WordPress sicher einrichten
Schnell erstellt und schnell im Visier
Kein Wunder also, dass dieses Content-Management-System (CMS) so beliebt ist: Im Mai 2023 nutzten laut Schätzungen mindestens 63 % aller bekannten Websites ein WordPress-Backend. Die tatsächliche Zahl dürfte sogar noch höher liegen, denn diese Statistik erfasst nur Seiten, bei denen das CMS eindeutig identifiziert werden kann.
Doch genau diese Popularität macht WordPress auch zu einem bevorzugten Angriffsziel für Bots und Hacker. Wer es ihnen zu einfach macht, riskiert, dass die eigene Website zur Spielwiese automatisierter Angriffe wird.
Daher gibt es hier einige Tipps, wie man gleich zu Beginn die eigene Webpräsenz absichern kann. Das geht übrigens immer noch, wenn die Site bereits seit Jahren besteht.
Alles kein Hexenwerk, versprochen!
1. Direkt beim Setup – Admin-Zugang absichern
Verwende niemals „Admin“ oder „admin“ als Benutzernamen!
Bei 99 % aller Brute-Force-Angriffe wird genau dieser Benutzername zuerst probiert.
Brute-Force-Angriffe sind automatisierte Versuche, Zugangsdaten zu erraten. Diese kleinen, fiesen Bots klopfen nicht freundlich an, sie rütteln in Hochgeschwindigkeit am Login und probieren tausende Benutzernamen-Passwort-Kombinationen in kurzer Zeit aus. Je schlechter das Schloss, desto schneller sind sie drin.
Verwende auch nicht den Websitenamen, deinen Realnamen, einen Mailnamen oder eine Mailadresse oder oder irgendetwas, das leicht zu erraten ist. Im Idealfall sieht ohnehin niemand außer dir diesen Adminnamen, also darf es auch kreativer sein. Wie wäre es mit Couchkartoffel, Portalbeschwörer oder einem anderen Namen, der dir sofort einfällt, aber garantiert keinem Außenstehenden?
Kreative Adminnamen, die kein Bot errät (und kein Mensch ernst nehmen muss)
Cyperhimmel-Verwalter
Dummbots-verboten
Glibberkrake_Unit7
KartoffelOrakel_1987
KeinAdminVersprochen
Kilobyte-Schieber
Lass-das-mal
Unbefugter-Zutritt
Wolkenschieber666
So als Anregung… Der Adminname ist kein Benutzername für die Öffentlichkeit. Denk ihn wie ein Passwort mit Persönlichkeit. Je absurder, desto sicherer!
Wusstest du, dass viele allen Ernstes „password“, „123456“, qwertz, qwerty, admin oder login als Passwort verwenden? Auch wenn du die Zahlenabfolge bis 9 oder 0 wählst oder ein Dutzend mal eine Ziffer hintereinander nimmst, ist es nicht besser. Das ist eher eine Einladung zum digitalen Einbruch. Auf der Wikipedia findest du eine Liste dieser Passwörter, die du unbedingt meiden solltest: Wikipedia Liste der häufigsten Passwörter
Je banaler das Passwort, desto mehr Bots sagen: Danke für die Einladung!
Ein gutes Passwort muss kein Kauderwelsch ein, den du dir nicht merken kannst. Es kann auch ein Satz sein, den du durch Sonderzeichen oder Ziffern abgewandelt hast.
Sichere Passwörter, die du dir trotzdem merken kannst
- Denk dir einen kurzen Satz aus, der dir etwas bedeutet oder den du witzig findest.
- Ersetze manche Buchstaben durch ähnliche Ziffern – aber nicht stur, nur da, wo es für dich Sinn ergibt.
- Füge Bindestriche, Ausrufezeichen oder andere Zeichen ein, wenn du willst.
Beispiele:
Du gehst mir auf die Nerven!
Du-gehst-m1r-auf-d13-N3rven!
Ich hasse Spam.
1ch-hasse-Sp@m
Mein Internet spinnt wieder
M3in_Internet_spinnt_wi3d3r
2. Admin-Account nicht zum Schreiben nutzen
Das Admin-Konto verwendest du nur für Updates, Plugin-Installationen oder Einstellungen, also für alles, was echte Admin-Rechte erfordert.
Der Vorteil:
- Dein Adminname taucht nicht versehentlich auf der Website auf.
- Selbst wenn dein Redakteurs-Konto gehackt würde, kann kein Schaden an den tiefen Einstellungen entstehen.
Und falls du doch mal einen Beitrag als Admin geschrieben hast: kein Problem. In der Beitragsliste kannst du per Dropdown ganz einfach den Autor ändern.
3. Login-URL ändern und Anmeldeversuche begrenzen
Allein mit den ersten beiden Punkten hast du deine Website schon besser geschützt als viele andere WordPress-Nutzer. Jetzt verstecken wir einfach die Tür vor den Bots – und falls sie sie doch finden, reduzieren wir ihre Klopfversuche drastisch.
Zwei Plugins helfen dir dabei.
Plugin 1: Die Tür verstecken – „WPS Hide Login“ von WPFactory
Voreingestellt verwendet WordPress wp-login.php und wp-admin als Login-Adresse. Super für Bots…
Mit dem Plugin „WPS Hide Login“ von WPFactory kannst du diese Adresse ändern. Installiere und aktiviere das Plugin, dann gehe unter „Einstellungen“ auf „WPS Hide Login“. Hier siehst du deine Anmelde-URL. Dort kannst du deine neue Login-URL festlegen. Z. B. deinseite.de/bananentanz oder deinseite.de/halt-stop
Es muss nicht einmal kompliziert sein, so lange es nicht „Login“, Admin“, Backend“, „Zugang“ usw. heißt.
Bei den meisten dürfte dieses Plugin bereits vorinstalliert sein. Falls nicht: dringend nachholen und aktivieren!
Wenn du magst, kannst du im Menü auf „Limited Login Attemps“ gehen und unter den Einstellungen die Klopfversuche noch weiter reduzieren. Du kannst einstellen, wie oft eine IP-Adresse versuchen darf, sich anzumelden, bevor sie für eine bestimmte Zeit ausgesperrt wird.
Das Plugin schützt dabei nicht nur bei falschen Passwörtern, sondern blockiert auch hartnäckige Bots, die es mit falschen Benutzernamen wie „admin“ oder „test“ versuchen, auch wenn es solche Konten gar nicht gibt.
Ich finde, drei Versuche sind mehr als ausreichend, denn sogar ich kann mich nicht so oft vertippen. Und die Bots brauchen keine Extrarunde.
4. Plugins: Weniger ist mehr
Wenn du bis hierhin alles umgesetzt hast, bist du sicherer unterwegs als 90 % aller WordPress-Nutzer.
Jetzt geht’s um etwas, das oft unterschätzt wird: deine Plugin-Liste.
Ja, ich habe dich gerade noch ermutigt, zwei Plugins zu installieren. Und jetzt rate ich dir: Wirf alles raus, was du nicht brauchst.
Ein Klassiker, der oft noch herumlungert: „Hello Dolly“. Das Plugin ist eines der ersten für WordPress, bezieht sich auf das Lied von Louis Armstrong und zeigt bei Aktivierung im Dashboard Zeilen des Liedes.
Mein Vorschlag: Hör dir das Lied lieber bei YouTube an, schwelge in Nostalgie, und dann: lösche das Plugin.
Jedes Plugin ist eine zusätzliche Datei mit möglichem Zugriff auf dein System.
Je mehr Plugins du installierst, desto größer ist die Angriffsfläche. Auch veraltete, vergessene oder sentimentale Plugins können zu einem Einfallstor für Schadcode werden, sogar wenn sie nur etwas ins Dashboard schreiben.
Sicherheitsregel:
- Behalte nur Plugins, die du wirklich brauchst,
- die regelmäßig aktualisiert werden,
- von denen du sagen kannst: „Ja, das Plugin erledigt eine ganz konkrete Aufgabe für mich.“
Beispiele: Cookie-Banner, Sicherheitsplugin, Formular-Tool
Plugins, die du mit gutem Gewissen löschen kannst
Zeigt Liedzeilen im Backend. Nostalgisch, aber nutzlos. Hör’s dir lieber auf YouTube an.
Akismet
Oft vorinstalliert als Anti-Spam-Plugin.
Kein Blog und keine Kommentare erlaubt? Überflüssig!
Blog und Kommentare erlaubst? Wenn du Kommentare nur nach manueller Freigabe veröffentlichst (was bei kleinen Seiten sinnvoll ist), brauchst du kein externes Tool.
Hello Elementor/Divi…
Wenn du diese Pagebuilder nicht nutzt, brauchst du das auch nicht.
Hostanbieter-Starterpakete (z. B. Strato, Ionos etc.)
Oft vorinstallierte Plugins, die z. B. dir bei der Erstellung helfen sollen oder Features zeigen, die du gar nicht brauchst. Löschen spart Nerven und Performance. Vor allem, wenn die Seiten längst gebastelt sind.
Classic Editor (wenn du z. B. Gutenberg, Block Editor oder Divi nutzt)
Gutenberg/Block Editor ist die neue Variante. Nutzt du ohnehin nicht den alten Classic Editor, dann raus mit ihm.
Coming Soon/Under Construction Plugins
Wenn die Baustelle beendet ist, bitte Schilder entfernen.
Import/Export-Tools, die du nur einmal gebraucht hast
Umzug beendet? Dann brauchst du den Umzugs-LKW nicht mehr.
5. XML-RPC: Die unsichtbare Hintertür schließen!
Du kannst sie selbst finden, indem du im Browser deinewebseite.de/xmlrpc.php in die Adresszeile eingibst. Nur bei einer Fehlermeldung wie „403 forbidden“ ist diese Tür geschlossen.
Über diese Datei können in einem einzigen Aufruf hunderte Login-Versuche gleichzeitig gestartet werden, ohne Limit.
6. Zwei-Faktor-Authentifizierung (2FA): Ja, aber…
Zwei-Faktor-Authentifizierung kann die Sicherheit erhöhen, aber sie ersetzt nicht die Basics. Wenn du bis hierhin alles durchgegangen bist, hast du bereits alles, was wichtig ist durchgeführt.
Arbeiten mehrere Leute an der Website, dann lohnt sich 2FA eher, da du nicht überprüfen kannst, wie verantwortungsvoll alle mit den Zugangsdaten umgehen.
Eine technische Schnittstelle, die du nur brauchst, wenn du z. B. die WordPress-App nutzt oder Jetpack verwendest.
Falls du das nicht tust (und bei einer klassischen Website ist das sehr wahrscheinlich): sofort deaktivieren.
Wann du xmlrpc.php NICHT blockieren solltest
Du nutzt die offizielle WordPress-App (Smartphone/Tablet). Diese App braucht den Zugang.
Du verwendest Jetpack (z. B. für Statistik, CDN, Backups).
Du steuerst deine Website über externe Tools/API-Dienste. (Null Ahnung, was das sein soll? Dann verwendest du das vermutlich nicht.)
Du nutzt Remote-Publishing-Software wie MarsEdit, Open Live Writer o. Ä.
Trifft all das nicht zu: Blockiere diese Tür besser.
Variante 1:
Per Plugin, z. B. Disable XML-RPC.
Funktioniert leider nicht immer, je nachdem welche Plugins du ansonsten verwendest. Divi hat zum Beispiel einige, die tief in den Code eingreifen und diese Tür einfach weiter offen halten.
Variante 2:
Vorschlaghammer-Variante, Plugin: WP Htaccess Editor.
Installieren & aktivieren, dann unter den Einstellungen „WP Htaccess Editor“ anklicken. Im Editor (ja, da ist zuerst eine Warnung) ganz unten diese Codezeilen einkopieren:
< Files xmlrpc.php>
Order Deny,Allow
Deny from all
< /Files>
Entferne die Leerzeichen nach den eckigen Klammern. Die habe ich hier nur eingegeben, damit der Code komplett angezeigt und nicht vom Browser interpretiert wird. Speichern und erledigt.
7. Updates & Backups: die unterschätzten Lebensretter
Dann ist ein aktuelles Backup dein Rettungsanker.
WordPress aktualisiert sich selbst beim Core in der Regel automatisch, das ist gut. Überprüfe immer mal zwischendurch im Dashboard, ob du die aktuellste PHP-Version verwendest oder ob des sonstige Meldungen gibt.
Bei Plugins und Themes kannst du unter „Plugins“ oder „Design → Themes“ für jedes einzelne Element entscheiden, ob es automatisch aktualisiert werden soll.
Tipp:
Plugins, die klein und zuverlässig sind (z. B. WPS Hide Login), ruhig automatisch aktualisieren lassen.
Bei komplexeren Plugins (z. B. Page Builder, E-Commerce, Multilingual) besser manuell – hier willst du mitbekommen, wenn etwas kaputtgeht.
Egal ob Hackerangriff, Serverproblem oder schlicht „Uuups, falsche Datei gelöscht“: Ein Backup kann dir Stunden, Tage oder sogar deine ganze Website retten.
Backup über Hoster:
Viele bieten das automatisch an. Bequem, man muss nicht dran denken, aber leider kann der Zugriff manchmal eingeschränkt sein. Außerdem: Für Kontrollfreaks wie mich nicht geeignet. Ich mache mir dann trotzdem Gedanken.
Backup-Plugins:
Flexibel, auch auf Google Drive/Dropbox speicherbar, aber mehr Verantwortung und die Plugins müssen genauso geupdatet werden wie alle anderen Plugins auch.
Manuelles Backup per FTP + Datenbankexport:
Volle Kontrolle, aber technisch aufwändiger. Empfohlenes FTP-Programm: der gute alte FileZilla, der immer noch regelmäßig geupdated wird und auch sicherere Verbindungen unterstützt. Da es hier den Platz sprengen würde, gebe ich keine Einführung, wie es funktioniert (ist aber nicht schwer).
Tipp:
Speichere mindestens ein Backup extern (nicht nur auf dem Webspace). Dropbox, OneDrive, externer USB-Stick, deine lokale oder eine externe Festplatte… Hauptsache, es liegt nicht am gleichen Ort wie die Originalseite. Selbst bei einem Servercrash sind deine Daten gesichert.
Vor allem, wenn du einiges geändert hast, denke ans Backup!
Klar, deine Website ist jetzt kein Hochsicherheitsbunker (sie soll ja ins Internet), aber sie hat einen soliden Türsteher, der „Admin123“ garantiert nicht reinlässt.
