Sicherheit in WordPress ist ein großes Thema – und ein lukrativer Markt für Hosting-Anbieter, Plugin-Autoren und Website-Spezialisten. Dabei ist eine gute Grundlage recht schnell geschaffen. Dennoch: vollkommen sicher wird deine Seite vermutlich niemals sein und dieser Illusion solltest du dich auch nicht hingeben, sondern stets wachsam bleiben (und ein Backup haben).

Fragst du dich, warum überhaupt jemand deine Website angreifen würde? Und wie Hacker es oftmals schaffen, unerlaubt in WordPress einzudringen? In diesem Artikel gebe ich dir einen Überblick über häufige Motive und Ansatzpunkte von WordPress-Hackern.

Typische Gründe für Angriffe auf WordPress

Zunächst mal zielen die wenigsten Angriffe direkt auf eine bestimmte Seite ab – oftmals ist es dem Angreifer relativ egal, welche Website genau er hackt. Viele Angriffe sind sogar automatisiert und versuchen nach dem Trial-and-Error-Prinzip, bekannte Schwachstellen möglichst vieler Websites auszunutzen und sich Zutritt zu verschaffen.

Datendiebstahl

Wenn du einen Online-Shop betreibst oder anderweitig sensible Daten deiner Kunden verarbeitest und speicherst, stellt deine Website natürlich ein attraktives Angriffsziel dar. Bank- und Kreditkartendaten oder E-Mail-Adressen sind für viele Hacker genug Motivation, um eine Website gezielt anzugreifen.

Gerade im WordPress-Umfeld bist du zum Glück durch viele Mechanismen automatisch geschützt – z.B. verwendest du mit hoher Wahrscheinlichkeit ein Zahlungs-Gateway (z.B. Stripe, PayPal), statt Bezahldaten selbst zu speichern. Verlass dich aber nicht darauf und kümmere dich aktiv um die Sicherheit deiner Kundendaten. Dazu gehört unter anderem unbedingt ein SSL-Zertifikat.

Ausnutzung deiner Website für eigene Zwecke

Aber auch wenn du auf deinem Webserver keine sensiblen Kundendaten oder sonstigen Geheimnisse speicherst, können erfolgreiche Angreifer deine Seite für ihre Zwecke missbrauchen, z.B. zum

  • Einfügen von schadhaftem Code/Viren, der automatisch deine Website-Besucher infiziert
  • Nutzen der Ressourcen deiner Seite für Angriffe auf andere Server (so genannte DDoS-Attacken oder Brute-Force-Angriffe auf andere Logins)
  • Weiterleiten deiner Website-Besucher auf andere Seiten, z.B. um Affiliate-Einnahmen zu generieren

Häufigste Angriffspunkte

WordPress ist im Prinzip ein recht sicheres und ausgereiftes System, nicht zuletzt durch die häufigen Updates und die kontinuierliche Weiterentwicklung. Dennoch entstehen immer wieder Sicherheitslücken in WordPress, Plugins und Themes. Am häufigsten gelingen die Attacken über folgende Ebenen (Quelle: wptemplate.com):

  • ca. 41% aller erfolgreicher Angreife geschehen über den Webserver bzw. das Hosting. Noch ein Grund mehr für ein WordPress-optimiertes Hosting.
  • 29% der Angriffe gelingen über das Theme. Daher solltest du nur Themes aus vertrauenswürdigen Quellen und von erfahrenen Entwicklern verwenden und es regelmäßig aktualisieren.
  • In 22% der Fälle verschaffen Hacker sich über unzureichend gesicherte Plugins Zugriff. Auch hier gilt: Immer aktuell halten und nur vertrauenswürdige Plugins verwenden. Halte die Zahl der Plugins zudem möglichst gering.
  • Überraschenderweise erfolgen nur ca. 8% der Angriffe über schwache Passwörter. Trotzdem solltest du dein Passwort regelmäßig ändern und ein Plugin wie Limit Login Attempts installieren.

Was, wenn meine Seite gehackt wurde?

Wenn du vermutest oder feststellst, dass deine WordPress-Seite gehackt wurde, informiere zum einen unbedingt deinen Hoster darüber und besprich mit ihm das weitere Vorgehen. In jedem Fall solltest du deine Seite bereinigen – idealerweise, indem du ein Backup von vor dem Angriff einspielst.

In der Praxis kommt es aber immer darauf an, welche WordPress-Komponenten genau angegriffen wurden und wo die Ursache lag. Zudem sollte natürlich möglichst effektiv für die Zukunft vorgesorgt werden.

So löst du 5 typische WordPress Probleme

 

Gleich geschafft...
Bitte bestätige deine Anmeldung mit dem Link in der E-Mail, die wir die gerade geschickt haben.
So löst du 5 typische WordPress Probleme
Der Frühjahrsputz für deine Website
Kostenloses PDF: Schaff Platz für Neues, mehr Sicherheit und Page Speed.
WordPress Support ab 99€/h
Noch ein Schritt zum Download...
Just one more step...
Almost there...
Please confirm your email address by clicking the link in the email we just sent you.
Die Checkliste zum Abhaken für deine Performance-Optimierung
Kostenloses E-Book & noch mehr Ressourcen
Noch ein Schritt zum Download...
Noch ein Schritt zum Download...
Fast geschafft...
Kostenlose Anmeldung zur Challenge und zum Newsletter von HootProof,de und BlogYourThing.com. Du kannst dich jederzeit wieder abmelden. Datenschutz von HootProof & Datenschutz von BlogYourThing