<p>WordPress ist das am häufigsten angegriffene CMS im Internet. Diese Schritte reduzieren das Risiko, dass Ihre Website gehackt wird, erheblich.</p> <p><strong>1. Alles aktuell halten</strong></p> <p>Führen Sie stets die neueste Version von WordPress Core, allen Plugins und Ihrem Theme aus. Veraltete Software mit bekannten Sicherheitslücken ist der häufigste Grund, warum Websites gehackt werden. Weitere Informationen finden Sie im Update-Leitfaden in dieser Wissensdatenbank.</p> <p><strong>2. Starke Passwörter verwenden und den Admin-Benutzernamen ändern</strong></p> <ul> <li>Verwenden Sie niemals den Benutzernamen <strong>admin</strong> – er ist der erste, den Angreifer ausprobieren</li> <li>Erstellen Sie ein neues Administratorkonto mit einem eindeutigen Benutzernamen und löschen Sie anschließend das alte <em>admin</em>-Konto</li> <li>Verwenden Sie ein Passwort mit mindestens 16 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen</li> </ul> <p><strong>3. Ein Sicherheits-Plugin installieren</strong></p> <p>Ein Sicherheits-Plugin überwacht Ihre Website und blockiert Angriffe. Gute kostenlose Optionen:</p> <ul> <li><strong>Wordfence Security</strong> – Firewall, Malware-Scanner, Anmeldeschutz</li> <li><strong>Sucuri Security</strong> – Sicherheitshärtung, Aktivitätsüberwachung</li> </ul> <p><strong>4. Anmeldeversuche begrenzen</strong></p> <p>Standardmäßig erlaubt WordPress unbegrenzte Anmeldeversuche. Brute-Force-Bots nutzen dies aus. Installieren Sie <strong>Limit Login Attempts Reloaded</strong> oder verwenden Sie die in Wordfence integrierte Funktion, um IP-Adressen nach einer festgelegten Anzahl fehlgeschlagener Versuche zu sperren.</p> <p><strong>5. Zwei-Faktor-Authentifizierung aktivieren</strong></p> <p>Fügen Sie Ihrer Anmeldung eine zweite Sicherheitsebene hinzu. Das <strong>WP 2FA</strong>-Plugin ist einfach einzurichten und unterstützt Authentifizierungs-Apps.</p> <p><strong>6. XML-RPC deaktivieren, wenn nicht benötigt</strong></p> <p>XML-RPC ist eine veraltete Funktion zur Remote-Veröffentlichung, die häufig für Brute-Force-Angriffe missbraucht wird. Wenn Sie keine Apps wie JetPack verwenden, die diese Funktion benötigen, deaktivieren Sie sie, indem Sie Folgendes zu Ihrer <strong>.htaccess</strong> hinzufügen:</p> <p><strong><Files xmlrpc.php><br /> Order Deny,Allow<br /> Deny from all<br /> </Files></strong></p> <p><strong>7. Korrekte Dateiberechtigungen festlegen</strong></p> <p>Korrekte Berechtigungen verhindern unbefugten Dateizugriff:</p> <ul> <li>Ordner: <strong>755</strong></li> <li>Dateien: <strong>644</strong></li> <li>wp-config.php: <strong>600</strong></li> </ul> <p>Sie können Berechtigungen im cPanel-Dateimanager festlegen, indem Sie mit der rechten Maustaste auf eine Datei oder einen Ordner klicken und <strong>Berechtigungen ändern</strong> auswählen.</p> <p><strong>8. Regelmäßige Backups erstellen</strong></p> <p>Selbst bei allen Vorsichtsmaßnahmen sollten Sie einen Backup-Plan haben. Verwenden Sie cPanel <strong>Backup</strong>, um wöchentliche Backups herunterzuladen, oder installieren Sie ein Plugin wie <strong>UpdraftPlus</strong>, um Backups automatisch in einem Cloud-Speicher zu sichern.</p>