Passwortschutz
Stell dir eine Tür vor, hinter der sich Tage, Wochen oder sogar Monate an harter Arbeit verbergen. Harte Arbeit, in die du dein Herzblut, deine Kreativität und dein Durchhaltevermögen gesteckt hast. Nur äußerst leichtsinnige Personen würden an diese Tür bloß ein Zahlenschloss hängen, um es gegen unbefugten Zutritt abzusichern – doch genau das machen viel mehr Menschen, als du vielleicht denkst.
WordPress hat von Haus aus kein Limit für Anmeldeversuche in deinem Login-Feld. Es kann also im obigen Beispiel mit dem Zahlenschloss (unser Passwort) einfach jemand mit ausreichend Zeit erscheinen, und alle möglichen Kombinationen an diesem Schloss durchprobieren, bis es aufspringt (Brute Force Angriff). Und genau hier würde für Besitzer:innen dieser Website ohne Zweifaktor-Authentifizierung bereits der Worst-Case eintreten.
Der Angreifer hat sich jetzt Zugriff inklusive aller Rechte verschafft und kann die Website umgestalten, Inhalte löschen, beliebige Inhalte sowie Schadcode einfügen und die Website komplett unbrauchbar machen – und das innerhalb weniger Minuten.
Anmeldeversuche begrenzen
Brute Force Angriffe sind Attacken, bei denen alle möglichen Kombinationen in einem Eingabefeld ausprobiert werden. Diese Attacken erfolgen oft automatisiert und können auch explizit Daten zur attackierten Person (wie das Geburtsdatum, den Namen des Haustieres, etc.) beinhalten, welche dann gezielt in die Anmeldeversuche eingebaut werden.
Bei WordPress sind im Normalfall etwa 10-30 Anmeldeversuche pro Sekunde möglich. Lässt man also ein Password-Cracking-Programm die ganze Nacht über laufen, sind das in acht Stunden zwischen 288 000 und 864 000 Anmeldeversuche. Also eine Menge Möglichkeiten, das Schloss zu knacken.
Schutz vor Brute Force-Angriffen
Die effektivste Möglichkeit, eine Person am Durchprobieren aller möglichen Kombinationen zu hindern, ist, ihr nur eine begrenzte Anzahl von Versuchen zu geben, wie wir das zum Beispiel von unserer Bankomatkarte kennen. Geben wir am Bankomat dreimal den Code falsch ein, wird die Karte eingezogen.
Diese Einstellungen können wir mit bestimmten Plugins wie zum Beispiel Wordfence vornehmen und unser Konto so gegen eine Vielzahl von Angriffen, welche auf dem Ausprobieren von Passwortvariationen basieren, schützen. Doch was, wenn der Angreifer unser Passwort aus irgendeinem Grund bereits weiß?
Zweifaktor-Authentifikation
Haben wir die Zweifaktor-Authentifikation auf unserer WordPress-Seite eingerichtet, muss der Zugang durch einen zweiten Faktor – ein Code aus einer App oder unser Fingerabdruck – freigegeben werden. Gibt jetzt also eine andere Person das richtige Passwort beim Login ein, wird der Zugriff erst dann freigegeben, wenn auch der zweite Faktor eingegeben wird. Wie ein zweites Schloss an einer Tür, für das nur du den Schlüssel besitzt, erschwert 2FA einen erfolgreichen Angriff auf deine Website massiv.
Wo immer möglich – besonders aber beim Login zu sensiblen Konten – sollte eine Zweifaktor-Authentifizierung aktiviert werden. Die Wiederherstellung nach einem Hack kann Soloselbstständigen nicht nur viel Geld, sondern auch unzählige Stunden Zeit und potenziell das Vertrauen der Kund:innen kosten.
Das sollte uns die paar Sekunden mehr jedenfalls wert sein, die wir länger für den Login benötigen.
Absicherung von Formularen
Wir alle kennen die nervigen Nachrichten in unseren Mails, die durch Bots in unserem Nachrichtenformular oder der Kommentarspalte ausgelöst werden. Doch nicht nur unnötiger Spam, sondern auch schadhafter Code kann über solche Formularfelder in unsere Website eingeschleust werden. Bei dieser Angriffsmethode versucht ein Angreifer, bösartigen Code (typischerweise JavaScript, PHP oder HTML) in Formularfelder einzufügen. Wenn dieser schädliche Code nicht richtig gefiltert wird, kann er auf dem Server oder in den Browsern anderer Benutzer ausgeführt werden.
Eine weitere verwandte Technik ist „SQL Injection“, bei der speziell formatierte Eingaben in Formularfelder eingefügt werden, um unbefugten Zugriff auf die Datenbank zu erlangen.
Diese Art von Angriffen zählt zu den häufigsten Sicherheitslücken bei Websites und kann zur Datenextraktion, Kontoübernahme, Malware-Installation oder zur Übernahme des gesamten Systems führen. Auch gegen diese Spams und Angriffsversuche gibt es einfache Lösungen, die Grundlegenden Schutz schaffen.
Honeypot
Dieses System fügt ein unsichtbares Formularfeld zu deinem Kontaktformular oder deiner Kommentarsektion hinzu. Dieses Feld ist für menschliche Besucher nicht sichtbar (durch CSS versteckt), aber für Bots, die den HTML-Code direkt lesen, sehr wohl erkennbar.
Der Trick: Während echte Menschen das Feld nicht sehen und daher nicht ausfüllen, werden Bots es fast immer ausfüllen. Wenn das System eine Einreichung mit Inhalt in diesem versteckten Feld erkennt, identifiziert es die Anfrage als Bot-generiert und blockiert sie.
Vorteile für dich als Website-Betreiberin:
- Reduziert Spam-Kommentare und -Nachrichten erheblich
- Keine störenden CAPTCHAs für deine legitimen Besucher:innen
- Funktioniert im Hintergrund, ohne das Nutzererlebnis zu beeinträchtigen
- Ressourcenschonend für deinen Server
- Kann mit anderen Sicherheitsmaßnahmen kombiniert werden
Backups
Auch wenn deine gesamte Website über Nacht verschwinden sollte, kannst du diesem Szenario mit einem durchdachten Backup-Plan gelassen entgegenblicken. Für die Umsetzung gibt es eine Vielzahl von Plugins wie zum Beispiel Updraft Plus.
UpdraftPlus hat sich als eines der beliebtesten WordPress-Backup-Plugins etabliert – und das aus gutem Grund. Es bietet eine benutzerfreundliche Oberfläche, mit der du:
- Automatische Backups nach einem von dir festgelegten Zeitplan erstellen kannst
- Gezielt auswählen kannst, was gesichert werden soll (Datenbank, Themes, Plugins, Uploads, etc.)
- Deine Sicherungen an verschiedenen Orten speichern kannst (Dropbox, Google Drive, OneDrive, etc.)
- vorhandene Backups mit wenigen Klicks wiederherstellen kannst
Der größte Vorteil: Updraft Plus nimmt dir die technische Komplexität ab. Keine FTP-Verbindungen oder komplizierte Serverzugriffe – alles läuft über eine einfache, intuitive Oberfläche.
Recovery-Strategie für den Worst-Case
Eine durchdachte Recovery-Strategie ist wie ein Erste-Hilfe-Kasten für deine Website. Sie gibt dir in Krisensituationen Sicherheit und klare Handlungsanweisungen, gerade wenn du unter Stress stehst und nicht mehr klar denken kannst.
Ohne Notfallplan verlierst du wertvolle Zeit, triffst möglicherweise falsche Entscheidungen und riskierst, dass der Schaden noch größer wird. Mit einer Recovery-Strategie kannst du methodisch und ruhig vorgehen.
Diese Strategie beinhaltet im Grunde folgende Bereiche:
- sofortige Isolation des Systems (Trennung der Internetverbindung und anderer Zugänge zu Netzwerken)
- Dokumentation (Scrennshots von Fehlermeldungen und eventuell weitere Analyse)
- Website offline nehmen bzw. in den Wartungsmodus versetzen
- wichtige Personen wie Hosting-Anbieter und Mitarbeiter:innen an der Website über den Angriff informieren
- Neu Aufsetzen von Systemen und Änderung der Zugangsdaten (auch die Zugangsdaten für Mitarbeiter:innen erneuern)
- Wiederherstellung der Systeme und Erreichbarkeit testen
- Normalbetrieb wiederaufnehmen
- Präventionsmaßnahmen erstellen und umsetzen
Fazit: Sicherheit ist kein Luxus, sondern absolute Notwendigkeit
Als Soloselbständige:r stehst du vor der Herausforderung, nicht nur dein Kerngeschäft zu führen, sondern auch die Sicherheit deiner Systeme zu erhalten. Doch wie wir gesehen haben, sind die grundlegenden Schutzmaßnahmen weder komplex noch zeitaufwendig – und diese Investition zahlt sich mehrfach aus.
Denk daran: Eine gehackte Website bedeutet nicht nur technische Probleme. Sie kann zu Vertrauensverlust bei deinen Kund:innen führen, deine Reputation schädigen und im schlimmsten Fall sogar rechtliche Konsequenzen haben, wenn Kundendaten abhandenkommen.
Die in diesem Artikel vorgestellten Maßnahmen bilden das Fundament eines soliden Sicherheitskonzepts:
- Starke Passwörter und Zweifaktor-Authentifizierung als erste und wichtigste Verteidigungslinie
- Schutz vor Brute-Force-Angriffen durch Zugangsbeschränkungen
- Sichere Formulare durch Honeypots und weitere Schutzmaßnahmen
- Regelmäßige Backups als deine Versicherung
- Eine durchdachte Recovery-Strategie für den Fall der Fälle
Website-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Plane mindestens einmal im Quartal eine „Sicherheitsinspektion“ deiner Website ein – so wie du regelmäßig deine Buchhaltung erledigst.
Betrachte die Zeit und das Geld, die du in die Absicherung deiner digitalen Präsenz investierst, nicht als Kostenfaktor, sondern als Investition in dein Business, welche dir beim Eintreten des Worst-Case-Szenarios noch viel mehr Zeit, Geld und Nerven spart, als du in die Schutzmaßnahmen investiert hast. Denn wie bei so vielen Dingen im Leben gilt auch hier: Vorbeugen ist besser als heilen. Und genau deswegen kannst du dir meine Schwachstellen-Analyse um 0€ holen und in einem persönlichen Feedback von mir erfahren, wie sicher deine Website aufgestellt ist.
