Inhaltsverzeichnis
Kürzlich fragte uns einer unserer Leser, warum WordPress-Websites gehackt werden.
Es ist frustrierend, wenn Sie feststellen, dass Ihre WordPress-Website gehackt wurde. Hacker haben es zwar auf alle Websites abgesehen, aber vielleicht machen Sie einige Fehler, die Ihre Website anfällig für Angriffe machen.
In diesem Artikel werden wir die wichtigsten Gründe für das Hacken von WordPress-Websites nennen, damit Sie diese Fehler vermeiden und Ihre Website schützen können.
Warum ist WordPress im Visier von Hackern?
Erstens ist es nicht nur WordPress, sondern alle Websites im Internet sind anfällig für Hacking-Versuche.
Der Grund dafür, dass WordPress-Websites ein häufiges Ziel sind, liegt darin, dass WordPress der weltweit beliebteste Website-Builder ist. 43 % aller Websites werden mit WordPress erstellt, d. h. Hunderte von Millionen Websites auf der ganzen Welt.
Diese enorme Popularität macht es Hackern leicht, weniger sichere Websites zu finden, um sie auszunutzen.
Hacker haben verschiedene Motive, eine Website zu hacken: Manche sind Anfänger, die gerade lernen, weniger sichere Websites auszunutzen, andere haben böswillige Absichten, z. B. die Verbreitung von Malware, Angriffe auf andere Websites und den Versand von Spam.
Werfen wir also einen Blick auf einige der Hauptursachen für das Hacken von WordPress-Websites, damit Sie lernen können, wie Sie verhindern können, dass Ihre Website gehackt wird.
1. unsicheres Webhosting
Wie alle Websites werden auch WordPress-Websites auf einem Webserver gehostet. Einige Hosting-Unternehmen sichern ihre Hosting-Plattform nicht ordnungsgemäß, so dass alle auf ihren Servern gehosteten Websites anfällig für Hacking-Versuche sind.
Dies kann leicht vermieden werden, indem Sie den besten WordPress-Hosting-Anbieter für Ihre Website wählen. Richtig sichere Server können viele der häufigsten Angriffe auf WordPress-Sites blockieren.
Wenn Sie zusätzliche Sicherheitsvorkehrungen treffen möchten, empfehlen wir Ihnen, einen Managed WordPress-Hosting-Anbieter zu wählen.
2. schwache Passwörter verwenden
Passwörter sind der Schlüssel zu Ihrer WordPress-Website. Sie müssen sicherstellen, dass Sie für jedes der folgenden Konten ein sicheres, eindeutiges Passwort verwenden, da sie alle einem Hacker vollständigen Zugang zu Ihrer Website verschaffen können.
- Ihr WordPress-Administratorkonto
- Ihr Webhosting Control Panel-Konto
- Ihre FTP-Konten
- Die für Ihre WordPress-Website verwendete MySQL-Datenbank
- Alle für WordPress-Administration und Hosting verwendeten E-Mail-Konten
Alle diese Konten sind durch Passwörter geschützt, und die Verwendung schwacher Passwörter macht es Hackern leichter, diese mit einigen einfachen Hacking-Tools zu knacken.
Sie können dies leicht vermeiden, indem Sie eindeutige und sichere Passwörter für jedes Konto verwenden. In unserem Leitfaden über die beste Passwortverwaltung für WordPress-Anfänger erfahren Sie, wie Sie all diese sicheren Passwörter verwalten.
3. ungeschützter Zugriff auf WordPress Admin (wp-admin)
Der WordPress-Administrationsbereich ermöglicht dem Benutzer den Zugriff auf verschiedene Aktionen auf Ihrer WordPress-Website und ist der am häufigsten angegriffene Bereich einer WordPress-Website.
Wenn Sie es ungeschützt lassen, können Hacker verschiedene Methoden ausprobieren, um Ihre Website zu knacken. Sie können es ihnen schwer machen, indem Sie Ihrem Verwaltungsverzeichnis mehrere Authentifizierungsebenen hinzufügen.
Zunächst sollten Sie Ihren WordPress-Administrationsbereich mit einem Passwort schützen, da dies eine zusätzliche Sicherheitsebene darstellt und jeder, der auf den WordPress-Administrationsbereich zugreifen möchte, ein zusätzliches Passwort eingeben muss.
Wenn Sie eine WordPress-Website mit mehreren Autoren oder Benutzern betreiben, können Sie sichere Passwörter für alle Benutzer Ihrer Website erzwingen. Sie können auch eine Zwei-Faktor-Authentifizierung hinzufügen, um Hackern den Zugang zu Ihrem WordPress-Administrationsbereich noch schwerer zu machen.
4. fehlerhafte Dateiberechtigungen
Dateiberechtigungen sind eine Reihe von Regeln, die von Ihrem Webserver verwendet werden. Diese Berechtigungen helfen Ihrem Webserver, den Zugriff auf Dateien auf Ihrer Website zu kontrollieren. Falsche Dateiberechtigungen können einem Hacker Zugang zum Schreiben und Ändern dieser Dateien geben.
Alle WordPress-Dateien sollten den Wert 644 als Dateiberechtigung haben. Alle Ordner auf Ihrer WordPress-Website sollten 755 als Dateiberechtigung haben.
In unserer Anleitung zur Behebung des Bild-Upload-Problems in WordPress erfahren Sie, wie Sie diese Dateiberechtigungen anwenden können.
5) WordPress nicht auf dem neuesten Stand halten
Einige WordPress-Benutzer haben Angst, ihre WordPress-Websites zu aktualisieren, weil sie befürchten, dass ihre Website dadurch kaputt geht.
Jede neue Version von WordPress behebt Fehler und Sicherheitslücken. Wenn Sie WordPress nicht aktualisieren, lassen Sie Ihre Website absichtlich verwundbar.
Wenn Sie befürchten, dass ein Update Ihre Website kaputt macht, können Sie vor dem Update ein komplettes WordPress-Backup erstellen. Auf diese Weise können Sie, falls etwas nicht funktioniert, einfach zur vorherigen Version zurückkehren.
Mehr dazu erfahren Sie in unserem Leitfaden für Einsteiger, wie Sie WordPress sicher aktualisieren.
6. nicht aktualisierte Plugins oder Theme
Genauso wichtig wie die WordPress-Kernsoftware ist die Aktualisierung Ihres Themes und Ihrer Plugins. Die Verwendung eines veralteten Plugins oder Themes kann Ihre Website angreifbar machen.
Sicherheitslücken und Bugs werden häufig in WordPress-Plugins und -Themes entdeckt. Normalerweise sind die Autoren von Themes und Plugins schnell dabei, diese zu beheben. Wenn jedoch ein Benutzer sein Theme oder Plugin nicht aktualisiert, kann er nichts dagegen tun.
Stellen Sie sicher, dass Ihr WordPress-Theme und Ihre Plugins auf dem neuesten Stand sind. In unserem Leitfaden zur richtigen Update-Reihenfolge für WordPress, Plugins und Themes erfahren Sie, wie das geht.
7. einfaches FTP anstelle von SFTP/SSH verwenden
FTP-Accounts werden verwendet, um Dateien mit einem FTP-Client auf Ihren Webserver hochzuladen. Die meisten Hosting-Provider unterstützen FTP-Verbindungen mit verschiedenen Protokollen. Sie können sich mit einfachem FTP, SFTP oder SSH verbinden.
Wenn Sie eine Verbindung zu Ihrer Website mit einfachem FTP herstellen, wird Ihr Passwort unverschlüsselt an den Server gesendet. Das bedeutet, dass es ausgespäht und leicht gestohlen werden kann. Anstelle von FTP sollten Sie immer SFTP oder SSH verwenden.
Sie brauchen Ihren FTP-Client nicht zu ändern. Die meisten FTP-Clients können sowohl über SFTP als auch über SSH eine Verbindung zu Ihrer Website herstellen. Sie müssen nur das Protokoll auf 'SFTP - SSH' ändern, wenn Sie sich mit Ihrer Website verbinden.
8. als WordPress-Benutzername Admin verwenden
Die Verwendung von "admin" als WordPress-Benutzername ist nicht empfehlenswert. Wenn Ihr Administrator-Benutzername "admin" lautet, sollten Sie diesen sofort in einen anderen Benutzernamen ändern.
Eine detaillierte Anleitung finden Sie in unserem Tutorial zum Ändern Ihres WordPress-Benutzernamens.
9. genullte Themes und Plugins
Es gibt viele Websites im Internet, die kostenpflichtige WordPress-Plugins und -Themes kostenlos zur Verfügung stellen. Vielleicht fühlen Sie sich versucht, diese nulled Plugins und Themes auf Ihrer Website zu verwenden.
Das Herunterladen von WordPress-Themes und -Plugins aus unzuverlässigen Quellen ist sehr gefährlich, denn sie können nicht nur die Sicherheit Ihrer Website gefährden, sondern auch zum Diebstahl vertraulicher Daten verwendet werden.
Sie sollten WordPress-Plugins und -Themes immer von zuverlässigen Quellen wie der Website des Entwicklers oder den offiziellen WordPress-Repositories herunterladen.
Wenn Sie es sich nicht leisten können, ein Premium-Plugin oder -Theme zu kaufen, gibt es immer kostenlose Alternativen für diese Produkte. Diese kostenlosen Plugins sind vielleicht nicht so gut wie ihre kostenpflichtigen Gegenstücke, aber sie erfüllen ihre Aufgabe und, was am wichtigsten ist, sie halten Ihre Website sicher.
Sie können auch Rabatte für viele der beliebten WordPress-Produkte in der Rubrik Angebote auf unserer Website finden.
10. wp-config.php WordPress-Konfigurationsdatei nicht abgesichert
Die WordPress-Konfigurationsdatei wp-config.php enthält die Anmeldedaten für Ihre WordPress-Datenbank. Wenn sie kompromittiert wird, gibt sie Informationen preis, die einem Hacker vollständigen Zugang zu Ihrer Website verschaffen könnten.
Sie können einen zusätzlichen Schutz hinzufügen, indem Sie den Zugriff auf die wp-config-Datei mit .htaccess verweigern. Fügen Sie einfach diesen Code in Ihre .htaccess-Datei ein.
Befehl allow,deny deny von allenVeranstaltet mit ❤️ von WPCode 1-Klick-Verwendung in WordPress
11. den WordPress-Tabellenpräfix nicht ändern
Viele Experten empfehlen, das Standard-Tabellenpräfix von WordPress zu ändern. Standardmäßig verwendet WordPress wp_ als Präfix für die Tabellen, die es in Ihrer Datenbank erstellt. Sie haben die Möglichkeit, es während der Installation zu ändern.
Es wird empfohlen, ein komplexeres Präfix zu verwenden, um es Hackern zu erschweren, die Namen Ihrer Datenbanktabellen zu erraten.
Detaillierte Anweisungen finden Sie in unserer Anleitung zum Ändern des WordPress-Datenbankpräfixes, um die Sicherheit zu verbessern.
Bereinigung einer gehackten WordPress-Website
Die Bereinigung einer gehackten WordPress-Website kann schmerzhaft sein, ist aber machbar.
Hier sind einige Ressourcen, die Ihnen helfen, eine gehackte WordPress-Website zu bereinigen:
- 12 Anzeichen dafür, dass Ihre WordPress-Website gehackt wurde (und wie Sie es beheben können)
- So scannen Sie Ihre WordPress-Website auf potenziell bösartigen Code
- Wie man eine Hintertür in einer gehackten WordPress-Website findet und sie repariert
- Was ist zu tun, wenn Sie aus dem WordPress-Administrationsbereich (wp-admin) ausgesperrt sind?
- Anleitung für Anfänger zum Wiederherstellen von WordPress aus einem Backup
Bonus-Tipp
Für felsenfeste Sicherheit verwenden wir Sucuri für alle unsere WordPress-Websites. Sucuri bietet Dienste zur Erkennung und Entfernung von Malware sowie eine Website-Firewall, die Ihre Website vor den häufigsten Bedrohungen schützt.
Lesen Sie die Geschichte, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in 3 Monaten zu blockieren.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die Hauptgründe zu erfahren, warum eine WordPress-Website gehackt wird. Vielleicht interessieren Sie sich auch für unseren Leitfaden zur Steigerung des Blog-Traffics oder unsere Expertentipps zur Beschleunigung der WordPress-Leistung.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
