Wie erhöhe ich die Sicherheit meiner WordPress Webseite

6 Schritte um die Sicherheit deiner WordPress Website massiv zu erhöhen und sie vor Angriffen von Hackern zu schützen.

1. WordPress Admin Benutzer umbenennen und löschen

Als ersten wichtigen Schritt empfehle ich dir, den Benutzer „Admin“ umzubenennen. Da alle WordPress Websites nach der Installation den Benutzer „Admin“ automatisiert als Administrator angelegt bekommen, haben Hacker, Bots und Scripts sich darauf eingestellt WordPress-Installationen mit diesem Benutzernamen anzugreifen. 

Um dem zuvorzukommen, erstellen wir ein neues Adminprofil und löschen den Benutzer „Admin“.

2. Ein ausgefallenes Passwort wählen und 2-Faktor-Authentifizierung einstellen

  1. Wähle im Dashboard „Benutzer“ → „Neu hinzufügen“
  2. Erstelle einen individuellen, nicht leicht zu erratenden Benutzernamen (Tipp: nehme nicht deinen eigenen Namen)
  3. Weise dem neuen Benutzer die Rolle „Administrator“ zu
  4. Lösche den Benutzer „Admin“
 
WordPress gibt dir die Option, bei deinen Benutzereinstellungen ein „starkes Passwort“ zu erstellen. Nutze diese Möglichkeit und verwende dieses vorgeschlagene Passwort.
Des Weiteren solltest du den Login-Prozess noch weiter erschweren, indem du eine 2-Faktor-Authentifizierung aktivierst. Mit dieser Art der Authentifizierung musst du neben der Eingabe deines Passwortes entweder einen weiter Code eingeben, den du per E-Mail erhälst, oder du verifizierst dich per SMS oder Anruf. Dies kannst du z.B. mit dem Plugin „Wordfence“ umsetzen, welches ich dir empfehle zu installieren, da es außerdem wichtige Hinweise und Hilfestellungen zur Optimierung der Sicherheit deiner Website bietet.

3. Verhindere den Zugang zu deiner Login-Seite und dem Admin-Bereich

Login-Seite ändern

Angreifer versuchen deine Website über die gängige Login-Page zu erreichen. Doch was wäre, wenn es diese Seite nicht gäbe? Es gibt ein sehr praktisches Plugin mit dem Namen „WPS Hide Login„. 

Hiermit schützt du deine Website, indem du die Anmelde-URL umbenennst und den Zugang zur wp-login.php-Seite und dem wp-admin-Bereich verhinderst, wenn du grad nicht eingeloggt bist.

4. Sicherheitsplugin installieren

Wie bereits erwähnt möchte ich dir wärmstens das Sicherheitsplugin „Wordfence“ ans Herz legen. Dieses Plugin bietet ausreichende Einstellung um die Sicherheit deiner WordPress Website zu erhöhen. Ebenso bekommst du unverzüglich Meldungen, wenn Updates anstehen, Sicherheitslücken auftauchen oder Unbefugte sich in deine Website einloggen wollten. 

Hier kannst du unter anderem einstellen, wie häufig es Nutzern möglich sein soll, ein falsches Passwort einzugeben und wann diese bei einer festgelegten Anzahl von fehlgeschlagenen Anmeldeversuchen von der Website gesperrt werden. Sehr hilfreich und absolut empfehlenswert!

Ebenso bekommst du die Informationen wie die Angriffe herkamen und mit welchen Benutzernamen versucht wurde sich einzuloggen. 

5. Plugins regelmäßigen Updaten und kontrollieren

Du solltest deine installierten Plugins immer aktuell halten, und Updates wenn möglich sofort installieren, da Hacker vorrangig Sicherheitslücken in veralteten Plugins angreifen. Dies gilt ebenso für installierte Themes und veraltete WordPress-Versionen.

Trotzdem solltest du auf die Einstellung „automatisch aktualisieren“ verzichten und die Aktualisierung immer selbst in die Hand nehmen, da es sein kann, dass aktualisierte Plugins nicht mehr mit deinem Theme oder andere Plugins kompatibel sind und so Fehler auf deiner WordPress Webseite entstehen können. Sie dir hierzu gerne meinen Beitrag „Kritischer Fehler in WordPress auf Grund eines Plugin-Konfliktes“ an, sollte bei dir bereits so ein Konflikt entstanden sein.

Installiere außerdem nur aktuelle und seriöse Plugins. Lies dir die Bewertungen der Plugins durch und informiere dich gerne über den Entwickler. So verhinderst du, dass du infizierte oder schädliche Software auf deiner Website installierst.

6. Mache regelmäßige BackUps deiner WordPress Website

Zu guter letzt empfehle ich dir, regelmäßige BackUps deiner Website zu machen. Sollte doch mal ein Angriff stattfinden oder deine Website durch einen anderen Fehler nicht mehr erreichbar sein, dann ist deine ganze Mühe nicht verloren gegangen. Setze einfach dein BackUp wieder auf und überarbeite nochmal dein Sicherheitssystem 🙂

Für WordPress BackUps empfehle ich dir das Plugin „Updraft Plus„.