WordPress bietet jede Menge Einsatzmöglichkeiten und kann z.B. als Blog, Firmen-Webseite, Portfolio oder für einen Onlineshop genutzt werden. Um die eigenen Webseiten-Inhalte vor Hackerangriffen und Malware zu schützen ist es wichtig, einige Tipps zu beachten. Mit der Hilfe von zusätzlichen WordPress-Plugins zum Sicherheits-Check und für den regelmäßigen Backup der eigenen Daten kannst du außerdem sicherstellen, dass du und deine WordPress-Webseite vor bösen Überraschungen verschont bleiben.

1. Keine Standard-Benutzernamen

Ein wichtiger Tipp ganz zu Anfang ist, dass du dir einen individuellen Benutzernamen für deinen WordPress-Login auswählst. “Admin” war lange Zeit bei früheren WordPress-Versionen als Standard-Benutzername ausgewählt, daher solltest du dir auf jeden Fall einen eigenen, individuelleren Benutzernamen einrichten.

2. Ein sicheres Passwort wählen und regelmäßig ändern

Ganz wichtig ist natürlich auch ein sicheres, individuelles Passwort auszuwählen und dies in regelmäßigen Abständen zu ändern. Eine Kombination aus Buchstaben, Zahlen und Zeichen ist am sinnvollsten. Auf Spitznamen oder Geburtsdaten in deinem Passwort solltest du auf jeden Fall verzichten (Tipps für eine sichere Passwort-Wahl).

3. Login-Versuche limitieren

Neben der Wahl eines sicheren Passworts kannst du zusätzlich die Login-Versuche für WordPress mit dem Limit Lockin Attempts Plugin einschränken. Standardmäßig sind bei WordPress nämlich unendlich viele Login-Versuche möglich.

WordPress Sicherheits-Tipps
Einstellungs-Optionen des Limited Logins WordPress-Plugins.

4. Die aktuelle WordPress-Version nutzen

Bei WordPress-Updates werden auch immer wieder Sicherheitslücken behoben, daher ist es wichtig immer die neueste Version von WordPress zu nutzen. Über zur Verfügung stehende Updates wirst du direkt im Adminbereich informiert und seit es den automatischen Update-Button direkt im Admin gibt, ist das Update in nur wenigen Sekunden erledigt. Wichtig ist aber, dass du immer erst ein Backup deiner Daten und der Datenbank erstellst (siehe Backup-Lösungen weiter unten im Artikel), bevor du das Update durchführst. So hast du immer eine Sicherheitskopie, falls mit dem Update etwas schief laufen sollte.

5. Theme-Checks vor der Installation eines neuen Themes

Bevor du ein neues WordPress-Theme nutzt, kannst du die Theme-Dateien mit Hilfe von Plugins auf eventuell bösartigen Code (z.B. Malware) prüfen. Am besten machst du dies auf einer lokalen WordPress-Testinstallation, bevor du das Theme live installierst.

Hilfreiche Plugins zum Theme-Check sind TAC (zeigt Links im Theme-Code an), Theme-Check (bietet einen umfangreichen Test über einen einzigen schnellen Check-Button) und Antivirus (das Plugin prüft den Theme auf eventuellen Spam- oder Malware-Code, mit deutschsprachiger Dokumentation). Wichtig ist auch noch zu sagen, dass du dein Theme auf keinen Fall von anonymen Download-Plattformen herunterladen solltest, sondern z.B. über das Theme-Directory von WordPress.org (hier werden die Themes vor der Veröffentlichung gecheckt) oder von einem vertrauensvollen Theme-Anbieter.

6. Antispam-Plugins für Kommentare

Wenn du Kommentare auf deiner WordPress-Seite zulässt, ist es wichtig ein Antispam-Plugin installiert zu haben, da schädlicher Code oder Links gerne über Kommentare übertragen wird. Standardmäßig ist auf allen WordPress-Installationen Akismet installiert. Alternativ kannst du auch Antispam Bee nutzen (mit deutschsprachiger Dokumentation), dieses Plugin speichert keine Daten bei Drittanbietern und eigenes sich daher besonders gut für die deutsche Rechstlage.

7. Security Plugins

Für eine optimierte Sicherheit gibt es auch noch einige praktische All-Round Plugins, die verschiedene Möglichkeiten zur Verbesserung der Sicherheit bieten. Über die Plugins kannst du z.B. die Angabe zur WordPress-Version im Code verbergen, das standardmäßig genutzte wp- Prefix in den Datenbank-Tabellen ändern, die Passwort und Benutzernamen sicherer machen, den Login-Zugang beschränken und vieles mehr.

Ein sehr beliebtes WordPress Security-Plugin ist beispielsweise Better WP Security. Mit Hilfe des Plugins werden Sicherheitslücken in deiner WordPress-Installation geprüft und ausgewertet. In der Auswertung hast du dann die Option, die Empfehlungen zur besseren Sicherheit einzeln umzusetzen.

WordPress Security Tipps
Die Auswertungen des Better WP Security Plugins mit Vorschlägen zur optimierten Sicherheit.

Ein weiteres Allround Sicherheits-Plugin für WordPress ist Bulletproof Security. Über das Plugin kann z.B. die .htaccess direkt im WordPress-Adminbereich angepasst werden, um Sicherheitseinstellungen zu verbessern. Auch hier kann die WordPress-Version verborgen werden und es gibt einen extra abgesicherten Maintenance-Mode für die Bearbeitung der eigenen Seite.

Das Ultimate Security Checker-Plugin in ein etwas leichteres Plugin, das deine deine WordPress-Installation auf Sicherheitslücken testet und eine umfangreiche Auswertung mit Tipps zur Sicherheits-Optimierung ausgibt.

8. Regelmäßige Backups

Regelmäßige, am besten automatische Backups für deine WordPress-Seite einzurichten, ist neben dem Schutz vor Hackern eine der wichtigsten Punkte. Denn so ist man auch im Falle eines Hacker-Angriffes abgesichert und kann auf eine gebackupte Version seiner WordPress-Seite zugreifen, auch wenn einmal etwas schief gehen sollte.
Wieder gibt es praktische Plugins, die einem bei der Einrichtung von regelmäßigen, automatischen Backups der eigenen WordPress-Dateien und der Datenbank helfen. So muss man sich nicht manuell um Updates kümmern. Das ist vor allem praktisch, wenn man oft Inhalte aktualisiert und wenig Zeit für Backups aufbringen möchte.

Als kostenlose Backup-Plugins gibt es z.B. das umfangreiche BackWPup-Plugin. Mit dem Plugin kannst du all deine Daten und die Datenbank in verschiedenen Formaten u.a. direkt via Email (dies ist eher bei kleinen Datenmengen zu empfehlen), lokal auf deinen Computer, oder über dein Dropbox- oder Google Cloud Storage-Konto sichern.

WordPress Security
Die Einstellungen des BackWPup Plugins für einen WordPress-Backup.

Möchtest du dein Dropbox-Konto für deine WordPress-Backups nutzen, kannst du auch das WordPress Backup to Dropbox Plugin verwenden. Du kannst auch hier auswählen, welche Daten dein Backup beinhalten soll und wann und wie oft das Backup upgedatet werden soll. (Das Plugin hat eine eigene Webseite für weitere Infos und Support).

Wenn du nur die Datenbank deiner WordPress-Webseite sichern möchtest, kannst du das Plugin WP-DBManager einsetzen.

Für Profi-Blogs gibt es außerdem noch die kostenpflichtige Premium-Backup Lösung VaultPress von Automattic (der Firma des WordPress-Gründers Matt Mullenweg).

Für das Backup aller Daten in Echtzeit via VaultPress zahlt man 15 US-Dollar im Monat (für ein Basis-Konto). Das ist zwar nicht ganz so günstig, aber wenn man dafür eine Sorge weniger hat, kann man meiner Ansicht nach über diese Investion nachdenken. Und wenn man bedenkt, dass viele WordPress nicht nur privat, sondern für ihr Geschäfts-Webseite (z.B. mit einem Onlineshop) nutzen lohnt es sich denke ich besonders, in eine professionelle Backup-Lösung zu investieren.

Deine Tipps und Vorschläge

Kennst du noch weitere wichtige Tipps zur Sicherung von WordPress-Webseiten? Welche der Plugins hast du selbst im Einsatz und welches sind deine Lieblings-Tipps und -Plugins für die WordPress-Sicherheit? Über deine weiteren Tipps und dein Feedback freue ich mich sehr!