Die Antwort auf diese Frage ist: “Kommt darauf an …”
WordPress selbst ist sicher, solange die grundlegenden Empfehlungen eingehalten werden.

Im Durchschnitt werden jeden Tag 30.000 neue Websites gehackt.
Ca. 31% aller aktiven Websites im Internet basieren auf WordPress, deswegen ist es natürlich ein lohnenswertes Ziel für Hacker.

Warum? Wenn Hacker einen Weg in eine Website finden können, suchen sie nach ähnlichen Schwachstellen auf einer der anderen 75 Millionen Sites. WordPress-Websites können aufgrund von Plugin-Schwachstellen, schwachen Passwörtern und veralteter Software ein leichtes Angriffsziel für Angriffe sein. Aber wenn ihr ein paar einfache WordPress-Sicherheitsempfehlungen befolgt, könnt ihr die Angriffsanfälligkeit erheblich reduzieren.

„In den meisten Fällen, haben die Schwachstellen wenig bis gar nichts mit dem Kern von WordPress selbst zu tun. In der Mehrheit der Fälle liegt es an falscher Konfiguration und fehlender Wartung.” (Source: Sucuri.net)

Schwachstellen liegen zu

  • 52% bei WordPress-Plugins
  • 37% bei (veralteten) WordPress Versionen
  • 11% bei Themes

Ich werde hier weder auf die häufigsten Hacking-Methoden noch die verschieden Arten von Malware (Schadsoftware) eingehen.  Wichtiger ist, was wir tun sollten um die Gefahr auf ein Minimum zu reduzieren.

Eines vorweg: Eine 100% Sicherheit gibt es nicht! Aber mit den richtigen Maßnahmen, kannst du ruhig schlafen 😉

Also los …

  • Wähle einen guten Hosting-Provider. 
    Kein falsche Sparsamkeit. Es macht einen Unterschied, wo deine Website gespeichert ist. Kriterien sollten sein:

    • Guter Support – für mich essentiell, wenn mein Provider für Anfragen schnell zur Verfügung steht (z.B. im Live-Chat)
    • Einfache Installation von SSL-Zertifikaten
    • Aktive Versionsverwaltung der Serversoftware
    • Unterstützung für SFTP (nicht nur FTP)
    • Freie Wahl der PHP-Version (mindestens 5.6, 7.0+)
    • Firewall-Schutz
    • Speicherung des Website-Protokolls (Logs)
    • Routinemäßige Sicherheitsaudits
  • Installiere nur Plugins und Themes von vertrauenswürdigen Quellen.
    Warum? Ungeprüfte Versionen können bösartigen Code enthalten.
    UND: Nur so viele Plugins und Themes wie notwendig. Lösche nicht aktive Plugins und Themes aus deiner WP-Installation.
  • Updates, Updates, Updates …
    Kontrolliere dein WordPress regelmäßig auf neue Versionen der Plugins, Themes oder von WP selbst (min. 1x pro Woche). Nutze die automatische Benachrichtigungsfunktion für Updates.
  • Dein Login-Passwort
    Dein WordPress-Login wird am häufigsten angegriffen, weil es den einfachsten Zugriff auf das Dashboard deiner Website ermöglicht.
    Sog. Brute-Force-Angriffe sind die häufigste Methode. Dabei werden nach der Versuch-und-Irrtum Methode verschiedene Kombinationen deines Benutzernamens und des Passworts generiert, in der Hoffnung die richtige Kombination zu finden.
    – Verwende NIE Benutzernamen wie “Administrator”, “Wp-Admin” o.ä.
    – Verwende eine Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen
    – Verwende ein und dasselbe Passwort nicht mehrmals
    – Verwende einen Passwort-Manager (z.B. LastPass)
    – Aktiviere die “two-factor authentication” für dein WordPress Login (d.h. du erhältst beim Einloggen immer einen Code auf dein Smartphone).
  • Backups sind deine Lebensversicherung
    Installiere UNBEDINGT eine automatische Backup-Lösung.
    Wenn deine Website gehackt wird, benötigst du eine saubere Version deiner Website (der Datenbank und aller Dateien). Ich verwende dazu gerne das Plugin Updraft Plus.
  • Installiere ein Security-Plugin.
    “iThemes Security” oder “All In One WP Security” sind gute Lösungen.

Die meisten Sicherheitsrisiken können mit diesen einfachen Schritten minimiert werden.

Also, worauf wartest du …