11 Top-Gründe, warum WordPress-Seiten gehackt werden (& wie man sie verhindert)

Many website owners worry about their WordPress sites getting hacked. We manage a lot of websites and understand this concern well.

Gehackt zu werden ist sehr frustrierend und kann Ihrem Geschäft schaden. Während Hacker versuchen, alle Arten von Websites anzugreifen, können einige häufige Fehler Ihre WordPress-Site zu einem leichteren Ziel machen.

In diesem Artikel werden wir die Hauptgründe nennen, warum WordPress-Websites gehackt werden, damit Sie Schritte unternehmen können, um Ihre Website besser zu schützen.

Why Is WordPress Targeted by Hackers?

Erstens, es ist nicht nur WordPress. Alle Websites im Internet sind anfällig für Hackerangriffe.

Der Grund, warum WordPress-Websites ein häufiges Ziel sind, liegt darin, dass WordPress der weltweit beliebteste Website-Builder ist. Es betreibt über 43 % aller Websites, was Hunderte von Millionen von Websites weltweit bedeutet.

Diese immense Popularität gibt Hackern eine einfache Möglichkeit, weniger sichere Websites zu finden, um sie auszunutzen.

Hacker haben verschiedene Motive, eine Website zu hacken. Einige sind Anfänger, die gerade lernen, weniger sichere Websites auszunutzen. Andere haben böswillige Absichten, wie z. B. die Verbreitung von Malware, Angriffe auf andere Websites und das Versenden von Spam.

Mit diesen Worten wollen wir uns einige der häufigsten Ursachen ansehen, warum WordPress-Seiten gehackt werden, damit Sie lernen können, wie Sie verhindern, dass Ihre Website gehackt wird.

1. Unsicheres Webhosting

Wie alle Websites werden WordPress-Sites auf einem Webserver gehostet. Einige Hosting-Unternehmen sichern ihre Hosting-Plattform nicht richtig. Dies macht alle auf ihren Servern gehosteten Websites anfällig für Hackerangriffe.

Dies kann leicht vermieden werden, indem Sie den besten WordPress-Hosting-Anbieter für Ihre Website wählen. Richtig gesicherte Server können viele der häufigsten Angriffe auf WordPress-Websites blockieren.

Wenn Sie zusätzliche Vorsichtsmaßnahmen treffen möchten, empfehlen wir die Nutzung eines Anbieters für Managed WordPress Hosting.

2. Verwendung schwacher Passwörter

Passwörter sind die Schlüssel zu Ihrer WordPress-Website. Sie müssen sicherstellen, dass Sie für jedes der folgenden Konten ein starkes, eindeutiges Passwort verwenden, da diese einem Hacker vollständigen Zugriff auf Ihre Website gewähren können:

• Ihr WordPress-Admin-Konto
• Ihr Webhosting-Control-Panel-Konto
• Ihre FTP-Konten
• The MySQL database used for your WordPress site
• Alle E-Mail-Konten, die für WordPress-Admin und Hosting verwendet werden

All diese Konten sind durch Passwörter geschützt. Die Verwendung schwacher Passwörter erleichtert es Hackern, die Passwörter mit einigen grundlegenden Hacking-Tools zu knacken.

Sie können dies leicht vermeiden, indem Sie für jedes Konto eindeutige und starke Passwörter verwenden. Sehen Sie sich unseren Leitfaden zur besten Methode zur Verwaltung von Passwörtern für WordPress-Anfänger an, um zu lernen, wie Sie all diese starken Passwörter verwalten.

3. Ungeschützter Zugriff auf den WordPress-Admin (wp-admin)

Der WordPress-Administrationsbereich gewährt einem Benutzer Zugriff, um verschiedene Aktionen auf Ihrer WordPress-Website auszuführen. Er ist auch der am häufigsten angegriffene Bereich einer WordPress-Website.

Wenn Sie es ungeschützt lassen, können Hacker verschiedene Ansätze ausprobieren, um Ihre Website zu knacken. Sie können es ihnen erschweren, indem Sie Ihrem Admin-Verzeichnis Authentifizierungsebenen hinzufügen.

Zuerst sollten Sie Ihren WordPress-Adminbereich mit einem Passwort schützen. Dies fügt eine zusätzliche Sicherheitsebene hinzu, und jeder, der versucht, auf den WordPress-Admin zuzugreifen, muss ein zusätzliches Passwort eingeben.

Wenn Sie eine WordPress-Site mit mehreren Autoren oder mehreren Benutzern betreiben, können Sie für alle Benutzer Ihrer Website starke Passwörter erzwingen. Sie können auch zwei-Faktor-Authentifizierung (2FA) hinzufügen, um es Hackern noch schwerer zu machen, in Ihren WordPress-Adminbereich zu gelangen.

4. Falsche Dateiberechtigungen

Dateiberechtigungen sind eine Reihe von Regeln, die von Ihrem Webserver verwendet werden. Diese Berechtigungen helfen Ihrem Webserver, den Zugriff auf Dateien auf Ihrer Website zu steuern. Falsche Dateiberechtigungen können einem Hacker Schreib- und Änderungszugriff auf diese Dateien gewähren.

Alle Ihre WordPress-Dateien sollten den Wert 644 als Dateiberechtigung haben. Alle Ordner auf Ihrer WordPress-Site sollten 755 als ihre Dateiberechtigung haben.

Sehen Sie sich unseren Leitfaden an, wie Sie das Problem mit dem Bild-Upload in WordPress beheben, um zu erfahren, wie Sie diese Dateiberechtigungen anwenden.

5. WordPress nicht auf dem neuesten Stand halten

Manche WordPress-Nutzer haben Angst, ihre WordPress-Websites zu aktualisieren. Sie befürchten, dass dies ihre Website beschädigen könnte.

Jede neue Version von WordPress behebt Fehler und Sicherheitslücken. Wenn Sie WordPress nicht aktualisieren, lassen Sie Ihre Website absichtlich anfällig.

Wenn Sie befürchten, dass ein Update Ihre Website beschädigt, können Sie ein vollständiges WordPress-Backup erstellen, bevor Sie ein Update durchführen. Auf diese Weise können Sie, wenn etwas nicht funktioniert, problemlos zur vorherigen Version zurückkehren.

You can learn more in our beginner’s guide on how to safely update WordPress.

6. Plugins oder Theme nicht aktualisieren

Genau wie die Kernsoftware von WordPress ist die Aktualisierung Ihres Themes und Ihrer Plugins gleichermaßen wichtig. Die Verwendung eines veralteten Plugins oder Themes kann Ihre Website anfällig machen.

Sicherheitslücken und Fehler werden häufig in WordPress-Plugins und -Themes entdeckt. Normalerweise beheben die Autoren von Themes und Plugins diese schnell. Wenn ein Benutzer jedoch sein Theme oder Plugin nicht aktualisiert, kann er nichts dagegen tun.

Stellen Sie sicher, dass Sie Ihr WordPress-Theme und Ihre Plugins auf dem neuesten Stand halten. Wie das geht, erfahren Sie in unserem Leitfaden zur richtigen Update-Reihenfolge für WordPress, Plugins und Themes.

7. Using Plain FTP instead of SFTP/SSH

FTP-Konten werden verwendet, um Dateien mit einem FTP-Client auf Ihren Webserver hochzuladen. Die meisten Hosting-Anbieter unterstützen FTP-Verbindungen über verschiedene Protokolle. Sie können sich über Plain FTP, SFTP oder SSH verbinden.

Wenn Sie sich mit Ihrem Website über einfaches FTP verbinden, wird Ihr Passwort unverschlüsselt an den Server gesendet. Das bedeutet, es kann belauscht und leicht gestohlen werden. Anstatt FTP zu verwenden, sollten Sie immer SFTP oder SSH verwenden.

You don’t need to change your FTP client. Most FTP clients can connect to your website on SFTP as well as SSH. You just need to change the protocol to ‘SFTP – SSH’ when connecting to your website.

8. Verwendung von Admin als WordPress-Benutzername

Die Verwendung von 'admin' als WordPress-Benutzername wird nicht empfohlen. Wenn Ihr Administrator-Benutzername 'admin' lautet, sollten Sie ihn sofort in einen anderen Benutzernamen ändern.

Detaillierte Anweisungen finden Sie in unserem Tutorial zum Ändern Ihres WordPress-Benutzernamens.

9. Nulled Themes und Plugins

There are many websites on the internet that distribute paid WordPress plugins and themes for free. You may feel tempted to use those nulled plugins and themes on your site.

Das Herunterladen von WordPress-Themes und -Plugins aus unzuverlässigen Quellen ist sehr gefährlich. Sie können nicht nur die Sicherheit Ihrer Website gefährden, sondern auch zum Diebstahl sensibler Informationen verwendet werden.

Sie sollten WordPress-Plugins und -Themes immer von zuverlässigen Quellen herunterladen, wie z. B. der Website des Entwicklers oder offiziellen WordPress-Repositories.

Wenn Sie sich kein Premium-Plugin oder -Theme leisten können, gibt es immer kostenlose Alternativen für diese Produkte. Diese kostenlosen Plugins sind vielleicht nicht so gut wie ihre kostenpflichtigen Gegenstücke, aber sie erledigen die Arbeit und halten vor allem Ihre Website sicher.

Sie finden auch Rabatte für viele beliebte WordPress-Produkte im Angebotsbereich auf unserer Website.

10. wp-config.php WordPress-Konfigurationsdatei nicht sichern

The wp-config.php WordPress configuration file contains your WordPress database login credentials. If it is compromised, then it will reveal information that could give a hacker complete access to your website.

Sie können eine zusätzliche Schutzschicht hinzufügen, indem Sie den Zugriff auf die wp-config-Datei über .htaccess verweigern. Fügen Sie einfach diesen Code zu Ihrer .htaccess-Datei hinzu:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. WordPress-Tabellenpräfix nicht ändern

Viele Experten empfehlen, dass Sie das Standard-WordPress-Tabellenpräfix ändern sollten. Standardmäßig verwendet WordPress wp_ als Präfix für die Tabellen, die es in Ihrer Datenbank erstellt. Sie haben die Möglichkeit, es während der Installation zu ändern.

Es wird empfohlen, ein komplexeres Präfix zu verwenden. Dies erschwert es Hackern, Ihre Datenbanktabellennamen zu erraten.

Detaillierte Anweisungen finden Sie in unserem Leitfaden, wie Sie das WordPress-Datenbankpräfix ändern, um die Sicherheit zu verbessern.

Bereinigung einer gehackten WordPress-Site

Die Bereinigung einer gehackten WordPress-Website kann schmerzhaft sein. Sie kann jedoch durchgeführt werden.

Hier sind einige Ressourcen, die Ihnen den Einstieg in die Bereinigung einer gehackten WordPress-Site erleichtern:

• Anzeichen dafür, dass Ihre WordPress-Website gehackt wurde (und wie Sie das beheben können)
• So scannen Sie Ihre WordPress-Website auf potenziell bösartigen Code
• Wie man ein Backdoor auf einer gehackten WordPress-Website findet und behebt
• Was tun, wenn Sie aus dem WordPress-Admin (wp-admin) ausgesperrt sind
• Leitfaden für Anfänger zur Wiederherstellung von WordPress aus einem Backup

Bonustipp

For rock-solid security, Sucuri provides malware detection and removal services as well as a website firewall that will protect your website against the most common threats.

Lesen Sie die Geschichte, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in 3 Monaten zu blockieren.

Wir hoffen, dieser Artikel hat Ihnen geholfen, die Top-Gründe zu erfahren, warum eine WordPress-Website gehackt wird. Möglicherweise möchten Sie auch unseren Leitfaden zum Schutz Ihrer WordPress-Website vor Brute-Force-Angriffen und unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website sehen.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.