WPBeginner - WordPress-Tutorials für Anfänger

Vertrauenswürdige WordPress-Tutorials, wenn Sie sie am dringendsten benötigen.
Anfängerleitfaden für WordPress
WPB Tasse
25 Millionen+
Websites, die unsere Plugins verwenden
16+
Jahre WordPress-Erfahrung
3000+
WordPress-Tutorials von Experten

11 Top-Gründe, warum WordPress-Seiten gehackt werden (& wie man sie verhindert)

Von Redaktion | | Offenlegung durch Leser

Shares 474 ChatGPT Perplexity X LinkedIn WhatsApp

Viele Website-Betreiber sorgen sich, dass ihre WordPress-Seiten gehackt werden. Wir verwalten viele Websites und verstehen diese Sorge gut.

Gehackt zu werden ist sehr frustrierend und kann Ihrem Geschäft schaden. Während Hacker versuchen, alle Arten von Websites anzugreifen, können einige häufige Fehler Ihre WordPress-Site zu einem leichteren Ziel machen.

In diesem Artikel werden wir die Hauptgründe nennen, warum WordPress-Websites gehackt werden, damit Sie Schritte unternehmen können, um Ihre Website besser zu schützen.

Warum werden WordPress-Seiten gehackt?

Warum werden WordPress-Seiten von Hackern ins Visier genommen?

Erstens, es ist nicht nur WordPress. Alle Websites im Internet sind anfällig für Hackerangriffe.

Der Grund, warum WordPress-Websites ein häufiges Ziel sind, ist, dass WordPress der weltweit beliebteste Website-Baukasten ist. Es betreibt über 43 % aller Websites, was Hunderte von Millionen von Websites auf der ganzen Welt bedeutet.

Diese immense Popularität gibt Hackern eine einfache Möglichkeit, weniger sichere Websites zu finden, um sie auszunutzen.

Hacker haben verschiedene Motive, eine Website zu hacken. Einige sind Anfänger, die gerade lernen, weniger sichere Websites auszunutzen. Andere haben böswillige Absichten, wie z. B. die Verbreitung von Malware, Angriffe auf andere Websites und das Versenden von Spam.

Mit diesen Worten wollen wir uns einige der häufigsten Ursachen ansehen, warum WordPress-Seiten gehackt werden, damit Sie lernen können, wie Sie verhindern, dass Ihre Website gehackt wird.

1. Unsicheres Webhosting

Wie alle Websites werden WordPress-Sites auf einem Webserver gehostet. Einige Hosting-Unternehmen sichern ihre Hosting-Plattform nicht richtig. Dies macht alle auf ihren Servern gehosteten Websites anfällig für Hackerangriffe.

Dies kann leicht vermieden werden, indem Sie den besten WordPress-Hosting-Anbieter für Ihre Website wählen. Richtig gesicherte Server können viele der häufigsten Angriffe auf WordPress-Seiten blockieren.

Wenn Sie zusätzliche Vorsichtsmaßnahmen treffen möchten, empfehlen wir die Verwendung eines Managed WordPress Hosting-Anbieters.

2. Verwendung schwacher Passwörter

Schwache Passwörter verwenden

Passwörter sind die Schlüssel zu Ihrer WordPress-Website. Sie müssen sicherstellen, dass Sie für jedes der folgenden Konten ein starkes, eindeutiges Passwort verwenden, da diese einem Hacker vollständigen Zugriff auf Ihre Website gewähren können:

  • Ihr WordPress-Admin-Konto
  • Ihr Webhosting-Control-Panel-Konto
  • Ihre FTP-Konten
  • Die MySQL-Datenbank, die für Ihre WordPress-Seite verwendet wird
  • Alle E-Mail-Konten, die für WordPress-Admin und Hosting verwendet werden

All diese Konten sind durch Passwörter geschützt. Die Verwendung schwacher Passwörter erleichtert es Hackern, die Passwörter mit einigen grundlegenden Hacking-Tools zu knacken.

Dies können Sie leicht vermeiden, indem Sie für jedes Konto eindeutige und starke Passwörter verwenden. Sehen Sie sich unseren Leitfaden zum besten Weg zur Verwaltung von Passwörtern für WordPress-Anfänger an, um zu lernen, wie Sie all diese starken Passwörter verwalten.

3. Ungeschützter Zugriff auf den WordPress-Admin (wp-admin)

Der WordPress-Administrationsbereich gewährt einem Benutzer Zugriff, um verschiedene Aktionen auf Ihrer WordPress-Website auszuführen. Er ist auch der am häufigsten angegriffene Bereich einer WordPress-Website.

Wenn Sie es ungeschützt lassen, können Hacker verschiedene Ansätze ausprobieren, um Ihre Website zu knacken. Sie können es ihnen erschweren, indem Sie Ihrem Admin-Verzeichnis Authentifizierungsebenen hinzufügen.

Zuerst sollten Sie Ihren WordPress-Adminbereich mit einem Passwort schützen. Dies fügt eine zusätzliche Sicherheitsebene hinzu, und jeder, der versucht, auf den WordPress-Admin zuzugreifen, muss ein zusätzliches Passwort angeben.

Wenn Sie eine Multi-Autor- oder Multi-User-WordPress-Seite betreiben, können Sie starke Passwörter erzwingen für alle Benutzer auf Ihrer Seite. Sie können auch eine Zwei-Faktor-Authentifizierung (2FA) hinzufügen, um es Hackern noch schwieriger zu machen, in Ihren WordPress-Adminbereich einzudringen.

4. Falsche Dateiberechtigungen

Dateiberechtigungen

Dateiberechtigungen sind eine Reihe von Regeln, die von Ihrem Webserver verwendet werden. Diese Berechtigungen helfen Ihrem Webserver, den Zugriff auf Dateien auf Ihrer Website zu steuern. Falsche Dateiberechtigungen können einem Hacker Schreib- und Änderungszugriff auf diese Dateien gewähren.

Alle Ihre WordPress-Dateien sollten den Wert 644 als Dateiberechtigung haben. Alle Ordner auf Ihrer WordPress-Site sollten 755 als ihre Dateiberechtigung haben.

Sehen Sie sich unseren Leitfaden an, wie Sie das Problem mit dem Bild-Upload in WordPress beheben, um zu erfahren, wie Sie diese Dateiberechtigungen anwenden.

5. WordPress nicht auf dem neuesten Stand halten

Manche WordPress-Nutzer haben Angst, ihre WordPress-Websites zu aktualisieren. Sie befürchten, dass dies ihre Website beschädigen könnte.

Jede neue Version von WordPress behebt Fehler und Sicherheitslücken. Wenn Sie WordPress nicht aktualisieren, lassen Sie Ihre Website absichtlich anfällig.

Wenn Sie befürchten, dass ein Update Ihre Website beschädigen könnte, können Sie vor dem Ausführen eines Updates eine vollständige WordPress-Sicherung erstellen. Auf diese Weise können Sie, wenn etwas nicht funktioniert, leicht zur vorherigen Version zurückkehren.

Sie können in unserem Anfängerleitfaden wie Sie WordPress sicher aktualisieren mehr erfahren.

6. Plugins oder Theme nicht aktualisieren

Genau wie die Kernsoftware von WordPress ist die Aktualisierung Ihres Themes und Ihrer Plugins gleichermaßen wichtig. Die Verwendung eines veralteten Plugins oder Themes kann Ihre Website anfällig machen.

Sicherheitslücken und Fehler werden häufig in WordPress-Plugins und -Themes entdeckt. Normalerweise beheben die Autoren von Themes und Plugins diese schnell. Wenn ein Benutzer jedoch sein Theme oder Plugin nicht aktualisiert, kann er nichts dagegen tun.

Stellen Sie sicher, dass Sie Ihr WordPress-Theme und Ihre Plugins auf dem neuesten Stand halten. Wie das geht, erfahren Sie in unserem Leitfaden zur richtigen Reihenfolge für Updates von WordPress, Plugins und Themes.

7. Verwendung von Plain FTP anstelle von SFTP/SSH

SFTP anstelle von FTP

FTP-Konten werden verwendet, um Dateien mit einem FTP-Client auf Ihren Webserver hochzuladen. Die meisten Hosting-Anbieter unterstützen FTP-Verbindungen über verschiedene Protokolle. Sie können sich über Plain FTP, SFTP oder SSH verbinden.

Wenn Sie sich mit Ihrem Website über einfaches FTP verbinden, wird Ihr Passwort unverschlüsselt an den Server gesendet. Das bedeutet, es kann belauscht und leicht gestohlen werden. Anstatt FTP zu verwenden, sollten Sie immer SFTP oder SSH verwenden.

Sie müssen Ihren FTP-Client nicht ändern. Die meisten FTP-Clients können sich sowohl über SFTP als auch über SSH mit Ihrer Website verbinden. Sie müssen nur das Protokoll auf 'SFTP – SSH' ändern, wenn Sie sich mit Ihrer Website verbinden.

8. Verwendung von Admin als WordPress-Benutzername

Die Verwendung von 'admin' als Ihren WordPress-Benutzernamen wird nicht empfohlen. Wenn Ihr Administrator-Benutzername 'admin' lautet, sollten Sie ihn sofort in einen anderen Benutzernamen ändern.

Detaillierte Anweisungen finden Sie in unserem Tutorial wie Sie Ihren WordPress-Benutzernamen ändern.

9. Nulled Themes und Plugins

Malware

Es gibt viele Websites im Internet, die kostenpflichtige WordPress-Plugins und -Themes kostenlos verteilen. Sie könnten versucht sein, diese gecrackten Plugins und Themes auf Ihrer Seite zu verwenden.

Das Herunterladen von WordPress-Themes und -Plugins aus unzuverlässigen Quellen ist sehr gefährlich. Sie können nicht nur die Sicherheit Ihrer Website gefährden, sondern auch zum Diebstahl sensibler Informationen verwendet werden.

Sie sollten WordPress-Plugins und -Themes immer von zuverlässigen Quellen herunterladen, wie z. B. der Website des Entwicklers oder offiziellen WordPress-Repositories.

Wenn Sie sich kein Premium-Plugin oder -Theme leisten können, gibt es immer kostenlose Alternativen für diese Produkte. Diese kostenlosen Plugins sind vielleicht nicht so gut wie ihre kostenpflichtigen Gegenstücke, aber sie erledigen die Arbeit und halten vor allem Ihre Website sicher.

Sie finden Rabatte für viele der beliebten WordPress-Produkte auch im Bereich Angebote auf unserer Website.

10. wp-config.php WordPress-Konfigurationsdatei nicht sichern

Die WordPress-Konfigurationsdatei wp-config.php enthält Ihre Anmeldedaten für die WordPress-Datenbank. Wenn sie kompromittiert wird, gibt sie Informationen preis, die einem Hacker vollen Zugriff auf Ihre Website gewähren könnten.

Sie können eine zusätzliche Schutzschicht hinzufügen, indem Sie den Zugriff auf die wp-config-Datei mit .htaccess verweigern. Fügen Sie einfach diesen Code zu Ihrer .htaccess-Datei hinzu:

<files wp-config.php>
order allow,deny
deny from all
</files>
Hosted with ❤️ by WPCode
1-click Use in WordPress

11. WordPress-Tabellenpräfix nicht ändern

Viele Experten empfehlen, dass Sie das Standard-WordPress-Tabellenpräfix ändern sollten. Standardmäßig verwendet WordPress wp_ als Präfix für die Tabellen, die es in Ihrer Datenbank erstellt. Sie haben die Möglichkeit, es während der Installation zu ändern.

Es wird empfohlen, ein komplexeres Präfix zu verwenden. Dies erschwert es Hackern, Ihre Datenbanktabellennamen zu erraten.

Ausführliche Anweisungen finden Sie in unserem Leitfaden, wie Sie das WordPress-Datenbankpräfix ändern, um die Sicherheit zu verbessern.

Bereinigung einer gehackten WordPress-Site

Die Bereinigung einer gehackten WordPress-Website kann schmerzhaft sein. Sie kann jedoch durchgeführt werden.

Hier sind einige Ressourcen, die Ihnen den Einstieg in die Bereinigung einer gehackten WordPress-Site erleichtern:

Bonustipp

Für felsenfeste Sicherheit bietet Sucuri Malware-Erkennungs- und -Entfernungsdienste sowie eine Website-Firewall, die Ihre Website vor den häufigsten Bedrohungen schützt.

Lesen Sie die Geschichte, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in 3 Monaten abzuwehren.

Wir hoffen, dieser Artikel hat Ihnen geholfen, die Hauptgründe zu erfahren, warum eine WordPress-Site gehackt wird. Möglicherweise möchten Sie auch unseren Leitfaden lesen, wie Sie Ihre WordPress-Site vor Brute-Force-Angriffen schützen und unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins zum Schutz Ihrer Website.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.

Beliebt auf WPBeginner Gerade jetzt!

Offenlegung: Unsere Inhalte werden von den Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, können wir eine Provision verdienen. Sehen Sie, wie WPBeginner finanziert wird, warum das wichtig ist und wie Sie uns unterstützen können. Hier ist unser Redaktionsprozess.

Das ultimative WordPress-Toolkit

Erhalten Sie KOSTENLOSEN Zugang zu unserem Toolkit – eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Jetzt herunterladen

Leserinteraktionen

7 CommentsLeave a Reply

  1. Gute Aufschlüsselung der Sicherheitslücken von WordPress.
    Nachdem ich Updates auf Dutzenden von Kunden-Websites verwaltet habe, habe ich festgestellt, dass die Implementierung einer Staging-Umgebung zum Testen von Updates absolut entscheidend ist. T
    his adressiert die in den Punkten 5 und 6 erwähnte Sorge, dass Updates Websites potenziell beschädigen könnten. Ich erstelle eine Staging-Kopie, führe dort zuerst Updates durch, teste gründlich und aktualisiere dann erst die Live-Website. Dieser Ansatz hat meine Kunden vor zahlreichen potenziellen Problemen bewahrt und gleichzeitig ihre Websites sicher und aktuell gehalten. Es ist ein zusätzlicher Schritt, aber die Gewissheit ist es wert.

    Reply

  2. Was genau bewirken die Anweisungen zur Sicherung der wp-config.php-Datei mit der .htaccess-Datei? Verweigern sie den Zugriff von außen und erlauben den Zugriff auf die Datei nur bestimmten Anwendungen? Verstehe ich das richtig?

    Verursacht dies nicht ein anderes Problem, nämlich dass ich nicht auf die Datei zugreifen kann?

    Reply

    • Dies würde den Zugriff von jemandem verhindern, der versucht, die Datei direkt zu öffnen, und sollte in den meisten Fällen kein Problem darstellen, den Zugriff auf diese Weise einzuschränken.

      Reply

      Admin

      • Danke für die Antwort. Ich wollte nur sichergehen, dass es eine Situation geben könnte, in der ich die interne WordPress-Kommunikation stören würde. Ich wende definitiv Sicherheit an.

        Reply

  4. Hallo, ich habe meinen wp-admin-Ordner durch Ordnerdatenschutz gesichert, aber wie kann ich dasselbe für die wp-login-URL tun?

    Reply

  5. Sie können WordPress auch nicht am Standardort Ihrer WordPress-Website installieren, sodass Sie wp tatsächlich in einem Ordner namens „secure“ installieren können und dann mit einigen Tricks Ihre Besucher auf Ihre Website.com und nicht auf website.com/secure zugreifen, um Ihre Website anzuzeigen.

    Reply

Leave A Reply

Vielen Dank, dass Sie sich entschieden haben, einen Kommentar zu hinterlassen. Bitte beachten Sie, dass alle Kommentare gemäß unserer Kommentarrichtlinie moderiert werden und Ihre E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwenden Sie KEINE Schlüsselwörter im Namensfeld. Lassen Sie uns ein persönliches und bedeutungsvolles Gespräch führen.

Copyright © 2009 - 2026 WPBeginner LLC. Alle Rechte vorbehalten. WPBeginner® ist eine eingetragene Marke.

Verwaltet von Awesome Motive | WordPress-Hosting von SiteGround

Die Marke WordPress® ist das geistige Eigentum der WordPress Foundation. Die Verwendung von WordPress®-Namen auf dieser Website dient ausschließlich Identifikationszwecken und impliziert keine Billigung durch die WordPress Foundation. WPBeginner wird nicht von der WordPress Foundation unterstützt, besessen oder ist mit ihr verbunden.

Ich brauche Hilfe bei…

Beliebte Suchen:

Einen Blog starten WordPress SEO WordPress-Performance WordPress-Fehler WordPress-Sicherheit Aufbau eines Online-Shops