Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

11 Hauptgründe, warum WordPress-Websites gehackt werden (und wie man es verhindern kann)

Hinweis der Redaktion: Wir erhalten eine Provision für Partnerlinks auf WPBeginner. Die Provisionen haben keinen Einfluss auf die Meinung oder Bewertung unserer Redakteure. Erfahre mehr über Redaktioneller Prozess.

Kürzlich fragte uns einer unserer Leser, warum WordPress-Websites gehackt werden.

Es ist frustrierend, festzustellen, dass Ihre WordPress-Website gehackt wurde. Hacker haben es zwar auf alle Websites abgesehen, aber vielleicht machen Sie einige Fehler, die Ihre Website anfällig für Angriffe machen.

In diesem Artikel erfahren Sie, warum WordPress-Websites gehackt werden, damit Sie diese Fehler vermeiden und Ihre Website schützen können.

Why WordPress sites get hacked?

Warum ist WordPress im Visier von Hackern?

Erstens: Es ist nicht nur WordPress. Alle Websites im Internet sind anfällig für Hackerangriffe.

Der Grund dafür, dass WordPress-Websites ein häufiges Ziel sind, liegt darin, dass WordPress der weltweit beliebteste Website-Ersteller ist. Mehr als 43 % aller Websites werden mit WordPress erstellt, d. h. Hunderte von Millionen Websites auf der ganzen Welt.

Diese enorme Popularität macht es Hackern leicht, weniger sichere Websites zu finden, die sie dann ausnutzen können.

Hacker haben verschiedene Motive, eine Website zu hacken. Einige sind Anfänger, die gerade lernen, weniger sichere Websites auszunutzen. Andere haben böswillige Absichten, wie z. B. die Verbreitung von Malware, Angriffe auf andere Websites und den Versand von Spam.

Sehen wir uns nun einige der Hauptursachen für das Hacken von WordPress-Websites an, damit Sie lernen können, wie Sie Ihre Website vor dem Hacken schützen können.

1. Unsicheres Webhosting

Wie alle Websites werden auch WordPress-Sites auf einem Webserver gehostet. Einige Hosting-Unternehmen sichern ihre Hosting-Plattform nicht richtig ab. Dies macht alle auf ihren Servern gehosteten Websites anfällig für Hacking-Versuche.

Dies kann leicht vermieden werden, indem Sie den besten WordPress-Hosting-Anbieter für Ihre Website wählen. Richtig sichere Server können viele der häufigsten Angriffe auf WordPress-Websites blockieren.

Wenn Sie zusätzliche Sicherheitsvorkehrungen treffen möchten, empfehlen wir Ihnen, einen Managed-WordPress-Hosting-Anbieter zu wählen.

2. Verwendung schwacher Passwörter

Using weak passwords

Passwörter sind die Schlüssel zu Ihrer WordPress-Website. Sie müssen sicherstellen, dass Sie für jedes der folgenden Konten ein sicheres, eindeutiges Passwort verwenden, da sie alle einem Hacker vollständigen Zugang zu Ihrer Website bieten können:

  • Ihr WordPress-Administratorkonto
  • Ihr Webhosting Control Panel-Konto
  • Ihre FTP-Konten
  • Die für Ihre WordPress-Website verwendete MySQL-Datenbank
  • Alle für WordPress-Administration und Hosting verwendeten E-Mail-Konten

Alle diese Konten sind durch Passwörter geschützt. Die Verwendung schwacher Passwörter macht es Hackern leichter, die Passwörter mit einigen einfachen Hacking-Tools zu knacken.

Sie können dies leicht vermeiden, indem Sie eindeutige und sichere Passwörter für jedes Konto verwenden. In unserem Leitfaden über die beste Verwaltung von Passwörtern für WordPress-Anfänger erfahren Sie, wie Sie all diese starken Passwörter verwalten können.

3. Ungeschützter Zugriff auf WordPress Admin (wp-admin)

Der WordPress-Administrationsbereich gibt einem Benutzer Zugang zu verschiedenen Aktionen auf Ihrer WordPress-Website. Er ist auch der am häufigsten angegriffene Bereich einer WordPress-Website.

Wenn Sie es ungeschützt lassen, können Hacker verschiedene Methoden ausprobieren, um Ihre Website zu knacken. Sie können es ihnen schwer machen, indem Sie Ihrem Verwaltungsverzeichnis mehrere Authentifizierungsebenen hinzufügen.

Zunächst sollten Sie Ihren WordPress-Administrationsbereich mit einem Passwort schützen. Dies ist eine zusätzliche Sicherheitsebene, und jeder, der versucht, auf den WordPress-Admin-Bereich zuzugreifen, muss ein zusätzliches Passwort eingeben.

Wenn Sie eine WordPress-Website mit mehreren Autoren oder Benutzern betreiben, können Sie sichere Passwörter für alle Benutzer Ihrer Website erzwingen. Sie können auch eine Zwei-Faktor-Authentifizierung (2FA) hinzufügen, um Hackern den Zugang zu Ihrem WordPress-Verwaltungsbereich noch schwerer zu machen.

4. Falsche Dateiberechtigungen

File permissions

Dateiberechtigungen sind eine Reihe von Regeln, die von Ihrem Webserver verwendet werden. Mithilfe dieser Berechtigungen kann Ihr Webserver den Zugriff auf Dateien auf Ihrer Website kontrollieren. Falsche Dateiberechtigungen können einem Hacker Zugang zum Schreiben und Ändern dieser Dateien geben.

Alle Ihre WordPress-Dateien sollten den Wert 644 als Dateiberechtigung haben. Alle Ordner auf Ihrer WordPress-Website sollten die Dateiberechtigung 755 haben.

In unserer Anleitung zur Behebung des Bild-Upload-Problems in WordPress erfahren Sie, wie Sie diese Dateiberechtigungen anwenden können.

5. WordPress nicht auf dem neuesten Stand halten

Einige WordPress-Nutzer haben Angst, ihre WordPress-Websites zu aktualisieren. Sie befürchten, dass ihre Website dadurch kaputt geht.

Jede neue Version von WordPress behebt Fehler und Sicherheitslücken. Wenn Sie WordPress nicht aktualisieren, lassen Sie Ihre Website absichtlich verwundbar.

Wenn Sie befürchten, dass ein Update Ihre Website kaputt macht, können Sie vor der Aktualisierung eine vollständige WordPress-Sicherung erstellen. Wenn etwas nicht funktioniert, können Sie auf diese Weise ganz einfach zur vorherigen Version zurückkehren.

Mehr dazu erfahren Sie in unserem Leitfaden für Einsteiger, wie Sie WordPress sicher aktualisieren.

6. Nicht aktualisierte Plugins oder Themen

Genau wie die WordPress-Kernsoftware ist auch die Aktualisierung Ihres Themes und Ihrer Plugins wichtig. Die Verwendung eines veralteten Plugins oder Themes kann Ihre Website angreifbar machen.

In WordPress-Plugins und -Themes werden häufig Sicherheitslücken und Bugs entdeckt. In der Regel sind die Autoren von Themes und Plugins schnell dabei, diese zu beheben. Wenn jedoch ein Benutzer sein Theme oder Plugin nicht aktualisiert, kann er nichts dagegen tun.

Stellen Sie sicher, dass Sie Ihr WordPress-Theme und Ihre Plugins auf dem neuesten Stand halten. Wie das geht, erfahren Sie in unserem Leitfaden zur richtigen Update-Reihenfolge für WordPress, Plugins und Themes.

7. Verwendung von einfachem FTP anstelle von SFTP/SSH

SFTP instead of FTP

FTP-Accounts werden verwendet, um mit einem FTP-Client Dateien auf Ihren Webserver hochzuladen. Die meisten Hosting-Anbieter unterstützen FTP-Verbindungen mit verschiedenen Protokollen. Sie können eine Verbindung über einfaches FTP, SFTP oder SSH herstellen.

Wenn Sie mit einfachem FTP eine Verbindung zu Ihrer Website herstellen, wird Ihr Passwort unverschlüsselt an den Server gesendet. Das heißt, es kann ausspioniert und leicht gestohlen werden. Anstelle von FTP sollten Sie immer SFTP oder SSH verwenden.

Sie brauchen Ihren FTP-Client nicht zu wechseln. Die meisten FTP-Clients können sowohl über SFTP als auch über SSH eine Verbindung zu Ihrer Website herstellen. Sie müssen nur das Protokoll auf „SFTP – SSH“ ändern, wenn Sie sich mit Ihrer Website verbinden.

8. Admin als WordPress-Benutzername verwenden

Die Verwendung von „admin“ als WordPress-Benutzername wird nicht empfohlen. Wenn Ihr Administrator-Benutzername „admin“ ist, sollten Sie diesen sofort in einen anderen Benutzernamen ändern.

Eine ausführliche Anleitung finden Sie in unserem Tutorial zum Ändern Ihres WordPress-Benutzernamens.

9. Genullte Themes und Plugins

Malware

Es gibt viele Websites im Internet, die kostenpflichtige WordPress-Plugins und Themes kostenlos anbieten. Sie könnten versucht sein, diese kostenlosen Plugins und The mes auf Ihrer Website zu verwenden.

Das Herunterladen von WordPress-Themes und Plugins aus unzuverlässigen Quellen ist sehr gefährlich. Sie können nicht nur die Sicherheit Ihrer Website gefährden, sondern auch zum Diebstahl vertraulicher Informationen verwendet werden.

Sie sollten WordPress-Plugins und -Themes immer von zuverlässigen Quellen wie der Website des Entwicklers oder den offiziellen WordPress-Repositories herunterladen.

Wenn Sie es sich nicht leisten können, ein Premium-Plugin oder -Theme zu kaufen, gibt es immer kostenlose Alternativen für diese Produkte. Diese kostenlosen Plugins sind vielleicht nicht so gut wie ihre kostenpflichtigen Gegenstücke, aber sie erfüllen ihre Aufgabe und – was am wichtigsten ist – schützen Ihre Website.

Sie können auch Rabatte für viele der beliebten WordPress-Produkte in der Rubrik Angebote auf unserer Website finden.

10. Nicht gesicherte wp-config.php WordPress-Konfigurationsdatei

Die WordPress-Konfigurationsdatei wp-config.php enthält die Anmeldedaten für Ihre WordPress-Datenbank. Wenn sie kompromittiert wird, gibt sie Informationen preis, die einem Hacker vollständigen Zugang zu Ihrer Website verschaffen könnten.

Sie können eine zusätzliche Schutzebene hinzufügen, indem Sie den Zugriff auf die wp-config-Datei mit .htaccess verweigern. Fügen Sie einfach diesen Code zu Ihrer .htaccess-Datei hinzu:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. WordPress-Tabellenpräfix nicht ändern

Viele Experten empfehlen, dass Sie das standardmäßige WordPress-Tabellenpräfix ändern sollten. Standardmäßig verwendet WordPress wp_ als Präfix für die Tabellen, die es in Ihrer Datenbank erstellt. Sie haben die Möglichkeit, es während der Installation zu ändern.

Es wird empfohlen, ein komplexeres Präfix zu verwenden. Dadurch wird es für Hacker schwieriger, die Namen Ihrer Datenbanktabellen zu erraten.

Detaillierte Anweisungen finden Sie in unserer Anleitung zum Ändern des WordPress-Datenbankpräfixes, um die Sicherheit zu verbessern.

Bereinigung einer gehackten WordPress-Website

Die Bereinigung einer gehackten WordPress-Website kann schmerzhaft sein. Aber es ist machbar.

Hier finden Sie einige Ressourcen, die Ihnen helfen, eine gehackte WordPress-Website zu bereinigen:

Bonus-Tipp

Für felsenfeste Sicherheit bietet Sucuri Dienste zur Erkennung und Entfernung von Malware sowie eine Website-Firewall, die Ihre Website vor den häufigsten Bedrohungen schützt.

Lesen Sie die Geschichte, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in 3 Monaten zu blockieren.

Alternativ können Sie auch unsere kostengünstigen WPBeginner Professional Services in Anspruch nehmen.

Wenn Ihre Website gehackt wurde, kann unser Expertenteam bösartigen Code, Dateien und Malware bereinigen, um sicherzustellen, dass Ihre vertraulichen Daten sicher sind. Die Preise beginnen bei $249.

WPBeginner Professional Services: Hacked Site Repair

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die Hauptgründe zu erfahren, warum eine WordPress-Website gehackt wird. Vielleicht interessieren Sie sich auch für unseren Leitfaden zur Steigerung des Blog-Traffics oder unsere Expertentipps zur Beschleunigung der WordPress-Leistung.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

7 KommentareEine Antwort hinterlassen

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Jiří Vaněk says

    What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?

    Won’t this cause some other problem of not being able to access the file?

    • WPBeginner Support says

      It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.

      Admin

      • Jiří Vaněk says

        Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.

  3. Amit Khandelwal says

    Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?

  4. Dragos says

    You can also not install in the default location your WordPress website so you can actually install the wp into a folder named „secure“ and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.