Jeden Tag werden gegen 100'000 Websites von Hackern angegriffen! Das sagt die Website: Internet Live Stats.
Wieso sollte sich ein Hacker an meiner Website vergreifen? Diese Frage höre ich oft von meinen Kundinnen.
Leider ist es jedoch so, dass jede Website regelmässig angegriffen wird. Dabei wird nicht deine Website gezielt angegriffen, sondern es finden automatisierte Angriffe statt.
Die Angreifer sind keine Menschen, die jede Website testen, sondern Programme, die extra dafür geschrieben wurden. Sie sollen auf Websites nach Sicherheitslücken suchen.
Du kannst dir das vorstellen, wie Einbrecher die Häuser checken, um herauszufinden, wie leicht sie einsteigen können.
Mit den geeigneten Sicherheitsmassnahmen kannst du es den Einbrechern schwerer machen, bei dir einzubrechen. Zum Beispiel, indem du die Türe abschliesst und keine Fenster offenlässt.
Wenn du noch Schlösser an die Fenster anbringst, wird es noch schwieriger bei dir einzubrechen. Allerdings ist es auch für dich enorm nervig. Du kannst kein Fenster mehr öffnen, ohne einen Schlüssel. Und da ich das schon erlebt habe, kann ich dir sagen wie ätzend das ist.
So ist es auch auf deiner Website. Du kannst neben den von mir empfohlenen Tipps noch mehr machen. Zum Beispiel eine Zwei-Faktor-Authentifizierung. Aber damit ist das Einloggen in dein WordPress-Backend auch deutlich mühsamer.
Mein erster Tipp sollte eigentlich selbstverständlich sein. Leider ist er das nicht.
Sicheres Passwort und Benutzer für deine WordPress-Website
Von Nord Pass wurden die beliebtesten Passwörter aus 2021 zusammengestellt. Du kannst sie dir sogar nach deinem Land anzeigen lassen. Schau dir die Liste an. Sie ist erschreckend.
Ich empfehle dir unbedingt das lange und kryptische Passwort, das dir WordPress selbst vergibt zu behalten. Oder ein ähnlich komplexes Passwort zu wählen.
So ein Passwort kannst du mit deinem Passworttool erstellen oder du lässt dir eins vom Passwort-Generator auf https://www.datenschutz.org/passwort-generator/ erstellen.
Verwende kein Passwort mehrfach
Es ist verlockend ein Passwort mehrfach zu nutzen. LASS ES!
Sobald ein Hacker eins deiner Passwörter herausbekommen hat, wird er es überall ausprobieren. Stell dir vor, du hast nur einen Schlüssel für dein Haus/Wohnung, dein Auto, dein Büro. Wenn du den verlierst, hat ein Einbrecher leichtes Spiel.
So ist es auch, wenn du nur ein Passwort hast.
Einen cleveren Benutzer wählen – Nein, Admin ist nicht sicher
Dein Benutzer sollte auf keinen Fall admin oder Admin sein. Das ist nicht sicher, denn so lauten hunderte von Benutzernamen.
Nutze einen Namen der nicht offensichtlich ist.
Verwende nicht die öffentlich sichtbare Mailadresse für deinen Benutzeraccount
Wenn du dich bei WordPress ins Backend einloggst, kannst du das mit dem Benutzernamen oder deiner Mailadresse machen.
Aus diesem Grund solltest du für deinen Benutzeraccount eine andere Mailadresse verwenden als die, die du auf der Website öffentlich aufführst.
Bei mir zum Beispiel nicht info@claudiabarfuss.ch. Denn diese Mailadresse steht überall auf meiner Website.
So wenige Plugins wie möglich!
Je mehr Plugins du auf deiner Website installiert hast, desto anfälliger wird sie. Mit jedem Plugin lädst du Programmcode auf deine Website.
Damit gibst du Hackern eine weitere Gelegenheit in deine Website reinzukommen.
Deshalb ist es wichtig, dir genau zu überlegen, ob du das Plugin brauchst.
Ebenso wichtig ist, dass du Plugins, die du nicht mehr nutzt, löschst und nicht nur deaktivierst.
Nur Premium-Plugins oder solche die von WordPress geprüft wurden
Wenn du ein Plugin kaufst (Premium-Plugin) dann hat der Entwickler Interesse daran, dass du zufrieden bist. Er wird also das Plugin aktuell halten und alles versuchen, damit es sicher ist.
Auch wenn du ein kostenloses Plugin aus dem Repository (das sind die Plugins, die du direkt auf deiner Website installieren kannst) lädst, ist das relativ sicher, denn diese Plugins werden vorher überprüft.
Schau dir aber auch dort an, was beim Plugin steht.
- Wann wurde das Plugin zuletzt aktualisiert?
- Ist es kompatibel mit deiner WordPress-Version?
- Wie viele zufriedene Nutzer gibt es?
Wenn du das berücksichtigst, bist du relativ sicher unterwegs.
Plugins und Themes immer auf dem neusten Stand
Für alle Plugins, Themes und den WordPress-Core, gibt es immer wieder Updates. Du kannst das mit deinem PC vergleichen.
Zum Beispiel kann es sein, dass Sicherheitslücken entdeckt werden. Dann sollten diese schnell geschlossen werden. Oder es gibt Verbesserungen für das Theme oder Plugin.
Aus diesem Grund solltest du regelmässig ins Backend deiner Website gehen und überprüfen, ob du Updates erledigen musst.
Mindestens monatlich, besser wöchentlich sollte das erledigt werden. Bitte vergiss nicht deine Website nach Updates zu überprüfen. Denn nicht immer verlaufen Updates problemlos.
Verwende die aktuelle PHP-Version
PHP ist die Programmiersprache, mit der deine WordPress-Website aufgebaut ist. Auch bei PHP gibt es immer wieder neue Versionen. Im Moment ist die aktuelle Version PHP 8.1.
Die älteren Versionen werden irgendwann nicht mehr mit Sicherheitsupdates versehen. Das heisst auch da haben Hacker die Möglichkeit auf deine Website zu gelangen.
Deshalb ist es so wichtig, auch die PHP-Version auf dem aktuellen Stand zu halten. Das muss nicht immer die neuste Version sein, aber sicher eine, die noch mit Sicherheitsupdates unterstützt wird.
Die PHP-Version kannst du bei deinem Hoster einstellen.
Aber Vorsicht: Bevor du auf die neuste Version wechselst, musst du unbedingt überprüfen, ob deine Plugins und Themes darauf vorbereitet sind.
Meistens lohnt es sich etwas abzuwarten und nicht sofort zu wechseln.
Hier bekommst du einen Überblick, welche Versionen noch mit Sicherheitsupdates unterstützt werden:
Wenn du diese 5 Tipps befolgst, ist deine WordPress-Website ziemlich sicher. Wichtig ist, dass du trotzdem regelmässig Backups (Sicherungskopien) deiner Website machst.
Du kannst das auch automatisch durch ein Plugin erledigen lassen. Ich empfehle dir dafür UpdraftBackupPlus.
Vollständige Sicherheit gibt es leider weder für deine Website noch für deine Wohnung.
Wir können niemanden daran hindern zu versuchen bei uns einzubrechen, aber wir können es ihnen so schwer wie möglich machen.
Wurdest deine Website schon einmal gehackt?