Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Wie man ein WordPress-Sicherheitsaudit durchführt (vollständige Checkliste)

Die Sicherheit Ihrer WordPress-Website ist ein fortlaufender Prozess, so wie Sie sich um Ihre Gesundheit kümmern müssen. Obwohl WordPress mit Blick auf die Sicherheit entwickelt wurde, können dennoch Probleme auftreten. Diese Probleme können durch veraltete Plugins, schwache Passwörter oder sogar durch Einstellungen auf Ihrem Webhosting verursacht werden.

Bei WPBeginner betrachten wir WordPress-Sicherheitsaudits als Website-Check-ups. Sie helfen Ihnen, Schwachstellen zu finden und zu beheben, bevor jemand sie ausnutzen kann. Sie halten Ihre Website gesund und schützen die darin enthaltenen Informationen.

Dieser Artikel zeigt Ihnen, wie Sie Ihre WordPress-Website auf Sicherheitsprobleme überprüfen können, ohne dass es zu Problemen oder Unterbrechungen kommt.

Easily perform a complete WordPress security audit

Was ist ein WordPress-Sicherheitsaudit?

Eine Sicherheitsüberprüfung Ihrer WordPress-Website bedeutet, dass Sie Ihre Website auf Anzeichen einer Sicherheitsverletzung überprüfen. Sie können einen WordPress-Check durchführen, um nach verdächtigen Aktivitäten, bösartigem Code oder einem ungewöhnlichen Leistungsabfall zu suchen.

Wir zeigen Ihnen, wie Sie eine grundlegende Sicherheitsprüfung durchführen können, indem Sie einfache Schritte befolgen, die Sie manuell durchführen können. Wir zeigen Ihnen auch, wie Sie WordPress-Sicherheits-Audit-Tools und -Dienste verwenden können, um die Sicherheitsprüfungen automatisch durchzuführen.

Wenn Sie etwas Verdächtiges finden, können Sie es isolieren, entfernen und beheben.

Wann ein WordPress-Sicherheitsaudit durchgeführt werden sollte

Mindestens einmal im Quartal sollten Sie ein WordPress-Sicherheitsaudit durchführen. So behalten Sie den Überblick und können Sicherheitslücken schließen, noch bevor sie Probleme verursachen.

Sie sollten jedoch sofort eine Sicherheitsüberprüfung durchführen, wenn Sie etwas Verdächtiges bemerken, z. B:

  • Ihre Website ist plötzlich langsam und träge.
  • Sie beobachten einen Rückgang der Besucherzahlen auf Ihrer Website.
  • Es gibt verdächtige neue Konten, vergessene Passwortanfragen oder Anmeldeversuche auf Ihrer Website.
  • Sie sehen, dass verdächtige Links auf Ihrer Website erscheinen.

Werfen wir also einen Blick darauf, wie sich ein WordPress-Sicherheitsaudit leicht durchführen lässt.

Durchführen einer grundlegenden manuellen WordPress-Sicherheitsprüfung

Hier finden Sie eine Checkliste mit einigen Schritten, die Sie durchführen können, um ein grundlegendes manuelles WordPress-Sicherheitsaudit für Ihre Website durchzuführen.

1. WordPress Core, Plugins und Themes aktualisieren

WordPress-Updates sind sehr wichtig für die Sicherheit und Stabilität Ihrer Website. Sie schließen Sicherheitslücken, bringen neue Funktionen und verbessern die Leistung.

Stellen Sie sicher, dass Ihre WordPress-Kernsoftware, alle Plugins und Themes auf dem neuesten Stand sind. Sie können dies ganz einfach tun, indem Sie die Seite Dashboard “ Updates im WordPress-Verwaltungsbereich aufrufen.

WordPress updates

WordPress prüft, ob Aktualisierungen verfügbar sind, und listet diese dann auf, damit Sie sie installieren können. Wenn Sie weitere Hilfe benötigen, lesen Sie unsere Anleitungen zur richtigen Aktualisierung von WordPress und zur richtigen Aktualisierung von WordPress-Plugins.

2. Benutzerkonten und Passwörter prüfen

Als nächstes müssen Sie die WordPress-Benutzerkonten überprüfen, indem Sie die Seite Benutzer “ Alle Benutzer aufrufen. Suchen Sie nach verdächtigen Benutzerkonten, die nicht dort sein sollten.

Wenn Sie einen Online-Shop oder eine Mitgliedschaftsseite betreiben oder Online-Kurse verkaufen, haben Sie möglicherweise Benutzerkonten, bei denen sich Ihre Kunden anmelden können.

Wenn Sie jedoch einen Blog oder eine geschäftliche Website betreiben, sollten Sie nur Benutzerkonten für sich selbst oder andere Benutzer sehen, die Sie manuell hinzugefügt haben.

Edit a user profile in WordPress

Wenn Sie verdächtige Benutzerkonten sehen, müssen Sie diese löschen.

Wenn auf Ihrer Website kein Benutzerkonto erforderlich ist, müssen Sie die Seite Einstellungen “ Allgemein aufrufen und sicherstellen, dass das Kästchen neben der Option „Jeder kann sich registrieren“ nicht markiert ist.

Open user registration in WordPress

Als zusätzliche Vorsichtsmaßnahme müssen Sie Ihr WordPress-Administrator-Passwort ändern. Wir empfehlen dringend, eine Zwei-Faktor-Authentifizierung hinzuzufügen, um die Passwortsicherheit auf Ihrer Website zu erhöhen.

3. Führen Sie einen WordPress-Sicherheitsscan durch

IsItWP Security Scanner

Der nächste Schritt besteht darin, Ihre Website auf Sicherheitslücken zu überprüfen. Zum Glück gibt es verschiedene Online-Sicherheitsscanner, mit denen Sie nach Malware suchen können.

Wir empfehlen die Verwendung des IsItWP Security Scanner, der Ihre Website auf Malware und andere Sicherheitslücken überprüft.

Diese Tools sind gut, aber sie können nur die öffentlich zugänglichen Seiten Ihrer Website überprüfen. Wir werden Ihnen später in diesem Artikel zeigen, wie Sie tiefere Prüfungen durchführen können.

4. Prüfen Sie Ihre Website-Analytik

Website-Analysen helfen Ihnen, den Verkehr auf Ihrer Website zu verfolgen. Sie sind auch ein ziemlich guter Indikator für den Zustand Ihrer Website.

Wenn Ihre Website von den Suchmaschinen auf eine schwarze Liste gesetzt wurde, werden Sie einen plötzlichen Rückgang der Besucherzahlen auf Ihrer Website feststellen. Wenn Ihre Website langsam ist oder nicht reagiert, werden Ihre Seitenaufrufe insgesamt zurückgehen.

Wir empfehlen die Verwendung von MonsterInsights, um Ihren Website-Traffic zu verfolgen. Es zeigt nicht nur Ihre gesamten Seitenaufrufe an, sondern Sie können es auch nutzen, um registrierte Nutzer, Ihre WooCommerce-Kunden, Formularkonversionen und mehr zu verfolgen.

5. WordPress-Backups einrichten und überprüfen

Wenn Sie das noch nicht getan haben, müssen Sie sofort ein WordPress-Backup-Plugin einrichten. Damit stellen Sie sicher, dass Sie immer ein Backup Ihrer Website haben, falls etwas schief geht.

Viele Anfänger vergessen ihr WordPress-Backup-Plugin, nachdem sie es eingerichtet haben. Manchmal funktionieren Backup-Plugins nicht mehr, ohne dass man es merkt. Es ist eine gute Idee, sich zu vergewissern, dass Ihr Backup-Plugin noch funktioniert und Backups speichert.

Automatische WordPress-Sicherheitsprüfung durchführen

Mit der obigen Checkliste können Sie die wichtigsten Aspekte eines Sicherheitsaudits durchgehen. Sie ist jedoch nicht sehr gründlich, was bedeutet, dass Ihre Website noch anfällig sein kann.

So ist es beispielsweise schwierig, alle Benutzeraktivitäten, Dateidifferenzen, verdächtige Codes und vieles mehr manuell zu erfassen. Hier brauchen Sie ein Plugin, das die Sicherheitsprüfung automatisiert und alles aufzeichnet.

Sie können diesen Prozess mit Hilfe einiger WordPress-Sicherheits-Plugins automatisieren.

1. Automatische Durchführung eines Sicherheitsaudits mit WP Activity Log

WP Activity Log

WP Activity Log ist das beste WordPress-Plugin zur Aktivitätsüberwachung auf dem Markt.

Es ermöglicht Ihnen, alle Benutzeraktivitäten auf Ihrer Website zu verfolgen. Sie können alle Benutzeranmeldungen, IP-Adressen und deren Aktivitäten auf Ihrer Website einsehen.

WordPress activity log viewer to monitor events

Sie können WooCommerce-Benutzer, Redakteure, Autoren und andere Mitglieder, die ein Konto auf Ihrer Website haben, verfolgen.

Sie können auch alle Ereignisse einschalten, die Sie verfolgen möchten, und die Ereignisse, die Sie nicht überwachen möchten, ausschalten.

Track events in WP Activity Log

Das Plugin zeigt Ihnen auch eine Live-Ansicht aller auf Ihrer Website angemeldeten Benutzer. Wenn Sie ein verdächtiges Konto sehen, können Sie dessen Sitzung sofort beenden und ihn aussperren.

Weitere Informationen finden Sie in unserem Leitfaden zur Überwachung der Benutzeraktivitäten in WordPress mit WP Activity Log.

2. Automatische Durchführung einer Sicherheitsüberprüfung mit Sucuri

Sucuri

Sucuri ist das beste WordPress-Firewall-Plugin auf dem Markt, und es ist auch die beste All-in-One-WordPress-Sicherheitslösung, die Sie für Ihre Website bekommen können.

Es bietet Echtzeitschutz vor DDoS-Angriffen, indem es verdächtige Aktivitäten blockiert, noch bevor sie Ihre Website erreichen. Dadurch wird Ihr Server entlastet und die Geschwindigkeit/Leistung Ihrer Website verbessert.

Es verfügt über ein integriertes Sicherheits-Plugin, das Ihre WordPress-Dateien auf verdächtigen Code überprüft. Außerdem erhalten Sie einen detaillierten Einblick in die Benutzeraktivitäten auf Ihrer Website.

Das Wichtigste: Sucuri bietet bei allen kostenpflichtigen Tarifen die kostenlose Entfernung von Malware an. Das bedeutet, dass die Sicherheitsexperten von Sucuri Ihre Website für Sie säubern, selbst wenn sie bereits betroffen ist.

Bonus: Beauftragung eines WordPress-Wartungsdienstes

Die Sicherheit einer Website selbst zu verwalten, kann zeitaufwändig und kompliziert sein, insbesondere für technisch nicht versierte Benutzer. Daher sollten Sie einen WordPress-Wartungsdienst beauftragen, der eine 24/7-Sicherheitsüberwachung anbietet, um Zeit zu sparen und Ihre Arbeitsbelastung zu verringern.

WPBeginner Pro Services bietet zuverlässige WordPress Wartungsdienste zu erschwinglichen Preisen. Dazu gehören Sicherheitsüberwachung, regelmäßige Backups, Updates, Überwachung der Betriebszeit und vieles mehr.

WPBeginner WordPress website maintenance service

Entscheiden Sie sich einfach für ein monatliches Wartungspaket und Sie können sich in dem Wissen entspannen, dass die Sicherheit Ihrer Website von Experten betreut wird.

Expertenleitfäden zur WordPress-Sicherheit

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu erfahren, wie Sie eine WordPress-Sicherheitsprüfung für Ihre Website durchführen können. Vielleicht interessieren Sie sich auch für andere Anleitungen zum Thema WordPress-Sicherheit:

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Reader Interactions

6 KommentareEine Antwort hinterlassen

  1. Eva

    1st step to fight daily brute force attacks attempts is to change the default login url.

    • WPBeginner Support

      Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.

      Admin

      • Eva

        Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.

        • WPBeginner Support

          It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.

        • Eva

          I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!

        • DW

          Yeah, doing the login URI really doesn’t do much. It’s a technique known as „security by obscurity“ – basically security by „hiding“.

          If someone is determined to get into your website, using these „Security by obscurity“ techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.

          You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.