WordPress und Hacker
Da WordPress die beliebteste Zielscheibe für Hacker ist, solltest du direkt nach der Installation ein paar digitale Schlösser einbauen. Hier ist eine Strategie, die deine Seite absichert, ohne sie langsam zu machen:
1. Die „All-in-One“-Lösung: Wordfence Security
Wordfence ist der Goldstandard. Es enthält eine Firewall und einen Malware-Scanner.
- Installation: Gehe in WordPress auf Plugins > Installieren und suche nach „Wordfence“.
- Wichtigste Funktion: Die Firewall. Nach der Installation musst du sie oft noch „optimieren“ (dafür lädt Wordfence eine kleine Datei herunter und passt deine
.user.inioder.htaccessan – das Tool führt dich Schritt für Schritt durch). - Login-Schutz: Wordfence bietet auch 2FA (Zwei-Faktor-Authentisierung) an. Aktiviere dies für deinen Admin-Account!
2. Login-Versuche begrenzen: Limit Login Attempts Reloaded
Standardmäßig erlaubt WordPress unendlich viele Versuche, das Passwort zu raten (Brute-Force-Angriffe).
- Was es tut: Nach z.B. 3 Fehlversuchen wird die IP-Adresse des Angreifers für 20 Minuten (oder länger) gesperrt.
- Einstellung: Du kannst einstellen, wie viele Versuche erlaubt sind und wie lange die Sperre dauert.
3. Den Login-Pfad verstecken: WPS Hide Login
Jeder weiß, dass man sich bei WordPress über deinedomain.de/wp-admin einloggt. Bots hämmern rund um die Uhr auf diese URL ein.
- Was es tut: Es ändert die Login-URL in etwas Beliebiges um, z.B.
deinedomain.de/geheimtuer. - Wichtig: Merk dir die neue URL gut! Wenn du sie vergisst, kommst du selbst nicht mehr ins Dashboard (in dem Fall müsstest du den Plugin-Ordner per FTP umbenennen, um wieder reinzukommen).
4. Spam-Schutz für Kommentare: Antispam Bee
Falls du einen Blog hast, wirst du mit Werbe-Kommentaren überflutet werden.
- Warum dieses Plugin? Es ist im Gegensatz zu vielen anderen (wie Akismet) komplett DSGVO-konform, da es keine Daten an externe Server sendet.
Checkliste: Sicherheit ohne Plugins (Direkt in netcup/WP)
| Maßnahme | Warum? |
| Kein Benutzer „admin“ | Der Benutzername „admin“ ist der erste, den Hacker probieren. Nenne deinen Admin-User individuell. |
| Starke Passwörter | Nutze den Passwort-Generator von WordPress. |
| Updates! | Das WordPress Toolkit im netcup WCP kann Plugins und Themes automatisch aktualisieren. Aktiviere das für Sicherheits-Updates! |
| PHP-Version | Halte deine PHP-Version bei netcup aktuell (wie wir vorhin besprochen haben), da alte Versionen keine Sicherheits-Fixes mehr erhalten. |
Ein kleiner Tipp zum Thema Plugins:
Weniger ist mehr. Jedes Plugin ist eine potenzielle Sicherheitslücke und kann die Seite verlangsamen. Installiere nur das, was du wirklich brauchst.