WordPress: Sicherheits-Plugins und Backup-Plugins – die Top-Tipps! (2024)

Das kostenlose Content-Management-System (CMS) WordPress ist für private wie kommerzielle Webseiten, Blogs oder Online-Shops sehr beliebt. So werden weltweit über 40 Prozent aller Internetseiten mit WordPress gestaltet und verwaltet. Ein Vorteil: Sie müssen bei WordPress nicht notwendigerweise programmieren können, sondern erstellen über eine Programmoberfläche Websites für die unterschiedlichsten Einsatzzwecke. Neben "Themes", über die Sie das grafische Design Ihrer Website bestimmen, sind Plugins essenziell für eine Erweiterung der Funktionalität einer Homepage. Direkt aus WordPress heraus greifen Sie bequem auf einen umfangreichen Katalog mit fast 60.000 kostenlosen und kostenpflichtigen Erweiterungen zu – darunter WordPress Sicherheits-Plugins und Backup-Plugins. Und die sind essenziell.

Ein wichtiger Aspekt unter WordPress ist nämlich die Sicherheit Ihrer Daten. Hier können Plugins helfen, WordPress bzw. Ihre Homepage sicherer zu machen. Zum Beispiel durch Backups, Zwei-Faktor-Authentifizierung beim Zugriff als Administrator, mit Malware- und Spam-Scanner oder als Firewall und BruteForce-Schutz für Ihre Webseite. Da WordPress und Plugins permanent weiterentwickelt werden, ist eine regelmäßige Wartung Ihrer WordPress-Homepage wichtig, um etwa WordPress-Updates zu installieren. Denn nur so können bekannt gewordene WordPress-Sicherheitslücken wieder geschlossen werden.

Bedeutung der Wartung für WordPress-Websites

Unter der Wartung von WordPress-Webseiten versteht man alle Maßnahmen, mit denen Sie Ihre Webseite auf dem aktuellen Stand halten und unbefugte Zugriffe verhindern. Dies umfasst sowohl Sicherheitsaspekte als auch erweiterte bzw. neue Funktionen von WordPress oder der eingesetzten Plugins. Praktisch: Über Updates informiert Sie WordPress direkt im "Dashboard".

Für installierte Plugins gilt dasselbe wie für das CMS: Aktualisierungen sorgen für eine höchstmögliche Sicherheit Ihrer WordPress-Webseite und verringern so die Wahrscheinlichkeit von Hackerangriffen. Die WordPress Menü-Sidebar zeigt bei "Plugins" unübersehbar die Anzahl möglicher Updates an.

Eine weitere Aufgabe bei der WordPress-Wartung ist die Überprüfung relevanter Sicherheitseinstellungen, etwa ob die aktuelle PHP-Version verwendet wird, wie es mit Berechtigungseinstellungen von Autoren aussieht oder natürlich einer Datensicherung sämtlicher Daten der Webseite. Backups sollten die zugrunde liegende MySQL-Datenbank ebenso umfassen wie Plugins oder selektive Ordner auf Ihrem Webserver, die zum Beispiel Mediadaten wie Videos, Audios und Bilder enthalten.

Damit Besucher während der Wartung Ihre Webseite nicht "sehen" können und stattdessen einen entsprechenden Hinweisbildschirm erhalten, gibt es spezielle Wartungs-Plugins, zum Beispiel "WP Maintenance Mode".

Sicherheitsaspekte von WordPress

WordPress ist wie andere CMS-Lösungen, etwa Joomla oder Drupal, aber auch wie

, zum Beispiel Wix oder Jimdo, nicht 100%ig sicher. Einer der Gründe liegt in der Online-Verwaltung. Das heißt, möchten Sie auf Ihrer Homepage Änderungen vornehmen, loggen Sie sich mit Benutzername und Passwort ein. Über sogenannte "Brute Force Angriffe" versuchen Hacker, exakt über diese Login-Option Zugriff auf Ihre Webseite zu bekommen. Arbeiten Sie mit mehreren Personen an einer Seite, sind auch deren Zugangsdaten sowie deren Rollen und Berechtigungen Schwachstellen.

Ebenfalls gefährlich sind "veraltete" Plugins, die schon länger nicht mehr vom Hersteller aktualisiert worden sind und somit eine Angriffsfläche für Attacken bieten. Es gilt also, sich im Plugin-Katalog genau anzuschauen, wann ein Plugin das letzte Mal aktualisiert wurde oder wie viele zufriedene Nutzer eine Software hat.

Tipps zur Verbesserung der Sicherheit von WordPress

Auch ohne großen Aufwand können Sie selbst Ihre WordPress-Homepage sicher machen. Einfache Schutzmaßnahmen sind zum Beispiel, dass Sie starke, also sichere Passwörter einsetzen, die aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen und mindestens acht Zeichen umfassen. Sie sollten auch vermeiden, den Standard "ADMIN" als Benutzernamen für einen Administratorzugang zu nutzen. Denn in diesem Fall brauchen Hacker eigentlich nur noch Ihr Passwort zu knacken. Ebenfalls sinnvoll kann es sein, die Anzahl der Login-Versuche zu begrenzen. Wird die festgelegte Anzahl an falschen Anmeldeversuchen überschritten, erfolgt eine Sperrung der betreffenden IP. Ein passendes Plugin dafür ist zum Beispiel "Limit Login Attempts Reloaded".

Außerdem ist es vernünftig, den Login-Pfad zu verändern, der standardmäßig zum Beispiel unter "Domainname/wp-admin" zu finden ist. Auch dieses Problem lässt sich mit Plugins wie "Change WP Admin Log-in" oder "WPS Hide Log-in" recht unkompliziert beseitigen. Vor diesem Systemeingriff sollten Sie allerdings sicherheitshalber ein Backup Ihrer Webseite erstellen. Auch während der Installation von WordPress können Sie Hackern mit einem Trick das Leben schwer machen: Ändern Sie einfach die Vorgabe des Präfixes der notwendigen SQL-Datenbank. Wenn Sie WordPress bereits einsetzen, lässt sich dieses Präfix beispielsweise mit dem Plugin "Brozzme DB Präfix" sogar nachträglich ruckzuck ändern.

Zu guter Letzt lohnt es sich, dass Sie zum Schutz Ihrer WordPress-Webseite eine Firewall installieren. Eine Lösung ist das "All-in-One-WP-Sicherheits- und Firewall-Plugin". Wie viele andere Security-Plugins auch bietet die Software zusätzlich ein Bündel an sicherheitsrelevanten Funktionen.

Top Security-Plugins für WordPress

Neben der Lösung einzelner Sicherheitsaspekte Ihrer WordPress-Webseite, etwa das Installieren einer Firewall oder eine Zwei-Faktor-Authentifizierung, gibt es Security-Plugins, die gleich mehrere Funktionen unter einem Dach bündeln und WordPress sicher machen.

So bietet zum Beispiel das kostenlose Plugin "All In One Security & Firewall" (kurz "AIOS") unter anderem eine Firewall, einen Malware-Scanner, Schutz vor Spam- und Brute-Force-Attacken und Hilfe beim Sichern der wichtigen .htaccess- und .wp-config-Dateien. Außerdem unterbindet das Plugin iFrames, über die Ihre Homepage auf fremden Webseiten angezeigt werden kann. Die mit drei Millionen aktiven Installationen weltweit beliebte Software sorgt zudem für sichere Logins durch eine Zwei-Faktor-Authentifizierung (2FA) mit Apps wie dem Microsoft Authenticator sowie durch den Einsatz von CAPTCHA-Formularen. Zudem können Sie das Kopieren von Textinhalten im Frontend Ihrer Website unterbinden. Praktisch: Das Security-Plugin ist in deutscher Sprache und bietet mit dem Dashboard einen super Überblick zum Sicherheitszustand Ihrer Webseite.

In der gleichen Liga wie "All In One Security & Firewall” spielen auch "Solid Security" mit knapp 1 Million oder "Wordfence" mit 5 Millionen aktiven Installationen. Beim Blick auf diese drei Multi-Tools wird klar, wie schwierig es ist, das passende Plugin auszuwählen. Im Prinzip decken viele der Top-Tools die gleichen Bereiche ab, offenbaren aber im Detail und bei der Benutzerführung Unterschiede. Zudem sind die meisten Programme in der Grundversion zwar kostenlos, tiefergehende Funktionen wie ein automatischer Malwarescan oder gar das Entfernen von Schadsoftware bleiben jedoch den kostenpflichtigen Premium- oder Pro-Versionen vorbehalten.

Der einzige Weg, das für Sie beste WordPress-Plugin auszuwählen, ist sich im Plugin-Katalog entweder alle Security Plugins anzuschauen oder über die Suchfunktion gezielt nach "Sucuri", "WPScan" oder "Jetpack Security" zu suchen. In der Übersicht erhalten Sie dabei vier interessante Parameter zur Qualität jedes Plugins: Die Anzahl der aktiven Installationen, eine Sternebewertung, wann das Plugin zuletzt aktualisiert wurde und ob es mit Ihrer aktuellen WordPress-Version kompatibel ist.

In einem weiteren Schritt installieren und aktivieren Sie dann einfach die in Frage kommenden Sicherheits-Tools, schauen sich die Features unter Berücksichtigung Ihres Anforderungsprofils an und testen, ob Sie auch mit der Oberfläche und den Einstellungen zurechtkommen. Praktisch: Bei WordPress lassen sich problemlos mehrere Plugins parallel installieren und so direkt vergleichen. So schnell und einfach, wie Sie Plugins einrichten, lassen sie sich auch wieder löschen.

Top Backup-Plugins zum Backup von WordPress

Ob auf dem PC, dem iPhone oder eben auch bei Ihrer Webseite: Zu regelmäßigen Backups gibt es keine Alternative. Die Gründe, warum wichtige Daten wie Bestellungen, Kundendaten oder mühevoll erstellte Webseiten verlorengehen, sind vielfältig. Hackerangriffe, Malwareattacken, Hardwaredefekte oder eigenes Verschulden. Das Ergebnis ist immer ärgerlich, kann sehr teuer werden oder aber viel Zeit kosten.

Um die Daten Ihrer kompletten WordPress-Webseite zu sichern, können Sie bei den meisten Backup-Plugins neben einer manuellen Datensicherung auch automatisiert Intervalle festlegen. So müssen Sie sich um eine Datensicherung keine Gedanken mehr machen, da Ihre Webseiten etwa jeden Tage gebackupt werden. Eine sehr nützliche Funktion ist die Unterstützung von Cloudspeichern bei Google Drive & Co. oder von SFTP/FTP-Servern. So sind Sie selbst bei einem Crash Ihres Webservers auf der sicheren Seite.

Erstellung von WordPress-Backups mit Plugins

Eines der beliebtesten Tools, um WordPress-Backups zu erstellen, ist "UpdraftPlus". In der Gratis-Version lassen sich vollständige, automatische Backups in flexiblen Zeit-Intervallen anlegen. Praktisch: Ihre Sicherungskopien werden dabei auf Wunsch auch in Ihrer Dropbox oder bei Google Drive abgelegt. Müssen Sie Daten wiederherstellen, können Sie gezielt zwischen dem Restore von Themes, Plugins oder der Datenbank wählen. Gegen Bezahlung gibt es in "UpdraftPlus Premium" zusätzliche Funktionen wie inkrementelle Backups sowie die Möglichkeit, Ihre Datensicherung auf andere Server zu migrieren oder Webseiten zu klonen.

Vergleichbar mit "UpdraftPlus" ist die kommerzielle Lösung "Jetpack VaultPress Backup". Das WordPress Backup-Plugin punktet zum Beispiel mit Echtzeit-Backups und erlaubt sogar, Webseiten von unterwegs über Ihr Mobilgerät wiederherzustellen. Ebenfalls nur als Kaufvariante gibt es die Sicherungstools "JetBackup" sowie "BlogVault" mit Webseiten-Migration und inkrementellen Backups. "WP Time Capsule" wartet neben einer Cloud-Unterstützung und Echtzeitbackups auch mit sogenanntem "Staging" auf. Damit lässt sich eine 1:1-Kopie Ihres Internetauftritts generieren, die Sie dann gefahrlos nach Lust und Laune bearbeiten können. Eine eher unkomplizierte, rudimentäre Lösung ist "BackUpWordPress". Mit der kostenlosen Open Source lassen sich Sicherungen der Dateien und/oder der Datenbank manuell und automatisch durchführen. Nicht mehr, aber auch nicht weniger.

Für versierte Anwender ist eine manuelle Datensicherung mit kostenlosen FTP-Clients wie FileZilla auf Ihrem lokalen Rechner eine Alternative zu WordPress-Plugins. Zusätzlich müssen Sie aber auch noch die WordPress-Datenbank sichern, in der Seitenstrukturen oder Einstellungen zu Plugins und Themes hinterlegt sind. Für den Download einer WordPress MySQL-Datenbank gibt es das Gratis-Tool phpMyAdmin. Nachteil: Automatisierte Sicherungen von WordPress sind so nicht möglich. Eine weitere Lösung zur Datenrettung kompletter Webseiten sind Backups Ihres Web-Hosters. Hier genügt dann meist ein Klick, und die Daten eines ausgewählten Backupzeitpunktes werden rekonstruiert.

.

Erweiterte Sicherheitsmaßnahmen: Zwei-Faktor-Authentifizierung

Eine recht einfache, aber sehr effektive Sicherheitsmaßnahme für Ihre Webseite ist eine Zwei-Faktor-Authentifizierung für WordPress (2 factor authentication, kurz 2FA). Sie kennen das Sicherheitsverfahren zum Beispiel von PayPal oder anderen Online-Accounts, bei denen Sie neben Ihren Logindaten auch einen temporären "One-Time Passcode" (TOTP) eintippen müssen. Zur Sicherheit bleibt ein solcher Schlüssel jeweils nur eine begrenzte Zeitspanne gültig, etwa 30 Sekunden. Den Code erhalten Sie zum Beispiel via SMS oder E-Mail oder Sie erzeugen ihn auf Ihrem Smartphone über kostenlose Authentifizierungs-Apps wie dem Microsoft Authenticator. Dank dieses zweistufigen Verfahrens ist etwa der Diebstahl Ihrer Login-Daten sinnlos. Auch automatisierte Brute-Force-Angriffe von Hackern, die das Kennwort und den Benutzernamen durch Ausprobieren erraten wollen, laufen so ins Leere.

Setzen Sie Security-Suiten wie "Wordfence Security" oder "All In One Security & Firewall" ein, haben Sie eine entsprechende Funktion bereits an Bord. Für alle anderen stehen eine Reihe an Plugins für zweistufige Logins wie "WP 2FA", "Two Factor Authentication" oder "MiniOrange 2-Factor" zur Auswahl, die durchweg leicht zu handhaben und sicher sind. "WP 2FA" zum Beispiel ist eine äußerst unkomplizierte Lösung, die bereits in der kostenlosen Version nicht nur Einmal-Passwörter mit Authy, Google Authenticator, Microsoft Authenticator oder FreeOTP generieren kann, sondern alternativ oder zusätzlich über das Gratis-Plugin "WP Mail SMTP" ein E-Mail-Verfahren bereitstellt. In der kostenpflichtigen Premiumversion lassen sich unter anderem auch SMS-Codes für Codes nutzen.

Praktisch: Sie können die Zwei-Faktor-Authentifizierung für alle Benutzer oder nur für ausgewählte User bzw. Rollen wie "Administrator" einsetzen bzw. für diese eine 2FA ausschließen. Die Verknüpfung zwischen "WP 2FA" oder anderen 2FA-Plugins mit Ihrer Authentifizierungs-App wird über einen QR-Code hergestellt. Diesen Code scannen Sie einfach mit der bevorzugten App auf Ihrem iPhone oder Android-Smartphone.

Wollen Sie die App später einmal wechseln, klicken Sie im WordPress-Menü auf "Benutzer" und scrollen auf der Seite bis zum Bereich "2FA configuration" nach unten. Hier klicken Sie auf "Show QR-Code". Wichtig: Im gleichen Abschnitt finden Sie die Option "Eine Liste von Backup Codes generieren". Mit einem Mausklick werden so zehn Notfall-Codes erstellt, die Sie nutzen können, wenn Sie Ihr Smartphone mal nicht zur Hand haben. Loggen Sie sich nach erfolgreicher Einrichtung von "WP 2FA" auf Ihrer Homepage ein, erscheint ein entsprechendes Eingabefenster für einen temporären One-Time-Code.

Wichtig: Wie auch bei allen anderen systemrelevanten Änderungen unter WordPress sollten Sie vor der Aktivierung der 2FA ein Backup Ihrer Webseite durchführen, da Sie sonst im ungünstigsten Fall nicht mehr auf Ihre Homepage zugreifen können.

Fazit: Sicherheit für WordPress-Websites

Die Sicherheit Ihrer Website und damit Ihrer Daten sowie die Ihrer Kunden ist ein zentraler Aspekt als Homepage-Administrator. Wie umfangreich der individuelle Anforderungskatalog in punkto Sicherheit ausfällt, hängt natürlich von der Art einer Internetpräsenz ab. Bei einer privaten Webseite mit ein paar Fotos ist ein Datenverlust oder ein Hackerangriff eher ärgerlich. Wenn Sie allerdings eine Seite mit sensiblen Daten, etwa von Mitgliedern eines Sportvereins, oder einen Onlineshop mit Kundendaten, Rechnungen und vielem mehr betreiben, müssen Sie stärkere Geschütze auffahren und neben einer Backup-Strategie auch Brute-Force-Angriffe unterbinden, Malwarescans durchführen, eine Firewall integrieren und WordPress sowie die verwendeten Plugins regelmäßig aktualisieren. Für (fast) alle WordPress-Sicherheitslücken hält der WordPress-Katalog spezielle Plugins oder Suiten bereit, die in Sekundenschnelle installiert sind.

Inwieweit man auf Gratis-Plugins oder kostenpflichtige Profivarianten setzt, muss jeder individuell entscheiden. Hier spielen vor allem die Kosten eine Rolle, wobei das Sparen an der falschen Stelle am Ende recht teuer werden kann. Dies gilt auch für das WordPress-Hosting. So kann es sinnvoll sein, einen renommierten Hoster wie IONOS oder Strato zu wählen, der nicht nur eine Vielzahl an Informationen rund um WordPress bereitstellt oder OneClick-Installationen von WordPress anbietet, sondern schon in Basic-Tarifen automatische Backups anbietet.

Eine weitere Gefahr für jede Webseite sind Abmahnanwälte oder Abmahnvereine, deren Broterwerb auch darin bestehen kann, Internetseiten auf die Einhaltung der Datenschutzgrundverordnung (DSGVO) zu durchsuchen. Hier kommen Themen wie "Impressum" oder "Datenschutzerklärung" ins Spiel. Auch dafür gibt es Plugins, die Ihnen das Leben mit WordPress und Ihrer Website etwas leichter machen. Einfach "DSGVO" in der Suchzeile des WordPress-Plugin-Verzeichnisses eintippen und es wird Ihnen geholfen.