Wie Du Deine WordPress-Webseite(n) bzw. Dein Benutzerkonto innerhalb des Netzwerks vor unliebsamen Gästen schützt!


Weitere Themen:  Allgemeines | Erste Schritte | Werkstatt | Sicherheit | Themes & Plugins | Shop einrichten | Suchmaschinenoptimierung | Barrierefreie Webseiten | Netzwerk verlassen


Sicherheit spielt ganz Allgemein im Internet eine enorm große Rolle. Vieles von dem, was im Internet geschieht, bemerken wir gar nicht. Im Falle von WordPress gilt dies in besonderem Maße, denn viele haben sich aufgrund der Verbreitung des Content Management Systems darauf spezialisiert, Sicherheitslücken auszunutzen und WordPress-Webseiten zu kapern, um sie für ihre Zwecke zu missbrauchen (Malware etc.).

Da wir WordPress gemeinschaftlich in einem Netzwerk nutzen, bist auch Du dafür mitverantworlich, dass Deine Webseite nicht Opfer eines Angriffs wird. Was Du dafür tun kannst, zeigen wir Dir in diesem Sicherheits-FAQ.

Um einige sicherheitsrelevanten Maßnahmen musst Du Dich glücklicherweise nicht bemühen, weil wir natürlich alles tun was in unserer Macht steht, um das Netzwerk zu schützen. Dazu gehört u.a.:

  1. WordPress Aktualisierungen
    Wir spielen zeitnah alle WordPress-Updates ein und kümmern uns darum, dass die Themes & Plugins auf dem aktuellen Stand sind. Veraltete Themes & Plugins entfernen wird und teilen Dir mit, falls eine solche Maßnahme notwendig sein sollte.
    Hierbei kann es auch zu Störungen kommen, da nicht immer alle Themes & Plugins auf die aktuelle WordPress-Version abgestimmt sind. Darüber hinaus kommt es bei Aktualisierungen immer zu einer Nichverfügbarkeit Deiner Webseite und es wird für diese Zeit ein Wartungsmodus aktiviert sein. Wir versuchen, die Updates i.d.R. in der Nacht einzuspielen. Eine gesonderte Ankündigung versenden wir aber nur dann, wenn zu erwarten ist, dass die Maßnahmen länger als zwei Stunden beanspruchen werden. Normalerweise dauert eine Aktualisierung weniger als 10 Minuten.
  2. Verschlüsselung Deiner Domain(s)/Subdomain(s)
    Wir verschlüsseln alle Subdomains deinendomain.onic.eu mit einem Wildcard Zertifikat von Comodo. Zusätzlich verschlüsseln wir auch Deine registrierten Domains mit einem kostenlosen Lets Encrypt Zertifikat ein (Du kannst natürlich für Deine Domain(s) auch ein kostenpflichtiges validiertes Zertifikat erwerben s. Chrome macht HTTPS zur Pflicht)
  3. Child-Themes
    Alle zur Verfügung stehenden Designvorlagen werden in Form eines Child-Themes im Netzwerk zur Verfügung gestellt. Die Child-Themes sind so konzipiert, dass die XMLRCP-Schnittstelle von WordPress ausgeschaltet ist, die Versionsnummer von WordPress im Quelltext sowie in der style.css und in Javascript nicht mehr ausgegeben wird.
  4. Verzeichnisschutz
    Stellen wir fest, dass auf bestimmten Webseiten zu viele unerlaubte Anmeldeversuche unternommen werden, bieten wir Dir an, einen serverseitigen Verzeichnisschutz für Deine WordPress-Administrationoberfläche einzurichten.
  5. Backups / Datensicherung
    Von allen Serverdaten steht ein tägliches Backup zur Verfügung und falls es schwerwiegende Probleme geben sollte, können wir das Backup für das gesamte Netzwerk oder auch nur für Teile davon wieder einspielen. Zudem sichern wir monatlich die gesamte WordPress-Instanz lokal.
    Siehe auch: 4. Wie kann ich meine WordPress-Seite sichern?
  6. Datenschutz
    Alle Child-Themes sind in der function.php so eingerichtet, dass bei der Kommentierung alle IP-Adressen von Nutzer*innen anonymisiert (s. WordPress: IP-Adresse der Kommentatoren anonymisieren) werden und die Cookie-Anzeige deaktiviert ist (s. Cookie-Consent Anzeige loswerden)

Für allgemeine Informationen zum Thema Sicherheit, empfehlen wir Dir den Blog von Mike Kuketz, der auch immer wieder Hinweise und Hilfestellungen zum Thema WordPress-Sicherheit gibt.

Um Dein Benutzerkonto und Deine WordPress-Webseite zu vor Angreifer*innen zu schützen, solltest Du für Deine Benutzerkonten sichere Passwörter verwenden. Empfohlen werden i.d.R. 16-stellige Passwörter unter Verwendung von Buchstaben (groß/klein), Zahlen und Sonderzeichen. Auch wenn wir es nicht für unbedingt erforderlich halten, dass Dein Passwort 16-stellig ist, sollte es doch die Länge und Struktur haben, die von WordPress selbst empfohlen wird.

Wenn Du Dich in Dein Profil (Profil bearbeiten/Benutzer -> Alle Benutzer -> Bearbeiten) begibst, kannst Du Dein bestehendes Passwort ändern. Klickst Du auf

Neues Passwort -> Passwort generieren

erhältst Du ein neu generiertes sicheres Passwort.

Da man sich solche Passwörter nur sehr schwer merken kann, empfehlen wir Dir die Verwendung eines Passwortmanagers (wie z.B. keepassx), den Du mit den gängigen Betriebssystemen (GNU/Linux, MacOS, Windows) verwenden kannst. Hiermit es es dann möglich seine unterschiedlichen Online-Konten und die dazugehörigen Passwörter zu verwalten.


Solltest Du ein Online-Tagebuch/Blog betreiben, dann empfehlen wir Dir, ein weiteres Benutzerkonto anzulegen und mit diesem Konto Deine Beiträge zu veröffentlichen. Auch wenn Du innerhalb des onic-Netzwerks keine Super-Adminrechte besitzt, ist es ärgerlich, wenn jemand in Deiner/n Webseite/n mit allen Rechten herumfuhrwerken kann.

Du kannst neue Benutzer*innen über BENUTZER -> Neu hinzufügen einrichten. Diesem neuen Account gibst Du Autorenrechte. Dieses Konto verwendest Du, um Deine Beiträge zu veröffentlichen. Dabei musst Du Dich aber nicht mit dem neuen Autorenkonto anmelden. Du musst nur daran denken, dass Du beim Veröffentlichen den Benutzer zu wechseln.

Beim Erstellen von Beiträgen, kannst Du Dir über das Menü ANSICHT ANPASSEN (oben rechts) das Autorenwidget zur Beitragsansicht hinzufügen.

Solltest Du einmal vergessen, den Autoren/Autorin zu wechseln, kannst Du dies in der Beitragsverwaltung (BEITRÄGE -> Alle Beiträge) überprüfen und auch ändern. In der Übersicht wird Dir angezeigt, mit welchen Benutzerkonten Du Deine Beiträge erstellt hast s. Spalte Autor). Solltest Du einmal versehentlich Deine Beiträge mit dem falschen Benutzerkonto veröffentlicht haben, kannst Du mit QUICK EDIT oder der MEHRFACHAKTION -> Bearbeiten Deine Beiträge verändern.

Folgende Plugins stehen dir zur Verfügung und in den Unterpunkten 3a. bis d. werden wir Dir zeigen, wie Du diese Plugins einrichtest, nutzt und was Du dabei beachten musst.

  1. WPS-Hide-Login - mit diesem Plugin kannst Du sehr einfach Deine Anmeldeseite (/wp-admin) verstecken.
  2. Stop Spammers - ist ein extrem wirksames Plugin gegen Spam und unerlaubte Anmeldeversuche mit vielen Einstellungsmöglichkeiten und Analysen von Angriffen. Besonders ist, dass man seine Nutzer*innen und sich selbst nicht mit Captcha-Codes auf die Nerven gehen muss.

Die Verwendung dieses Plugisn ist sehr einfach und Du kannst einfach den folgenden Schritten folgen. Vorsicht ist geboten, wenn man einen falschen Link setzt (Sonderzeichen sind verboten) oder den Link vergisst.

  1. Gehe zu Plugins > Installierte Plugins.
  2. Suche nach WPS Hide Login.
  3. Aktiviere das Plugin.
  4. Nachdem Du es aktiviert hast, ändert sich dein Anmeldelink von /wp-admin auf /login.
  5. Um die Anmeldeseite /login zu verändern, gehe zu EINSTELUNGEN › Allgemein/WPS Hide Login. Im unteren Bereich der Seite befindet sich der Abschnitt
    WPS Hide Login und Du kannst einen andere Linkadresse eingeben (WICHTIG: verwende keine Sonderzeichen und merke Dir den Loginlink gut).

ACHTUNG! Solltest Du den Link zur Anmeldeseite vergessen oder ein Sonderzeichen verwendet haben, kannst Du Dich nicht mehr auf Deiner Seite anmelden. In diesem Fall musst Du Dich bei uns melden. Wir müssen das Plugin dann kurzfristig deaktivieren und dann kannst Du Dir den Link neu einrichten. Also bitte nicht vergessen und auch Sonderzeichen nicht verwenden.

Das Stop Spammers Plugin ist ein sehr wirksames Werkzeug, um nicht nur Spam und Anmeldeversuche zu verhindern, sondern auch, um zu sehen, wer die eigene Webseite angreift und wie oft dies getan wird. Du kannst Dir mit diesem Plugin einen sehr guten Überblick verschaffen, was auf Deiner Webseite so los ist. Wir empfehlen Dir, das Plugin zu aktivieren.

Der Funktionsumfang ist zwar sehr groß und man muss ein paar kleinere Einstellungen vornehmen, aber es ist sehr zuverlässig und hilfreich. Stop Spammers kann z.B. auch auf die Akismet-Datenbank zugreifen, um Spam und Angriffe zu verhindern. Dies ist nach europäischem Datenschutzrecht nur mit einem Hinweis in der jeweiligen Erklärung erlaubt, aber man kann diese Funktion auch deaktivieren und das Plugin erfüllt dennoch seinen Zweck.

In den FAQs werden viele Fragen in englischer Sprache beantwortet und wir empfehlen dort mal vorbeizuschauen. Verwende das Plugin am besten nicht mit anderen AntiSpam-Werkzeugen (wie z.B. AntiSpam Bee oder Cerber).

Um das Plugin zu aktivieren, musst Du Dich nur zu PLUGINS -> Installierte Plugins zu begeben, nach Stop Spammers suchen und das Plugin aktivieren. Es befindet sich dann als Menüpunkt STOP SPAMMERS in der linken Menüleiste. Das Plugin gliedert sich in folgende Abschnitte:

  1. Summery - Überblick der Angriffe
  2. Protection Options - Eistellungen zum Schutz vor Spam und Angriffe
  3. Allow Lists
  4. Block Lists
  5. Challenge & Deny
  6. Allow Request
  7. Web Services
  8. Cache
  9. Log Report
  10. Diagnostics
  11. Beta: DB Cleanup
  12. Beta: Treat scan
  13. Network

1. Summery

Im ersten Abschnitt findest Du eine Übersicht über evtl. Loginattacken und Spamkommentare. Du kannst die Anzahl (grüne Zahl - hier 18) und auch die Zusammenfassung (Clear Summery) von Zeit zu Zeit löschen. Du kannst Dir damit einen Überblick verschaffen, in welchem Zeitraum du wie viele Spammer auf Deiner Website zu schaffen gemacht haben.

Solltest Du bemerken, dass regelmäßig pro Tag mehr als 10-30 fehlgeschlagene Anmeldeversuche auf Deiner Webseite stattfinden,
melde Dich bitte bei uns, damit wir für Deine Administrationsoberfläche einen zusätzlichen serverseitigen Verzeichnisschutz einrichten.

2. Protection Options

Only Use the Plugin for Standard WordPress Form

Diese Option wirkt sich aus, wenn jemand ein Formular ausfüllt und auf "Senden" klickt. Das bedeutet, dass alle Formulare auf Deiner Webseite überprüft werden, nicht nur Kommentare und Anmeldungen. Diese Option beschränkt das Plugin auf wp-comments-post.php und wp-login.php. Wpshopgermany und andere Plugins werden nicht überprüft. Verwenden Sie diese Option, wenn Sie eine E-Commerce-Seite oder eine spezialisierte Webseite mit von Stop Spammers blockierten Formularen ausführen. Für den besten Schutz ist diese Option standardmäßig deaktiviert (empfohlen).

Prevent Lockout

Automatically Add Admins to Allow List

Check Credentials on All Login Attempts

Validate Requests

Block Spam Missing the HTTP_ACCEPT Header

Block Invalid HTTP_REFERER

Deny Disposable Email Addresses

Check for Long Emails, Author Name, or Password

Check for Short Emails or Author Name

Check for BBCodes

Check for Quick Responses

Deny 404 Exploit Probing

Deny IPs Detected by Akismet

Check for Exploits

Deny Login Attempts Using 'admin' in Username

Check Against List of Ubiquity-Nobis and Other Spam Server IPs

Check for Major Hosting Companies and Cloud Services

Check for Many Hits in a Short Time

Check for Amazon Cloud

Filter Login Requests

Block Countries



Das Erstellen einer Sicherung Deiner Webseite ist mit WordPress-Bordmitteln sehr einfach möglich. Unter dem Menüpunkt WERKZEUGE -> Daten exportieren findest Du die entsprechende Funktion. Bei einem Export Deiner Webseite werden alle Inhalte in eine sog. Exportdatei gespeichert, die dann in eine andere WordPress-instanz importiert werden kann (WERKZEUGE -> Daten importieren). Es ist dadurch sehr leicht möglich, seine Webseite umzuziehen und die Inhalte zu sichern. Der Export beinhaltet den folgenden Content:

  • Seiten, Seiteninhalte & Seitenstruktur, Beiträge, Beitragsinhalte, Kategorien & Schlagworte
    Dies bedeutet, dass alle Deine Texte & Strukturen in der Exportdatei abgelegt werden und somit gesichert sind.
  • Menüs
    Auch Deine Menüs und die Menüstruktur werden exportiert. Es ist nach einem Import nur noch erforderlich, die Positionen der Menüs erneut festzulegen
  • Widgets
    Widgets werden exportiert und auch hier müssen meist die Widgets bei einem Import erneut an die richtige Position gelegt werden.
  • Plugins (Inhalte & Einstellungen)
    Die verwendeten Plugins werden nicht in der Exportdatei gespeichert und man muss die ursprünglich verwendeten Plugins bei einem Import vorab instalieren & aktivieren. Einstellungen und Inhalte sind in der Exportdatei hinterlegt.
  • Medienverknüpfungen
    Medien werden nur in Form einer Verknüpfung exportiert, d.h. dass die Medien erst beim Importieren in eine neue WordPress-Instanz integriert werden. Dies bedeutet, dass die Ursprungswebseite während eines Imports noch online verfügbar sein muss. Nur unter dieser Voraussetzung können auch die Medien importiert werden. Beschreibungstexte und Alt-Texte sind allerdings in der Exportdatei vorhanden und werden den Medien zugeordnet. Solltest Du eine Sicherung aller Dateien, die Du in Deiner WordPress-Instanz abgelegt hast, benötigen, können wir Dir eine herunterladbaren zip-Datei erstellen und zur Verfügung stellen. Dabei werden allerdings nur die Mediendateien zur Verfügung gestellt und wir müssen ausnahmsweise für diese Arbeit eine Aufwandsentschädigung in Höhe von 25,00 Euro erheben. Wir empfehlen Dir, die Mediendaten auf einem externen Datenträger abzulegen und dort gut aufzubewahren. Dieses Vorgehen spart Dir Geld, uns viel Zeit und macht eine individuelle serverseitige Datensicherung unnötig.

Ganz allgemein ist zu beachten, dass der Export einer Webseite aus einer Einzelinstallation/Multisite sehr einfach funktioniert. Der Import von Webseiten in das onic-Netzwerk aber nicht ganz unproblematisch ist. Man könnte auch sagen, dass Du aus dem onic-Netzwerk sehr leicht hinaus, aber mit einer bestehenden WordPress-Webseite nicht ganz einfach in das Netzwerk hineinkommst. Hier macht vor allem der Import von Mediendateien der NextGenGallery Probleme.

Gibt es auch Backup-Plugins, die ich nutzen könnte?

Jein. Wir haben für das onic-Netzwerk die UpdraftPlus-Premium-Lizenz zur Sicherung von WordPress-Multisites installiert und machen monatliche Backups aller Webseiten (s.o. 0. Was muss ich bei der Nutzung von WordPress im onic-Netzwerk im Hinblick auf die Sicherheit meiner Website(s) beachten?). Mit diesem Plugin werden nicht nur die Webseiten sondern auch sämtliche Uploads (Bilder und andere Medien), Themes und Plugins gespeichert. Leider steht diese Funktion nicht für die einzelnen Webseiten zur Verfügung und Du kannst damit Deine Einzelinstallation nicht sichern.

Wir können Dir im Augenblick keine andere Lösung anbieten und empfehlen Dir deshalb, das Backup auf die oben beschriebene Weise regelmäßig
durchzuführen.