wordpress sicherheit – UltraPress – Das WordPress Tutorial für Dein Business

WordPress ohne Datenverlust neu installieren

Stefan Höck — Tue, 01 Oct 2024 12:23:08 +0000

Du möchtest deine WordPress-Seite neu aufsetzen, ohne dabei Daten zu verlieren? Vielleicht möchtest du nach einem Hacker-Angriff neu starten, eine Neuausrichtung deiner Website vornehmen oder einfach technische Probleme beheben?

Eine komplette Neuinstallation von WordPress klingt oft kompliziert, kann aber problemlos und ohne Datenverlust durchgeführt werden – vorausgesetzt, du bereitest dich richtig vor und befolgst einige wichtige Schritte.

In diesem Artikel erkläre ich dir, wie du eine Neuinstallation deiner WordPress Seite sicher durchführst, was dabei zu beachten ist und welche Maßnahmen nötig sind, um Inhalte, Daten und Einstellungen zu bewahren und deine Website wieder zum Laufen zu bringen.

Vorbereitung auf die Neuinstallation von WordPress

Bevor du mit der Neuinstallation von WordPress beginnst, ist es entscheidend, alle wichtigen Daten zu sichern. Ein Backup deiner Website schützt dich davor, Inhalte wie Beiträge, Seiten und Uploads zu verlieren, falls während der Neuinstallation etwas schiefgeht. Du stellst somit also sicher, dass du deine WordPress-Website bei Problemen jederzeit wiederherstellen kannst.

Erstellen eines vollständigen Backups

Um deine Website zu sichern, solltest du folgende Daten exportieren und speichern:

Datenbank-Backup: Exportiere die MySQL-Datenbank, in der alle deine Beiträge, Seiten und Benutzerdaten gespeichert sind. Dies lässt sich einfach über das WordPress-Dashboard oder Tools wie phpMyAdmin erledigen.
Uploads und Mediendateien: Alle Bilder und Medien sowie installierte Plugins und Themes findest du im wp-content/uploads-Ordner. Sichere diesen Ordner, indem du ihn über ein FTP-Programm wie z.B. FileZilla herunterlädst.
Einstellungen und Themes: Wenn du spezielle Einstellungen oder ein benutzerdefiniertes Theme hast, solltest du diese ebenfalls sichern. Viele Einstellungen können direkt aus dem WordPress-Backend exportiert werden, oder du notierst z.B. Permalinks, Theme- und Plugin-Konfigurationen.

Warum eine Neuinstallation notwendig sein kann

Es gibt verschiedene Gründe, warum du WordPress komplett neu installieren möchtest. Diese können sein:

Technische Probleme: Möglicherweise gibt es Fehler, die sich nicht beheben lassen. Lässt sich ein Problem mit deiner WordPress Seite nicht anders lösenn, kann eine Neuinstallation helfen, das CMS wieder zum Laufen zu bringen.
Hacker-Angriffe oder Malware: Nach einem Hacker-Angriff oder bei verdächtigen Aktivitäten ist eine Neuinstallation oft der sicherste Weg, um WordPress zu bereinigen und die Sicherheit deiner Seite wiederherzustellen.
Neuausrichtung: Möchtest du deine Website neu gestalten oder komplett neu aufbauen, kann eine saubere Neuinstallation ebenfalls sinnvoll sein.

Es ist wichtig, dass du alles sicherst, bevor du beginnst, um Datenverlust zu vermeiden und später deine WordPress-Website ohne Probleme wiederherstellen zu können.

Neuinstallation von WordPress ohne Datenverlust

Nachdem du deine Daten gesichert hast, kannst du mit der Neuinstallation von WordPress beginnen. Es gibt verschiedene Methoden, je nach technischem Know-how und je nachdem, wieviel Kontrolle du über den Prozess haben möchtest.

Diese Schritte helfen dir, eine saubere WordPress-Installation durchzuführen, ohne dass deine Daten verloren gehen.

Schritt 1: Sicherung des wp-content-Verzeichnisses

Bevor du WordPress neu installierst, musst du sicherstellen, dass dein wp-content/uploads-Ordner gesichert ist. Hier befinden sich all deine hochgeladenen Bilder und Dateien. Lade diesen Ordner über FTP herunter oder nutze ein Backup-Plugin, um diese Daten zu sichern.

Schritt 2: Bereinigen verdächtiger Dateien

Falls deine Website gehackt wurde, solltest du sie bereinigen, indem du verdächtige Dateien löschst. Lösche alle Dateien, die nicht zu WordPress gehören oder dir verdächtig vorkommen, um eine saubere Umgebung für die Neuinstallation zu schaffen.

Schritt 3: Löschen der alten WordPress-Dateien

Um deine WordPress-Seite vollständig zurückzusetzen, musst du die bestehenden WordPress-Dateien komplett löschen, ohne dabei den wp-content-Ordner zu entfernen. Desweiteren musst du deine Datenbank bereinigen.

Per FTP: Lade ein FTP-Programm herunter, z.B. FileZilla, und lösche alle Dateien außer dem „wp-content“-Ordner.
Datenbank bereinigen: Nutze phpMyAdmin, um die Datenbank zu leeren oder komplett neu zu erstellen.

Schritt 4: Neuinstallation von WordPress

Es gibt verschiedene Methoden, wie du WordPress neu installieren kannst:

Über das Dashboard: Gehe in den Bereich „Updates“ und wähle „Neu installieren“, um eine frische Kopie von WordPress zu installieren.
Per FTP: Lade die neueste Version von WordPress herunter und ersetze die alten Dateien auf deinem Server, ohne den wp-content-Ordner zu löschen. Lade dafür die Dateien per FTP in das Verzeichnis deiner Website hoch.
Per WP-CLI: Falls du ein fortgeschrittener Nutzer bist, kannst du die Kommandozeile (WP-CLI) verwenden, um WordPress schnell und effizient neu zu installieren.

WordPress auf die Werkseinstellungen zurücksetzen

Wenn du deine vorhandene Website-Struktur erhalten und WordPress nur auf die Werkseinstellungen zurücksetzen möchtest, ohne eine vollständige Neuinstallation vorzunehmen, ist das ebenfalls möglich. Hierfür kannst du deine Themes, Plugins und die Datenbank sichern und später wiederherstellen.

Themes und Plugins bewahren

Du kannst deine installierten Themes und Plugins bewahren, indem du sie entweder manuell über den wp-content-Ordner sicherst und nach der Neuinstallation deiner Website diese Dateien wieder hochlädst – oder ein Plugin wie WP Reset verwendest. Mit diesem Plugin kannst du die Website auf den Ursprungszustand zurücksetzen, ohne Inhalte zu verlieren.

WordPress löschen und neu installieren

Wenn du WordPress löschen und neu installieren möchtest, ohne die Struktur deiner WordPress-Website zu verlieren, gehe folgendermaßen vor:

Sichere den wp-content-Ordner, da dort deine Uploads gespeichert sind.
Lösche alle WordPress-Dateien und installiere WordPress anschließend neu.
Nach der Neuinstallation kannst du dein Theme und deine Plugins wieder installieren und deine Inhalte zurückspielen.
Stelle sicher, dass du alle Inhalte, die in der Datenbank gespeichert sind, ordnungsgemäß exportierst und importierst. So bleiben deine Beiträge und Seiten auch nach der Neuinstallation erhalten.

WordPress neu starten: Schritt für Schritt

Nachdem du deine Website neu installiert hast, folgen nun einige wichtige Schritte, um sie wieder vollständig funktionsfähig zu machen. Hier ist eine einfache Schritt-für-Schritt-Anleitung, um WordPress neu zu starten:

Neuinstallation von WordPress, Themes und Plugins: Installiere WordPress über das Dashboard oder per FTP neu. Installiere deine Themes und Plugins neu und aktiviere diese über das Backend.
Wiederherstellen der Daten und Uploads: Lade die Inhalte aus dem zuvor gesicherten wp-content-Ordner wieder hoch, um deine Mediendateien wiederherzustellen. Stelle sicher, dass alle Inhalte verfügbar sind.
Import der XML-Datei und Überprüfung der URL-Struktur: Importiere deine Seiten und Beiträge über die XML-Datei, die du vorher exportiert hast. Überprüfe anschließend, ob die URL-Struktur und alle Permalinks korrekt sind und passe die Einstellungen an.
Zurücksetzen per Plugin: Wenn du WordPress schnell und unkompliziert zurücksetzen möchtest, nutze ein Plugin wie WP Reset, um das System auf den Ursprungszustand zurückzusetzen.

Diese Schritte helfen dir, eine saubere und frische WordPress-Installation zu erstellen, während du alle wichtigen Daten bewahrst.

Wichtige Überlegungen nach der Neuinstallation von WordPress

Nach der Neuinstallation von WordPress solltest du einige Punkte beachten, um zukünftige Probleme zu vermeiden:

Sicherheitsvorkehrungen: Installiere Sicherheits-Plugins und ändere dein Passwort, um dich vor weiteren Angriffen zu schützen.
Regelmäßige Sicherheitsupdates: Halte WordPress, deine Themes und Plugins immer auf dem neuesten Stand, um Sicherheitslücken zu schließen.
Performance-Optimierung: Nutze Caching-Plugins und überprüfe regelmäßig deine Datenbank, um die Ladezeiten deiner Website zu verkürzen und somit die Performance zu optimieren.
Backup-Routinen einrichten: Um den Verlust wichtiger Daten zu vermeiden, solltest du regelmäßige Backups einrichten.

Mit diesen Maßnahmen stellst du sicher, dass deine Website stabil läuft und gut geschützt ist, und du Neuinstallationen in Zukunft vermeiden kannst.

The post WordPress ohne Datenverlust neu installieren appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress Revisionen löschen, begrenzen und deaktivieren

Stefan Höck — Thu, 29 Aug 2024 13:24:22 +0000

Kennst du das Gefühl, eine wichtige Änderung an deiner WordPress-Seite rückgängig machen zu wollen, aber nicht zu wissen, wie? WordPress Revisionen bieten hier eine Antwort.

Diese Funktion speichert automatisch jede Anpassung, die du an deinen Inhalten vornimmst, und ermöglicht es dir, bei Bedarf ältere Versionen wiederherzustellen.

In diesem Artikel erfährst du, wie Revisionen funktionieren, warum sie für dein Content-Management unverzichtbar sind und wie du sie optimal nutzen kannst, ohne dabei die Performance deiner Website zu gefährden.

Was sind WordPress Revisionen?

WordPress Revisionen sind automatische Sicherungskopien, die erstellt werden, wenn du Beiträge und Seiten bearbeitest. Diese Funktion ermöglicht es dir, frühere Versionen deines Inhalts nachzuverfolgen und bei Bedarf darauf zurückzukehren. Jede Änderung, die du an einem Beitrag oder einer Seite vornimmst, wird als Revision gespeichert und in der WordPress-Datenbank abgelegt.

Dies ist besonders nützlich, wenn du unerwünschte Änderungen rückgängig machen oder eine frühere Version deines Inhalts wiederherstellen möchtest. Im Bearbeitungsmodus kannst du diese Revisionen ganz einfach unter dem Reiter „Revisionen“ anzeigen und die gewünschte Version auswählen.

Revisionen in WordPress nutzen zu können, macht dein Content-Management effizienter und bietet eine zusätzliche Sicherheitsebene, wenn du Änderungen rückgängig machen musst.

Auswirkungen von Revisionen auf die Website-Performance

Obwohl WordPress Revisionen eine wertvolle Funktion darstellen, können sie sich auch negativ auf die Performance deiner Website auswirken, wenn sie in zu großen Mengen in der Datenbank gespeichert werden. Jedes Mal, wenn du eine Änderung an einem Beitrag oder einer Seite vornimmst, speichert WordPress automatisch eine neue Revision.

Dies kann im Laufe der Zeit dazu führen, dass deine Datenbank unnötig aufgebläht wird, insbesondere bei Websites, die schon lange bestehen und viele Inhalte haben. Die übermäßige Speicherung von Revisionen kann die Ladezeiten deiner Website beeinträchtige und unnötig viel Speicherplatz beanspruchen.

Um die Leistung deiner Website aufrechtzuerhalten, ist es daher ratsam, regelmäßig eine Bereinigung der Revisionen durchzuführen.

Lösungen zur Revisionen-Bereinigung in WordPress

Es gibt verschiedene Ansätze, mit denen du die WordPress Revisionen verwalten und deine Datenbank sauber halten kannst:

Manuelle Löschung: Du kannst alte Revisionen manuell löschen, indem du den Bearbeitungsmodus eines Beitrags oder einer Seite aufrufst und dort die gewünschten Revisionen auswählst.
Plugins: Es gibt eine Vielzahl von Plugins, die es dir leicht machen, Revisionen einfach zu löschen, zu beschränken oder komplett zu deaktivieren. Die Plugins bieten oft eine benutzerfreundliche Oberfläche, mit der du die Revisionen für jeden Beitragstyp verwalten kannst.
Code-Eingriffe: Für technisch versierte Nutzer besteht die Möglichkeit, über die wp-config.php-Datei oder direkt in der Datenbank Revisionen zu löschen und die Einstellungen entsprechend zu ändern.

Mit diesen Methoden kannst du sicherstellen, dass deine WordPress-Seite optimal läuft und nicht durch unnötige Datenmengen verlangsamt wird.

Automatisierte Bereinigung durch Plugins

Wenn du Revisionen automatisch per Plugin bereinigen möchtest, bieten sich vor allem diese Optionen an:

WP-Sweep: Ein Plugin, das Revisionen und andere unnötige Daten aus der Datenbank entfernt.
WP-Optimize: Ein weiteres Plugin, das sich auf die Datenbankoptimierung spezialisiert hat und Revisionen mit einem Plugin bereinigt.
Advanced Database Cleaner: Ein nützliches Tool zur Datenbankbereinigung, das auch alte Revisionen löscht.
WP Fastest Cache Premium: Dieses Plugin bietet neben der Cache-Verwaltung auch eine Option zur Revisionen-Bereinigung.

Wichtig: Bevor du eines dieser Tools nutzt, solltest du unbedingt ein Backup deiner Datenbank erstellen, um sicherzustellen, dass bei der Bereinigung keine wichtigen Daten verloren gehen.

Manuelle Löschung von WordPress Revisionen

Revisionen im WordPress-Bearbeitungsmodus löschen

Du kannst Revisionen direkt im WordPress-Bearbeitungsmodus löschen. Hierzu gehst du zu einem Beitrag oder einer Seite, öffnest den Bearbeitungsmodus und wählst unter „Revisionen“ die Version aus, die du bereinigen möchtest. Nachdem du die gewünschte Revision manuell ausgewählt hast, kannst du sie endgültig löschen.

Revisionen aus der Datenbank entfernen

Um WordPress Revisionen manuell zu löschen, kannst du diese auch direkt aus der Datenbank entfernen, indem du einen speziellen SQL-Befehl ausführst. Hier ein einfacher Befehl, den du über phpMyAdmin anwenden kannst:

Wichtig: Denke daran, vorab ein vollständiges Datenbank-Backup zu erstellen, um mögliche Datenverluste zu vermeiden.

Begrenzung der Revisionen zur Performance-Verbesserung

Um die Anzahl der gespeicherten Revisionen zu begrenzen, kannst du eine einfache Anpassung in der wp-config.php-Datei deiner WordPress-Installation vornehmen. Füge einfach die folgende Zeile hinzu, um die maximale Anzahl der Revisionen pro Beitrag festzulegen:

Im Beispiel wird die Anzahl der Revisionen pro Beitrag auf fünf begrenzt. Diese relativ geringe Anzahl, welche auch als Empfehlung gesehen darf, trägt dazu bei, die Belastung der Datenbank zu reduzieren, was wiederum die Performance deiner WordPress-Seite hoch hält.

Deaktivierung von WordPress Revisionen

Wenn du die Revisionen komplett deaktivieren möchtest, kannst du dies ebenfalls über die wp-config.php-Datei tun. Füge hierfür diese Zeile hinzu:

Mit dieser Einstellung werden keine neuen Revisionen mehr erstellt. Beachte jedoch, dass bereits existierende Revisionen nicht automatisch gelöscht werden und du diese separat entfernen müsstest, um weiteren Speicherplatz zu sparen.

Best Practices zur Datenbankpflege

Die regelmäßige Pflege der WordPress-Datenbank ist entscheidend, um eine optimale Performance deiner Website zu gewährleisten. Da WordPress automatisch alle 60 Sekunden Revisionen deiner Seiten und Beiträge speichert, kann die Datenbank schnell überladen werden. Um dem entgegenzuwirken, solltest du die Anzahl der gespeicherten Revisionen auf ein sinnvolles Maß begrenzen oder die Funktion komplett deaktivieren.

Neben der Verwaltung von Revisionen empfiehlt sich, spezielle Tools zur Steuerung und Optimierung der Datenbank einzusetzen und unnötige Daten zu entfernen. Achte auch darauf, regelmäßig und spätestens vor jeder großen Änderung ein Backup zu erstellen, um im Notfall zur vorherigen Version deiner Website zurückkehren zu können.

Eine effiziente Verwaltung hilft, die Datenbank auch in Zukunft sauber und effizient zu halten.

Fazit

Das gezielte Verwalten und Bereinigen von Revisionen ist ein wesentlicher Bestandteil einer gut gepflegten Website. Ob du die Anzahl der WordPress Revisionen begrenzt, sie komplett deaktivierst oder manuell bereinigst – all diese Maßnahmen tragen dazu bei, deine Website schlank und schnell zu halten.

Nutze die vorgestellten Methoden und Tools, um sicherzustellen, dass deine WordPress-Seite auch bei zunehmendem Content optimal läuft und du die Kontrolle über die bestehenden Revisionen behältst.

The post WordPress Revisionen löschen, begrenzen und deaktivieren appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

Benutzernamen in WordPress anpassen: Mit Plugin oder manuell

Stefan Höck — Thu, 29 Aug 2024 13:06:12 +0000

Bist du dir sicher, dass dein WordPress-Benutzername ausreichend sicher ist? Wenn du den voreingestellten Namen „admin“ verwendest, machst du es Hackern unnötig leicht, deine Website anzugreifen. Die Änderung deines Benutzernamens ist ein oft übersehener, aber wesentlicher Schritt zur Verbesserung der Sicherheit deiner WordPress-Website.

In diesem Artikel beleuchten wir, warum ein sicherer Benutzername so wichtig ist, welche vorbereitenden Schritte erforderlich sind und welche Methoden dir zur Verfügung stehen, um den Benutzernamen zu ändern. Zudem zeigen wir dir, welche Maßnahmen du zusätzlich ergreifen solltest, um deine Website vor unbefugtem Zugriff zu schützen.

Warum ist die Änderung des WordPress-Benutzernamens wichtig?

Das Ändern des WordPress Benutzernamens ist aus verschiedenen Sicherheitsgründen von großer Bedeutung:

Sicherheitsrisiko durch Standard-Benutzernamen: Wenn du den Standard-Benutzernamen „admin“ beibehältst, setzt du deine Website einem erhöhten Sicherheitsrisiko aus. Angreifer zielen häufig auf diesen Namen ab, da er oftmals der voreingestellte Name ist.
Gefahren von Brute-Force-Attacken: Bei Brute-Force-Angriffen versuchen Hacker, sich durch wiederholtes Eingeben von Benutzernamen und Passwörtern Zugang zu verschaffen. Ein einfacher Benutzername wie „admin“ macht diesen Prozess leichter.

Deshalb ist es wichtig, deinen Benutzernamen zu ändern und einen neuen Benutzernamen zu wählen, der einzigartig und schwer zu erraten ist. Verwende dabei eine Kombination aus Buchstaben, Zahlen und Sonderzeichen, um die Sicherheit deines WordPress-Kontos zu erhöhen.

Vorbereitende Schritte vor der Änderung des Benutzernamens

Bevor du deinen Benutzernamen änderst, solltest du einige wichtige Vorbereitungen treffen.

Backup deiner WordPress-Seite

Erstelle ein vollständiges Backup deiner WordPress-Seite, um Datenverlust bei der Änderung zu vermeiden. Dies kann über das Hosting-Dashboard oder ein Backup-Plugin durchgeführt werden. Regelmäßige Backups sind unerlässlich und stellen sicher, dass du im Falle eines Fehlers oder Angriffs jederzeit zu einer früheren, funktionierenden Version deiner Website zurückkehren kannst.

Anleitung zum Erstellen eines Backups

Backup-Plugin installieren: Es gibt zahlreiche Plugins, die dir das Backup deiner WordPress-Website erleichtern. Beliebte Optionen sind UpdraftPlus, BackWPup und Duplicator.
Backup-Plugin konfigurieren: Konfiguriere das Plugin entsprechend deiner Bedürfnisse. Stelle sicher, dass das Plugin alle wichtigen Daten wie Datenbank, Themes, Plugins und Uploads sichert.
Backup durchführen: Führe das Backup durch, in dem du die entsprechende Option im Plugin auswählst. Die meisten Plugins bieten eine einfache, benutzerfreundliche Oberfläche, um den Backup-Vorgang zu starten.

Sicheres Passwort

Neben dem Benutzernamen ist ein sicheres Passwort entscheidend. Ein schwaches Passwort macht es Angreifern leichter, sich Zugang zu deiner Website zu verschaffen. Verwende bei deiner Wahl eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, um ein Passwort zu erstellen, das schwer zu knacken ist. Denke daran, dein Passwort regelmäßig zu aktualisieren, um die Sicherheit deines Kontos weiter zu erhöhen.

Methoden zur Änderung des WordPress-Benutzernamens

Es gibt mehrere Möglichkeiten, den Benutzernamen in WordPress zu ändern. Jede Methode hat ihre Vor- und Nachteile, und welche du wählst, hängt auch von deiner technischen Erfahrung und den spezifischen Anforderungen deiner Website ab. Hier sind die gängigsten Methoden:

Änderung des Benutzernamens über ein Plugin: Die einfachste und benutzerfreundlichste Methode zur Änderung des WordPress-Benutzernamens ist die Verwendung eines Plugins. Es gibt verschiedene Plugins, die speziell für diese Aufgabe entwickelt wurden.
Erstellen eines neuen Benutzers und Löschen des alten Benutzers: Eine alternative Methode, insbesondere wenn du keine Plugins verwenden möchtest, ist die Erstellung eines neuen Benutzers mit Administratorrechten und das anschließende Löschen des alten Benutzers.
Änderung des Benuternamens über die Datenbank: Für technisch versierte Nutzer besteht die Möglichkeit, den Benutzernamen direkt in der WordPress-Datenbank zu ändern. Diese Methode erfordert Zugriff auf phpMyAdmin oder ein ähnliches Datenbank-Management-Tool.
Änderung des Benutzernamens durch Code-Anpassung: Für Entwickler, die Zugang zum WordPress-Dateisystem haben, kann der Benutzernamen auch durch Hinzufügen von Code in der Datei functions.php des aktiven Themes geändert werden.

Neuen WordPress-Benutzer erstellen und alten löschen

Wenn du einen neuen Benutzer anlegen und den alten Benutzer entfernen möchtest, gehe wie folgt vor:

Neuen Benutzer mit WordPress Admin-Rechten anlegen: Gehe in deinem WordPress-Dashboard zu „Benutzer“ > „Neu hinzufügen“ und erstelle einen neuen Benutzer mit Administratorrechten. Gib diesem neuen User einen Benutzernamen, der einzigartig und sicher ist.
Mit dem neuen Benutzer einloggen: Melde dich mit dem neuen Benutzer an und überprüfe, ob alle Berechtigungen korrekt gesetzt sind.
Alten Benutzer löschen: Lösche den alten Benutzer und übertrage alle Inhalte auf den neuen Administrator, um Datenverlust zu vermeiden.

Falls nötig, kannst du zusätzlich ein Plugin wie Admin Renamer verwenden, um den neuen Benutzernamen nachträglich zu ändern oder anzupassen.

Der Einsatz von Plugins zur Benutzernamenänderung

Diese Plugins bieten dir eine einfache Möglichkeit zur Benutzernamenänderung in WordPress:

Username Changer: Der Username Changer ermöglicht dir, den Benutzernamen direkt per Plugin über das WordPress-Dashboard zu ändern. Nach der Installation und Aktivierung findest du die entsprechenden Einstellungen unter „Benutzer“ > „Alle Benutzer“.
Alternative Plugins: Weitere nützliche Plugins sind Easy Username Updater und WP Edit Username, die ähnliche Funktionen bieten und ebenfalls sehr einfach zu bedienen sind.
Edit Author Slug: Dieses Plugin geht noch einen Schritt weiter und ermöglicht es dir, nicht nur den Benutzernamen, sondern auch den Autorenslug zu editen. Dies ist besonders hilfreich, wenn du den öffentlich sichtbaren Namen eines Autors auf deiner Website ändern möchtest.

Direkt in der Datenbank den Benutzernamen ändern

Für fortgeschrittene Benutzer, die mit MySQL-Datenbanken vertraut sind, kann auch die direkte Änderung in der Datenbank eine Option sein:

Zugriff via phpMyAdmin: Melde dich bei deinem Hosting-Provider an und navigiere zum phpMyAdmin-Bereich.
Benutzernamen ändern:
1. Wähle die MySQL-Datenbank, welche zu deiner WordPress-Installation gehört. Du findest diese in der Regel in der Datei wp-config.php deines WordPress-Verzeichnisses.
2. Öffne die Tabelle wp_users und finde den gewünschten Benutzer.
3. Bearbeite das Feld user_login und ändere den Benutzernamen.
4. Speichere die Änderungen und überprüfe, ob die Anpassungen korrekt vorgenommen wurden.
Datensicherung vor Änderungen: Bevor du in der Datenbank Änderungen vornimmst, solltest du unbedingt ein Backup der gesamten Datenbank erstellen. Dies schützt dich vor Datenverlust, falls bei der Bearbeitung ein Fehler auftritt.

Zusätzliche Sicherheitsmaßnahmen nach der Benutzernamenänderung

Nachdem du den Benutzernamen geändert hast, solltest du weitere Sicherheitsmaßnahmen ergreifen, um deine Website bestmöglich zu schützen:

Sicherheits-Plugins installieren: Plugins wie Limit Login Attempts Reloaded helfen, Brute-Force-Angriffe auf dein WordPress Backend zu verhindern, indem sie die Anzahl der Anmeldeversuche begrenzen und somit die Möglichkeiten von Angreifern limitieren.
Admin-URL verbergen oder ändern: Verwende Plugins wie WPS Hide Login, um die Standard-Admin-URL zu ändern. Dies erschwert es Angreifern, die Anmeldeseite zu finden und potentiell zu attackieren.
Sichere Benutzernamen und Passwörter verwenden: Vermeide einfache und unsichere Benutzernamen und Passwörter. Nutze stattdessen starke, komplexe Passwörter und ändere diese regelmäßig.

Schlussfolgerung: Ein sicherer WordPress-Benutzername als Schlüssel zur Webseiten-Sicherheit

Ein sicherer WordPress-Benutzername ist entscheidend für die Sicherheit deiner Website. Standard-Benutzernamen wie „admin“ sind leicht angreifbar und erhöhen das Risiko von Angriffen erheblich.

Wenn du den Benutzernamen einzigartig änderst und zudem ein sicheres Passwort verwendest, stellst du sicher, dass Angreifer es deutlich schwerer haben, sich Zugang zu deiner Website zu verschaffen. Durch die Implementierung zusätzlicher Sicherheitsplugins kannst du deine Website noch wirksamer vor unbefugtem Zugriff schützen.

Zusätzliche Maßnahmen wie das Verbergen der Admin-URL und regelmäßige Backups tragen weiter zur Sicherheit bei. Um dauerhaft geschützt zu bleiben, solltest du deine Sicherheitseinstellungen regelmäßig überprüfen und up-to-date halten.

The post Benutzernamen in WordPress anpassen: Mit Plugin oder manuell appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress-Website effektiv mit Passwort schützen

Stefan Höck — Wed, 14 Aug 2024 18:35:43 +0000

Fragst du dich, wie du bestimmte Bereiche deiner WordPress-Website vor unbefugtem Zugriff schützen kannst? Oder möchtest du verhindern, dass deine Inhalte während der Entwicklungsphase versehentlich eingesehen werden?

Egal, ob du eine neue Website erstellst, einen Produkt-Launch planst oder exklusive Informationen nur für bestimmte Nutzer zugänglich machen möchtest – der Passwortschutz ist eine einfache, aber wirkungsvolle Lösung, um deine Webseite oder bestimmte Teilbereiche von der Öffentlichkeit abzuschirmen.

In diesem Artikel zeigen wir dir, wie du deine WordPress-Seite oder einzelne Seiten und Beiträge durch einen passwortgeschützten Zugang absichern kannst, welche Tools und Methoden dir helfen können, und was du dabei in Bezug auf die DSGVO beachten solltest.

Einführung in den Passwortschutz bei WordPress

Der Passwortschutz spielt eine zentrale Rolle, wenn es darum geht, deine WordPress-Seite effektiv abzusichern.

Egal, ob du eine neue Website launchst, die Landingpage für eine bevorstehende Produkteinführung planst, einen internen Bereich für Teammitglieder erstellst oder einfach Inhalte vor unbefugtem Zugriff schützen möchtest – es gibt viele Situationen, in denen dir ein passwortgeschützter Bereich die notwendige Sicherheit bietet, um deine Inhalte nur für ausgewählte Nutzer zugänglich zu machen oder sie geheim zu halten, bis sie vollständig bereit sind. Du kannst sowohl gezielte Seiten als auch die gesamte Website ganz einfach mit einem Passwort schützen.

Gerade auch im Hinblick auf die DSGVO-Konformität deiner WordPress-Seite kann es wichtig sein, vertrauliche Inhalte durch ein Passwort abzusichern, um sicherzustellen, dass nur autorisierte Benutzer zugreifen können.

Grundlagen des WordPress Passwortschutzes

Bevor du den Passwortschutz für deine WordPress-Seite einrichtest, ist es wichtig, die grundlegenden Einstellungen zu verstehen, die WordPress in Bezug auf Status und Sichtbarkeit bietet. Dir stehen verschiedene Optionen zur Verfügung, um festzulegen, wie deine Inhalte angezeigt werden:

Öffentlich: Jeder kann den Inhalt sehen.
Privat: Nur angemeldete Benutzer mit bestimmten Rechten können zugreifen.
Passwortgeschützt: Der Inhalt ist durch ein Passwort gesichert, das eingegeben werden muss, um den Zugriff zu ermöglichen.

Indexierung durch Suchmaschinen

Ein wichtiger Punkt ist auch die Indexierung durch Suchmaschinen – passwortgeschützte Inhalte werden in der Regel nicht indexiert, wodurch sie für die Öffentlichkeit unsichtbar bleiben. Dies bietet zusätzlichen Schutz, vor allem wenn du sensible Daten oder vertrauliche Informationen auf deiner Website bereitstellst.

Auswahl des richtigen Passwortschutzes

Es gibt verschiedene Möglichkeiten, wie du deine WordPress-Seite mit einem Passwortschutz versehen kannst.

WordPress-Core-Funktionen

WordPress selbst bietet im Abschnitt vorher genannte grundlegende Funktionen, um Seiten und Beiträge zu schützen.

WordPress-Plugins

WordPress-Plugins wie Password Protected bieten erweiterte Optionen. Wenn du das Plugin installierst und aktiviert hast, kannst du damit beispielsweise Passwörter zeitlich begrenzen oder ganze Verzeichnisse schützen.

Die Wahl zwischen den WordPress-Core-Funktionen und einem Plugin hängt von deinen spezifischen Anforderungen und technischen Kenntnissen ab. Wenn du bereits Erfahrung mit WordPress hast und deine Seite nur grundlegend schützen möchtest, reichen die integrierten Funktionen oft aus. Für umfangreichere Anforderungen und mehr Kontrolle über den Passwortschutz kann jedoch ein Plugin die bessere Wahl sein.

WordPress-Website vollständig absichern

Wenn du deine WordPress-Seite vollständig absichern möchtest, gibt es hierfür Methoden, die über den einfachen Passwortschutz hinausgehen. Eine gängige Methode ist die Verwendung von .htaccess und htpasswd Dateien. Diese Dateien ermöglichen es dir, bestimmte Verzeichnisse, einzelne Seiten oder eben sogar die gesamte Website auf Serverebene zu schützen. Diese Methode ist auch dann gut geeignet, wenn du mehrere Sicherheitsebenen implementieren möchtest.

Testumgebung einrichten

Wenn du umfangreiche Änderungen an deiner WordPress-Seite vornehmen und sie deshalb vorübergehend vollständig absichern möchtest, empfiehlt es sich, eine Testumgebung einzurichten, um sicherzugehen, dass alle Anpassungen reibungslos funktioniert, bevor du sie live schaltest.

Hier eine kurze Anleitung, wie du dabei vorgehen kannst:

Installation von WordPress: Installiere WordPress auf deinem Rechner.
Klonen deiner Website: Nutze Plugins wie Duplicator, um eine exakte Kopie deiner Live-Website zu erstellen.
Änderungen vornehmen: Teste neue Funktionen, .htaccess-Änderungen, Plugins oder Designanpassungen in dieser sicheren Umgebung.
Ergebnisse überprüfen: Stelle sicher, dass alle Änderungen ordnungsgemäß funktionieren und keine Probleme auftreten.
Live-Übertragung: Wenn alles einwandfrei funktioniert, kannst du die Änderungen auf deine Live-Website übertragen, indem du die aktualisierten Dateien und Datenbankänderungen hochlädst.

Mitgliedschaftssysteme

Ein weiterer effektiver Ansatz, um Inhalte deiner WordPress-Seite vor unbefugten Zugriffen zu schützen, ist die Implementierung von Mitgliedschaftssystemen. Mitgliedschaftssysteme erlauben es dir, exklusive Inhalte nur für registrierte Benutzer zugänglich zu machen.

Einzelne Beiträge und Seiten passwortgeschützt machen

Um einzelne Seiten und Beiträge deiner WordPress-Seite mit einem Passwort zu versehen, gehe wie folgt vor:

Seiten oder Beiträge bearbeiten, die du schützen möchtest.
Unter Status und Sichtbarkeit die Option „Passwortgeschützt“ auswählen.
Passwort festlegen und speichern.

Dies ist besonders praktisch, wenn du nur bestimmte Inhalte schützen möchtest, wie beispielsweise interne Blogposts oder exklusive Artikel und Downloads. Nachdem du ein Passwort festgelegt hast, können nur noch Benutzer, die das Passwort kennen, auf diesen Inhalt zugreifen.

Spezifische Plugins für erweiterten Schutz nutzen

Prevent Direct Access und Download Monitor

Für zusätzlichen Schutz deiner Inhalte gibt es spezialisierte Plugins. Zu den bekanntesten gehören Prevent Direct Access und Download Monitor. Diese Plugins erweitern die Standardfunktionen von WordPress und bieten benutzerfreundliche Lösungen, um Inhalte nicht nur passwortgeschützt, sondern auch vor direkten Downloads oder geschützte Dateien vor unbefugtem Zugriff zu schützen.

PPWP und Passster

Wenn du ein extra Plugin benötigst, um deine Website noch sicherer zu machen, bieten sich auch PPWP oder Passster an, die dir noch weitere Kontrolloptionen zum Schutz deiner Inhalte geben und sich zudem auch nahtlos in den WordPress Customizer integrieren lassen.

Umgang mit technischen Herausforderungen

Caching

Der Einsatz von einem Passwortschutz kann gelegentlich technische Herausforderungen mit sich bringen, insbesondere in Verbindung mit Caching. Wenn passwortgeschützte Inhalte im Cache gespeichert werden, könnten sie versehentlich ungeschützt angezeigt werden. In solchen Fällen solltest du das Caching für passwortgeschützte Inhalte deaktivieren oder spezielle Einstellungen vornehmen, um diese Inhalte korrekt zu schützen.

Impressum und Datenschutzerklärung

Ein weiteres wichtiges Thema ist der Zugriff auf rechtlich relevante Seiten wie Impressum und Datenschutzerklärung. Auch wenn deine gesamte Seite durch die pflichtmäßige Eingabe des Passworts geschützt ist, muss der gesamte Inhalt dieser Seiten weiterhin zugänglich bleiben, um den gesetzlichen Anforderungen zu entsprechen.

WordPress-Login Seite und DSGVO-Konformität

Wenn Benutzer sich auf deiner Website anmelden müssen, um auf bestimmte geschützte Inhalte zuzugreifen, ist die Gestaltung einer DSGVO-konformen WordPress-Login-Seite essentiell. Die gesetzlichen Anforderungen umfassen klare Hinweise auf die Verwendung von Benutzernamen und Passwörtern sowie Links zu Impressum und Datenschutzerklärung. Auch die Sichtbarkeit und der Zugriff auf diese Seiten sollte gewährleistet sein, selbst wenn andere Teile deiner Website passwortgeschützt sind.

Benutzernamen und Passwort: Sicherstellen, dass die Eingabe benutzerfreundlich und sicher ist.
Sichtbarkeit: Alle rechtlich relevanten Informationen wie z.B. Impressum und Datenschutzerklärung müssen klar sichtbar sein.

Mit einer sorgfältig gestalteten Login-Seite stellst du sicher, dass deine Website nicht nur sicher, sondern auch rechtlich auf der sicheren Seite ist.

Regelmäßige Aktualisierung und Überwachung

Ein effektiver Passwortschutz erfordert regelmäßige Updates und kontinuierliche Überwachung. Deine aktivierten Schutzmaßnahmen sollten stets auf dem neuesten Stand gehalten werden, damit du gegen aktuelle Bedrohungen optimal gewappnet bist. Plugins helfen dir dabei, sicherzustellen, dass dein Schutz wirksam bleibt. Regelmäßige Updates schließen potenzielle Sicherheitslücken und verbessern die Gesamtleistung deiner Website.

Fazit und Empfehlungen

Zusammenfassend lässt sich sagen, dass der Passwortschutz ein zentraler Bestandteil für die Sicherheit deiner WordPress-Website ist. Ob du die gesamte Website absichern, ganze Seiten und Beiträge schützen oder spezifische Inhalte mit einem Passwort versehen willst – die richtigen Tools und Einstellungen helfen dir, deine Website sicher zu machen und sensible Inhalte effektiv zu schützen.

Meine Empfehlung ist dementsprechend, starke Passwörter zu verwenden, regelmäßig den Passwortschutz zu überprüfen und bei Bedarf zusätzliche Sicherheitsmaßnahmen zu ergreifen. So bleibt deine WordPress-Seite sicher und ist stets optimal geschützt.

The post WordPress-Website effektiv mit Passwort schützen appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress Version effektiv herausfinden

Stefan Höck — Wed, 03 Jul 2024 10:25:39 +0000

Wie kannst Du die WordPress Version Deiner Website herausfinden? Und wozu ist das überhaupt relevant?

Ganz grob gesagt, kannst Du mit dem Wissen Deiner WordPress Version zum einen Sicherheitslücken vermeiden und zum anderen die volle Funktionalität des CMS WordPress sicherstellen.

In diesem Beitrag erklären wir Dir im Einzelnen, warum es entscheidend ist, immer die neueste WordPress Version zu nutzen. Und Du erfährst, wie Du ganz schnell die WordPress Version herausfinden kannst, die derzeit auf Deiner Website installiert ist. Beim Durchgehen der notwendigen Schritte zeigen wir Dir auch ein nützliches Tool, das Dir dabei helfen kann.

Warum ist die WordPress Version wichtig?

Regelmäßige WordPress Updates sind entscheidend, um die Sicherheit und die Funktionalität Deiner WordPress-Seite zu gewährleisten. Indem Du stets die aktuelle Version von WordPress verwendest, hast Du schon mal einen wichtigen Baustein, dass Deine Seite zuverlässig läuft und vor potenziellen Sicherheitslücken geschützt ist.

Eine der größten Stärken von WordPress ist die Flexibilität durch Plugins und Themes. Um die volle Funktionalität Deines Content-Management-Systems zu erhalten, solltest Du regelmäßig Dein WordPress auf die neueste Version aktualisieren. Die aktuell installierte WordPress Version herauszufinden, hilft Dir also nicht nur dabei, Deine Webseite immer auf dem neuesten Stand zu halten, sondern auch, dass alle Komponenten Deiner Webseite immer zuverlässig und reibungslos zusammenarbeiten.

Schnelle Wege zur WordPress Version im Admin-Bereich

Um die aktuelle WordPress Version herauszufinden, kannst Du Dich in Deinem WordPress Backend einloggen. Mit einem Blick in das Dashboard, kannst Du die aktuelle WordPress Version herausfinden, mit der Deine Seite läuft.

Gehe dazu so vor:

Melde Dich auf der Login-Seite Deines WordPress an.
Nach dem Einloggen befindest Du Dich im Dashboard.
Klicke im Menü über „Dashboard“ auf „Aktualisierungen“. Hier wird Dir die aktuell installierte WordPress Version angezeigt.

Eine weitere Möglichkeit, die WordPress Version herauszufinden, ist die Fußzeile im Admin-Bereich. Am unteren rechten Rand des Dashboards wird die aktuelle Version angezeigt.

Im Admin-Bereich kannst Du auch auf „Über WordPress“ klicken. Diese Seite bietet detaillierte Informationen, einschließlich der aktuell installierten Version. Diese findest Du im Menü unter dem WordPress-Logo in der oberen linken Ecke.

WordPress Version ohne Backend-Zugang identifizieren

So findest Du die WordPress Version im Quelltext

Generator-Meta-Tag und CSS-Dateien Versionierung: Gehe in Deinem Webbrowser auf Deine WordPress-Seite und klicke mit der rechten Maustaste, dann wähle „Seitenquelltext anzeigen“. Es öffnet sich ein neuer Tab, der das HTML und das CSS Deiner Seite anzeigt. Öffne das Suchfeld durch Drücken der Tasten [Strg] + [F] (Windows & Linux) bzw. [Command] + [F] (macOS) und gib den Begriff „generator“ ein, neben dem dann in der Regel die entsprechende WordPress Version angegeben wird.
Anmeldebildschirm: Über den WordPress-Anmeldebildschirm kannst Du ebenfalls die aktuelle Version Deiner WordPress-Seite einsehen, ohne Dich dafür in Deinem Backend anmelden zu müssen. Gib zunächst die URL Deiner Website in die Adresszeile Deines Browsers ein und füge das Kürzel /wp-admin/ hinzu. Klicke auch hier dann die rechte Maustaste und wähle „Seitenquelltext anzeigen“. Eine neue Registerkarte öffnet sich. Suche nun nach dem Begriff „ver=“ als Abkürzung für „Version“.

Mögliche Einschränkungen

Beachte, dass individuelle Anpassungen oder der so genannte .htaccess-Schutz (Dateien oder ganze Verzeichnisse können mittels diesem Schutz mit einer Passwortabfrage vor unbefugtem Zugriff geschützt werden) die Sichtbarkeit der Version im Quellcode oder auf dem Anmeldebildschirm einschränken können, so dass Du diese Informationen möglicherweise nicht einsehen kannst.

Das Auslesen per FTP (File Transfer Protocol) oder das Überprüfen der version.php Datei im WordPress Ordner, bieten weitere Möglichkeiten, die Version zu finden. Dazu mehr im folgenden Abschnitt.

Technische Detektivarbeit: WordPress Version in Dateien

Hinweise für fortgeschrittene Nutzer

Der Umgang mit WordPress-Dateistrukturen erfordert fortgeschrittene Kenntnisse in den Programmiersprachen HTML und CSS. Durch die Überprüfung kannst Du sicherstellen, dass Du die für Deine Zwecke richtige Version installiert hast, z.B. wenn Du gegebenenfalls eine ältere Version von WordPress verwenden möchtest.

Schritt-für-Schritt Anleitung zur Lokalisierung der „version.php“ Datei

Melde Dich auf Deinem FTP-Server an.
Navigiere zum Ordner „wp-includes“.
Suche die Datei „version.php“ und öffne sie.
Versionsnummer anzeigen: In der Datei wird die aktuelle Version von WordPress angezeigt.

Praktisches Tool zur Versionsermittlung

Mit dem Tool InspectWP kannst Du leicht herausfinden, welche Version von WordPress Deine Webseite derzeit verwendet. Das Tool scannt die Website und zeigt Dir die WordPress Version sowie weitere Details zu Plugins und Themes an.

Mit solch einem Tool kannst Du schnell und effektiv die Version von WordPress herausfinden, ohne manuell in den Quellcode oder die Dateistruktur einsteigen zu müssen.

Version von Plugins feststellen

Schritt-für-Schritt Anleitung:

Melde Dich auf der Login-Seite deines WordPress an.
Klicke im Dashboard Menü auf „Plugins“.
Hier siehst Du eine Liste aller installierten Plugins. Neben jedem Plugin wird die Versionsnummer angezeigt.

Halte Deine Plugins immer auf dem neuesten Stand, um sicherzustellen, dass diese mit den neuen WordPress Versionen kompatibel sind. So bleibt Deine Webseite sicher und performant.

Gründliche Vorbereitung für Updates

Bevor Du Updates durchführst, erstelle unbedingt eine Sicherungskopie Deiner Webseite. So stellst Du sicher, dass Du bei Problemen jederzeit Deine zuletzt funktionierende Version wiederherstellen kannst.

Kontrolliere außerdem, nachdem Du Dich eingeloggt hast, die Kompatibilität der Plugins, die Du gerade verwendest, mit der neuen WordPress Version. Falls notwendig, führe manuelle Updates durch, um sicherzustellen, dass alle Plugins und Themes reibungslos funktionieren.

Automatische Update-Optionen in WordPress

Automatische Aktualisierungen sind eine wichtige Funktion in WordPress, die sicherstellt, dass Deine Webseite immer auf der aktuellen WordPress Version läuft. Sie umfassen Core Updates, Sicherheitsupdates und kleinere Verbesserungen, die automatisch installiert werden, ohne dass Du eingreifen musst.

Vorteile:

Sicherheit: Automatische Updates schützen Deine Webseite vor Sicherheitslücken.
Komfort: Du musst nicht manuell nach jeder neuen Version suchen.
Zuverlässigkeit: Deine Webseite bleibt stabil und auf dem neuesten Stand.

Fazit: Wissen um die WordPress Version bringt Sicherheit

Du weißt nun, wo die Versionsnummer Deiner WordPress Website steht, und warum es wichtig ist, dass Du diese regelmäßig überprüfst.

Kenntnis über die aktuell installierten WordPress Version zu haben, ist essenziell, um Sicherheitslücken zu vermeiden und die Funktionalität sicherzustellen. Sich regelmäßig darüber zu informieren, ist daher unerlässlich. Diese Überprüfung nimmt nur wenig Zeit in Anspruch und erhöht die Sicherheit Deiner Website dafür aber drastisch.

Informiere Dich über neue WordPress Versionen, Aktualisierungen und neue Funktionen, um Dein CMS sicher und auf dem neuesten Stand zu halten.

The post WordPress Version effektiv herausfinden appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

WordPress Sicherheit verstärken: So machst du Deine Seite sicherer

Thorsten — Fri, 28 Apr 2023 11:04:41 +0000

WordPress Sicherheit verstärken: So machst du Deine Seite sicherer

Die wachsende Popularität des CMS WordPress (Content Management System) zieht nicht nur begeisterte Nutzer an, sondern leider auch immer mehr Hacker und digitale Unruhestifter. Für jeden, der eine WordPress-Website betreibt, wird das Thema Sicherheit daher immer relevanter. Aber keine Sorge, es gibt zahlreiche Möglichkeiten und Ressourcen, um Deine Seite vor solchen Bedrohungen zu schützen.

In dieser Anleitung zur WordPress-Sicherheit wirst Du zuerst über die bekanntesten Sicherheitslücken und Angriffsvektoren aufgeklärt. Anschließend stelle ich Dir praktische Maßnahmen vor, die Deine WordPress-Site robust gegenüber Angriffen machen. Und obwohl kein System zu 100% sicher ist, kann man mit diesen Maßnahmen die Risiken erheblich reduzieren.

Wie sicher ist WordPress?

Grundsätzlich ist WordPress ein sicheres CMS. Doch wie bei allen Technologien können Sicherheitsrisiken auftreten, vor allem wenn nicht kontinuierlich Maßnahmen zum Schutz ergriffen werden. Jährlich werden schätzungsweise 4,7 Millionen WordPress-Websites gehackt – das sind täglich ein fünfstelliger Betrag an Angriffen. Dabei bilden Themes mit nur 5,45% selten das Einfallstor; die überwältigende Mehrheit von 93,25% der Sicherheitslücken entsteht durch Plugins.

Hacker sind ständig auf der Suche nach neuen Wegen, um Systeme zu infiltrieren. Ihre Taktiken sind oft flächendeckend und zielen darauf ab, mehrere Websites gleichzeitig zu kompromittieren. Dies bedeutet, dass selbst wenn WordPress in seiner Grundform sicher ist, der Schlüssel zur Sicherheit in den Details liegt. Es ist wichtig, ständig auf dem neuesten Stand zu sein und Sicherheitsupdates regelmäßig durchzuführen. Durch die Verringerung der Angriffsfläche, etwa durch die Wahl sicherer Passwörter, die Aktualisierung von Themes und Plugins und die regelmäßige Überwachung der Website, wird die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich reduziert.

Sicherheit ist keine einmalige Aufgabe, sondern erfordert ständige Aufmerksamkeit und Pflege. Mit den richtigen Praktiken kannst Du Deine WordPress-Website effektiv schützen und ihre Integrität bewahren. Ich selbst habe das Thema WordPress Sicherheit übrigens komplett in die Hände der Spezialisten von WP-Wartung24 gelegt. Und damit fahre ich seit Jahren sehr gut.

Sicherheitslücken erkennen und beheben

Ein gutes WordPress Security Plugin sollte Deine Website regelmäßig nach Malware und anderen möglichen Sicherheitslücken und -verletzungen durchscannen. Akute Probleme können aber auch anderweitig zu Tage treten.

Unerwartete Einbrüche im Website-Traffic oder plötzliche Änderungen Deiner Google-Rankings könnten Hinweise auf solche Sicherheitsbedenken sein. Wenn solche Symptome auftreten, ist es ratsam, zusätzliche manuelle Überprüfungen durchzuführen. Ein externer Security Scanner kann hier ein nützliches Werkzeug sein. Durch Eingabe der Website-URL können diese Scanner Deine Website auf bekannte schädliche Inhalte prüfen.

Allerdings beschränkt sich die Rolle der Scanner auf die Erkennung. Das tatsächliche Entfernen der identifizierten Malware oder das Reinigen der gehackten Website liegt in Deiner Verantwortung. Hierbei sind Backups von unschätzbarem Wert. Sie bieten eine Sicherheitskopie Deiner Website, falls die manuelle Bereinigung nicht erfolgreich ist oder zu kompliziert erscheint. Es wäre weise, in solchen Fällen auf WordPress Sicherheitsexperten zurückzugreifen.

Auch wenn Du den Eindruck hast, ein Problem sei gelöst, können Hacker Hintertüren, die nicht ordentlich dich gemacht werden, erneut für ihre Angriffe nutzen.

Schwachstellen und mögliche Angriffe auf Deine WordPress Sicherheit

Brute-Force-Angriffe auf den WordPress Login

Als Eingangstür zu Deinem Backend ist der reguläre Login von Haus aus ein beliebtes Ziel für unerwünschte Besucher. Bei sogenannten Brute-Force-Angriffen versuchen sich Hacker mit automatisierten Skripten Zugang zu verschaffen, indem sie zig verschiedene Passwörter ausprobieren. Diese Skripte profitieren von schwachen Passwörtern.

Dagegen wehren kannst Du Dich neben starken Passwörtern unter anderem mit der Begrenzung von Anmeldeversuchen, der Anmelde-Überwachung oder einer zweistufigen Authentifizierung beim Login. Dazu gibt´s weiter unten jeweils mehr Details.

Backdoors – Eindringen durch die Hintertür

Abseits des regulären Logins gibt es bei WordPress ein paar mögliche Hintertürchen für Hacker, um dort großen Schaden anzurichten. In dem Test von Sucuri hatten ganze 60,04% der infizierten Website mindestens eine Backdoor.

Oft sind es veraltete WordPress-Versionen, bei denen solche Backdoors unzureichend gesichert sind. Potenzielle Eindringliche bekommen durch eine Backdoor den Zugriff auf Deinen Server, ohne einen Login zu benutzen.

Ob es so eine Schwachstelle bei Dir gibt, lässt sich zum Beispiel mit dem Security Checker von Sucuri herausfinden.

Auch hier empfehlen sich gleich mehrere Maßnahmen, die das Sicherheitsrisiko zumindest eindämmen: Beispielsweise helfen die Einschränkung des Admin-Zugriffs oder das Einschränken von PHP-Ausführung. Die Zwei-Faktor-Authentifizierung kann den Zugriff auch nochmal ein wenig erschweren, da sie das einfache Übernehmen von Login-Daten erschwert.

DoS/DDoS – Denial of Service Angriffe

Denial of Service Angriffe (DoS-Angriffe) wollen den Speicher Deiner WordPress Installation überlasten und so Deine Website unzugänglich machen. Hacker penetrieren den Server dabei mit einer Flut von Anfragen.

DoS-Angriffe auf Websites laufen zum Beispiel über massenhafte Spam-Kommentare oder Emails mit Schad-Code.

Eine spezielle Spielart dieser Angriffe ist der Distributed Denial of Service Angriff (DDoS-Angriff). Hier setzt der Angreifer ein Botnetz aus Tausenden von Rechnern ein, um möglichst viele Anfragen gleichzeitig an den Server der Seite rauszuballern. Wenn die Anfragen dann auch noch von vielen verschiedenen Orten kommen, wird es umso schwieriger, solch einen Angriff zu stoppen.

Verhindern kannst Du Attacken dieser Art leider nicht. Du kannst sie aber versuchen einzudämmen, zum Beispiel indem Du via Security Plugins automatische IP-Sperren einrichten lässt oder die Kommentarfunktionen einschränkst. Auch mit regelmäßigen WordPress Updates, starken Passwörtern und generellen Zugriffsbeschränkungen erschwerst Du solche Angriffe.

Zusätzliche WordPress Sicherheit kann ansonsten noch Dein Hoster auf einer höheren Ebene bieten. Denn er kann theoretisch Zugriffe auf das Netzwerk schon blocken, bevor diese zum Server kommen und diesen belasten.

SEO Spam Hacks

Bei SEO Spam Hacks schmuggeln Hacker Schadcode auf Deine Website, der meist Links zu illegalen Online-Apotheken enthält. Daher werden solche Angriffe auch „Pharma Hacks“ genannt.

Klickt ein Nutzer auf eine mit Pharma Hacks infizierte Website, wird er auf eine Online-Apotheke weitergeleitet. Die Hacker verdienen damit zum einen direkt Geld, und zum anderen sammeln sie so fleißig und unerlaubt Nutzerdaten.

Um vor solchen Hacks gewappnet zu sein, ist der beste Weg, regelmäßig WordPress Updates durchzuführen. Auch eine Firewall und andere Sicherheitsmaßnahmen tragen hier zu mehr WordPress Sicherheit bei.

Cross Site Scripting

Das Cross-Site Scripting (XSS) schmuggelt bestimmte Skripte in Deine Seite, Und diese Skripte senden dann schädlichen Code auf die Rechner Deiner Website Besucher. Zweck dieses Hacks ist meist das Sammeln von Cookie-Daten oder Session-Daten.

Vor allem in WordPress Plugins liegen diese Schwachstellen häufig. Deshalb solltest Du nicht nur auf regelmäßige Plugin Updates achten, sondern am besten auch nur so wenig wie möglich Plugins installieren.

Wie mache ich meine WordPress Seite sicher?

SSL-/TLS-Verschlüsselung – Datentransfer schützen

Die Sicherheit deiner WordPress-Seite sollte immer an erster Stelle stehen. Eine der Hauptmaßnahmen, um deinen digitalen Auftritt zu schützen, ist die Implementierung einer SSL-/TLS-Verschlüsselung. Durch diese Sicherheitsprotokolle werden Daten zwischen dem Browser deiner Besucher und deinem Webserver in verschlüsselter Form übertragen. Das schützt nicht nur sensible Informationen wie Login-Daten, sondern verhindert auch, dass Dritte leicht Zugriff darauf erlangen.

Zunächst benötigst du ein Zertifikat von einer sicheren Zertifizierungsstelle. Viele Hoster bieten hier die Integration von Let’s Encrypt mit einem Klick an, eine kostenfreie Lösung. Sobald du das Zertifikat hast, geht es an die Installation. Dabei wird die Domain validiert, das Zertifikat generiert und schlussendlich auf deinem Server installiert. Dieser Prozess kann je nach Hosting-Umgebung variieren, aber in der Regel bieten gute Hoster hier Unterstützung an. Nach der Installation prüfst du am besten, ob alles funktioniert, indem du deine Website mit „https://“ aufrufst. Sofern keine Fehlermeldung kommt, war die Integration erfolgreich.

Eine SSL-/TLS-Verschlüsselung ist in der heutigen Zeit nicht nur ein Muss aus Sicherheitsgründen, sondern auch, um das Vertrauen deiner Besucher zu gewinnen. Denn eine sichere Website ist die Basis für eine erfolgreiche Online-Präsenz.

Unser Partner für WordPress Support, Updates und Wartung

Leistungen + Preise

WordPress Security Plugins

Neben den Backups empfiehlt sich als Standard ein Sicherheitssystem, das durchgehend überwacht, was auf Deiner Seite passiert. Dazu gehören vor allem die Überwachung der Dateien, Anmeldeversuche, Scans auf Malware und andere Bedrohungen.

Diese Überwachung erledigen allgemeine Security Plugins , die daneben noch eine Reihe weiterer Sicherheitsfunktionen erfüllen und auf jeden Fall auf Deiner Website im Hintergrund laufen sollten.

Security Plugins , die sich großer Beliebtheit erfreuen, sind beispielsweise:

Das Beispiel NinjaFirewall arbeitet insbesondere als eigenständige Firewall, die dem WordPress CMS vorgeschaltet ist. Da wir mit dem Plugin arbeiten, hier ein paar Details dazu, um einen Überblick zu bekommen, was so ein Security Plugin sonst noch so macht:

WordPress Sicherheit Plugin: NinjaFirewall als Beispiel

Blick ins Unter-Menü von Ninja Firewallt, somit auch auf Dateien, die von Hackern hochgeladen wurden.

Filtern: HTTP/HTTPS-Anfragen scannen, bereinigen oder auch ablehnen zum Schutz der Skripte aus den Installationsverzeichnissen und Unterverzeichnissen (Umgehungs- und Verschleierungstaktiken von Hackern können so beispielsweise erkannt werden).
Brute-Force-Angriffsschutz: Mit Verarbeitung von HTTP-Anfragen, die der eigentlichen WordPress-Installation vorgeschaltet ist.
Echtzeiterkennung: Erkennen jedes Zugriffs auf eine PHP-Datei, somit auch auf Dateien, die von Hackern hochladen.
Dateien überwachen: Erkennen jeder Änderung an einer Datei, egal ob in Bezug auf Dateiinhalt, Dateiberechtigungen, Dateibesitz oder Zeitstempel.
Traffic loggen: Verfolgen des Website Traffics in Echtzeit.
Benachrichtigungen: Info via Email über bestimmte Ereignisse auf Deiner Seite, so dass Du im Notfall manuell eingreifen kannst (zum Beispiel Administratoranmeldung, Änderungen von Administratorkonten, neue oder geänderte Plugins und Themes, WordPress-Updates, ausstehende Sicherheitsupdate in Plugins und Themes).
Aktueller Schutz vor WordPress-Sicherheitsschwachstellen: NinjaFirewall kann Sicherheitsregeln automatisch täglich, zweimal täglich oder auch stündlich aktualisieren, wenn neue Schwachstellen gefunden wurden.
Datenschutz: Filterung des Datenverkehrs auf Deinem Server, wodurch sensible Daten (Kontaktformularnachrichten, Anmeldeinformationen usw.) auf Deinem Server verbleiben, anstatt in die Cloud auf die Server von Drittunternehmen zu gelangen.
IPV6-Unterstützung: IPv6 steht für IP-Version 6 und ist die neueste Generation des Internet-Protokolls (IP), was Hackern und Co. die Arbeit wieder etwas erschwert.
Option für eigenen PHP-Code vor der Firewall: Eigene Sicherheitsregeln greifen, bevor WordPress und alle seine Plugins laden, was natürlich eher eine Funktion für Profis ist.
Unix-Shared-Memory-Nutzung: Kommunikation zwischen einzelnen Prozessen und verbesserter Performance.
Zugriffskontrolle: IPs, Rollen, Länder (Geo-Lokalisierung), URLs, Bots
Antispam: Für Kommentar- und andere Formulare.
Blockierung: Aggressive Bots, Crawler, Web Scraper und HTTP-Angriffe können geblockt werden.
Response-Body-Filter: Ausgabe von HTML-Seiten scannen, bevor sie an den Browser des Website-Besuchers gesendet werden.

Firewall für WordPress Systeme – Der Burggraben Deiner Website

Eine Website Firewall blockiert grob gesprochen den schädlichen Traffic, bevor er Deine Website erreicht.

Wenn Dein allgemeines Sicherheits-Plugin keine eigene Firewall enthält, solltest Du anderweitig einen solchen Schutzwall aufbauen. Dabei gibt es zwei generelle Arten von Plugins:

Website Firewall via Cloud – Diese Firewalls leiten Deinen Website Traffic über eigene Server in der Cloud.
Firewall auf Anwendungsebene – Solche Plugins untersuchen den Datenverkehr bei Erreichen Deines Servers, bevor die meisten WordPress-Skripte geladen werden.

Regelmäßige Backups – für zusätzliche Sicherheit

Nichts ist 100-prozentig sicher – auch nicht Deine WordPress Website, egal wie gut Du sie absicherst. Du kannst Dir aber eine Art Rückversicherung in Form von Backups gegen jede Art von Angriff auf Deine Website oder sonstige technische Probleme aufbauen.

Mit einem Backup kannst Du Deine Seite schnell wiederherstellen, falls mal etwas Blödes passiert.

Im Idealfall sorgst Du für eine Speicherung der Backups auf einem externen Server. Also nicht da, wo auch Deine WordPress Website liegt.

Für das automatische und regelmäßige Erstellen von Backups gibt es zum Glück eine Reihe von guten Plugins. BackupBuddy, UpdraftPlus oder BackWPup sind gute Beispiele. Für UltraPress.de lassen wir die Backups immer im Rahmen unserer regelmäßigen WordPress Wartung durch unseren Partner WP-Wartung24 mit einem eigenen Tool machen, das separat vom Server läuft. Als zusätzliche Fallback-Lösung setzt das Team auf BackWPup.

WordPress Updates – WordPress Sicherheit aktuell halten

Ein dynamisches System wie WordPress benötigt regelmäßige Pflege und eine neuere WordPress Version. Aktuelle WordPress Updates sind dabei essentiell, um Deine Webseite sicher zu halten. Sie sind nicht nur für neue Funktionen und verbesserte Performance zuständig, sondern adressieren entscheidend neu aufgedeckte Sicherheitsprobleme.

Indem Du aktuell bleibst und diese Updates zeitnah einspielst, stellst Du sicher, dass Deine Seite stets geschützt ist und sich gegen die neuesten Bedrohungen wehrt. Das Vernachlässigen von Aktualisierungen könnte Tür und Tor für potenzielle Angriffe öffnen. Es liegt in Deiner Hand, Deine Webseite und ihre Besucher zu schützen.

Eine neuere PHP-Version

PHP ist die Programmiersprache, auf der WordPress aufbaut. Aber keine Sorge, Du musst jetzt kein PHP lernen, sondern nur dafür sorgen, dass bei Deine Website die neueste PHP-Version verwendet. Und das entscheidet sich bei Deinem Hosting.

So sieht die Wahl der PHP-Version beispielsweise bei unserem Hoster All-Inkl aus:

PHP-Version wählen bei Hoster All-Inkl

Bei der Wahl des Hosters ist daher wichtig, dass dieser immer die neuesten PHP-Versionen unterstützt. Denn je älter eine PHP-Version, umso anfälliger wird das Ganze für Probleme und Angriffe.

Eigene Sicherheitsmaßnahmen

Das Bewusstsein für die eigene digitale Sicherheit ist fundamental. Viele von uns nehmen an, gewisse Grundsicherheitsmaßnahmen bereits zu kennen, doch es lohnt sich, sie erneut hervorzuheben.

Das einfache Öffnen eines Links aus einer dubiosen E-Mail kann eine Tür für Angreifer öffnen. Besonders bei Nachrichten von unbekannten Absendern sollte stets Vorsicht geboten sein. Aber nicht nur E-Mails bergen Risiken. Ein verlockendes Angebot auf einer Webseite, ein vermeintlicher Freund in einem sozialen Netzwerk, der einen seltsamen Link teilt, kann ebenfalls gefährlich sein.

Es ist daher unerlässlich, jeden Klick zu hinterfragen und regelmäßige Sicherheitsupdates aller verwendeten Software durchzuführen. Ein fundiertes Wissen über Sicherheitsbedrohungen und proaktive Schutzmaßnahmen schützt nicht nur die eigene WordPress-Website, sondern auch die digitale Identität und Integrität. Es ist immer besser, vorsichtig zu sein, als später die Folgen von Sicherheitslücken zu bereuen.

Login ins WordPress Backend schützen

Username „admin“ austauschen

Programmierer sind eigentlich kreative Menschen, da Sie die unglaublichsten technischen Konstruktionen erschaffen. Doch manchmal sind sie auch nicht besonders kreativ. So kam es, dass früher als WordPress-Admin-Benutzername der Name „admin“ standardmäßig eingesetzt wurde.

So ein Benutzernamen macht immerhin die Hälfte der Anmeldeinformationen aus, was für Hacker schon die Andeutung eines roten Teppichs ist.

Glücklicherweise läuft das bei WordPress mittlerweile anders. Direkt bei der WordPress-Installation bist Du quasi gezwungen einen eigenen Benutzernamen zu definieren.

Allerdings kann es Dir bei One-Click-WordPress-Installern passieren, dass sich der Admin-Benutzername automatisch auf „admin“ setzt. Das wäre schon mal ein schlechtes Zeugnis für Deinen Hoster.

Was kann man da machen, außer den Hoster zu wechseln? Da es bei WordPress nicht möglich ist, Benutzernamen zu ändern, ist die naheliegendste Option, einfach einen neuen Admin-Benutzer zu erstellen und den alten zu löschen.

Es gibt zum Ändern von Benutzernamen zwar auch noch Plugins und einen Weg über die Datenbank. Dies lassen wir hier aber mal außen vor, da es die Sache in meinen Augen unnötig verkomplizieren würde.

Anmeldeversuche limitieren

Da sich Benutzer bei WordPress so oft hintereinander anmelden können, wie sie möchten, ist Deine Website von Haus aus anfällig für sogenannte Brute-Force-Angriffe. Hacker versuchen dabei, Passwörter zu knacken, indem sie ganz stumpf zig verschiedene Benutzer-Passwort-Kombinationen automatisiert eingeben.

Das kannst Du recht einfach unterbinden durch das Begrenzen fehlgeschlagener Anmeldeversuche eines Benutzers. Ein Firewall-Plugin wie Ninja Firewall erledigt so etwas automatisch mit.

Ohne ein solches Firewall Plugin kannst Du zum Beispiel auch das Login LockDown-Plugin oder das Plugin Limit Login Attempts Reloaded nehmen.

Mit Zwei-Faktor-Authentifizierung anmelden

In der Zwei-Faktor-Authentifizierung müssen sich Benutzer immer in zwei Schritten anmelden:

Der erste Schritt besteht ganz normal aus Benutzername und Passwort.
Im zweiten Schritt musst Du Dich mit einer separaten App (in der Regel auf dem Handy) authentifizieren.

Sowas kennst Du sicher von den ganz großen Playern Google, Facebook, aber Du kannst die gleiche Funktionalität auch für Deine Website nutzen.

Installiere dazu das Zwei-Faktor-Authentifizierungs-Plugin auf Deiner Website sowie eine Authentifizierungs-App auf Deinem Handy, wie beispielsweise Google Authentificator oder Authy.

Das Handling Deiner Website wird so für Dich leider etwas unkomfortabler. Von daher ist es auch im gewissen Maße Abwägungssache, ob Du das so für Dich einsetzen willst.

Passwort sicher machen

Die Sicherheit von Passwörtern sollte eigentlich eine Selbstverständlichkeit sein, und gerade für die Sicherheit von WordPress Websites ist sie ein zentraler Baustein. Passwörter sind logischerweise häufig Ziel von Hackern, denn damit lässt sich einfach eine Menge Unsinn anstellen.

Für die Passwörter Deiner WordPress Website gilt es folgende Punkte zu beherzigen:

Vermeide gängige Wörter oder Phrasen.
Verwende Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Gib Deinem Passwort mindestens 16 Zeichen.
Verwende nicht dasselbe Passwort für mehrere Konten.
Ändere Dein Passwort immer mal wieder, zum Beispiel alle drei Monate als Routine.
Hast Du einen Verdacht auf Kompromittierung Deiner Website, ändere das Passwort sofort.
Nutze einen Passwort-Generator wie beispielsweise den von LastPass, um sichere Passwörter zu erstellen, die zufällig, komplex und schwer zu knacken sind. Ergänzend dazu eignet sich ein Passwort-Manager, damit Du Deine Passwörter nicht vergisst.

Viele der genannten Punkte zur Passwort-Sicherheit kannst Du auch direkt mit einem solchen Passwort-Generator checken.

Sicherheitsfragen beim WordPress Login

Eine weitere Sicherheitsstufe, die Du sicher auch von anderen Online Tools mit Login kennst, sind Sicherheitsfragen. Der Nutzer muss diese beantworten, sonst kann er oder sie sich nicht ins Backend einloggen.

Solche Sicherheitsfragen kannst Du zur weiteren WordPress Security mit einem zusätzlichen Plugin umsetzen. Ein Beispiel ist das Plugin Two Factor Authentication, das auch noch ein paar weitere sicherheitsrelevante Funktionen im Gepäck hat.

Wenn ein Benutzer eine Frage beantwortet, checkt das Plugin die Antwort. Ist die Antwort richtig, wird der Benutzer zur nächsten Seite weitergeleitet. Ansonsten bekommt er die Möglichkeit, die Frage nochmal zu beantworten oder sich per Email oder anderweitig zu verifizieren.

Inaktive Benutzer automatisch abmelden

Ist ein Benutzer nicht mehr aktiv, sollte er oder sie auch nicht mehr eingeloggt bleiben. Auch diese Sicherheitsmaßnahme kannst Du mit einem kostenlosen Plugin umsetzen: Inactive Logout.

In der Konfiguration des Plugins kannst Du noch verschiedene Nachrichten für ausgeloggte Benutzer und einige weitere Stellschrauben individuell einstellen. Dazu gehört vor allem die Zeit, nach der ein Benutzer automatisch abgemeldet wird.

Das Plugin „Inactive Logout“ im WordPress Backend

Anstatt der automatischen Abmeldefunktion kannst Du auch einfach nur die Option „Nur Warnmeldung anzeigen“ aktivieren. Dann bekommt der User nur eine Warnmeldung angezeigt, aber er bleibt angemeldet.

Sind WordPress Plugins sicher?

Ja, viele WordPress Plugins sind sicher, wenn sie von vertrauenswürdigen Entwicklern stammen und regelmäßig aktualisiert werden. Allerdings gibt es auch Ausnahmen.

WordPress Plugins erweitern die Funktionalität Deiner Website, weshalb ihre Sicherheit essentiell ist. Es ist empfehlenswert, nur Plugins aus dem offiziellen WordPress-Repository oder von renommierten Drittanbietern zu installieren. Du solltest stets darauf achten, dass das Plugin regelmäßige Updates erhält und positive Bewertungen hat. Veraltete oder wenig bekannte Plugins können potenzielle Sicherheitslücken enthalten. Ein gutes WordPress Security Plugin kann hierbei unterstützen und Deine Seite vor bekannten Gefahren schützen. Dennoch bleibt die Verantwortung, stets wachsam zu sein und Plugins nur nach sorgfältiger Prüfung zu installieren. Denn Sicherheit im digitalen Raum ist nicht nur eine Technologiefrage, sondern auch eine Frage des bewussten Handelns.

Wie merke ich, ob meine Website gehackt wurde?

Ob Deine WordPress-Website gehackt wurde, erkennst Du an ungewöhnlichen Veränderungen wie neuen unbekannten Inhalten, Links oder Benutzerkonten sowie an einer verlangsamten Ladezeit.

Ein gehacktes WordPress kann sich durch eine Reihe von Signalen bemerkbar machen. Ungewollte Änderungen auf Deiner Website sollten Dich aufmerksam machen. Hierzu zählen beispielsweise neue Beiträge, Seiten oder Links, die ohne Dein Zutun erscheinen. Auch wenn sich ohne ersichtlichen Grund die Ladezeit Deiner Website drastisch verlangsamt oder wenn Dein Webseiten-Traffic unerklärliche Einbrüche erleidet, könnten dies Indizien für eine Kompromittierung sein. Zudem ist es alarmierend, wenn plötzlich unbekannte Benutzerkonten in Deinem WordPress auftauchen. Prüfe regelmäßig Deine Website auf solche Anomalien, um sicherzustellen, dass sie frei von schädlichen Aktivitäten bleibt.

Experten-Tipps für noch mehr Sicherheit

Für mehr WP-Sicherheit: Sichere Dateinamen verwenden

Deine Daten und Dateien sind im WordPress-System sicherer, wenn Du auch beim Vergeben von Dateinamen das Thema WordPress Sicherheit mit einbeziehst. Dazu bieten sich folgende Einzelmaßnahmen:

Keine sensiblen Informationen: Verwende in Dateinamen keine sensiblen Informationen wie Benutzernamen, Passwörter oder andere persönliche Daten.
Keine Duplikate: Benenne Deine Dateien nicht so, wie schon andere Dateien auf deiner Website benannt wurden. Das ist zwar sicherheitstechnisch nicht so wahnsinnig relevant, kann aber zu Verwechslungen oder Problemen führen.

Dateiberechtigungen zur WordPress Sicherheit einstellen

Prüfe die Berechtigungen deiner Dateien und Ordner darauf, dass nur notwendige Benutzer darauf zugreifen können. Generell sollten 777-Berechtigungen möglichst vermieden werden, da diese allen Benutzern die Berechtigung zum Lesen, Beschreiben und Ausführen der jeweiligen Dateien oder Ordner geben.

WordPress hat zudem einen eigenen Code-Editor, mit dem Du Design- und Plugin-Dateien direkt im WordPress Backend bearbeiten kannst. Doch dies ist Fluch und Segen zugleich.

Denn verschafft sich jemand Zugriff zu dieser Funktion, ist das ein handfestes Sicherheitsrisiko. Stell´ die Funktion daher am besten aus. Dazu musst Du den folgenden Code in Deine wp-config.php-Datei einfügen:

1 // Disallow file edit
2 define( ‚DISALLOW_FILE_EDIT‘, true );

Alternativ kannst Du diese Einstellung auch in verschiedenen Sicherheits-Plugins vornehmen.

Ausführung von PHP-Dateien deaktivieren

Ein weiterer Schritt zu mehr WordPress Security liegt im Deaktivieren der Ausführung von PHP-Dateien in bestimmten Verzeichnissen. Wähle dabei die Verzeichnisse aus, die PHP nicht benötigen, zum Beispiel /wp-content/uploads/.

Erstelle dazu eine Text-Datei mit folgendem Code:

1
2 deny from all
3

Diese Datei speicherst Du als .htaccess lädst sie via FTP in die Ordner /wp-content/uploads/ auf Deiner Website. Auch das geht alternativ ohne Code mit einigen WP Security Plugins. Ein hilfreicher Tipp ist es, zusätzlich eine .htpasswd-Datei zu konfigurieren, die zusammen mit der .htaccess-Datei einen zusätzlichen Authentifizierungsschritt schafft. Diese Konfiguration schützt den Zugang zu bestimmten Pfade deiner Website, indem sie Benutzernamen und Passwort abfragt, bevor der Zugang gewährt wird.

WordPress Datenbankpräfix ändern

Standardmäßig verwendet WordPress für alle Tabellen in der Datenbank das Präfix „wp_“. Damit können Hacker relativ leicht den jeweiligen Tabellennamen erraten. Mit einer Änderung hast Du wieder einen Tick mehr WordPress Sicherheit. Der Sicherheitseffekt beim Ändern des Präfix ist jedoch relativ gering. Denn ein Angreifer kann via Backdoor-Zugriff mit einem einfachen vorgeschalteten Befehl den Präfix ermitteln.

Trotzdem schadet es nicht, den Präfix zu ändern. Zumindest die ganz stumpfen Angriffe kannst Du zu verhindern.

Aber: Auch als Programmierer solltest Du hier Vorsicht walten lassen, denn mit solch Anpassungen kannst Du das WordPress System schädigen. Du solltest den Präfix vor allem nur bei einer frischen Installation ändern, weil nachträgliche Anpassungen für die Systemstabilität gefährlich sein können.

Als Nicht-Programmierer kann ich zu derartigen Maßnahmen also nur raten: Lieber Finger weg.

Verzeichnisindizierung und -suche deaktivieren

Hacker können möglicherweise Verzeichnisse Deiner Website durchsuchen, um nach Dateien mit bekannten Schwachstellen zu schauen. Auch das reine Betrachten von Dateien, das Kopieren von Bildern oder ähnlichem ist von Dir vielleicht nicht gewünscht.

Um das zu verhindern, kannst Du die Verzeichnisindizierung und das Durchsuchen von Verzeichnissen deaktivieren.

Über FTP oder einen Dateimanager musst Du dazu erstmal die .htaccess-Datei im Stammverzeichnis Deiner Website finden. Am Ende der .htaccess-Datei ist dann diese Zeile einzufügen:

Options -Indexes

Dann natürlich noch .htaccess-Datei abspeichern und wieder hochzuladen.

XML-RPC deaktivieren

XML-RPC steht für „Extensible Markup Language Remote Procedure Call“ und ist eine Spezifikation für Remote-Aufrufe in Netzwerken über die Auszeichnungssprache XML. Damit hilft es, WordPress Websites mit Web-Apps oder mobilen Apps zu verbinden.

Brute-Force-Angriffe machen sich das gern zunutze. XML-RPC kann gleich mehrere Befehle innerhalb einer HTTP-Anfrage übergeben. Und genau das kann auch für böswillige Absichten eingesetzt werden.

Bestimmte WordPress Plugins basieren zwar auf XML-RPC, aber im Sinne der Sicherheit solltest Du lieber darauf verzichten. Deaktiviere also den Zugriff darauf. Bevor Du das machst, ist aber zu checken, ob XML-RPC überhaupt bei Dir läuft.

Zum Deaktivieren gibt es das Plugin Disable XML-RPC-API.

Fazit – WordPress Sicherheit ist machbar

Kein System ist zu 100 Prozent sicher. Aber Du kannst einiges dafür tun, Deine WordPress Website gegen die verbreitetsten Angriffsmethoden zu wappnen.

Wichtig dabei: WordPress Sicherheit ist kein Kurzzeit-Projekt. Natürlich gilt es, einmal zu Beginn diverse Maßnahmen für WordPress Sicherheit umzusetzen. Wirklich wirksam ist Dein ganzer Schutz jedoch nur, wenn Du WordPress Sicherheit als Dauer-Thema betrachtest.

Sprich, neben einem gründlichen Setup aller Sicherheitsmaßnahmen braucht Deine Website monatliche oder wöchentliche Routinen, die für Updates sorgen, die Systeme beobachten, und eben auch punktuelle Eingriffe beinhalten können.

Als Nicht-Programmierer kannst Du schon einen guten Teil davon abdecken. Im professionellen Einsatz würde ich allerdings immer einen Rundum-Service wie WP-Wartung24 empfehlen. Nicht nur, weil Deine WordPress Sicherheit von Profis hergestellt wird, sondern ganz einfach weil Du Dir auf dem Wege einiges an technischem Gefrickel und Zeit sparst.

Unser Partner für WordPress Support, Updates und Wartung

Leistungen + Preise

The post WordPress Sicherheit verstärken: So machst du Deine Seite sicherer appeared first on UltraPress - Das WordPress Tutorial für Dein Business.

Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website

Thorsten — Tue, 08 May 2018 10:34:23 +0000

Kein Tag vergeht aktuell ohne Meldungen, Berichte und Einschätzungen über die DSGVO (Datenschutz- Grundverordnung). Die DSGVO ist DAS große Thema, das derzeit alle online tätigen Unternehmen verbindet.

Obwohl die Zeit bis zum Inkrafttreten der DSGVO am 25. Mai 2018 nicht mehr lang ist, besteht zunächst einmal kein Grund zur Panik. Für das einzelne Unternehmen stellen sich eine ganze Reihe von Fragen und auch gewisse Grauzonen. So wenden sich derzeit viele unserer Kunden an uns mit der Frage, was sie konkret im Hinblick auf ihre Website tun müssen.

Deshalb möchten wir in diesem Beitrag die 7 wichtigsten Aufgabenfelder erläutern, die Du als Website-Betreiber zu beachten hast, um Deine Website DSGVO-konform zu gestalten. Mit unserem Partner WP-Wartung24 geben wir Dir dazu auch konkrete Angebote zur Unterstützung mit, insbesondere einen DSGVO-Check.

(Dieser Artikel ersetzt keine Rechtsberatung. Wir haben uns intensiv mit den neuen Datenschutzbestimmungen beschäftigt und empfehlen Dir nun Maßnahmen, erheben aber nicht den Anspruch auf Vollständigkeit und Richtigkeit und übernehmen dafür keine Haftung.)

Worum geht es bei der DSGVO überhaupt?

Die Grundverordnung regelt in allen EU-Mitgliedsstaaten den Umgang mit personenbezogenen Daten. Dazu zählen:

Name
Adresse
Email-Adresse
Telefonnummer
Geburtsdatum
Kontodaten
IP-Adressen
Standortdaten
Nutzerverhalten

Nur Daten, die gänzlich anonymisiert werden, gelten nicht mehr als personenbezogen.

Jedes Unternehmen erhebt, verwendet und speichert somit personenbezogene Daten. Auch als Webseitenbetreiber verarbeitest Du solche Daten. Dies erfolgt direkt oder auch indirekt an folgenden Stellen:

WordPress-Kommentarfunktion
Registrierungsmöglichkeiten (Shop, Mitgliederbereiche)
Kontaktformular
Analyse- und Tracking-Tools (Google Analytics, Facebook Pixel)
diverse Plugins

Was kannst Du nun tun, um Deine Website DSGVO-konform zu betreiben? In den folgenden Aufgaben solltest Du Dich am besten von außen nach innen vorarbeiten. Zuerst kümmerst Du Dich um das, was nach außen auf Deiner Website sichtbar ist. Danach erstellst Du alle notwendigen Dokumente und Verzeichnisse.

Aufgabe 1: Mache eine Bestandsaufnahme.

Erstelle eine einfache Tabelle mit allen Informationen zur Datenerhebung auf Deiner Website. Erfasse genau, welche Daten Du direkt erhebst:

Welche Formularfelder fragst Du ab?
Warum fragst Du sie ab?
Welche Felder sind Pflichtfelder? Und informierst Du über diese Erhebung?

Prüfe, welche Tools (Plugins, Newsletter-Systeme,…) auf Deiner Website indirekt Daten erheben.

Sind die Kontaktformulare okay, erfolgt die Kommunikation SSL-verschlüsselt?
Gibt es gegebenenfalls Optin- oder Optout-Möglichkeiten?
Informierst Du schon über diese Erhebung?
Gibt es hinsichtlich Blog-Kommentarfunktion, Emojis, Google Fonts, Youtube-Videos, etc. problematische Bereiche?

Möchtest Du das Durchchecken Deiner Website und die erforderlichen Maßnahmen nicht selbst machen, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.

Zum DSGVO-Check bei WP-Wartung24

Aufgabe 2: Passe Deine Datenschutzerklärung an.

Die Datenschutzerklärung ist das, was am einfachsten zu kontrollieren ist. Deshalb solltest Du hier ein großes Hauptaugenmerk darauf legen. Informiere ausführlich und in leicht verständlicher Sprache darüber, welche Daten Du wo, warum und mit welcher Rechtsgrundlage erhebst.

Lasse Dich im Zweifel von einem Rechtsanwalt oder Datenschützer beraten, oder nutze den Service von eRecht24, die im Premium-Abo einen Generator zur Erstellung einer Datenschutzerklärung anbieten. Prüfe aber auch hier, ob alle Aspekte Deines Unternehmens und Deiner Website berücksichtigt werden.

Aufgabe 3: Sichere Anonymität bei der Datenübertragung.

Formulare

Bietest Du auf Deiner Website ein Kontaktformular an, so informiere direkt am Formular über die Verwendung der Daten und ergänze die Datenschutzerklärung entsprechend. Hör Dir dazu eine sehr interessante Stellungnahme über den DSGVO-konformen Einsatz von Kontaktformulare von Rechtsanwalt Stephan Hansen-Hoest.

Ein weiteres Formular auf Deiner Website ist das Kommentarformular. Hier speichert WordPress die IP-Adressen der Kommentarschreiber. Dies kannst Du zum Beispiel durch ein kleines Plugin Remove IP unterbinden.

Standardmäßig sind die Angabe von Name und Email-Adresse Pflichtangaben bei der Erstellung eines Kommentars. Im Dashboard unter „Einstellungen – Diskussion“ kann diese Voreinstellung deaktiviert werden. Informiere am Kommentarformular klar über die Verwendung der Daten.

SSL-Verschlüsselung

Ohne eine SSL-Verbindung ist keine sichere Datenübertragung möglich. Daher benötigst Du zwingend für Deine Website ein gültiges SSL-Zertifikat, wenn darüber User mit Dir kommunizieren. Dies ist beispielsweise der Fall, wenn Du ein Kontaktformular verwendest. Du erkennst eine sichere und verschlüsselte Website an dem HTTPS in der Adresszeile.

Die Umstellung auf HTTPS, also auf die SSL-Verschlüsselung kannst Du auch direkt über unseren Partner WP-Wartung24 machen lassen.

Zur SSL-Umstellung bei WP-Wartung24

Aufgabe 4: Halte Theme und Plugins DSGVO-konform.

Plugins

Überprüfe Deine installierten Plugins und Widgets auf DSGVO-Konformität, da einige Plugins personenbezogene Daten weitergeben. Kritisch sind Plugins wie Akismet, Gravatar und Jetpack. Setze als Antispam-Schutz lieber auf Antispam Bee, das sich mit den richtigen Einstellungen DSGVO-konform einsetzen lässt.

Gravatare können im Dashboard unter Einstellungen deaktiviert werden.

Eine umfangreiche Liste mit WordPress-Plugins im DSGVO-Check hat Finn Hillebrandt von Blogmojo zusammengestellt.

Eine gute Sicherheitsüberwachung und regelmäßige WordPress- und Plugin-Updates sorgen außerdem für notwendige WordPress Sicherheit. Auch dazu kann ich wieder absolut die Spezialisten von WP-Wartung24 empfehlen.

Ob überhaupt einzelne Plugins bei Dir kritisch sein könnten, wird natürlich auch im DSGVO-Check untersucht.

Cookie Banner

Willst Du nicht mit Deiner Website abgemahnt werden, solltest Du unbedingt einen Cookie-Banner einsetzen und somit auf den Einsatz von Cookies hinweisen. Ausführliche Informationen zu der rechtlichen Seite von Cookies findest Du bei eRecht24. Bitte beachte, dass Dein Cookie-Banner in keinem Fall Deine Links zu Deinen Datenschutz- und Impressums-Seiten überdecken darf.

Aufgabe 5: Stelle Deine Marketing Tools DSGO-konform ein.

Google Analytics

Um das Analyse-Tool Google Analytics datenschutzkonform einsetzen zu können, müssen folgende Punkte umgesetzt werden:

Auftragsverarbeitungsvertrag und Zusatz zur Datenverarbeitung mit Google abschließen
Maskierung der IP-Adresse („anonymizeIP“)
Widerspruchsmöglichkeiten (Opt-out): Deaktivierungs-Add-On und Disabling Tracking bieten. Google gibt dazu hier eine Hilfestellung.
Entsprechende Hinweise in Deiner Datenschutzerklärung
Keine Aktivierung der User-ID

Facebook-Marketing

Verwendest Du den Facebook Pixel ohne erweiterten Abgleich, musst Du darüber detailliert in der Datenschutzerklärung informieren und eine Opt-Out-Möglichkeit bieten. Nutzt Du den Facebook Pixel mit “Custom Audiences”, ist zusätzlich eine Einwilligung, ein Opt-In notwendig. Eine Anleitung für einen rechtssicheren Einsatz bietet der Rechtsanwalt Dr. Schwenke.

Nutzt Du Email-Marketing? Dann müssen diese Prozesse angepasst werden. In den Anmeldeformularen darf nur die Email-Adresse als Pflichtfeld abgefragt werden. Unerlässlich ist das Double-Opt-In-Verfahren, mit dem der Empfänger nach der Anmeldung seine Email-Adresse und den Wunsch, in den Verteiler aufgenommen zu werden, bestätigt.

Informiere direkt am Formular über Inhalt und Versendehäufigkeit Deines Newsletters. Verlinke direkt auf Deine Datenschutzerklärung, in der Du nochmals ausführlich über Deinen Email-Marketing-Prozess informierst.

Aufgabe 6: Erstelle ein Verarbeitungsverzeichnis.

Die DSGVO verlangt von jedem Unternehmen den Nachweis des Datenschutzes. Kernstück ist das Verfahrensverzeichnis all Deiner Verarbeitungstätigkeiten.
Führe hier sämtliche Vorgänge Deines Unternehmens auf, bei denen Du personenbezogene Daten verarbeitest. Dazu gehören folgende Informationen:

Name und Kontakt des Verantwortlichen
Art und Zweck der Verarbeitung
Betroffene Personengruppen und Datenkategorien
Quelle der Daten
Rechtsgrundlage für die Verarbeitung
Interne und externe Empfänger der Daten (mögliche Auftragsverarbeiter)
Vorgesehene Löschfristen der Daten (wenn möglich)
Sicherheitskonzept

Muster für Verfahrensverzeichnisse:

GDD-Praxishilfe DS-GVO V: Verzeichnis von Verarbeitungstätigkeiten

Datenschutzverzeichnis mit Muster von Regina Stoiber

Muster der Activemind AG: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Aufgabe 7: Schließe Auftragsverarbeitungsverträge (AVVs) ab.

Kommt ein Drittanbieter bei der Verarbeitung von personenbezogenen Daten mit ins Spiel, benötigst Du mit diesem Anbieter einen sogenannten Auftragsverarbeitungsvertrag (AVV) , der regelt, wie das Unternehmen die Daten in Deinem Auftrag verarbeitet und schützt.
Beispiele für solche Auftragsverarbeiter sind: Hoster, Newsletter-Dienste, Google Analytics, Affiliate-Programme, Cloud-Dienste.

Eine Liste mit Links zu den AVVs diverser Drittabieter findest Du bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer.

Außerdem findest Du hier dazu Muster:

Bayerisches Landesamt für Datenschutzaufsicht | Muster für einen Auftragsverarbeitungsvertrag

GDD: Mustervertrag zur Auftragsverarbeitung

Unterstützung bei der Analyse und Anpassung Deiner Website

Dies war ein erster Überblick über die 7 wichtigen Maßnahmenblöcke, die Du als Website-Betreiber umsetzen solltest.

Wenn Du das systematische Überprüfen Deiner eigenen Website und die erforderlichen Maßnahmen lieber abgeben möchtest, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.

Zum DSGVO-Check bei WP-Wartung24

The post Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website appeared first on UltraPress - Das WordPress Tutorial für Dein Business.