effizientesten davon sind die Nutzung eines ordentlichen WordPress Hosters, regelmäßige Updates, sichere Passwörter und automatisierte Backups.

Setze diese Maßnahmen um und deine Website ist sehr sicher. Wenn du möchtest, kannst du natürlich noch weitere der genannten Tipps umsetzen, viel Erfolg dabei!