hosttech Startseite
Status
Kontakt und Support
Login
Login
hosttech Startseite
Blog

/

/

WordPress Security Checkliste

WordPress Security Checkliste

Veröffentlicht am 13. Dezember 2022
  9 Min. Lesezeit
  Aktualisiert am 11. November 2024

Ist deine WordPress Website sicher? Die Antwort auf diese Frage ist nicht ganz einfach, denn die Angriffe auf WordPress Websites werden immer häufiger und komplexer. Deshalb ist es wichtig, die notwendigen Sicherheitsmaßnahmen vorzunehmen. In unserer WordPress Security Checkliste zeigen wir dir, wie du diese Maßnahmen umsetzen kannst.

Titelbild WordPress Security Checkliste

Inhalt

Ausgangslage: Warum ist die WordPress-Sicherheit wichtig?

2021 gab es schätzungsweise 1,4 Milliarden Websites im Internet, von denen mehr als 400 Millionen WordPress verwenden. Deshalb ist WordPress ein beliebtes Ziel für Hacker, Schadcodeverteiler und Datendiebe. Schätzungen zufolge werden im Durchschnitt täglich 30‘000 Websites gehackt – wir erleben derzeit also eine große Anzahl an Cyber-Angriffen.

Dieses Problem kann Unternehmen jeder Größe treffen. Statistiken zufolge zielen 44% der Online-Angriffe auf kleine Unternehmen ab, doch nur 15% dieser Unternehmen sind darauf vorbereitet, sich zu verteidigen. Kleine und mittlere Unternehmen sind tendenziell ein leichteres Ziel für Hacker, da es ihnen oftmals an Ressourcen und Sicherheitsexpertisen fehlt.

Viele Hacker haben es jedoch auf die großen Unternehmen abgesehen, weil sie sich mehr davon versprechen.

 (Quelle: Forbes)

Damit du deine WordPress Website schützen kannst, haben wir dir nachfolgende Checkliste zusammengestellt.

WordPress Security Checkliste

1.      SSL-Zertifikate verwenden

Ein SSL-Zertifikat (Secure Sockets Layer) verschlüsselt die Daten, die zwischen dem Nutzer und deiner Website übermittelt werden.

Browser blockieren zunehmend den Zugriff auf Websites ohne SSL-Zertifikat. Deshalb ist dies ein Muss für jede WordPress-Website. Unterstützung dabei erhältst du mit dem Plugin Really Simple SSL. Es sorgt dafür, dass dein SSL-Zertifikat problemlos funktioniert.

Tipp: hosttech bietet dir automatisch bei jedem Webhosting kostenlose SSL-Zertifikate von Let’s Encrypt an.

2.      Sicherheits-Plugin installieren

WordPress-Plugins sind eine großartige Möglichkeit, deiner Website schnell nützliche Funktionen hinzuzufügen. WordPress bietet gleich mehrere gute Sicherheits-Plugins an.

Wir empfehlen:

Durch die Installation eines Sicherheits-Plugins kannst du deiner Website ohne großen Aufwand einige zusätzliche Schutzebenen hinzufügen.

3.      Web Application Firewall (WAF) verwenden

Durch WAF geschützte Websites werden in der Regel nicht mehr gehackt.

Eine gute WAF bietet eine starke Verteidigung gegen Angriffe und bösartige Aktivitäten auf deiner Website. Wenn ein Hacker versucht, sich Zugang zu deiner Website zu verschaffen oder Befehle ausführen möchte, wird dies die WAF erkennen, blockieren und dich davor warnen.

Wir empfehlen die Installation von NinjaFirewall auf deiner WordPress-Seite. Hier wird die Konfiguration des Plugins beschrieben.

Das Plugin stellt automatisch eine Web Application Firewall auf, die Hackern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit nur wenigen Klicks kannst du außerdem die empfohlenen WordPress-Härtungsmaßnahmen auf deiner Website implementieren. Diese Maßnahmen werden die Sicherheit deiner Website stark erhöhen.

4.      WordPress Updates durchführen

Um die Sicherheit und Stabilität deiner Website aufrechtzuerhalten, ist es wichtig, dass WordPress stets auf dem neuesten Stand ist.

Immer, wenn eine WordPress-Sicherheitslücke gemeldet wird, arbeitet das Kernteam von WordPress an der Veröffentlichung eines Updates, welches das Problem behebt.

Wenn du deine WordPress-Website nicht laufend aktualisierst, besteht die Möglichkeit, dass du eine Version von WordPress verwendest, die bekannte Sicherheitslücken aufweist.

Also: Lass dich nicht angreifbar machen, indem du eine alte WordPress-Version verwendest.

Tipp: In unserem Blogbeitrag findest du weitere Informationen zu Website-Updates.

5.      Aktuelle PHP-Version verwenden

Ebenso wie alte WordPress-Versionen sind auch veraltete PHP-Versionen nicht mehr sicher.

Wenn du nicht die neueste Version von PHP verwendest, solltest du die PHP-Version aktualisieren, um dich vor Angriffen zu schützen.

Tipp: In unseren FAQ findest du eine Übersicht der aktuell unterstützten PHP-Versionen und eine Anleitung zur Änderung der PHP-Version.

6.      Vertrauenswürdige Plugins und Themes

Installiere nur Plugins und Themes von vertrauenswürdigen Entwicklern. Wenn ein Plugin oder Theme nicht von einer vertrauenswürdigen Quelle stammt, ist es wahrscheinlich sicherer, es nicht zu verwenden.

Außerdem solltest du sicherstellen, dass du die WordPress-Plugins und -Themes regelmäßig aktualisierst.

Ebenso wie eine veraltete WordPress-Version wird deine Website durch die Verwendung veralteter Plugins und Themes anfälliger für Angriffe.

7.      Regelmäßige Backups durchführen

Bevor du mit der Entwicklung deiner Website beginnst, solltest du als allererstes deine Backups einrichten. Damit bist du im schlimmsten Fall abgesichert und verlierst keine Daten. Selbst wenn deine Website gehackt wird und der Schaden nicht zu beheben ist, musst du sie so nicht noch einmal von Grund auf neu aufbauen.

hosttech bietet zwar die Möglichkeit, tägliche Backups von Dateien und Datenbanken wieder einzuspielen, doch eine eigene Backup-Lösung bringt dir mehr Unabhängigkeit und Kontrolle.

Wir empfehlen dazu die Freemium Lösung „UpdraftPlus“. Dieses Plugin bietet sehr umfangreiche Funktionen, automatische Sicherungen gemäß persönlichem Zeitplan und Speicherung der Backups auf verschiedenen Clouds (Dropbox, Google Drive etc.).

Nimm dir eine Stunde Zeit, um deine Backups und Sicherheitssysteme einzurichten und erspare dir damit Monate, vielleicht sogar Jahre an Arbeit.

8.      Benutzername „admin“ nicht verwenden

Der Benutzername „admin“ wird oft verwendet und ist leicht zu erraten. Verwende deshalb niemals den Benutzernamen „admin“. Denn damit ist deine Website anfälliger für Brute-Force-Angriffe.

9.      Sichere Passwörter verwenden

Neben der Beschaffung eines SSL-Zertifikats besteht eine der ersten Maßnahmen zum Schutz deiner Website darin, sichere Passwörter für alle Anmeldungen zu verwenden und zu verlangen.

Es mag verlockend sein, ein vertrautes oder leicht zu merkendes Passwort zu verwenden oder wiederzuverwenden, aber damit sind du, deine Benutzer und deine Website einem Risiko ausgesetzt.

Wenn du die Stärke und Sicherheit deiner Passwörter verbesserst, sinkt die Wahrscheinlichkeit, dass deine Website gehackt wird.

10.  Login-URL ändern

Standardmäßig können die meisten WordPress-Login-Seiten durch Hinzufügen von „/wp-admin“ oder „/wp-login.php“ am Ende einer URL aufgerufen werden. Somit gibst du die Anmeldeseite für Angriffe frei.

Sobald ein Angreifer deine Anmeldeseite gefunden hat, kann er versuchen, deinen Benutzernamen und dein Passwort zu erraten, um auf das Admin-Dashboard zuzugreifen.

Das Verstecken der WordPress-Anmeldeseite bietet einen zusätzlichen Schutzfaktor.

Schütze deine Anmeldedaten, indem du die URL der WordPress-Admin-Anmeldeseite mit einem Plugin wie WPS Hide Login veränderst.

11.  XML-RPC und REST API deaktivieren

WordPress verwendet eine Implementierung des XML-RPC-Protokolls, um die Funktionalität von Software-Clients zu erweitern.

Dieses Remote Procedure Calling-Protokoll ermöglicht die Ausführung von Befehlen, wobei die Daten in XML formatiert zurückgegeben werden.

Die meisten Benutzer benötigen die XML-RPC-Funktionalität von WordPress nicht. Dabei ist sie eine der häufigsten Schwachstellen, die Webseiten für Angriffe anfällig macht. Deshalb ist es eine gute Idee, sie zu deaktivieren. Dank des Wordfence-Sicherheits-Plugins ist dies ganz einfach möglich.

Das Gleiche gilt auch für die REST API. Die REST API ist eine sehr gute Sache, erzeugt aber einige zusätzliche Schwachstellen. Bei Nichtverwendung ist es daher ratsam, diese Schnittstelle zu deaktivieren. Das kann über ein Plugin geschehen oder über den eigenen Code in der functions.php.

12.  Konfigurationsdatei schützen

Die WordPress-Datei wp-config.php enthält sehr sensible Informationen über deine WordPress-Installation, einschließlich dem WordPress-Sicherheitsschlüssel und den Verbindungsdaten zur WordPress-Datenbank und sollte daher gut geschützt sein.

Du kannst deine Website absichern, indem du die wp-config.php-Datei über deine .htaccess-Datei schützt.

Öffne dazu die „.htaccess“-Datei (nur für Apache Webserver möglich) im Wurzelverzeichnis deiner WordPress Installation und füge folgendes ein:

<files wp-config.php>
order allow, deny
deny from all
</files>

Diese Zeilen blockieren den Zugriff zur wp-config.php Datei von außerhalb. Die Dateiberechtigungen für die wp-config.php sollten 400 sein.

Hier befindet sich die .htaccess im Wurzelverzeichnis:

WordPress Security Checkliste: htaccess im Wurzelverzeichnis

13.  Dateiberechtigungen festlegen

Hacker können versuchen, Zugriff auf deine WordPress-Dateien zu erhalten. Das kannst du verhindern, indem du die richtigen Dateiberechtigungen festlegst, damit nur du als Eigentümer/in der Website darauf zugreifen kannst.

Um die Dateiberechtigungen zu ändern, musst du auf das Plesk Panel deines Hosting-Accounts zugreifen:

WordPress Security Checkliste: Dateiberechtigung in Plesk festlegen

Im Allgemeinen sollten die WordPress-Verzeichnisrechte 755 und die WordPress Dateirechte 644 betragen. Einige wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers.

  • wp-admin: 755
  • wp-includes: 755
  • wp-content: 755
  • wp-content/themes: 755
  • wp-content/plugins: 755
  • wp-content/uploads: 755
  • .htaccess: 644
  • index.php: 644
  • wp-config.php: 400

14.  PHP-Ausführung in unbekannten Ordnern blockieren

Meistens haben gehackte WordPress-Seiten Backdoor-Dateien. Diese Backdoor-Dateien sind oft als WordPress-Kerndateien getarnt und befinden sich in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/.

Normalerweise führen sie den Code in einer Programmiersprache namens PHP aus. Die Ausführung von PHP ist zwar auf deiner Website erforderlich, wird aber nur in bestimmten Ordnern verwendet. Du kannst Hacker daran hindern, ihre Aktivitäten durchzuführen, indem du die PHP-Ausführung in nicht vertrauenswürdigen Ordnern blockierst. Eine einfache Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, die PHP-Ausführung für einige WordPress-Verzeichnisse zu deaktivieren.

So deaktivierst du die PHP-Ausführung in WordPress-Verzeichnissen:

Erstelle eine leere .htaccess-Datei und füge diesen Code darin ein:

<Files *.php>
deny from all
</Files>

Lade diese Datei dann in die Verzeichnisse /wp-content/uploads/ und /wp-includes/ hoch.

Wenn du in deinem Startverzeichnis den Ordner /wp-content oder /wp-includes nicht siehst, dann verwendest du kein WordPress und musst die .htaccess-Datei nicht erstellen. Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:

WordPress Security Checkliste: Übersicht File Manager
WordPress Security Checkliste: File Manager .htaccess

Fazit

Mit den vorgestellten Maßnahmen kannst du die Sicherheit deiner Website erheblich steigern.

Aber keine Umgebung ist zu 100% sicher vor Cyberbedrohungen. Hacker finden alle möglichen Wege, um in deine Website einzubrechen. Wir empfehlen dir deshalb dringend, immer ein zuverlässiges Sicherheits-Plugin wie NinjaFirewall auf deiner Website zu verwenden. Damit wird sichergestellt, dass deine Website über eine Firewall verfügt, die schädlichen Datenverkehr blockiert, sowie über einen Scanner, der sie auf Malware überprüft.

Wenn dein Unternehmen jedoch wächst und deine Website größer wird, solltest du einen dedizierten Server in Betracht ziehen. Ob du dich für ein Managed Hosting, einen Cloud Server oder einen Rootserver entscheidest, ist dabei dir überlassen. Ein dediziertes Hosting verbessert auf jeden Fall die Sicherheit und Leistung deiner Website, denn du kannst auch auf Betriebssystemebene eingreifen und hast mehr Möglichkeiten zur Verfügung.

Inhalt

Artikel teilen

Link kopieren

Artikel teilen

Link kopieren
Bild von Cédric Juan

Developer & UX    17 Artikel

  • Cédric ist seit 2021 als Frontend-Entwickler bei hosttech tätig und spezialisiert auf CMS Projektumsetzungen aller Art. Durch seine Ausbildung als Applikationsentwickler und abgeschlossene Weiterbildung zum Interaction Designer, ist er stets motiviert eine positive Benutzererfahrung in den Entwicklungsprozess der Webseiten mitzubringen. Die hosttech Homepage, sowie auch diverse Kundenprojekte zählen zu seinen Hauptaufgaben.
531
Kategorie
  • Weitere Beiträge zum Thema WordPress

Phishing E-Mails: Gefälschter hosttech-Absender

Achtung: Zurzeit werden Phishing E-Mails mit gefälschtem hosttech-Absender versendet. Bitte komme keiner Forderung nach und lösche diese E-Mails.

Screenshot der hosttech-Website mit SSL-Zertifikate-Seite auf einem Laptop, daneben ein 3D-Kalender mit den Zahlen 47 und 398 Tage, symbolisiert die künftig kürzeren Laufzeiten von SSL/TLS-Zertifikaten.

SSL/TLS-Zertifikate werden kürzer: Was das für dich bedeutet

Seit Jahren sind SSL/TLS-Zertifikate das Rückgrat des verschlüsselten Webs. Jetzt wird ihre maximale Laufzeit drastisch verkürzt – von 398 auf künftig nur noch 47 Tage. Was steckt hinter diesem Entscheid, und was ändert sich konkret für dich als hosttech-Kunde?

Headerbild zum Blogbeitrag über neue Begriffe wie GEO, AEO und LLMO. Titel in weißer Schrift: SEO vs. GEO Darunter ist eine Suchmaske zu sehen, in der steht "Suchbegriff eingeben" Unterhalb der Suchmaske ist links eine menschliche Hand zu sehen und rechts eine Roboterhand. Die beiden Hände strecken die Fingerspitzen zueinander aus.

GEO, AEO, LLMO & Co.: Diese neuen Begriffe prägen die Zukunft im Netz

In der digitalen Welt verändert sich die Suche gerade grundlegend. In den letzten Jahren gewinnen neue Konzepte und Begriffe an Bedeutung, die weit über klassische SEO hinausgehen. Für dich als Website-Betreiber, KMU oder Marketer ist es wichtig zu verstehen, was diese neuen Begriffe bedeuten, wie sie sich voneinander unterscheiden und wie du deine Inhalte 2026 sichtbar machst – sowohl für Menschen als auch für KI-gestützte Systeme.

Alexander M. Hefele, CEO von AMZ Racing, sitzt in der AMZ Werkstatt und erklärt, weshalb sein Team auf die Cloud-Lösung von hosttech setzt. Hinter ihm sind zwei Renn-Boliden von AMZ zu sehen. Rechts im Bild die Logos von hosttech und AMZ.

AMZ Racing: Dank Cloud-Computing zu Höchstleistungen

AMZ Racing ist das Formula Student Team der ETH Zürich. Aktuell steht das Team an der Spitze der Weltrangliste. Zudem hält es seit 2023 den Weltrekord für die schnellste Beschleunigung von 0 auf 100 km/h mit einem Elektrofahrzeug. hosttech unterstützt AMZ Racing seit einigen Jahren mit Cloud-Computing-Ressourcen im virtual Datacenter. In einer dreiteiligen Video-Serie gibt das AMZ-Team Einblick in seine Arbeit und zeigt, wie es unsere Cloud-Lösung einsetzt, um seine Fahrzeuge laufend zu optimieren.

Grafik zu DKIM (DomainKeys Identified Mail) mit Schutzschild zur Darstellung von E-Mail-Authentifizierung und Schutz vor Phishing.

DKIM aktivieren: So schützt du deine E-Mails vor Manipulation

E-Mail-Kommunikation ist ein zentraler Bestandteil deines Online-Auftritts – egal ob geschäftlich oder privat. Doch ohne die richtigen Sicherheitsmaßnahmen landen Nachrichten leicht im Spam oder können manipuliert werden. DKIM ist eine der wichtigsten Methoden, um die Integrität deiner E-Mails zu sichern.

Symbolbild mit Laptop und E-Mail-Umschlägen sowie den Begriffen POP3, IMAP und Exchange zur Veranschaulichung der unterschiedlichen E-Mail-Protokolle.

Was ist der Unterschied zwischen POP3, IMAP und Exchange?

Wer ein E-Mail-Postfach einrichtet, stolpert früher oder später über die Begriffe POP3, IMAP und Exchange. E-Mail gehört zum Alltag wie der Kaffee am Morgen. Trotzdem machen sich die wenigsten Gedanken darüber, was im Hintergrund passiert, wenn eine Nachricht verschickt oder gelesen wird. Genau dort liegt aber der Unterschied zwischen einem entspannten Mail-Alltag und einem Setup, das ständig für Frust sorgt. Und dann wird klar: Die Wahl des richtigen E-Mail-Systems ist alles andere als egal.

Illustration mit WordPress-Logo und Versionsangabe 6.9 für das WordPress Update, passend zum Blogartikel über Neuerungen, Performance und Weiterentwicklung von WordPress

WordPress 6.9 Update: die wichtigsten Neuerungen

Mit WordPress 6.9 (Codename «Gene») setzt das CMS seine Entwicklung konsequent fort. Das Update verbessert die Zusammenarbeit im Editor, erweitert die Gestaltungsmöglichkeiten und bringt spürbare Optimierungen bei Performance und Bedienung. Gleichzeitig legt Version 6.9 wichtige technische Grundlagen für kommende Releases und KI-Integration. In diesem Beitrag zeigen wir dir, was neu ist.

myhosttech Kundencenter

Jetzt testen