Yvonne Hensgen | Yvonne Hensgen

WordPress sicher einrichten, Teil 2

von Yvonne Hensgen | 16.06.2025 | Systemcheck

Falls du Teil 1 suchst, der ist hier:
https://yhensgen.de/systemcheck/wordpress-sicher-einrichten/

Wenn du erst einmal in aller Ruhe das hier lesen willst, kein Problem. Am Ende des Betrags findest du diesen Link nochmals.

2% der Plugins und Themes sind für 99% der Sicherheitslücken verantwortlich

Als ich das las, musste ich erst mal schlucken. Eine so kleine Anzahl von Plugins und Themes ist für den Großteil der Sicherheitslücken in WordPress verantwortlich.
Quelle: „2022 WordPress Vulnerability Annual Report“ von SolidWP, du findest den Bericht über diesen Link: https://solidwp.com/blog/the-2022-wordpress-vulnerability-annual-report/

In großer Schrift steht dort der wichtige Hinweis dabei:
„Select plugins and themes carefully — and keep them updated!“

Die Mehrheit der über 70.000 verfügbaren Plugins und Themes ist sicher oder wird aktiv gepflegt. Jedoch gibt es einige, die entweder schlecht gewartet werden, unsauber programmiert sind oder veraltete Drittanbieter-Bibliotheken nutzen.
Es gibt keine offizielle Liste der „schlechtesten“ Plugins, da sich Sicherheitslücken ständig ändern. Allerdings berichten Sicherheitsdienste wie Patchstack, Wordfence und WPScan regelmäßig über aktuelle Schwachstellen.

Natürlich gibt es Plugins, die eher betroffen sein können. Hast du solche „Branchenriesen“ wie WooCommerce (über 5 Millionen Installationen), All In One SEO (über 3 Millionen Installationen) oder Ninja Forms (über 1 Million Installationen) ist die Gefahr natürlich höher, Angriffen ausgesetzt zu sein.
Bitte beachte, dass die Nennung dieser Plugins und Themes nicht bedeutet, dass sie derzeit unsicher sind. Viele Entwickler reagieren schnell auf Sicherheitsberichte und veröffentlichen zeitnah Updates. Aber je verbreiteter ein Plugin ist, umso anziehender ist es für Angreifer.

Das bringt uns direkt zu einer der wichtigsten Sicherheitsmaßnahmen:

Updates sind ein Muss!

Ich weiß, es gibt einige, die Updates für überflüssig halten. Wenn du das auf deinem Rechner so hältst und wild im Internet rumsurfst, dein Pech, wenn was passiert. So lange du nicht zur Virenschleuder wirst.

Und genau hier sind wir an einem wichtigen Punkt:
Wenn du eine Website betreibst, sei sie noch so winzig und nischig, ist es DEINE Verantwortung, diese möglichst sauber zu halten. Allerspätestens wenn du mit Kundendaten herumhantierst, ist es sogar deine gesetzliche Pflicht, deine Systeme aktuell zu halten.

Im DSGVO werden sogar Bußgelder genannt, wenn du dich nicht kümmerst:
Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen technische und organisatorische Maßnahmen (z. B. veraltete Software, fehlende Sicherheitsupdates).
Bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes, wenn zusätzlich gegen Grundprinzipien der Datenverarbeitung oder Betroffenenrechte verstoßen wird (z. B. unzureichende Sicherheit, Datenleck, keine Meldung).
Werden veraltete Systeme verwendet, gilt das oft als grobe Fahrlässigkeit.

Hier findest du mehr Informationen:
https://dsgvo-gesetz.de/art-83-dsgvo/

Kurz:
Veraltete Systeme sind nicht nur ein Risiko, sie sind ein rechtliches Pulverfass. Wer Kundendaten verarbeitet, ist verpflichtet, Systeme aktuell und sicher zu halten. Updates sind kein „Nice to have“, sondern gesetzliche Pflicht!

Plugins auswählen – Praxis-Check

Nur über das offizielle WordPress-Verzeichnis herunterladen
(Ausnahme: Divi / Elegant Themes, da vertrauenswürdiger Entwickler und im Einsatz)
Letztes Update nicht älter als 6 Monate
(je nach Plugin-Typ auch strenger, z. B. bei sicherheitsrelevanten Tools)
Bewertungen & aktive Installationen anschauen, mögliche Tendenzen beachten
(wie bei Smartphone-Apps…)
Beschreibung lesen!
Wenn der Eindruck entsteht: „Nur Schnupperversion, alles Wichtige kostet oder muss extern bezogen werden“, dann lass es besser.
Du brauchst es nicht wirklich? Verwendest es nicht? Runter damit.
Testen, prüfen, entfernen:
Funktioniert das Plugin nicht wie gewünscht oder ist es unnötig komplex, dann besser deaktivieren & löschen.

Hier, wie versprochen, nochmal der Link zu Teil 1. Dort geht es um mehr als nur Plugins, sondern auch um grundlegende Sicherheitsvorkehrungen wie den Login vor Bots verstecken, Angriffsversuche von Bots vermindern usw.

https://yhensgen.de/systemcheck/wordpress-sicher-einrichten/

Kunst braucht kein Männsch!

von Yvonne Hensgen | 15.06.2025 | Bin ich ein Alien?

„Kunst ist total überflüssig. Da ist nur was für die da oben!“

„Sicher?“

„Ja, klar. Kunst braucht kein Männsch!“

„Aber du hörst doch Musik?“

„Joah, normal, oder?“

„Ist das keine Kunstform?“

„Das ist Mucke.“

…

Alles klar, ein typischer Homo sapiens sapiens.
Wer erklärt’s ihm? Ich habe keinen Nerv mehr auf solche Leute.

Windows, ich schicke dich in Rente

von Yvonne Hensgen | 14.06.2025 | Hinter den Kulissen

Manche Menschen schreiben Tagebuch, ich schreibe Betriebssystem-Chroniken. Oder zumindest sowas in der Art.

Microsoft, unsere gemeinsame Geschichte begann vor vielen Jahren mit IBM OS/2 und Windows 3.1, aber bei Windows 11 ist jetzt Ende. Ich will nicht mehr, weil ich dieses Rumgezicke deiner Diva (warum gibt’s das nicht als männliche Form? Divo? Diver? 😉 ) einfach nicht mitmachen will.

Die Ära der Sympathie

IBM OS/2 und Windows 3.1/3.11:
Hallo, du schöne neue Welt, die nicht mehr nur aus BASIC besteht! Was bietet ihr? Fenster? Icons? Verschiedene Schriftarten? Klickeldiklick?
Oh, super, ich mag euch!
Windows NT:
Na, du? Läufst schön brav bei all den Firmen und sogar auf Privatrechnern. Braves Betriebssystem, zumindest meistens. Dich mag ich auch!
Windows 95:
Oh, guck! Vertraut und neu. Läuft. So sieht die Zukunft aus.
Windows 98 SE:
Dich mag ich, bei dir bleibe ich und ignoriere einfach Windows 2000, das ich auf der Arbeit habe. Sieht eh fast genauso aus wie du.
Du bist jetzt mein neuer Schatz.
Windows XP:
Musste wechseln, weil der PC nicht mehr wollte. Aber dich mag ich, weil du genügsam bist, alles frisst und funktionierst.

Risse entstehen…

Windows Vista:
Nein… Du darfst auf andere Rechner, nicht auf meinen. Never change a running system! Ich sehe es doch, was du bei anderen anstellst. Geht ja gar nicht!
Windows 7:
Na gut, muss wechseln. Ich kann scheinbar nicht ewig bei XP bleiben. Aber hey, nach einigen Updates doch ein brauchbares System. Und mit Tricks läuft sogar der alte Drucker weiter.
Windows 8:
Pfui, wer hat sich so eine Sch*** ausgedacht? Du kommst mir nicht ins Haus! Wer sinnvolle Funktionen wie „herunterfahren“ versteckt, gehört ausgepeitscht. Das ist eine Grundfunktion und kein Grund für eine Pseudo-Schatzsuche!
Hilfe, lass es schnell vorbei gehen, ich will das auch nicht auf der Arbeit…
Windows 10:
Ah, sie wurden wieder vernünftiger. PCs sind Arbeitsgeräte, mit denen man auch spielen kann. Das sind keine Smartphones, auf denen man bissel rumklickt, merkt es euch!
Es erinnert an Windows 7. Man muss diesem Betriebssystem einiges abgewöhnen und ihm erklären, dass es nicht ET heißt (nix ständig „nach Hause telefonieren“), aber dann klappt’s doch zuverlässig.

…aber dann kam das Ende!

Windows 11:
Was? Du willst mir erklären, was ich darf und was nicht, spielst dich als mein Chef auf, zickst ständig herum wie Musk und Trump in Personalunion? Und hast mir gleich zwei USB-Sticks gelyncht???
Ich traue mich ja gar nicht, dir eine meiner externen Festplatten anzuvertrauen. Was machst du mit denen? Wie soll das mit den Backups dann laufen? Nur Cloud, oder was?
Woher soll ich bei dir wissen, was Windows 11 und was Malware ist, wenn du dich so aufführst?

Warum verdammt nochmal läuft der Support von Windows 10 dieses Jahr aus?
Raus mit dir, Windows, mir reicht es mit 11, ich exorziere dich jetzt mit Linux!

Linux Mint übernimmt ab hier

Es sieht aus wie Windows, es verhält sich aber viel braver, bringt sogar mit Libre Office Bürosoftware mit… Sogar meine Spiele laufen flüssig. Wider Erwarten auch Sims 4, obwohl ich da im Vorfeld von zahlreichen Problemen las. Die Community war hier echt fleißig, Kompliment!
Es ist hier alles so… ruhig? Keine Fehlermeldungen, kein Rumgezicke, USB-Sticks funktionieren einfach…

Bin ich im Paradies gelandet?
Nein, bei Linux.

Vor Jahren (Jahrzehnten… *hust*) probierte ich auch Linux aus, aber aufgrund der Software, mit der ich arbeitete, und den Spielen gewann Windows. Mac dagegen war niemals eine Option, denn mir sind solche geschlossenen Systeme suspekt. Zu viel Bevormundung. Aber was erzähle ich da? Microsoft ist längst auch an diesem Punkt.

Ich habe keine Lust mehr auf Gängelsoftware, auf Dauerabos von Dingen, die vorher drin waren, sinnvollen Teilen, die einfach mal rausgeschmissen wurden, weil sie nicht „chic“ genug waren und Betriebssysteme, die glauben, sie wissen besser, was ich will. Für mich ist es außerdem eine Frechheit, dass ich Office Professionell drauf habe und mir trotzdem immer noch versucht wird, 365 unterzujubeln. Geht’s noch?

Es ist nicht so, dass mir Microsoft ganz großzügig Hardware samt Betriebssystem etc. gespendet hat. Dann würde ich diese Bevormundung noch akzeptieren (obwohl ich mich dann vermutlich trotzdem nach Alternativen umsehen würde).

ICH habe diesen PC bezahlt, ICH habe für diese Software bezahlt! Und ich bin keine Kuh, die man dauerhaft melken kann!

Linux Mint läuft auf meinem Rechner: ruhig, schnell, ohne Bevormundung, ohne einem Verhalten, das schlimmer als jeder „Nicht gekauft hat er schon“-Vertreter ist.

Und wer weiß, vielleicht traue ich mich bald an weitere, Windows-unähnlichere Versionen dran? Der Laptop hat noch Windows 10, aber der Support läuft im Oktober aus…

Hallo Tux!

P. S.:
Gibt’s eigentlich noch Tux-Racer? 😉

Lernen ab 40: Vorurteile nerven

von Yvonne Hensgen | 13.06.2025 | Lernen & Wissen

Vorurteile ohne Nachfragen

Studium mit 40 beginnen, wie kann man nur freiwillig sowas machen? „Wurdest du gezwungen?“ „Musstest du das für den Job?“ Müssen, nein. Ich hätte genauso gut auch einfach nur weitermachen können wie bisher. Es war meine Entscheidung und Spoileralarm: Ich lerne gerne! Ich lerne gerne Neues, ich lerne gerne dazu, ich erweitere gerne mein Repertoire…

Für mich ist ein Stillstand wie ein vorzeitiger Abschied in den Komplettruhestand. Aber wenn du nicht sofort in den Sarg hüpfen willst, weshalb solltest du dann sowas freiwillig wollen?
(Und nein, ich spreche jetzt nicht davon, wenn du gerade ohnehin komplett überfordert mit all deinen Pflichten bist. Dass du dann Ruhe wünschst, ist nachvollziehbar und das einzig Richtige in diesem Moment.)

Was mir ebenfalls auffiel:
Warum gehen viele Menschen davon aus, dass man automatisch beim Lernen von den Jüngeren abgehängt wird? Und weshalb kommt dann gleich so ein: „Da packt man halt keine guten Noten mehr, gelle?“
Ist es neben der normalen Arbeit und das Studium beendet, kommt oft ein „War’s den Stress wert für so’ne miese Note?“, obwohl nicht mal nach der Note gefragt wurde.

Ich habe mein Studium in der von mir vorgesehenen Zeit durchgezogen und es war eher so, dass ich die Jüngeren abgehängt habe. Mir fiel allgemein auf, dass ältere Studierende viel strukturierter waren und meist dementsprechend überlegen bei der pünktlichen Abgabe ihrer Arbeiten, beim Lernen für die Prüfungen usw. Selbstverständlich kann mal das Leben dazwischen kommen, doch das ist bei jüngeren Studierenden ebenfalls so.

Also wenn jemand nicht lernen will, dann vielleicht doch wenigstens diese Kleinigkeit:
Lernen hat kein Verfallsdatum. Das Gehirn wird ab 40 nicht labbrig wie Toast in einem Regenschauer.

Was also steckt wirklich hinter solchen Sprüchen und Mutmaßungen?
Internalisierte Altersdiskriminierung!
Und die beginnt leider schon extrem früh.

Hier einige Gedanken, weshalb dieser Mist so weit verbreitet ist:

Die lineare Lebenslauf-Illusion

Viele Menschen glauben noch an die veraltete Formel: Kindheit → Ausbildung → Arbeit → Rente → Tod

Langweilig, aber funktionierte doch über Jahrzehnte. Über Jahrhunderte traue ich mich nicht zu sprechen, denn Kriege unterbrachen diese scheinbar beruhigende Abfolge, die eine gewisse Stabilität und Vorhersehbarkeit versprach.

Ein Studium mit 40 durchbricht dieses Narrativ. Wer das tut, zeigt: Man kann sich jederzeit neu erfinden.
Das ist beängstigend für jene, die sich mit ihrer eigenen Entscheidung abgefunden haben oder unbewusst spüren, dass sie es eigentlich auch gerne würden, aber sich nicht trauen. Außerdem: Hey, was würde dann alles auf uns zukommen wenn jeder einfach so nochmal irgendwann studieren würde? Am Ende gar als Rentner???
(Kleiner Hinweis am Rande:
Die „normalen“ Studierenden hatten kein Problem mit ihren älteren Kommiliton*innen. Die fanden das sogar sehr cool. Mehr Gegenwind gab es wohl von Menschen gleichen Alters.)

Die Abwertung („schlechte Note“) schützt das eigene Ego. Lohnt sich ja gar nicht, überhaupt etwas ändern zu wollen.

…und was ist, wenn Berufe einfach wegfallen und neue entstehen?
Wenn sich die Lebenswelt ändert?
Wenn das alte Narrativ nicht mehr stimmt?

Die Verklärung mit den Worten „Früher war alles besser!“ sowie Totalverweigerung des Fortschritts / Lernwillens bringt uns dann nicht weiter, sondern hilft nur irgendwelchen Populisten mit ihren einfachen „Lösungen“.

Lernen vs. Job: Warum das Quatsch ist

Die Idee, dass nur junge Menschen wirklich gut lernen können, stammt aus einem Bildungs- und Arbeitssystem, das Menschen wie Maschinen behandelt:
Lernfähig in jungen Jahren, dann verwertbar im Job. Meist sogar: nur für den Job später lernen.

Was bei Sprüchen wie „Was Hänschen nicht lernt…“ übersehen wird:

Ältere haben oft bessere Zeitmanagement-Fähigkeiten, Erfahrung im Selbststudium und eine viel klarere Motivation.
Ältere müssen vieles gar nicht komplett neu lernen, da sie an Wissen und Erfahrung anknüpfen können.
Das Wissen wird dadurch verknüpfter, bleibt dann auch besser im Langzeitgedächtnis.
Viele sind emotional stabiler und vergleichen sich weniger.
Ältere wissen oft, wann „gut genug“ reicht, statt sich im Perfektionismus zu verheddern.
(Außer natürlich, sie sind Perfektionisten. Dann schützt das Alter auch nicht.)

Hinzu kommt der Anspruch unserer Gesellschaft, alles müsse „verwertbar“ sein für den Beruf.
Persönliche Weiterentwicklung? Bringt nix, angeblich. Den eigenen Interessen folgen? „Kannst du machen, wenn du Rentner bist.“ (Und dann heißt es: „Warum in dem Alter… blablabla“)
Dass Lernen allgemein unser Hirn fit hält, wird gerne übersehen. Dass wir es uns in unserer Berufswelt nicht leisten können, uns nicht weiterzuentwickeln, wird ebenso ignoriert.

Merke:
Lebenslanges Lernen bezieht sich nicht nur auf kurze Weiterbildungen, um weiterhin den Beruf ausüben zu können!
Unser Hirn will und muss immer mal wieder gefordert werden, sonst baut es viel schneller ab.

Spätstudierende gegen Spätzünderin

Wie heftig die Vorurteile gegenüber Spätstudierenden sind, verdeutlichte mir auch eine jüngere Kollegin, die nach ihrem Studium bei uns arbeitete.

Sie wollte mir Tipps geben, wie ich mich besser im Studium organisiere, dabei war ich kurz vor der Bachelorarbeit innerhalb des Zeitraums, den ich mir gesetzt hatte(sogar dem Zeitraum etwa 1 Semester voraus). Sie hingegen war 2x in ihrem Nebenfach (machte auch einen Zweifach-Bachelor) bei einer Prüfung durchgefallen und brauchte als Vollzeitstudentin statt 3 Jahre 7 Jahre.

Sie wollte mir obendrein Lerntipps geben, fragte aber nicht mal, wie es überhaupt bei mir ausschaute. Meine schlechteste Note bei einer Prüfung war eine 3… Also vom Durchfallen weit entfernt. Ich musste auch keine einzige wiederholen.

Erst als ich sie darauf hinwies, dass ich ihr ja wohl eher hätte Tipps geben können, kam heraus, dass sie einfach mal so davon ausgegangen war, dass ich als Spätstudierende nicht wüsste, wie man überhaupt lernt.
Als langjährige Dozentin bei einem Bildungsträger, die sich auch vorher regelmäßig weiterbildete, wäre das allerdings sehr peinlich gewesen, oder?

Reminder:
Bevor du mit deinen Vorurteilen andere belästigst, frage doch einfach erst mal!

Und hinterfrage deine Vorannahmen, wenn du lernen willst.

Sitemap zur Orientierung hinzugefügt

von Yvonne Hensgen | 23.05.2025 | News

Die Webpräsenz wächst und nachdem das Logbuch hinzu kam und die Rubrik Systemcheck und die Lern-Nuggets-Kategorie Wissensmanagement… und es immer weiter wachsen wir, ist es doch Zeit für die gute alte Sitemap.
Mittlerweile wird sowas ja fast nur noch angelegt, um Suchmaschinen anzulocken, obwohl ich es bei umfangreichen Seiten nach wie vor hilfreich finde.

Klickst du auf „Sitemap & Orientierung“ bekommst du eine Seite angezeigt, wo du die einzelnen Menüpunkte kurz erklärt bekommst samt den Unterpunkten.

Wenn ich jetzt ganz genau bin, dann bekommst du eine Art Mischung aus Inhaltsverzeichnis und Überblicks-Sitemap.

Wäre es eine komplette (klassische) Sitemap, dann würdest du dort auch jedes einzelne Unterdokument finden. Aber das wäre zu viel und schon wieder im Laufe der Zeit eher erschlagend, oder?

Daher gibt’s hier den Mittelweg:
Sitemap & Orientierung

Zeitung mit Schlagzeile "Extra! Extra! Das ist neu!"

Neu: Systemcheck; erster Beitrag = WordPress sicher einrichten

von Yvonne Hensgen | 18.05.2025 | News

Eine längst geplante Rubrik auf dieser Website ist nun endlich online (manchmal hätte ich gerne mehr Hände und Köpfe): Systemcheck.

Hier will ich in unregelmäßigen Abständen Software-Tipps geben, Programme vergleichen oder auch auf Sicherheitslücken aufmerksam machen. Prüfen und schauen, erklären und manches auch in die digitale Mülltonne kippen.

Der erste Beitrag wendet sich an all diejenigen, die WordPress verwenden und vielleicht einige Sicherheitstipps für ihre Website wünschen:
WordPress sicher einrichten

Keine Sorge: Schritt für Schritt führe ich dich durch einige wichtige Punkte, die du nur ein einziges Mal durchführen musst. Das geht sogar bei bestehenden WordPress-Websites.

Du findest diese neue Rubrik oben im Hauptmenü.

Klickst du auf diesen Link, gelangst du auch direkt dorthin:
https://yhensgen.de/systemcheck/

Zeitung mit der Schlagzeile "Extra! Extra! Das ist neu!"

WordPress sicher einrichten

von Yvonne Hensgen | 17.05.2025 | Systemcheck

Schnell erstellt und schnell im Visier

Mit WordPress lässt sich in kürzester Zeit eine Website erstellen, ganz ohne Programmierkenntnisse.
Kein Wunder also, dass dieses Content-Management-System (CMS) so beliebt ist: Im Mai 2023 nutzten laut Schätzungen mindestens 63 % aller bekannten Websites ein WordPress-Backend. Die tatsächliche Zahl dürfte sogar noch höher liegen, denn diese Statistik erfasst nur Seiten, bei denen das CMS eindeutig identifiziert werden kann.

Die große Verbreitung bringt viele Vorteile mit sich: Es gibt unzählige Themes, Plugins und Erweiterungen, die das System flexibel und komfortabel machen.

Doch genau diese Popularität macht WordPress auch zu einem bevorzugten Angriffsziel für Bots und Hacker. Wer es ihnen zu einfach macht, riskiert, dass die eigene Website zur Spielwiese automatisierter Angriffe wird.

Daher gibt es hier einige Tipps, wie man gleich zu Beginn die eigene Webpräsenz absichern kann. Das geht übrigens immer noch, wenn die Site bereits seit Jahren besteht.
Alles kein Hexenwerk, versprochen!

1. Direkt beim Setup – Admin-Zugang absichern

Verwende niemals „Admin“ oder „admin“ als Benutzernamen!
Bei 99 % aller Brute-Force-Angriffe wird genau dieser Benutzername zuerst probiert.
Brute-Force-Angriffe sind automatisierte Versuche, Zugangsdaten zu erraten. Diese kleinen, fiesen Bots klopfen nicht freundlich an, sie rütteln in Hochgeschwindigkeit am Login und probieren tausende Benutzernamen-Passwort-Kombinationen in kurzer Zeit aus. Je schlechter das Schloss, desto schneller sind sie drin.

Verwende auch nicht den Websitenamen, deinen Realnamen, einen Mailnamen oder eine Mailadresse oder oder irgendetwas, das leicht zu erraten ist. Im Idealfall sieht ohnehin niemand außer dir diesen Adminnamen, also darf es auch kreativer sein. Wie wäre es mit Couchkartoffel, Portalbeschwörer oder einem anderen Namen, der dir sofort einfällt, aber garantiert keinem Außenstehenden?

Kreative Adminnamen, die kein Bot errät (und kein Mensch ernst nehmen muss)

Bitmagier.exe
Cyperhimmel-Verwalter
Dummbots-verboten
Glibberkrake_Unit7
KartoffelOrakel_1987
KeinAdminVersprochen
Kilobyte-Schieber
Lass-das-mal
Unbefugter-Zutritt
Wolkenschieber666

So als Anregung… Der Adminname ist kein Benutzername für die Öffentlichkeit. Denk ihn wie ein Passwort mit Persönlichkeit. Je absurder, desto sicherer!

Der Admin-Name ist natürlich nicht alles. Auch dein Passwort sollte nicht in die Hall of Shame der IT-Sicherheit eingehen.

Wusstest du, dass viele allen Ernstes „password“, „123456“, qwertz, qwerty, admin oder login als Passwort verwenden? Auch wenn du die Zahlenabfolge bis 9 oder 0 wählst oder ein Dutzend mal eine Ziffer hintereinander nimmst, ist es nicht besser. Das ist eher eine Einladung zum digitalen Einbruch. Auf der Wikipedia findest du eine Liste dieser Passwörter, die du unbedingt meiden solltest: Wikipedia Liste der häufigsten Passwörter

Je banaler das Passwort, desto mehr Bots sagen: Danke für die Einladung!

Ein gutes Passwort muss kein Kauderwelsch ein, den du dir nicht merken kannst. Es kann auch ein Satz sein, den du durch Sonderzeichen oder Ziffern abgewandelt hast.

Sichere Passwörter, die du dir trotzdem merken kannst

Denk dir einen kurzen Satz aus, der dir etwas bedeutet oder den du witzig findest.
Ersetze manche Buchstaben durch ähnliche Ziffern – aber nicht stur, nur da, wo es für dich Sinn ergibt.
Füge Bindestriche, Ausrufezeichen oder andere Zeichen ein, wenn du willst.

Beispiele:

Du gehst mir auf die Nerven!
Du-gehst-m1r-auf-d13-N3rven!

Ich hasse Spam.
1ch-hasse-Sp@m

Mein Internet spinnt wieder
M3in_Internet_spinnt_wi3d3r

2. Admin-Account nicht zum Schreiben nutzen

Auch wenn du alleine die Website verwaltest, lege einen zweiten Benutzeraccount an und weise ihm die Rolle Redakteur zu. Dieser Account ist dann dein Schreib- und Arbeitskonto, z. B. für Blogbeiträge oder Seitenbearbeitung.

Das Admin-Konto verwendest du nur für Updates, Plugin-Installationen oder Einstellungen, also für alles, was echte Admin-Rechte erfordert.

Der Vorteil:

Dein Adminname taucht nicht versehentlich auf der Website auf.
Selbst wenn dein Redakteurs-Konto gehackt würde, kann kein Schaden an den tiefen Einstellungen entstehen.

Und falls du doch mal einen Beitrag als Admin geschrieben hast: kein Problem. In der Beitragsliste kannst du per Dropdown ganz einfach den Autor ändern.

3. Login-URL ändern und Anmeldeversuche begrenzen

Allein mit den ersten beiden Punkten hast du deine Website schon besser geschützt als viele andere WordPress-Nutzer. Jetzt verstecken wir einfach die Tür vor den Bots – und falls sie sie doch finden, reduzieren wir ihre Klopfversuche drastisch.

Zwei Plugins helfen dir dabei.

Plugin 1: Die Tür verstecken – „WPS Hide Login“ von WPFactory
Voreingestellt verwendet WordPress wp-login.php und wp-admin als Login-Adresse. Super für Bots…
Mit dem Plugin „WPS Hide Login“ von WPFactory kannst du diese Adresse ändern. Installiere und aktiviere das Plugin, dann gehe unter „Einstellungen“ auf „WPS Hide Login“. Hier siehst du deine Anmelde-URL. Dort kannst du deine neue Login-URL festlegen. Z. B. deinseite.de/bananentanz oder deinseite.de/halt-stop

Es muss nicht einmal kompliziert sein, so lange es nicht „Login“, Admin“, Backend“, „Zugang“ usw. heißt.

Plugin 2: Ruhe vom Klopfterror! – „Limit Login Attempts Reloaded“ von Limit Login Attempts Reloaded

Bei den meisten dürfte dieses Plugin bereits vorinstalliert sein. Falls nicht: dringend nachholen und aktivieren!
Wenn du magst, kannst du im Menü auf „Limited Login Attemps“ gehen und unter den Einstellungen die Klopfversuche noch weiter reduzieren. Du kannst einstellen, wie oft eine IP-Adresse versuchen darf, sich anzumelden, bevor sie für eine bestimmte Zeit ausgesperrt wird.
Das Plugin schützt dabei nicht nur bei falschen Passwörtern, sondern blockiert auch hartnäckige Bots, die es mit falschen Benutzernamen wie „admin“ oder „test“ versuchen, auch wenn es solche Konten gar nicht gibt.

Ich finde, drei Versuche sind mehr als ausreichend, denn sogar ich kann mich nicht so oft vertippen. Und die Bots brauchen keine Extrarunde.

4. Plugins: Weniger ist mehr

Wenn du bis hierhin alles umgesetzt hast, bist du sicherer unterwegs als 90 % aller WordPress-Nutzer.

Jetzt geht’s um etwas, das oft unterschätzt wird: deine Plugin-Liste.
Ja, ich habe dich gerade noch ermutigt, zwei Plugins zu installieren. Und jetzt rate ich dir: Wirf alles raus, was du nicht brauchst.

Ein Klassiker, der oft noch herumlungert: „Hello Dolly“. Das Plugin ist eines der ersten für WordPress, bezieht sich auf das Lied von Louis Armstrong und zeigt bei Aktivierung im Dashboard Zeilen des Liedes.
Mein Vorschlag: Hör dir das Lied lieber bei YouTube an, schwelge in Nostalgie, und dann: lösche das Plugin.

Jedes Plugin ist eine zusätzliche Datei mit möglichem Zugriff auf dein System.
Je mehr Plugins du installierst, desto größer ist die Angriffsfläche. Auch veraltete, vergessene oder sentimentale Plugins können zu einem Einfallstor für Schadcode werden, sogar wenn sie nur etwas ins Dashboard schreiben.

Sicherheitsregel:

Behalte nur Plugins, die du wirklich brauchst,
die regelmäßig aktualisiert werden,
von denen du sagen kannst: „Ja, das Plugin erledigt eine ganz konkrete Aufgabe für mich.“

Beispiele: Cookie-Banner, Sicherheitsplugin, Formular-Tool

Plugins, die du mit gutem Gewissen löschen kannst

Hello Dolly
Zeigt Liedzeilen im Backend. Nostalgisch, aber nutzlos. Hör’s dir lieber auf YouTube an.

Akismet
Oft vorinstalliert als Anti-Spam-Plugin.
Kein Blog und keine Kommentare erlaubt? Überflüssig!
Blog und Kommentare erlaubst? Wenn du Kommentare nur nach manueller Freigabe veröffentlichst (was bei kleinen Seiten sinnvoll ist), brauchst du kein externes Tool.

Hello Elementor/Divi…
Wenn du diese Pagebuilder nicht nutzt, brauchst du das auch nicht.

Hostanbieter-Starterpakete (z. B. Strato, Ionos etc.)
Oft vorinstallierte Plugins, die z. B. dir bei der Erstellung helfen sollen oder Features zeigen, die du gar nicht brauchst. Löschen spart Nerven und Performance. Vor allem, wenn die Seiten längst gebastelt sind.

Classic Editor (wenn du z. B. Gutenberg, Block Editor oder Divi nutzt)
Gutenberg/Block Editor ist die neue Variante. Nutzt du ohnehin nicht den alten Classic Editor, dann raus mit ihm.

Coming Soon/Under Construction Plugins
Wenn die Baustelle beendet ist, bitte Schilder entfernen.

Import/Export-Tools, die du nur einmal gebraucht hast
Umzug beendet? Dann brauchst du den Umzugs-LKW nicht mehr.

5. XML-RPC: Die unsichtbare Hintertür schließen!

Selbst wenn du deine Login-URL geändert hast und damit Bots aussperren willst, es gibt da noch eine versteckte Seitentür. Wirklich gut versteckt, so dass sie gerne übersehen wird: xmlrpc.php, eine Schnittstelle, die ursprünglich dafür gedacht war, WordPress aus der Ferne zu steuern.

Du kannst sie selbst finden, indem du im Browser deinewebseite.de/xmlrpc.php in die Adresszeile eingibst. Nur bei einer Fehlermeldung wie „403 forbidden“ ist diese Tür geschlossen.

Über diese Datei können in einem einzigen Aufruf hunderte Login-Versuche gleichzeitig gestartet werden, ohne Limit.

Was ist XML-RPC überhaupt?
Eine technische Schnittstelle, die du nur brauchst, wenn du z. B. die WordPress-App nutzt oder Jetpack verwendest.
Falls du das nicht tust (und bei einer klassischen Website ist das sehr wahrscheinlich): sofort deaktivieren.

Bevor es ums Blockieren geht, erst das hier:
Wann du xmlrpc.php NICHT blockieren solltest
Du nutzt die offizielle WordPress-App (Smartphone/Tablet). Diese App braucht den Zugang.
Du verwendest Jetpack (z. B. für Statistik, CDN, Backups).
Du steuerst deine Website über externe Tools/API-Dienste. (Null Ahnung, was das sein soll? Dann verwendest du das vermutlich nicht.)
Du nutzt Remote-Publishing-Software wie MarsEdit, Open Live Writer o. Ä.

Trifft all das nicht zu: Blockiere diese Tür besser.

Wie deaktivierst du XML-RPC?
Variante 1:
Per Plugin, z. B. Disable XML-RPC.
Funktioniert leider nicht immer, je nachdem welche Plugins du ansonsten verwendest. Divi hat zum Beispiel einige, die tief in den Code eingreifen und diese Tür einfach weiter offen halten.

Variante 2:
Vorschlaghammer-Variante, Plugin: WP Htaccess Editor.
Installieren & aktivieren, dann unter den Einstellungen „WP Htaccess Editor“ anklicken. Im Editor (ja, da ist zuerst eine Warnung) ganz unten diese Codezeilen einkopieren:
< Files xmlrpc.php>
Order Deny,Allow
Deny from all
< /Files>
Entferne die Leerzeichen nach den eckigen Klammern. Die habe ich hier nur eingegeben, damit der Code komplett angezeigt und nicht vom Browser interpretiert wird. Speichern und erledigt.

6. Zwei-Faktor-Authentifizierung (2FA): Ja, aber…

Du kannst 2FA mit einem Plugin aktivieren (z. B. mit WP 2FA, Wordfence oder iThemes Security). Aber:Für viele Betreiber kleiner Websites finden das unnötig kompliziert, besonders wenn sie sich nicht täglich einloggen.
Zwei-Faktor-Authentifizierung kann die Sicherheit erhöhen, aber sie ersetzt nicht die Basics. Wenn du bis hierhin alles durchgegangen bist, hast du bereits alles, was wichtig ist durchgeführt.
Arbeiten mehrere Leute an der Website, dann lohnt sich 2FA eher, da du nicht überprüfen kannst, wie verantwortungsvoll alle mit den Zugangsdaten umgehen.

7. Updates & Backups: die unterschätzten Lebensretter

Du hast deine Website abgesichert, die Zugangstür verriegelt und die Plugins sortiert… Aber was passiert, wenn doch mal etwas schiefläuft? Ein Update zerschießt das Layout? Ein Plugin wird plötzlich kompromittiert? Oder du machst versehentlich selbst einen Fehler?

Dann ist ein aktuelles Backup dein Rettungsanker.

1. Automatische Updates aktivieren (aber mit Maß)
WordPress aktualisiert sich selbst beim Core in der Regel automatisch, das ist gut. Überprüfe immer mal zwischendurch im Dashboard, ob du die aktuellste PHP-Version verwendest oder ob des sonstige Meldungen gibt.

Bei Plugins und Themes kannst du unter „Plugins“ oder „Design → Themes“ für jedes einzelne Element entscheiden, ob es automatisch aktualisiert werden soll.
Tipp:
Plugins, die klein und zuverlässig sind (z. B. WPS Hide Login), ruhig automatisch aktualisieren lassen.
Bei komplexeren Plugins (z. B. Page Builder, E-Commerce, Multilingual) besser manuell – hier willst du mitbekommen, wenn etwas kaputtgeht.

2. Regelmäßige Backups, egal wie klein deine Seite ist
Egal ob Hackerangriff, Serverproblem oder schlicht „Uuups, falsche Datei gelöscht“: Ein Backup kann dir Stunden, Tage oder sogar deine ganze Website retten.

Backup über Hoster:
Viele bieten das automatisch an. Bequem, man muss nicht dran denken, aber leider kann der Zugriff manchmal eingeschränkt sein. Außerdem: Für Kontrollfreaks wie mich nicht geeignet. Ich mache mir dann trotzdem Gedanken.

Backup-Plugins:
Flexibel, auch auf Google Drive/Dropbox speicherbar, aber mehr Verantwortung und die Plugins müssen genauso geupdatet werden wie alle anderen Plugins auch.

Manuelles Backup per FTP + Datenbankexport:
Volle Kontrolle, aber technisch aufwändiger. Empfohlenes FTP-Programm: der gute alte FileZilla, der immer noch regelmäßig geupdated wird und auch sicherere Verbindungen unterstützt. Da es hier den Platz sprengen würde, gebe ich keine Einführung, wie es funktioniert (ist aber nicht schwer).

Tipp:
Speichere mindestens ein Backup extern (nicht nur auf dem Webspace). Dropbox, OneDrive, externer USB-Stick, deine lokale oder eine externe Festplatte… Hauptsache, es liegt nicht am gleichen Ort wie die Originalseite. Selbst bei einem Servercrash sind deine Daten gesichert.
Vor allem, wenn du einiges geändert hast, denke ans Backup!

Auf dem ersten Blick mag das wie viel erscheinen, besonders wenn du dich noch nicht weiter damit beschäftig hat. Es ist jedoch wirklich nicht so viel, was zu tun ist. Ein paar gezielte Schritte, die du nur ein einziges Mal durchführen musst. sichern deine WordPress-Website ab, danach kannst du dich entspannt deinen Inhalten widmen.

Klar, deine Website ist jetzt kein Hochsicherheitsbunker (sie soll ja ins Internet), aber sie hat einen soliden Türsteher, der „Admin123“ garantiert nicht reinlässt.

Von der Neugier zum Level-Up!

Lernen ist ein Abenteuer.
Werde zur Heldin deines eigenen Wissensuniversums!