info@netz-gaenger.de       📞 +49 151 / 28859057

Reicht es den Login abzusichern für WordPress Security?

Es ist einfach den WordPress Login vor Angriffsversuchen zu schützen. Aber ist das auch genug, um eine WordPress Website securitytechnisch abzusichern? Ein kurzer Spoiler: Leider nein.

Was ist das Problem mit der WordPress Security?

Die WordPress Security wird leider sehr sehr häufig stiefmütterlich behandelt. Oder eben überhaupt nicht. Ich habe über die letzten 10 Jahre wirklich viel Kontakt mit Websites von allerlei KundInnen gehabt. Was sich in 95% der Fälle durchgezogen hat, ist dass die Security schlicht ignoriert wurde oder darin bestand, den Login-Bereich abzusichern. Sicher, der Loginbereich ist besonders sensibel. Hat jemand Zugriff darauf, kann er oder sie alles tun und lassen was er oder sie auch will:

  • Inhalte ändern
  • Websites abschießen
  • kopieren
  • Viren einschleusen
  • SPAM einbauen
  • etc.

Von daher ist es durchaus wichtig den Login-Bereich gut zu schützen. Durch:

  • Veränderung der Login-Adresse
    (auch wenn der eine oder andere das immer noch als unsinnig empfindet; bei meinen vielen KundInnen hat sich das über die Jahre als sehr effektiv erwiesen)
  • Sofortige Sperrung des Users „Admin“ bei Einlogg-Versuchen
  • Komplexe Passwörter und Richtlinien
  • Reduzierte Zugriffsrechte für MitarbeiterInnen
  • 2-Faktor-Authentifizierung
  •  usw.

Aber reicht das auch, damit eine WordPress Website ausreichend geschützt ist? Ganz sicher nicht. Wieso das so ist, möchte ich kurz erklären.


Wie häufig und wie wird WordPress meist angegriffen?

Aktuell verfügbare Statistiken besagen, dass

  • täglich ca. 13.000 WP Websites gehackt werden, das sind 4.7 Mio. Websites pro Jahr!
  • 8% der gehackten Websites werden wegen unzureichenden Zugriffsrechten gehackt (so weit so gut und wichtig für die Absicherung des Login-Bereichs)
  • >60% der Websites werden wegen veralteter WP Core Files (selten), Themes (häufig), Plugins (häufig) gehackt
  • 97% der Websites wurden automatisiert gehackt

Du siehst, es sind gerade einmal 8% der Hacks, die über den Login stattfinden. Die allermeisten Hacks passieren, weil A) das System veraltet und B) keine weiteren Sicherheitsmaßnahmen durchgeführt wurden. Es fehlen Security-Direktiven und Regeln, die bestimmte Angriffsmuster direkt blockieren und unliebsame Besucher ausschließen.

Es ist selten so, dass HackerInnen persönlich vor dem Rechner sitzen und sich denken „Ich hacke jetzt mal Website A von Person B“. Das wäre viel zu ineffektiv. In den meisten Fällen passiert das über automatisierte Systeme, die nichts anderes tun, als das Web nach Schwachstellen in WordPress Websites zu durchsuchen und diese dann auszunutzen. Indem Schadcode eingeschleust und Hintertüren auf dem Webspace platziert wird.

Die häufigsten Hacks von WordPress Websites

  • Malware ~60%
  • Backdoors ~60%
  • Spam ~52%
  • Hacktools ~20%
  • Phishing ~7%
  • Optische oder Inhaltliche Veränderungen ~7%

Mehr Infos dazu findest du im Hacked Websites Report des Security-Anbieters Sucuri.


Worauf kommt es dann konkret bei WordPress Website-Security an?

  1. Halte dein System aktuell
  2. Aktualisiere Plugins und Themes
  3. Prüfe regelmäßig, ob Themes und Plugins überhaupt noch Updates erhalten, bzw. weiterentwickelt werden. Wenn nein: abschalten und ersetzen
  4. Installiere Firewall-Plugins
  5. Konfiguriere Firewall-Plugins korrekt (wenn du nicht weißt wie, dann lass das einen Fachmann für WordPress Security machen)
  6. Führe eine langfristige Backup-Strategie
  7. (scanne im Zweifelsfall regelmäßig auf Hack-Spuren)

Führe also einen regelmäßigen (1x wöchentlich bis 1x monatlich ist empfehlenswert) Wartungslauf durch. Oder lass ihn durchführen von jemandem der oder die sich auskennt. Wurde deine WordPress Website gehackt, spiele ein früheres Backup ein und sichere die Website dann mit den genannten Securitymaßnahmen ab.


Bildnachweis: Login icons created by Freepik – Flaticon

Hat dir mein Beitrag geholfen?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 2

Profi-Tipp

Die Security deiner Website hängt natürlich von der Konfiguration und vom generellen Setup deiner Website ab. Das Theme, die Plugins und WordPress selbst sind aktuell zu halten, um Sicherheitslücken zu schließen. Mit Firewall-Regeln und entsprechenden Security-Plugins lassen sich viele Angriffe abfangen. Ein guter Hoster kann dabei helfen und auch noch weitere Sicherheitsebenen einziehen, die schon vor dem Aufruf der Website greifen. Hier habe ich dir die besten deutschen WordPress Hoster zusammengestellt. Und wenn du auf der Suche nach einem spezialisierten WordPress Hoster bist, der auch das Thema Sicherheit vollumfänglich bedient, dann empfehle ich dir meinen Testbericht zu HostPress.

Letzte Version vom 11. April 2024 von Netzgänger

Beliebte Artikel

Wie gut ist HostPress, der spezialisierte WP Hoster?

Als WordPress-Entwickler habe ich viel mit Hostern zu tun. Hier liest du meine Erfahrungen zu HostPress und warum ich jetzt selber in einigen Projekten auf den Hosting-Anbieter setze.

Die besten Webhoster im Vergleich

Als WordPress Entwickler kenne ich alle guten Hoster. Hier zeige ich dir die besten WP Hoster und welcher für dich Sinn macht.

Muss WordPress gewartet werden?

Müssen WordPress Sites gewartet werden? Braucht es die regelmäßigen Updates oder kann man sich den Aufwand sparen? Das erkläre ich hier.

Die besten WP Security Plugins

WordPress solltest du immer absichern. Dafür gibt es diverse Plugins, die dich bei den Securitymaßnahmen unterstützen. Meine Empfehlungen.

Die besten Plugins für Auto-Übersetzung

Hier zeige ich dir 4 Plugins, die es ermöglichen WordPress automatisch zu übersetzen. Von wirklich gut bis wirklich schlecht ist alles dabei.

Die besten Plugins für Mehrsprachigkeit

Mit diesen 5 Plugins kannst du WordPress ganz einfach selber mehrsprachig einrichten. Multi-Language Fähigkeit in WP nachrüsten.

Bildnachweise: Freepik - Flaticon

Kommentare

  • Lex

    Login Secuity finde ich auch superwichtig, aber ich wusste gar nicht wie wichtig theme – und plugin updates sind.

    Gut, dass ich regelmäßig aktualisiere.

    Danke für den Beitrag!

    Reply

  • Christian

    Lieber René,

    dein Beitrag zur Login-Absicherung war durchaus hilfreich für mich.
    Besonders der letzte Absatz „Worauf kommt es dann konkret bei WordPress Website-Security an“? ist super! Danke für die Hilfe.

    Liebe Grüße

    Christian

    Reply

  • Benjamin Hagh

    Es ist wichtig zu beachten, dass der Schutz des Login-Bereichs allein nicht ausreicht. Statistiken zeigen, dass die meisten Hacks auf veraltete Core-Dateien, Themes und Plugins zurückzuführen sind. Daher ist es entscheidend, das System regelmäßig zu aktualisieren, Firewall-Plugins zu verwenden und eine langfristige Backup-Strategie zu haben. Eine umfassende WordPress-Website-Sicherheit erfordert mehrere Schritte und regelmäßige Wartung. Es kann ratsam sein, Experten für WordPress-Sicherheit hinzuzuziehen, um sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden, um die Website effektiv abzusichern.

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert