WordPress Security: Mit diesen 20 Tipps machen Sie Ihre WordPress-Seite noch sicher

Posted on 1. Juli 2019

Lesezeit 8 minuten|Posted on 1. Juli 2019

Rund 35 Prozent aller Websites beruhen heute auf WordPress. Das zieht natürlich viele Hacker an, die sich auf das Hacken von WordPress Seiten spezialisiert haben. Denn Sicherheitslücken in WordPress selbst, in Themes und Plugins ermöglichen so gleich den Zugriff auf viele Seiten. So ist zum Beispiel die Login-Maske von WordPress leicht zu finden – und die Zahl der Nutzer, die den Nutzernamen „admin“ und das Passwort „password“ verwendet, leider nicht gering.



Du kommt hier net rein! Mit unseren 20 Tipps zur WordPress Security sichern Sie Ihre WordPress Seite vor Hackern
Du kommt hier net rein! Mit unseren 20 Tipps zur WordPress Security sichern Sie Ihre WordPress Seite vor Hackern

In diesem Artikel verraten wir Ihnen 20 Tipps, mit denen Sie sich vor Hackern und unbefugten Zugriffen auf das Backend Ihrer WordPress Seite schützen können. Wir verraten Ihnen dabei Profi-Tricks für Ihre WordPress Security, die Sie auch ohne Coding-Erfahrung umsetzen können. Das bedeutet, dass Sie mitunter auch Veränderungen im Code der einzelnen Dateien vornehmen werden. Das ist aber leichter, als es klingt, denn wir verraten Ihnen Schritt für Schritt, wie Sie dabei vorgehen.


Wichtig: Führen Sie unbedingt ein WordPress Backup durch, bevor Sie die folgenden Änderungen durchführen. Bei einigen Punkten werden Sie nämlich Änderungen in wichtigen WordPress-Dateien wie functions.php oder .htaccess vornehmen oder per Plugin Änderungen vornehmen. Dabei sollte zwar nichts schiefgehen – wenn aber doch, sind Sie auf der sicheren Seite und können einfach Ihre Website auf dem alten Stand wieder herstellen.


Hier nun also unsere 20 Tipps:

1. Verwenden Sie einen sicheren Benutzernamen

„Admin“, „Administrator“ oder der Name aus dem Impressum – mit diesen drei Versuchen haben wir bereits die Nutzernamen vieler Websites erraten. Das können auch Hacker – und erhöhen damit deutlich die Wahrscheinlichkeit, sich Zugang zu den entsprechenden Seiten zu verschaffen.

Verwenden Sie darum unbedingt einen sicheren Benutzernamen, den Angreifer nicht ohne Weiteres erraten können.

Einen bestehenden Nutzernamen für den Administrator ändern Sie, indem Sie einen neuen Admin-Account anlegen. Loggen Sie sich dazu ins Backend Ihrer WordPress-Seite ein. Klicken Sie im Anschluss auf die Menüpunkte Benutzer – Neu hinzufügen und wählen Sie sie einen sicheren Benutzernamen aus.


Legen Sie einen neuen Admin-Account an


Weisen Sie ihm die Rolle „Administrator“ zu und klicken Sie auf den Button mit der Aufschrift „Neuen Benutzer hinzufügen“.

Loggen Sie sich im Anschluss mit dem neuen Admin-Account in Ihr WordPress-Backend ein, wählen Sie die Menüpunkte Benutzer – Alle Benutzer aus und löschen Sie den alten Account über das Löschen-Schaltfeld. Dieses ist zwar zunächst ausgeblendet, wird Ihnen aber angezeigt, wenn Sie mit dem Mauszeiger über den Account fahren.

2. Verwenden Sie ein sicheres Passwort für Ihren WordPress-Login

Bei WordPress ein unsicheres Passwort zu verwenden ist in etwa so, als würden Sie Ihren Haustürschlüssel unter der Fußmatte verwenden: In der Regel geht nichts schief und sie kommen immer gut ins Haus – aber wenn ein Einbrecher vorbeikommt, hat er es sehr leicht.

Und wirklich viele Leute verwenden einfache Passwörter.

Die häufigsten Versuche, WordPress-Seiten zu hacken, laufen daher über Passwörter. Hacker probieren in so genannten Brute Force-Attacken, sich mit gewöhnlichen Passwörtern wie „passwort“ oder „1234“ automatisch in verschiedene Accounts einzuloggen. Außerdem gibt es Passwort-Generatoren, die Ihre Seite mit zufälligen Zahlen- und Buchstabenfolgen angreifen – bei kurzen Passwörtern sind die Möglichkeiten hier schließlich begrenzt.

Um ein sicheres Passwort zu generieren, empfehlen wir Ihnen den Passwort-Generator von LastPass [Link on „Passwort-Generator von LastPass“ to https://www.lastpass.com/de/password-generator]. Passwörter speichern Sie am besten in einer Passwort-Datenbank. Eine solche bietet zum Beispiel Kaspersky an. Eine kostenlose Software zur Passwortverwaltung finden Sie bei KeePass.


Der Passwort-Generator von LastPass: Wählen Sie Passwortlänge und weitere Funktionen aus und generieren Sie ein sicheres Passwort.



Alternativ können Sie ein sicheres Passwort auch selbständig aus den Anfangsbuchstaben eines Satzes bilden: „Meine Oma fährt im Hühnerstall Motorrad“ wäre dann also „mofihm“ oder „MOfiHM“, wenn Sie Groß- und Kleinbuchstaben verwenden möchten.

Im Idealfall verwenden Sie ein längeres Passwort, das auch Satzzeichen und Zahlen umfasst, also zum Beispiel: „Unsere Hühner legen jeden Tag 6 Eier in ihr Nest.“; dieser Satz wird dann zum Passwort „UhljT6EiiN.“ einschließlich des Punktes am Ende.

So ein Passwort können Sie sich gut merken; die Buchstaben sind aber trotzdem scheinbar zufällig und damit in dieser Länge und Kombination sehr sicher.

3. Verwenden Sie sichere Passwörter auch für andere Zugänge

Das Passwort für Ihren WP-Login ist aber nicht das einzige Passwort, das Sie auf Ihrer Seite verwenden. Zusätzlich umfasst Ihre WordPress-Seite ein Passwort für die Datenbank. Darüber hinaus haben Sie ein Passwort für den FTP-Account, also den Zugriff auf den Server, auf dem Sie WordPress installiert haben. Zusätzlich verfügen Sie über ein Passwort für Ihren Hosting Account, also den Betreiber des Servers und verwenden auch noch eine E-Mail-Adresse, die mit Ihrer WordPress Seite verbunden ist – diese ist ebenfalls über ein Passwort geschützt.

Verwenden Sie sichere Passwörter für alle diese Logins. Alternativ haben Hacker die Möglichkeit, sich gezielt Zugang zu verschaffen. Zum Beispiel können sie über die „Passwort vergessen“-Funktion über die Login-Maske ein neues Passwort an Ihre E-Mail-Adresse schicken lassen. Wenn sie sich dann in Ihr E-Mail-Postfach einloggen können, ist der Rest ein Kinderspiel.

4. Definieren Sie Benutzerrollen für andere Benutzer

Geben Sie Ihr Admin-Passwort nicht unnötig weiter.

Agenturen oder Mitarbeiter, die mit Ihrer WordPress-Seite arbeiten, benötigen dafür ein Passwort. Richten Sie darum verschiedene Benutzerrollen für verschiedene Benutzer ein. So können Gastautoren zum Beispiel die Rolle eines Autors bekommen. Damit können Sie eigene Beiträge einstellen, bearbeiten und veröffentlichen, aber an der Seite selbst keine substantiellen Änderungen vornehmen.

5. Beschränken Sie die Zahl der Login-Versuche

Normalerweise ermöglicht WordPress eine unbegrenzte Zahl an Login-Versuchen. Besonders Angriffe, die Botnets nutzen, spielen automatisiert verschiedene beliebte Passwörter für Ihre Seite durch. Die Angreifer täuschen dabei vor, dass die Logins aus verschiedenen Quellen stammen.

Mit Plugins wie Limit Login Attempts Reloaded beugen Sie solchen Angriffen vor. Wenn Sie Hilfe beim Installieren des Plugins benötigen, lesen Sie unsere Anleitung zur Plugin-Installation auf WordPress.

Wenn Sie das Plugin installiert haben, können Sie in Ihrem WordPress Dashboard über die Menüpunkte Einstellungen – Limit Login Attempts das Plugin einrichten.

Stellen Sie hier zum Beispiel ein, wie viele Login-Versuche Sie nacheinander ermöglichen möchten und wie lang der Nutzer nach gescheiterten Versuchen für weitere Logins gesperrt wird.


Diese Einstellungen ermöglicht Ihnen das Plugin Limit Login Attempts Reloaded



Dabei ist 3 oder 4 ein guter Richtwert für die Login-Versuche – 1 wäre etwas riskant, denn dann sperren Sie sich selbst für eine bestimmte Zeit aus Ihrer Seite aus, wenn Sie sich beim Login nur einmal verschreiben.

Außerdem können Sie sich ein Login-Protokoll an Ihre E-Mail-Adresse schicken lassen. Das bedeutet, dass Sie eine E-Mail-Nachricht bekommen, wenn jemand mehrfach versucht hat, sich einzuloggen und dabei das Limit der erlaubten Versuche erreicht hat.

Eine Alternative zu Limit Login Attempts Reloaded bietet zum Beispiel das Login LockDown-Plugin.

6. Verstecken Sie Ihre Login-Seite

Mit dem Plugin Lockdown WP Admin verstecken Sie Ihre Login-Seite. Diese wird üblicherweise als wp-login.php an Ihre Domain angehängt. Im Beispiel könnte das also folgendermaßen aussehen:

Ihre Domain lautet www.whiskeyyoga.de.

Den WordPress-Login finden Sie dann üblicherweise unter www.whiskeyyoga.de/wp-login.php.


Geben Sie Ihren neue Login-URL in das weiße Feld ein



Und genau diese Seite verstecken Sie mit dem Plugin.

Gehen Sie dazu folgendermaßen vor:

  1. Installieren und aktivieren Sie das Lockdown WP Admin-Plugin. Mehr zur Plugin-Installation erfahren Sie in unserer Anleitung.
  2. Wählen Sie in der Menüleiste das Lockdown WP Admin Plugin aus.
  3. Geben Sie unter „WordPress Login URL“ den Namen der neuen Login-Seite in das weiße Feld ein. Zum Beispiel können Sie hier „eingang“ oder „geheimtuer“ eingeben (aber natürlich auch alles anderen Begriffe.

7. Deaktivieren Sie die Login-Fehlermeldungen

Ist Ihnen schon einmal aufgefallen, was passiert, wenn Sie beim WordPress-Login das falsche Passwort eingeben?

WordPress zeigt Ihnen dann folgende Fehlermeldung an:


Diese Fehlermeldung gibt WordPress nach gescheitertem Login aus – und verrät damit leider, dass der Benutzername korrekt war.



„FEHLER: Das Passwort, das du für den Benutzernamen ### eingegeben hast, ist nicht korrekt.“

Mit anderen Worten gibt WordPress damit bekannt, dass der Benutzername korrekt war. Diese Information ist dann gefährlich, wenn Sie in die Hände von Hackern fällt. Diese wissen dann nämlich Bescheid, dass sie nur noch das richtige Passwort finden müssen. Das ist wesentlich leichter, als die richtige Benutzername-Passwort-Kombination ermitteln zu müssen.

Um die Login-Fehlermeldung abzuschalten, öffnen Sie die functions.php-Datei Ihres WP-Themes.

Das können Sie zum einen tun, indem Sie die Datei über Ihren FTP-Zugang verändern.

Alternativ – und wesentlich einfacher – können Sie diese Datei aber einfach über WordPress selbst öffnen.

Gehen Sie dazu in der Menüleiste auf Design und im Anschluss auf den Menüpunkt Theme-Editor. Wählen Sie rechts in der Leiste „Theme-Dateien“ die Datei „Theme-Funktionen (functions.php)“ aus.


Fügen Sie nun die folgende Zeile in dieses Dokument ein:

add_filter('login_errors', create_function('$a', "return null;"));

Achten Sie dabei lediglich darauf, keine Code-Abschnitte zu unterbrechen. Am Besten fügen Sie die Zeile einfach oben in das Dokument ein – dann gibt es keine Probleme. In der Datei sieht das dann folgendermaßen aus:

Klicken Sie im Anschluss unbedingt unten auf der Seite auf „Datei aktualisieren“, um die Änderungen zu speichern.


Übrigens: Diesen Umweg können Sie sich sparen, wenn Sie das Limit Login Attempts Reloaded-Plugin aus Schritt 5 installiert und aktiviert haben. Bei einem gescheiterten Login bekommen Sie dann nämlich folgende Meldung:

Die Nachricht „FEHLER: Falscher Nutzername oder Passwort“ verrät nämlich nicht, ob der Nutzername, das Passwort oder beide Angaben falsch waren. Wenn Sie das Plugin also ohnehin bereits installiert haben, können Sie sich das Abschalten der Fehlermeldung beim Login über die functions.php-Datei getrost sparen.

8. Entfernen Sie die Angabe zur WordPress-Version aus Ihrem Quelltext

Leider gibt WordPress im Quelltext an, welche WP-Version Sie nutzen.

Das ermöglicht es Hackern, gezielt nach Schwachstellen dieser Version zu suchen. Denn nicht immer ist Ihr WordPress auf dem neuesten Stand – und jede WordPress-Version hat Schwachstellen. Diese wurden dann meist in späteren Versionen korrigiert; schlecht, wenn Sie eine ältere Version nutzen und diese Lücken bekannt sind.

Dazu fügen Sie die folgende Zeile in Ihre functions.php-Datei ein:

remove_action('wp_head', wp_generator');

Dabei gehen Sie identisch vor wie bei Tipp 7, nur dass Sie diesmal eine Zeile mit anderem Inhalt einfügen. Im Idealfall fügen Sie die Zeilen einfach nacheinander ein.


Kontrollieren Sie außerdem, ob in der header.php-Datei der folgende Meta-Tag zu finden ist (das ist vor allem bei älteren Themes der Fall):

“ name=generator“ />

Wenn ja, entfernen Sie diese Zeile und klicken Sie im Anschluss auf „Datei aktualisieren“.

Die Datei header.php finden Sie ebenfalls über Design – Theme Editor in Ihrem WordPress-Backend. Scrollen Sie dazu einfach rechts durch die Leiste mit den „Theme-Dateien“ und wählen Sie die Datei „Theme Header (header.php)“ aus.

Danken Sie auch hier daran, die Änderungen über den „Datei aktualisieren“-Button zu speichern.

9. Verhindern Sie den Zugriff auf Ihre wp-config.php-Datei

In der wp-config.php-Datei befinden sich kritische Informationen, die die Installation und vor allem die Datenbank betreffen. Es ist wichtig, dass niemand über den Browser auf diese Datei zugreifen kann, sondern einzig Sie über den FTP-Zugang.

Fügen Sie dazu den folgenden Code in die .htaccess-Datei ein:

<FilesMatch ^wp-config.php$deny from all</FilesMatch>

10. Schützen Sie Ihre Ordner vor Zugriffen von der Website

Es ist ärgerlich, wenn sich jemand unberechtigt Zugang zu Ihrer Seite verschafft. Da ist es gut, wenn der Hacker keinen Zugriff auf Ihre Ordner hat. Besonders die Ordner wp-content und wp-includes können Daten enthalten, die nicht für fremde Augen bestimmt sind. Gerade Hacker können in den Theme- und Plugin-Dateien Lücken entdecken, um weiter in Ihre Seite vorzudringen und noch größeren Schaden anzurichten.


Die einfachste Variante, das zu verhindern, besteht darin, in der .htaccess-Datei die Zeile Options all -Indexes hinzuzufügen.


Loggen Sie sich dazu über Ihren FTP-Zugang in Ihren Server ein, laden Sie die Datei herunter, verändern Sie sie im Editor und laden Sie sie wieder hoch.

Das hat zur Folge, dass Sie nur noch über den FPT-Zugang, aber nicht mehr über das WordPress-Backend auf Ihre Ordner zugreifen können.

11. Ändern Sie das Präfix Ihrer Datenbank

Die Datenbank ist ein wichtiger Bestandteil Ihrer WordPress-Seite. Darum sollten Sie auch Ihre Datenbank zusätzlich schützen.

Das geht am einfachsten, indem Sie das Präfix Ihrer Datenbank ändern. Standardmäßig verwendet WordPress hier nämlich das Präfix wp_. Das wissen auch Hacker und können darum über sogenannte SQL-Injektionen Ihre Datenbank gezielt angreifen. Das erschweren Sie, indem Sie einfach das Präfix der Datenbank ändern.

Das Ändern des Präfixes geht am Einfachsten vor der Installation von WordPress. Verändern Sie dazu das Präfix in der wp-config.php-Datei.

Diese sieht standardmäßig so aus:

$table_prefix = 'wp_';

Ändern Sie das Präfix einfach um, zum Beispiel in „wpneu“ oder „wp“ plus Ihre Initialen oder in eine gänzlich andere Kombination. Wichtig ist dabei nur, dass Sie ausschließlich Zahlen, Kleinbuchstaben oder Unterstriche verwenden.

Wenn Sie WordPress und Ihre Datenbank im Anschluss an die Datenbank installieren, werden alle entsprechenden Dateien mit dem neuen Präfix erzeugt.

Na toll, werden Sie jetzt vermutlich denken, denn vermutlich haben Sie WordPress bereits installiert. Das ist aber auch kein Problem. Tatsächlich wäre es sehr aufwendig, das Tabellenpräfix händisch zu ändern.

Das Schöne an WordPress ist: für wie so Vieles gibt es auch dafür Plugins, zum Beispiel den WP Prefix Changer.

Installieren

Wählen Sie im Anschluss in Ihrem WordPress Backend die Menüpunkte Einstellungen – Change Tables Prefix aus.

Die Bedienung der Plugin-Funktion ist dann denkbar einfach: Überlegen Sie sich ein neues Präfix und fügen Sie dieses in das weiße Feld ein. Klicken Sie im Anschluss auf den „Änderungen speichern-Button“. Das „wp_“-Präfix wird dann in allen Dateien durch das neue Präfix ersetzt.


Geben Sie ein neues Präfix in das vorgegebene Feld ein und klicken Sie auf „Änderungen speichern“


Ein alternatives Plugin für das Ändern des Tabellenpräfixes ist Brozzme DB Prefix.

12. Loggen Sie inaktive Benutzer automatisch aus Ihrer Seite aus

Inaktive Benutzer sollten nach einem definierten Zeitraum aus Ihrer Seite ausgeloggt werden. Das klingt zunächst banal, kann aber andernfalls im schlimmsten Fall viel Ärger nach sich ziehen. Denn jeder von uns vergisst manchmal, sich aus Websites auszuloggen und klickt stattdessen nur auf das Kreuz oben rechts im Browser und schließt damit alle Tabs. Das Problem daran: die Logins bleiben weiter aktiv.


Hasta la vista, baby! Loggen Sie inaktive Nutzer per Plugin automatisch aus Ihrer Seite aus.
Quelle: pixabay.com


Ob die Putzfrau nach Feierabend, der Einbrecher am Firmenrechner oder der folgende Nutzer an einem öffentlichen Rechner: Wenn aktive Logins von den falschen Personen bemerkt werden, können sie viel Schaden anrichten.

Mit Plugins wie Inactive Logout loggen Sie inaktive Nutzer darum nach einer von Ihnen definierten Zeit automatisch aus.

13. Verwenden Sie nur professionelle Themes und Plugins

Potentiell stellt jedes Theme und jedes Plugin ein potentielles Einfallstor für Hackerangriffe dar. Verwenden Sie daher nur Themes und Plugins, denen Sie vertrauen.

Eine gute Orientierung dafür können die Bewertungen der Themes und Plugins auf wordpress.org sein. Auf der rechten Seite sehen Sie dann wichtige Angaben und Nutzerbewertungen.


Die Bewertung eines Plugins auf der Seite wordpress.org


Achten Sie vor allem darauf, dass das Plugin vor kurzer Zeit geupdatet wurde und bis zur aktuellen WordPress-Version getestet wurde. Eine hohe Zahl an Nutzern bzw. aktiven Installationen erhöht die Wahrscheinlichkeit, dass das Theme oder Plugin auch in Zukunft weiterentwickelt wird.

14. Entfernen Sie Themes und Plugins, die Sie nicht mehr benötigen

Noch einmal: potentiell dient jedes Theme und Plugin als Einfallstor für Hacker. Solange Sie hier auf seriöse Lösungen zurückgreifen, ist das kein Grund zur Panik. Sie müssen also nicht auf die Installation von Themes und Plugins verzichten, wenn Sie diese benötigen.

Trotzdem entfernen Sie idealerweise deaktivierte Themes und Plugins – gewissermaßen als Vorsichtsmaßnahme für alle Fälle. Das macht Ihr Backend nicht nur sauberer, sondern auch sicherer.

15. Bei komplexeren Websites: Behalten Sie die Audit-Logs im Bdivck

Auf WordPress-Seiten mit vielen Benutzern sollten Sie als Admin immer alle wichtigen Prozesse im Blick behalten. Mit Plugins wie User Activity Log oder WP Security Audit Log haben Sie immer eine Übersicht darüber, welche Änderungen die einzelnen Benutzer an der Seite vornehmen. Außerdem erhalten Sie Reports und E-Mails über die Aktivitäten der einzelnen Benutzer.

Wenn Sie nur zwei Mitarbeiter mit Zugängen haben, denen Sie vertrauen, benötigen Sie dieses Plugin nicht unbedingt.

Wenn aber 20 oder mehr Leute an Ihrer Seite arbeiten und Sie vielleicht nicht einmal alle persönlich kennen, ist diese Übersicht sehr wertvoll und kann vor bösen Überraschungen bewahren.

16. Erstellen Sie regelmäßig Backups

Es gibt viele Gründe für das Erstellen regelmäßiger Backups – und zwei aus Gründen der WordPress Sicherheit.

Zum einen sollten Sie ein WordPress Backup durchführen, bevor Sie die Änderungen an Ihrer WordPress-Seite durchführen, die wir Ihnen in diesem Kapitel empfehlen.

Zum anderen sind Sie mit regelmäßigen Backups auf der sicheren Seite, wenn Ihre Seite doch einmal gehackt werden sollte. Denn Hacker verändern gerne die Bilder auf der Seite – vor ein paar Jahren waren zum Beispiel auf der Seite von Lenovo statt chicen PCS nur Bilder von gelangweilten Teenagern zu sehen. Blöd gelaufen.

In solchen Fällen ist es gut, wenn Sie über ein Backup der Seite verfügen, so dass Sie die Seite vor dem Hack schnell wiederherstellen können.

17. Updaten Sie WordPress regelmäßig

Verwenden Sie nach Möglichkeit stets die neuesten Versionen von WordPress. Warum? Weil Sicherheitslücken laufend ausgebessert und in den neuen Versionen geschlossen werden.


Mehr zum Thema WordPress Updates erfahren Sie in unserer Anleitung.


Übrigens: Das regelmäßige Updaten gilt auch für Themes und Plugins (vgl. Tipp 13 und 14).

18. Richten Sie eine sichere SSL-/TLS-Verbindung ein

Vermutlich haben Sie zumindest den Namen SSL schon einmal gehört. Hinter dem Namen SSL (Secure Sockets Layer) verbirgt sich ein Protokoll zur verschlüsselten und damit sicheren Übertragung von Daten im Internet. Mittlerweile ist SSL als TLS (Transport Layer Security) bekannt. Aktuellere Versionen von SSL heißen also nun TLS – und sind aufgrund des fortgeschrittenen Entwicklungsstandes noch sicherer.

Wenn Sie SSL/TLS nutzen, läuft Ihre Website nicht mehr über die bekannte „http://“-Verbindung, sondern über „https://“.

Sofern SSL/TLS auf Ihrem Server eingerichtet ist, fügen Sie in die wp-config.php-Datei die folgenden Zeilen ein:

define('FORCE_SSL', true);
define('FORCE_SSL_ADMIN', true);

Die wp-config.php-Datei finden Sie über Ihren FTP-Zugang auf dem Server.

19. SFTP statt FTP: Achten Sie auf eine sichere Cdivent-Server-Verbindung

Klassischerweise laden Sie Daten per FTP (File Transfer Protocol) auf Ihren Server (und umgekehrt von Ihrem Server auf Ihren Rechner). Benutzernamen und Kennwörter werden dabei jedoch unverschlüsselt übertragen, so dass sich Unbefugte leicht Zugriff verschaffen können. Auch können die Daten bei der Übertragung leicht abgezweigt werden.

Dennoch wird FTP heutzutage noch immer von vielen Nutzern verwendet. Und auch wir haben in diesem Text immer wieder geschrieben, dass Sie über FTP auf Ihre .htaccess-Datei zugreifen sollen – einfach, weil diese Art der Client-Server-Verbindung heute in vielen Fällen noch üblich ist.

Die sicherere Alternative zu FTP heißt SFTP. Das bedeutet – wenig überraschend – Secure File Transfer Protocol. Die Datenübertragung ist dabei sicher, so dass Benutzername und Passwörter geschützt sind und die Daten nicht abgezweigt werden können.

20. Nutzen Sie einen sicheren Hosting-Anbieter

Die besten Sicherheitsvorkehrungen nützen Ihnen wenig, wenn Ihre Website bei Ihrem Hoster nicht sicher ist.

Ein guter Hosting-Anbieter für Ihre WordPress-Seite sollte in puncto WP Security…

  • sichere und verschlüsselte Verbindungen anbieten (SFTP und SSL/TLS, siehe Tipp 18 und 19)
  • über eine Web-Firewall verfügen
  • regelmäßige Malware-Scans durchführen
  • automatische Updates durchführen
  • aktuelle Versionen von PHP und MySQL unterstützen (WordPress basiert auf PHP, die Datenbank auf MySQL)
  • persönlichen Support bei Problemen anbieten


Absolute Sicherheit gibt es nie – das können auch wir Ihnen leider nicht versprechen. Wenn Sie die Tipps in diesem Beitrag beherzigen, wird Ihre WordPress-Seite aber um einiges sicherer sein. Gerade einfache Tipps wie das Verwenden sicherer Nutzernamen und Passwörter verbessern die Sicherheit Ihrer Website bereits erheblich.


Wenn Sie Ihre WordPress Security lieber Profis überlassen möchten, setzen wir diese und weitere Maßnahmen gerne für Sie um – nehmen Sie einfach Kontakt mit uns auf!