Sicherheit in WordPress ist ein großes Thema – und ein lukrativer Markt für Hosting-Anbieter, Plugin-Autoren und Website-Spezialisten. Dabei ist eine gute Grundlage recht schnell geschaffen. Dennoch: vollkommen sicher wird deine Seite vermutlich niemals sein und dieser Illusion solltest du dich auch nicht hingeben, sondern stets wachsam bleiben (und ein Backup haben).
Fragst du dich, warum überhaupt jemand deine Website angreifen würde? Und wie Hacker es oftmals schaffen, unerlaubt in WordPress einzudringen? In diesem Artikel gebe ich dir einen Überblick über häufige Motive und Ansatzpunkte von WordPress-Hackern.
Inhaltsverzeichnis
Typische Gründe für Angriffe auf WordPress
Zunächst mal zielen die wenigsten Angriffe direkt auf eine bestimmte Seite ab – oftmals ist es dem Angreifer relativ egal, welche Website genau er hackt. Viele Angriffe sind sogar automatisiert und versuchen nach dem Trial-and-Error-Prinzip, bekannte Schwachstellen möglichst vieler Websites auszunutzen und sich Zutritt zu verschaffen.
Datendiebstahl
Wenn du einen Online-Shop betreibst oder anderweitig sensible Daten deiner Kunden verarbeitest und speicherst, stellt deine Website natürlich ein attraktives Angriffsziel dar. Bank- und Kreditkartendaten oder E-Mail-Adressen sind für viele Hacker genug Motivation, um eine Website gezielt anzugreifen.
Gerade im WordPress-Umfeld bist du zum Glück durch viele Mechanismen automatisch geschützt – z.B. verwendest du mit hoher Wahrscheinlichkeit ein Zahlungs-Gateway (z.B. Stripe, PayPal), statt Bezahldaten selbst zu speichern. Verlass dich aber nicht darauf und kümmere dich aktiv um die Sicherheit deiner Kundendaten. Dazu gehört unter anderem unbedingt ein SSL-Zertifikat.
Ausnutzung deiner Website für eigene Zwecke
Aber auch wenn du auf deinem Webserver keine sensiblen Kundendaten oder sonstigen Geheimnisse speicherst, können erfolgreiche Angreifer deine Seite für ihre Zwecke missbrauchen, z.B. zum
- Einfügen von schadhaftem Code/Viren, der automatisch deine Website-Besucher infiziert
- Nutzen der Ressourcen deiner Seite für Angriffe auf andere Server (so genannte DDoS-Attacken oder Brute-Force-Angriffe auf andere Logins)
- Weiterleiten deiner Website-Besucher auf andere Seiten, z.B. um Affiliate-Einnahmen zu generieren
Häufigste Angriffspunkte
WordPress ist im Prinzip ein recht sicheres und ausgereiftes System, nicht zuletzt durch die häufigen Updates und die kontinuierliche Weiterentwicklung. Dennoch entstehen immer wieder Sicherheitslücken in WordPress, Plugins und Themes. Am häufigsten gelingen die Attacken über folgende Ebenen (Quelle: wptemplate.com):
- ca. 41% aller erfolgreicher Angreife geschehen über den Webserver bzw. das Hosting. Noch ein Grund mehr für ein WordPress-optimiertes Hosting.
- 29% der Angriffe gelingen über das Theme. Daher solltest du nur Themes aus vertrauenswürdigen Quellen und von erfahrenen Entwicklern verwenden und es regelmäßig aktualisieren.
- In 22% der Fälle verschaffen Hacker sich über unzureichend gesicherte Plugins Zugriff. Auch hier gilt: Immer aktuell halten und nur vertrauenswürdige Plugins verwenden. Halte die Zahl der Plugins zudem möglichst gering.
- Überraschenderweise erfolgen nur ca. 8% der Angriffe über schwache Passwörter. Trotzdem solltest du dein Passwort regelmäßig ändern und ein Plugin wie Limit Login Attempts installieren.
Was, wenn meine Seite gehackt wurde?
Wenn du vermutest oder feststellst, dass deine WordPress-Seite gehackt wurde, informiere zum einen unbedingt deinen Hoster darüber und besprich mit ihm das weitere Vorgehen. In jedem Fall solltest du deine Seite bereinigen – idealerweise, indem du ein Backup von vor dem Angriff einspielst.
In der Praxis kommt es aber immer darauf an, welche WordPress-Komponenten genau angegriffen wurden und wo die Ursache lag. Zudem sollte natürlich möglichst effektiv für die Zukunft vorgesorgt werden.
Hallo Michelle,
da surft man etwas durch die Weltgeschichte ohne etwa danach zu suchen und findet beim durchstöbern einiger Bloggs diesen Artikel.
Nicht dass es jetzt etwas außergewöhnliches wäre über Sicherheitslücken in WordPress-Systemen zu berichten, aber genau dieses Problem hatte ich in den vergangenen Wochen.
Jemand / Eine Gruppe oder wie auch immer ,hat sich an meinem System zu schaffen gemacht und meinen Blogg „übernommen“ Ich habe es leider nicht früh genug bemerkt, da man über .htaccess Dateien nur auf mobile Betriebssysteme abgezielt hat. Naja, diesbezüglich habe ich einiges in meinem Blog umbauen müssen.
Auf jeden Fall denke ich jetzt nicht mehr, dass es immer nur die Anderen trifft.
Viele Grüße
Andre von Affiliatehelp
Hallo Andre,
das tut mir Leid, dass deine Seite angegriffen wurde. Hast du denn herausgefunden, wie dein FTP-Server gehackt werden konnte und mit deinem Hoster gesprochen?
Ich drücke dir die Daumen, dass jetzt alles in Ordnung ist!
Hallo,
es kann verschiedene Gründe haben. Denkbar ist ein altes Theme, Plugin oder die alte PHP Version. Inzwischen ist alles auf dem neuesten Stand, Sicherheitsplugin und für den admin-Bereich habe ich noch vor mir eine .htpasswd zu erstellen.
Derzeit sieht es so aus, als hätte mir der Hack richtig Vertrauen bei Google gekostet,
Mal sehen, wie es so weitergeht.
Hallo Andre,
all das sind keine Gründe, warum jemand Zugriff auf deinen FTP-Server bekommen kann. Ich würde dir raten, nochmal mit deinem Hoster Rücksprache zu halten.
Hallo Michelle,
toller Artikel!
Ist es besser eine WordPress Webseite mit oder ohne www. einzurichten.
z.B. https://www.beispiel.com oder https://beispiel.com.
Und welche Theme Anbieter kannst Du empfehlen?Themeforest?
Danke:)
Das kommt am Ende des Tages vor allem auf deinen Geschmack an. Ich bevorzuge ohne www. Definitiv solltest du die nicht gewählte Variante aber auf die Hauptdomain umleiten.
Neben Themeforest sind z.B. Elmastudio oder Frameworks wie Enfold und Genesis gute Themeanbieter.
Hallo Michelle, danke für die Antwort.
Könntest Du mir bitte noch mitteilen wie ich die Aufrufe mit www alle auf die Hauptdomain umleiten kann?(Code??).Und wo ich den Code eingeben muss.
Danke:)
Hallo Paul,
i.d.R. geht das direkt über deinen Hosting-Anbieter und die Domain-Verwaltung, alternativ über die .htaccess-Datei. Das hat im Prinzip nichts mit WordPress zu tun. Da die genauen Schritte von mehreren Faktoren abhängen, müsstest du da selbst etwas recherchieren und ausprobieren oder deinen Hoster um Unterstützung bitten.
Hallo Michelle,
hast Du eine Idee wie man sein aktives WordPress Theme verbergen kann, sodass es nicht mehr durch Theme Detectoren gefunden werden kann?
Du kannst es einfach umbenennen, sodass man im Quellcode nicht mehr wp-content/themes// sieht, sondern etwas anders. Aber was wäre ein sinnvoller Grund dazu?
Hallo, ich bin 1und1 Kunde. Leider habe auch ich die Erfahrung gemacht, wir betreiben eine größere Website und einen Onlineshop.
Leider bin ich mit dem hack- der Website nicht mehr alleine klar gekommen und habe mir Hilfe gesucht. Diese fand ich bei einem bekannten IT Sicherheitsunternehmen.
Es war zu komplex für Personen wie mich. Malware konnte ich trotz einigen versuchen nicht entfernen, obwohl ich wirklich nicht unerfahren bin. Aber meine Programmierkenntnisse sind eben nicht ganz so gut, das es für eine solche Maßnahme gereicht hätte.
Für alle die es auch erwischt, habe ich eine klare Empfehlung, das Team von Janotta und Partner. Unbekannt sind sie nicht, den sich haben mehr als 3000 Follower.
https://janotta-partner.de/Website-sicherheit.html
Danke für die Empfehlung. Ja, Malware ist ein komplexes Thema, das man nicht unterschätzen darf. Ich habe gerade am Wochenende eine sehr komplexe Seite bereinigt 🙂
Hallo Michelle,
eine dringende Frage: Wie lässt sich die E-MAil Adresse im Impressum und im Kontaktformular vor Spam schützen (Verschlüsseln, CSS, weiterleiten…????).
Bei deiner Kontaktseite öffnet sich wenn man auf Deine Kontakt E-Mail Adresse klickt automatisch ein Mail Programm,wie setzt man das um?
Gruß Paul
Hallo Paul,
dringende Fragen am besten direkt per E-Mail/Supportanfrage stellen. 😉
Ich nutze dazu das Plugin WP-Antispambot: https://wordpress.org/plugins/wp-antispambot/ Das funktioniert prima.