„Wieso sieht meine Website jetzt so komisch aus? War das nicht gestern noch anders?“ Es kommt leider nicht zu selten vor, dass Websites durch Updates zerschossen werden oder – schlimmer – gehackt werden und dann vom Hacker unbrauchbar gemacht werden. Deine Website ist das digitale Zuhause deiner Marke – willst du da wirklich die Tür nicht abschließen? Und mir geht es in diesem Beitrag nicht nur um die Sicherheit vor Hackerangriffen, sondern auch um mehr Sicherheit in Bezug auf den Datenschutz. Um dir dabei zu helfen, deine Website (für andere Systeme gibt es andere Profis, btw) besser zu schützen und die WordPress Sicherheit zu verbessern, habe ich heute 4 super Plugins und einen Bonus-Tipp für dich.
Das ist WordPress
Egal, ob du einen Blog, eine Portfolio-Seite oder einen großen Online-Shop bauen möchtest, WordPress sagt: „Kein Problem!“ Es ist ein sogenanntes CMS, ein Content-Management-System, das inzwischen schon seit über 20 Jahren existiert und seitdem immer weiter entwickelt wird. So, wie du ein Programm auf deinem Computer installierst, installierst du WordPress auf deinem Webspace und dann kannst du damit arbeiten und über deine Domain auf deine Website zugreifen.
Bei WordPress handelt es sich um eine Open Source Software, die kostenlos eingesetzt werden darf. Mit einem Marktanteil von 42,7% war es 2023 mit Abstand das am häufigsten verwendete System zur Erstellung von Websites. Das liegt unter anderem daran, dass es sehr benutzerfreundlich und eben so unglaublich flexibel zu verwenden ist. Bei WordPress kann man jede Menge Plugins für jeden möglichen Bedarf installieren. Und damit sind wir schon fast beim Thema, denn heute möchte ich dir 4 Plugins vorstellen, die deine Website sicherer machen. Vorher möchte ich aber nochmal kurz darauf eingehen, wieso und wogegen du deine Website absichern solltest.
1. Absicherung gegen Datenverlust
Warum: Backups sind unverzichtbar. Nicht nur für deine Daten (und ich hoffe dass du da schon gut aufgestellt bist, ansonsten schau mal hier), sondern auch für deine Website. Ein Backup ermöglicht es dir, einen bestimmten Systemzustand wiederherzustellen. Ganz konkret erklärt: Deine Website sieht heute perfekt aus und sie läuft auch rund. Diesen Zustand speicherst du, zum Beispiel auf einem Cloud-Speicher oder einer Festplatte. Wenn du morgen auf deine Website gehst, und alles sieht ganz furchtbar komisch aus, kannst du einfach das Backup von heute wiederherstellen und deine Website sieht erstmal wieder top aus. Wenn die Website tatsächlich zerschossen ist, solltest du erstmal versuchen, rauszufinden, woran es liegt. Meist sind Updates von Plugins oder von der WordPress Software die Übeltäter, die nicht richtig mit anderen Plugins zusammenarbeiten. Hier ist etwas Recherche unabdingbar. Aber: du hast ja dein Backup, mit dem deine Seite erstmal weiter laufen und deine Kunden bedienen kann.
Meine Wahl: UpdraftPlus Premium*
Features und Vorteile: UpdraftPlus ist dein bester Freund um immer einen Notfallplan für deine Website zu haben. Im besten Fall wirst du es nie brauchen, aber im schlimmsten Fall solltest du es auf jeden Fall haben. Es gibt wie bei vielen WordPress Plugins eine einfache gratis Version und eine kostenpflichtige Premium-Version. Ich nutze die Premium Version und sie ist eine der ersten Apps, die ich auf jeder Website installiere. In beiden Versionen kannst du mit dem Plugin Backups erstellen, Zeitpläne festlegen (z.B. täglich, wöchentlich, etc.), Backups wiederherstellen und Websites klonen, wenn du sie z.B. auf einen anderen Webserver umziehen willst. In der Premium Version kannst du zusätzlich automatische Backups vor jedem Softwareupdate machen lassen. Außerdem gibt es hier mehr Möglichkeiten zum Speichern der Sicherung, weitere Optionen für die Zeitpläne der Sicherungen, die Möglichkeit das Backup an mehreren Orten zu speichern (Backup vom Backup) und viele Weitere Features. Für mich macht vor allem die Sache mit den automatischen Backups den Preis wert.
Einrichtung: Die Einrichtung von UpdraftPlus ist einfacher als Ikea-Möbel aufzubauen – versprochen! Wenn du die gratis Version nutzt, suchst du sie ganz einfach über “neues Plugin hinzufügen” nach “UpdraftPlus” und installierst und aktivierst das Plugin. Danach führt dich das Plugin durch einen simplen Setup-Prozess, bei dem du festlegen kannst, wie oft und wo deine Backups gespeichert werden sollen. Um die Premiumversion zu installieren kaufst du sie zuerst hier*, lädst dir die Datei runter (nicht entpacken) und installierst die ZIP-Datei über “neues Plugin hinzufügen” und dann “Plugin hochladen”. Auch hier aktivierst du das Plugin und es führt dich danach durch das Setup. Easy as that & schon hast du deine Website abgesichert gegen Änderungen, die nicht funktionieren oder nicht so sein sollten.
2. Absicherung gegen Datenschutzverstöße
Da ich keinerlei juristische Ausbildung habe, ist das folgende keine Rechtsberatung und kann diese auch nicht ersetzen. Ich zeigt nur ein Einblick aus meinem Alltag und meiner Praxis als Webdesignerin. Für die Aktualität, Vollständigkeit und Richtigkeit der Inhalte übernehme ich keine Haftung.
In einer Welt, in der unsere Daten ständig gesammelt werden, ist es umso wichtiger, dass du deinen Website-Besuchern zeigst, dass du ihre Privatsphäre ernst nimmst. Um dich gegen Datenschutzverstöße abzusichern, brauchst du als allererstes eine gute Datenschutzerklärung. Das ist gar nicht so einfach, und wenn du da auf Nummer sicher gehen willst, ziehst du einen Rechtsanwalt zurate, der diese Erklärung für dich erstellt. Wenn du sie selbst erstellen möchtest, klau dir bitte nicht einfach irgendwo eine Datenschutzerklärung, sondern erstell sie selbst mit Verstand und im Hinblick auf die von dir genutzten Tools und Plugins, z.B. mithilfe von eRecht24*. Die haben sogar einen Generator für Impressum und Datenschutzerklärung.
Aber nicht nur die Datenschutzerklärung muss passen, mit der DSGVO kamen auch noch andere Regelungen, wie z.B. dass der Nutzer Cookies aktiv akzeptieren muss und auch dass die Datenübertragung in die USA besser nur mit Akzeptanz erfolgt, da die Datenschutzregelungen dort deutlich lockerer sind als hier. Dafür brauchen wir ein sogenanntes Consent Management Tool, also quasi einen “Einwilligungsmanager”, der Inhalte blockieren und freigeben kann. Das Ganze kommt in der Gestalt eines Cookie-Banners daher und da möchte ich dir jetzt meinen erklärten Favoriten kurz vorstellen.
Meine Wahl: Borlabs Cookie 3.0*
Features und Vorteile: Borlabs Cookie 3.0* ist das goldene Ticket für den Datenschutz auf deiner Website. Es hilft dir, die Einwilligung deiner Nutzer für verschiedene Cookies und Tracking-Technologien elegant und gesetzeskonform einzuholen. Mit seinem eingebauten Scanner überprüft es deine Website auf Plugins und Inhalte, die nicht ohne Nutzereinwilligung ausgespielt werden sollten, und fängt diese dann durch vorinstellierte Pakete ab, die du nur aktivieren musst. So ist deine Website erstmal gut geschützt. Das Tool gibt dir über 150 Einstellungen für das Design. Ich bin der Meinung, dass der erste Eindruck super wichtig ist – und wenn der Nutzer zuerst dein Cookie Banner sieht (was sich ja leider nicht mehr vermeiden lässt), sollte das Cookie Banner zumindest deine Farben repräsentieren und zur Website passen.
Einrichtung: Borlabs Cookie ist ein Premium Plugin, d.h. es gibt keine kostenlose Version. Hier* kannst du deine Lizenz kaufen und dann installierst du es wie beim vorher beschreibenen Premium Plugin, indem du die ZIP-Datei hochlädst. Dann aktivierst du es und unter Einstellungen > Dashboard bekommst du eine ganz genaue Step-by-Step Anleitung zur korrekten Einrichtung in 9 Schritten. Der Scanner und die vorbereiteten Pakete nehmen dir dabei unglaublich viel Arbeit ab. Wenn das Plugin eingerichtet ist, kannst du mit dem Scanner und der Funktion “Audit” immer wieder überprüfen, ob deine Website gut geschützt ist oder ob du irgendwo nachjustieren musst, z.B. weil du ein neues Plugin integriert hast.
3. Absicherung gegen unberechtigte Logins
Wie kommen Hacker in deine WordPress Seite? Wie bei Social Media liegt es oft nicht an gravierenden Sicherheitslücken, sondern an Unaufmerksamkeit und vermeidbaren Fehlern. Ein großes Problem ist dabei das Login. Um sich in ein WordPress Backend einzuloggen, braucht man (wie so ziemlich überall) einen Benutzernamen und ein Passwort. Viele Webdesigner arbeiten mit dem Benutzernamen “admin” – der ist sehr leicht zu erraten und führt dazu, dass der Hacker nur noch das Passwort rausfinden muss.
Wenn dann noch ein schwaches Passwort verwendet wird, ist der Weg frei, um die Kontrolle über die Website zu übernehmen. Das heißt: erstmal einen individuellen Benutzernamen und ein starkes Passwort einrichten. Darüber hinaus kannst du deine Website aber mit den entsprechenden Plugins ganz einfach noch weiter absichern. Klar, es gibt sehr umfangreiche Plugins dafür wie z.B. Wordfence oder Sucuri Security. Ich nutze stattdessen zwei kleinere Plugins, die dafür keine Registrierung erfordern und mir bisher gute Dienste leisten.
Meine Wahl: Two Factor Authentication
Features und Vorteile: Du kennst die Zwei-Faktor-Authentifizierung (2FA) sicher schon von diversen anderen Plattformen, z.B. Onlinebanking, Paypal, Social Media oder Amazon (ich hoffe es zumindest für dich, ansonsten hol das bitte schleunigst nach!). Bei der 2FA loggst du dich also einfach mit deinem Benutzernamen und deinem Passwort ein. Dann bist du aber noch nicht eingeloggt, sondern es fehlt noch etwas – der 2. Faktor. Das kann beispielsweise ein Zahlencode per Mail, per SMS oder über eine Authenticator-App sein, den du eingibst, und dann bist du vollständig eingeloggt. Die zusätzliche Sicherheit liegt auf der Hand: falls jemand deine Zugangsdaten errät, kann er sich trotzdem nicht einloggen, ohne Zugriff auf den zweiten Faktor zu haben. Das macht es dem Angreifer deutlich schwerer, in dein System zu kommen. Und das schöne ist: Standardmäßig gibt es bei WordPress keine 2FA, aber du kannst mit einem Plugin ganz einfach eine einrichten.
Einrichtung: Du installierst das kostenlose Plugin “Two Factor Authentication” über “Neues Plugin hinzufügen”. Dann aktivierst du es und gehst in die Benutzer-Einstellungen. Dort siehst du schon einen QR-Code, den du mit deiner Authenticator App (z.B. Apple Passwörter, Google Authenticator, Microsoft Authenticator, etc.) scannen kannst. Dann sollte deine App den gleichen Zahlencode anzeigen wie das Plugin, der wechselt alle 30 Sekunden. Erst wenn du sicher bist, dass der Code stimmt und sich entsprechend passend aktualisiert, klickst du oben auf “Aktiviert” und speicherst die Änderungen. Jetzt wird beim Login immer der 2. Faktor abgefragt, und du hast deiner Seite eine wertvolle Schutzbarriere hinzugefügt. Nimm die FAQ der App in dein Lesezeichen auf, damit du weißt, was zu tun ist, falls die Authentifizierung fehlschlagen sollte. Das ist mir bis heute zum Glück nie passiert, aber sicher ist sicher.
Meine Wahl: Limit Login Attempts Reloaded
Wenn du jemals einen Film gesehen hast, in dem Hacker versuchen, ein Passwort zu knacken, dann weißt du, dass sie es oft mit unzähligen Versuchen versuchen. Die Darstellung im Film entspricht jetzt nicht unbedingt der Realität, aber ziemlich genau das Konzept passiert auch im echten Leben, und es nennt sich Brute-Force-Angriff. Ein Brute-Force-Angriff ist eine Methode, bei der der Angreifer versucht, ein Passwort durch systematisches Ausprobieren möglichst vieler Kombinationen zu erraten. Im digitalen Bereich funktioniert ein Brute-Force-Angriff ähnlich, nur dass dieser Prozess automatisiert und mit extrem hoher Geschwindigkeit durchgeführt wird.
Features und Vorteile: Standardmäßig erlaubt WordPress eine unbegrenzte Anzahl von Login-Versuchen. Das kostenlose Plugin Limit Login Attempts Reloaded setzt dem ein Ende, indem es die Anzahl der Anmeldeversuche begrenzt. Stell es dir wie einen breitschultrigen Securitytypen vor, der vor der Tür steht und sagt: „Du hast jetzt schon drei Mal das falsche Passwort eingegeben. Abflug jetzt, kannst später wiederkommen!“ Es blockiert also mehrmalige erfolglose Anmeldeversuche von der gleichen IP-Adresse und sperrt das Login für diese IP-Adresse dann für eine Weile.
Einrichtung: Die Installation ist so einfach wie das Bestellen einer Pizza online. Genau wie die anderen kostenlosen Plugins installierst du es. Nach der Aktivierung kannst du in den Einstellungen des Plugins anpassen, wie viele Login-Versuche erlaubt sind und was passieren soll, wenn jemand zu oft das falsche Passwort eingibt. Außerdem kannst du dich per Mail benachrichten lassen, wenn es eine bestimmte Anzahl von Aussperrungen gab. Ein ganz einfaches Plugin, das aber eine wichtige Sicherheitslücke schließt.
Zusatztipp: Halte deine Website auf dem neusten Stand
Die größten Sicherheitslücken entstehen bei WordPress durch veraltete Pluginversionen und alte Versionen von der WordPress Software selbst. Aber auch nicht genutzte Plugins und Themes, die du behältst, können eine Sicherheitslücke darstellen. Mein Tipp? Stelle einen festen Tag im Monat (oder häufiger) ein, an dem du deine Website-Updates durchführst. So vergisst du es nicht, und deine Website bleibt immer auf dem neuesten Stand. Wenn du auf Nummer sicher gehen willst: Viele Plugins bieten die Möglichkeit, ihre Updates automatisch durchzuführen. So musst du dir keine Sorgen mehr machen, dass du eine wichtige Aktualisierung verpasst. Automatisches Backup vorher nicht vergessen!
Verbessere die Sicherheit deiner WordPress Website
Ich hoffe, dieser kleine Rundumschlag hat dir gezeigt, wie wichtig es ist, auf die Sicherheit deiner WordPress-Website zu achten. Von Backups über Datenschutz bis hin zur Zwei-Faktor-Authentifizierung und dem Schutz vor Brute-Force-Angriffen – all diese Maßnahmen tragen dazu bei, deine Website sicherer zu machen.
Mach dir klar, dass die Sicherheit deiner Website nicht nur für dich, sondern auch für deine Besucher wichtig ist. Ich möchte dich dazu ermutigen, nicht zu warten, bis etwas passiert. Halte deine Seite also so schlank und aktuell wie möglich, indem du nicht genutzte Tools löschst, anstatt sie nur zu deaktivieren, und regelmäßig Updates machst. Sei proaktiv und sorge dafür, dass deine Website so sicher ist, wie sie nur sein kann. Es wird zu Beginn etwas Arbeit bedeuten, aber glaube mir: Es ist es wert.
Übrigens: für meine Kunden übernehme ich die gesamte Wartung ihrer Websites im Rahmen des Hosting- und Wartungsvertrages bei meinen Webdesign Services. Hast du Fragen oder brauchst Unterstützung? Meld dich gern bei mir!