Aktualität
Es vergeht kein Tag, an dem nicht neue Sicherheitslücken in Software aufgedeckt werden. Umso wichtiger ist es, WordPress immer aktuell zu halten. Das betrifft nicht nur die WordPress-Version, sondern auch Plugins und Themes.
WordPress macht es einem leicht: Steht ein Update zur Verfügung, wird man im Backend darauf aufmerksam gemacht. Seit Version 5.5 lassen sich zudem automatische Updates für Plugins und Themes direkt aktivieren – eine Funktion, die die Update-Sicherheit deutlich verbessert.
Wichtig ist, vor größeren Updates ein Backup zu machen. Nicht immer versteht sich die neueste WordPress-Version mit dem eingesetzten Theme. Ein Sofort-Backup kann über dogado durchgeführt werden. Ein weiterer Tipp: Lege dir eine Kopie deines Blogs an (zum Beispiel unter einer Subdomain erreichbar). Dort kannst du Updates gefahrlos testen, bevor deine Live-Seite offline geht.
Passwörter und Zugänge
Ein sicheres Passwort ist die Grundlage für den Schutz Ihrer Website. Vermeide einfache Kombinationen wie "test123" oder persönliche Begriffe, die leicht zu erraten sind. Verwende stattdessen ein langes, komplexes Passwort mit Buchstaben, Zahlen und Sonderzeichen. Ein Passwortmanager kann dabei helfen, sichere Passwörter zu generieren und zu verwalten.
Zusätzlich empfiehlt sich die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA). Damit benötigen Angreifer neben dem Passwort auch einen zweiten Faktor (z. B. einen Code auf dem Smartphone), um Zugriff zu erhalten. Geeignete Plugins sind zum Beispiel Two Factor oder Wordfence Security.
Verwende ausserdem nicht den Benutzernamen "Admin". Viele Angriffe sind speziell auf diesen Standardnamen ausgerichtet. Wähle stattdessen einen individuellen Benutzernamen für Ihr Administratorkonto.
Admin Bereich absichern
Ein einfaches, aber effektives Mittel ist es, das Verzeichnis wp-admin mit einem Verzeichnisschutz über die .htaccess-Datei abzusichern. Füge beispielsweise folgenden Code ein (ersetze die IP-Adresse durch deine eigene):
<Directory /pfad/zu/deiner/wordpress-installation/wp-admin>
Order Deny,Allow
Deny from all
Allow from 123.45.67.89
</Directory>Achtung: Diese Methode eignet sich nur, wenn du über eine feste IP-Adresse verfügen. Bei dynamischen IPs (wie sie von vielen Internet-Providern vergeben werden) kann es passieren, dass du dich selbst aussperrst. In diesem Fall sind Plugins wie Limit Login Attempts Reloaded oder eine Zwei-Faktor-Authentifizierung die bessere Wahl.
Das Plugin Limit Login Attempts Reloaded sperrt die IP-Adresse eines Angreifers nach mehreren fehlgeschlagenen Login-Versuchen automatisch. Standardmäßig erfolgt die erste Sperre nach vier Versuchen für 20 Minuten, nach weiteren vier Versuchen für 24 Stunden. Diese Werte lassen sich individuell anpassen. Administratoren können sich zudem über die Versuche per E-Mail benachrichtigen lassen.
Themes und Plugins
Installiere nur die Plugins, die du wirklich benötigst. Alles, was nicht gebraucht wird, sollte zumindest deaktiviert – besser noch gelöscht – werden. Bevor du ein Plugin oder Theme installierst, informiere dich: Auf den offiziellen WordPress-Seiten findest du Bewertungen, Angaben zur Häufigkeit von Updates und die Zahl der aktiven Installationen. Achte zudem darauf, Erweiterungen nur aus vertrauenswürdigen Quellen zu beziehen. Du bist gut beraten, wenn du dich an die offiziellen WordPress-Repositories oder bekannte Portale wie themeforest.net hältst.
Es lohnt sich ausserdem oft, ein paar Euro in ein Premium-Theme zu investieren. Diese Themes werden in der Regel häufiger aktualisiert und erhalten mehr Aufmerksamkeit in Bezug auf Sicherheit als viele kostenlose Alternativen.
Für zusätzliche Sicherheit können Plugins eingesetzt werden, die Erweiterungen und Themes auf Schadcode oder Schwachstellen prüfen:
- Wordfence Security oder Sucuri Security scannen Ihre Website (inklusive Themes und Plugins) auf Malware und Sicherheitslücken.
- All In One WP Security & Firewall bietet zusätzliche Prüfungen und Härtungsmassnahmen, die sich auch für Einsteiger leicht konfigurieren lassen.
Anti-Spam
Kommentare sind das Salz eines Blogs. Umso ärgerlicher ist es, wenn man bemerkt, dass in den Kommentaren für Medikamente geworben oder auf Schadcode verlinkt wird. Du kannst dem begegnen, indem du Kommentare nur nach Freigabe anzeigen lässt oder nur Kommentare von registrierten Benutzern zulässt.
Zusätzlich kann ein Captcha beim Kommentarformular helfen, Spam einzudämmen. Hierbei empfiehlt sich der Einsatz moderner Lösungen wie Google reCAPTCHA v3 (unsichtbar für den Besucher). Klassische, einfache Captchas gelten als unsicher oder erschweren die Benutzerfreundlichkeit.
Im Bereich Anti-Spam gibt es auch Plugins, die Inhalte automatisiert erkennen und blockieren:
- Akismet ist in jeder WordPress-Installation bereits enthalten. Aufgrund der Übertragung personenbezogener Daten in die USA kann der Einsatz in Deutschland jedoch datenschutzrechtlich problematisch sein.
- Antispam Bee ist eine empfehlenswerte Alternative. Es wird aktiv gepflegt, ist datenschutzfreundlich und bietet eine deutsche Dokumentation.
Allround Security Plugins
Neben spezialisierten Erweiterungen gibt es auch Plugins, die viele Sicherheitsfunktionen in einem Paket bündeln:
- iThemes Security (früher Better WP Security) gehört zu den bekanntesten Komplettlösungen und bietet zahlreiche Schutzfunktionen, die sich per Oberfläche einfach aktivieren lassen. Einige Optionen greifen tief ins System ein – ein Backup vor Änderungen ist daher empfehlenswert.
- Wordfence Security kombiniert Firewall, Malware-Scan und Zwei-Faktor-Authentifizierung. Viele Funktionen sind kostenlos, erweiterte Features stehen in der Premium-Version zur Verfügung.
- All In One WP Security & Firewall ist eine einsteigerfreundliche Alternative, die gängige Sicherheitsmassnahmen übersichtlich bündelt.
Trotz aller Bemühungen gehackt?
Keine Sorge – das kann selbst den Besten passieren. Für diesen Fall haben wir einen Erste-Hilfe-Leitfaden für ein gehacktes WordPress zusammengestellt, der Schritt für Schritt erklärt, was zu tun ist. Mit unseren Premium Services können wir dich ausserdem wirkungsvoll bei der Fehlerbeseitigung oder der Schadcode-Bereinigung deiner WordPress-Installation unterstützen.
Was es sonst noch gibt...
Wir hatten bereits erwähnt, dass dogado ein Backup für dein Webhosting anlegt. Wenn dir das nicht reicht, kannst du zusätzlich das Plugin BackWPup einsetzen. Damit lassen sich Sicherungen automatisiert auf einen FTP-Server oder in verschiedene Cloud-Dienste speichern.
Darüber hinaus gibt es spezialisierte Anbieter wie Sucuri, die sich auf die Absicherung von Content-Management-Systemen spezialisiert haben. Gegen Gebühr überwacht Sucuri deine Website kontinuierlich und schützt sie mit einer Web Application Firewall (WAF). Kostenlos bietet Sucuri einen Malware-Check direkt auf der Website an.
Auch METANET unterstützt dich mit den Premium Services zuverlässig bei der Behebung von Fehlern, der Bereinigung von Schadcode in deiner WordPress-Installation oder bei weiteren Arbeiten.
Fazit
Muss man nun alle diese Punkte umsetzen? Nein, sicher nicht. Wenn du dein WordPress aktuell hältst und bei der Auswahl von Plugins sorgfältig bist, hast du schon sehr viel gewonnen. Eine Absicherung des Admin-Bereichs – sei es per .htaccess oder Plugin – und sichere Passwörter gehören unbedingt dazu.
Ein Anti-Spam-Plugin ist dann sinnvoll, wenn deine Website viele Kommentare bekommt. Wer schon einmal erlebt hat, wie die Kommentarzahl über Nacht explodiert, weiss den Schutz zu schätzen.
Wer tiefer in die Materie einsteigen will, kann auf Allround-Sicherheitsplugins wie iThemes Security, Wordfence oder All In One WP Security & Firewall zurückgreifen. Ob wirklich alle angebotenen Optionen nötig sind, lässt sich diskutieren – aus unserer Sicht sind Konzepte wie "Security through obscurity" (z. B. das Ändern des Tabellen-Präfix) eher überflüssig und fehleranfällig.
Für Website-Betrieber, die ihre Website professionell nutzen und sich nicht mit vielen Einstellungen herumschlagen möchten, sind kostenpflichtige Sicherheitslösungen eine sinnvolle Überlegung.
Zum Schluss: Vergiss nicht die Sicherheit am eigenen PC. Halte dein Betriebssystem und alle Programme aktuell und nutze eine Antiviren-Software. Denn selbst die beste WordPress-Sicherheit hilft nichts, wenn ein Trojaner auf deinem Rechner deine Zugangsdaten ausliest.
Update: Weg mit dem Admin-Usernamen
Viele ältere WordPress-Installationen verwenden noch den Standard-Benutzernamen "Admin". Hacker machen sich das zunutze und starten automatisierte Angriffe, die gezielt auf diesen Namen abzielen – oft in Kombination mit schwachen Passwörtern wie "123456". Damit wird deine Website unnötig angreifbar.
Wenn dein Administratorkonto noch "Admin" heisst, solltest du das ändern. In diesem Beitrag zeigen wir dir Schritt für Schritt, wie du einen individuellen Benutzernamen anlegst und damit die Sicherheit deines WordPress-Blogs deutlich erhöhst.
Vergiss dabei nicht, gleichzeitig auch ein wirklich starkes Passwort zu verwenden.
Schritt 1: Einen neuen Usernamen wählen
Für den Benutzernamen gilt: Er sollte individuell sein und sich nicht leicht erraten lassen. Wähle also nicht einfach "Admin", "Test", deinen Vornamen oder Geburtsjahr, sondern eine Kombination, die nicht auf der Hand liegt.
Im Unterschied zum Passwort muss der Benutzername nicht extrem komplex sein – er sollte aber so gewählt sein, dass er in keiner Wörterbuchliste oder gängigen Kombination vorkommt.
Notiere dir den neuen Benutzernamen oder speichere ihn in einem Passwortmanager, damit du ihn nicht vergisst.
Schritt 2: Einen neuen Usernamen hinzufügen
Logge dich als "Admin" ein und öffne im Dashboard den Menüpunkt "Benutzer → Neu hinzufügen".
Lege nun einen neuen Benutzer mit Administrator-Rechten an. Vergib dabei ein starkes Passwort und fülle alle Felder sorgfältig aus.
Anschließend klickst du auf "Neuen Benutzer hinzufügen", meldest dich einmal ab und direkt mit dem neuen Konto wieder an.
Schritt 3: Usernamen Admin entfernen
Nachdem du dich mit deinem neuen Konto eingeloggt hast, gehe im Dashboard auf "Benutzer → Alle Benutzer".
Setze nun ein Häkchen beim bisherigen "Admin"-Konto und wähle "Löschen".
Wichtig: WordPress fragt dich im nächsten Schritt, was mit den Beiträgen und Seiten geschehen soll, die bisher unter "Admin" erstellt wurden.
Wähle hier unbedingt die Option "Alle Inhalte dem neuen Benutzer zuordnen" und bestätige erst dann das Löschen. So bleiben alle Beiträge erhalten, werden aber dem neuen Konto zugeordnet.
Schritt 4: Einen neuen öffentlichen Namen wählen
Viele Themes blenden den Autorennamen bei Beiträgen ein. Das ist sinnvoll – sollte aber nicht identisch mit deinem Login-Benutzernamen sein, sonst gibst du Angreifern unnötig einen Hinweis auf deinen Login.
So änderst du den angezeigten Namen:
- Gehe im Dashboard zu "Benutzer → Dein Profil".
- Scrolle zum Bereich "Name".
- Trage bei "Spitzname (required)" den Namen ein, der öffentlich erscheinen soll (z. B. Vor- und Nachname oder ein Pseudonym).
- Wähle im Dropdown "Öffentlicher Name" genau diesen Spitznamen aus.
- Klicke unten auf "Profil aktualisieren".
Damit wird bei Beiträgen dein öffentlicher Anzeigename ausgegeben – nicht dein Login-Benutzername.
Damit hast du den alten Standard-User "Admin" erfolgreich ersetzt und einen individuellen, sichereren Zugang eingerichtet. Zusammen mit einem starken Passwort und den anderen Tipps aus diesem Artikel hast du einen wichtigen Schritt gemacht, um deine WordPress-Installation besser vor Angriffen zu schützen.
Hinweis: Die in diesem Artikel genannten Plugins sind Beispiele, die sich in der Praxis bewährt haben. Wir übernehmen jedoch keine Gewähr für Funktion, Sicherheit oder zukünftige Pflege der Erweiterungen. Prüfe daher vor der Installation immer, ob ein Plugin mit deiner WordPress-Version kompatibel ist, regelmässig aktualisiert wird und zu deinen individuellen Anforderungen passt.
