Dieser Beitrag zeigt, wie du deine Webseite mit acht konkreten Sicherheitstipps besser schützen kannst – auch ohne tiefes technisches Know-how. Viele dieser Massnahmen lassen sich auf unterschiedlichste CMS anwenden, z. B. Joomla, TYPO3 oder Drupal. Die Umsetzung erklären wir dir jeweils an einem Beispiel von WordPress, dem weltweit am häufigsten genutzten System.
1. Regelmässige Software Updates
2. Veraltete Plugins deaktivieren & löschen
3. Admin-Login absichern
4. Malware-Scanner nutzen
5. Dateiuploads beschränken
6. Backups automatisieren
7. SSL-Zertifikat aktivieren
8. Starke Passwörter & 2-Faktor-Authentifizierung (2FA)
1. Regelmässige Software Updates
Du betreibst einen kleinen Blog und hast das Plugin „Contact Form 7“ installiert. Eine neue Version behebt eine Sicherheitslücke beim Datei-Upload. Wenn du das Plugin nicht aktualisierst, könnten Angreifer über dein Kontaktformular schädliche Dateien hochladen – ein einfaches Update hätte das verhindert.
Veraltete Software ist eines der grössten Einfallstore für Angreifer. Ob WordPress selbst, Plugins oder Themes – sobald eine Sicherheitslücke bekannt wird, dauert es oft nur Stunden, bis automatisierte Bots Webseiten gezielt nach diesen Schwachstellen durchsuchen. Regelmässige Updates sind daher unerlässlich, um deine Webseite zu schützen.
Aktuelle Versionen schliessen bekannte Sicherheitslücken und sorgen gleichzeitig für bessere Performance und Kompatibilität.
- WordPress-Version prüfen und aktualisieren:
- Im WordPress-Dashboard findest du oben links unter „Aktualisierungen“ die verfügbaren Updates
- Erstelle ein Backup, bevor du auf „Jetzt aktualisieren“ klickst
- Automatische Updates aktivieren (empfohlen für kleinere Websites):
- Unter „Plugins > Installierte Plugins“ kannst du die gewünschten Plugins auswählen
- Via dem Dropdown-Menü „Automatische Aktualisierungen aktivieren“ klicken
- Mit „Übernehmen“ die Aktivierung durchführen
2. Veraltete Plugins deaktivieren & löschen
Du hast vor Jahren ein Plugin für eine Instagram-Galerie installiert, nutzt es aber längst nicht mehr. Das Plugin wird vom Entwickler nicht mehr gepflegt. Inzwischen ist eine Sicherheitslücke bekannt und genau diese nutzen Angreifer aus, um Schadcode auf deiner Seite einzuschleusen. Hättest du das Plugin entfernt, wäre deine Webseite sicher geblieben.
Wichtiger Hinweis
Auch deaktivierte Plugins können ein Risiko darstellen! Der Code bleibt auf dem Server gespeichert und wenn darin eine bekannte Schwachstelle steckt, kann diese oft direkt über bestimmte URLs oder Pfade ausgenutzt werden, selbst wenn das Plugin nicht aktiv eingebunden ist.
- Unnötige Plugins erkennen und entfernen:
- Gehe im Dashboard zu „Plugins > Installierte Plugins“
- Deaktiviere alles, was du nicht mehr nutzt
- Lösche danach die deaktivierten Plugins
- Plugins regelmässig überprüfen:
- Wann wurde es zuletzt aktualisiert?
- Wie viele aktive Installationen hat es?
- Ist es mit deiner WordPress-Version kompatibel?
- Bessere Alternativen finden:
- Suche gezielt nach beliebten Plugins mit guten Bewertungen und regelmässigen Updates
- Statt eines alten SEO-Plugins könntest du beispielsweise zu Yoast SEO greifen
3. Admin-Login absichern
Deine Webseite nutzt den Standardpfad „deinewebsite.ch/wp-admin“ zum Einloggen – genau wie Millionen anderer Seiten. Ein Bot scannt automatisch bekannte Login-Pfade und startet dort Angriffe. Mit einem individuellen Login-Link und begrenzten Login-Versuchen verhinderst du, dass Bots es überhaupt bis dahin schaffen – oder es mehrfach versuchen dürfen.
Der Login-Bereich ist bei WordPress für jeden öffentlich zugänglich – und genau das nutzen viele Angreifer aus. Mit wenigen Massnahmen kannst du es Angreifern deutlich schwerer machen – und deine Webseite wirksam schützen. Denn: Je unattraktiver deine Seite für Bots ist, desto schneller suchen sie sich ein leichteres Ziel.
1. Login-URL ändern:
Viele WordPress-Seiten nutzen noch die Standard-URL „wp-login.php“. Mit einem Plugin wie WPS Hide Login kannst du die Adresse ganz einfach ändern – etwa auf „mein-loginbereich“. So erschwerst du automatisierten Bots den Zugriff und trägst dazu bei, deine Webseite besser zu schützen.
2. Login-Versuche begrenzen:
Auch die Anzahl der Login-Versuche solltest du einschränken. Plugins wie Limit Login Attempts Reloaded helfen dabei, zu viele Versuche pro IP-Adresse zu blockieren. Nach mehreren Fehlversuchen wird der Zugriff automatisch gesperrt – eine einfache, aber wirkungsvolle Schutzmassnahme.
3. Admin-Namen vermeiden:
Und zu guter Letzt: Vermeide den Benutzernamen „admin“, denn dieser wird bei automatisierten Angriffen meist als Erstes getestet. Verwende stattdessen individuelle, schwer erratbare Benutzernamen für deine Logins.
Alternative für Fortgeschrittene:
Wenn du oder dein Team mit statischen IP-Adressen arbeiten, kannst du den Zugang zur Login-Seite auch auf bestimmte IPs beschränken – entweder über dein Hosting-Panel oder direkt per .htaccess. Das ist besonders effektiv, aber nur sinnvoll bei festen Zugängen.
4. Malware-Scanner nutzen
Deine Webseite wird plötzlich als „unsicher“ im Browser markiert, obwohl du gar nichts verändert hast. Ein Angreifer hat unbemerkt schädlichen Code eingeschleust – zum Beispiel über ein veraltetes Plugin. Ein regelmässiger Malware-Scan hätte den Code frühzeitig erkannt und den Angriff gestoppt, bevor er sichtbar wird.
Schädlicher Code (Malware) kann deine Webseite lahmlegen, Besucher gefährden oder zu einem Ausschluss aus dem Google-Index führen. Leider bleiben solche Infektionen oft unbemerkt – bis es zu spät ist.
Ein regelmässiger Malware-Scan erkennt verdächtige Veränderungen frühzeitig und hilft dabei, deine Webseite zu schützen.
Bei unseren Hostings ist ein automatischer Malware-Scan bereits integriert. Deine Website wird regelmässig geprüft – ganz ohne zusätzliches Plugin oder manuelle Kontrolle.
5. Dateiuploads beschränken
Auf deiner Webseite gibt es ein Kontaktformular mit Dateiupload-Funktion – z. B. für Bewerbungen oder Projektanfragen. Ein Angreifer nutzt das Feld, um eine .php-Datei hochzuladen. Diese wird auf dem Server ausgeführt und ermöglicht ihm Zugriff auf deine Seite. Mit einer einfachen Einschränkung auf erlaubte Dateitypen hättest du das verhindert.
Dateiuploads bieten eine direkte Möglichkeit, Daten auf deinen Server zu bringen – und damit potenziell auch Schadcode. Vor allem bei Formularen, Kundenportalen oder Mediatheken ist Vorsicht geboten. Unerwünschte Dateitypen oder unsauber geprüfte Uploads gehören zu den häufigsten Ursachen für Sicherheitslücken.
1. Erlaubte Dateitypen prüfen:
WordPress lässt standardmässig nur Formate wie JPG, PNG oder PDF zu. Falls du zusätzliche Dateitypen aktiviert hast, lohnt es sich, diese kritisch zu hinterfragen. Plugins wie File Upload Types oder Sicherheitslösungen mit Upload-Filter helfen dabei, den Zugriff gezielt zu steuern.
2. Upload-Funktionen in Formularen absichern:
Wenn du Formulare mit Dateiupload verwendest, wie WPForms, Contact Form 7 oder Gravity Forms, kannst du dort meist festlegen, welche Dateitypen erlaubt sind (z. B. nur PDFs). Auch die maximale Dateigrösse lässt sich definieren und so potenzielles Missbrauchsrisiko reduzieren.
3. Uploads ausserhalb des Webzugriffs speichern:
Manche Formulare ermöglichen es, hochgeladene Dateien direkt in geschützte Ordner zu verschieben, die nicht öffentlich aufrufbar sind. Das ist besonders sinnvoll, wenn du sensible Daten sammelst wie z. B. bei Bewerbungsformularen.
6. Backups automatisieren
Du installierst ein neues Plugin – und plötzlich funktioniert deine Webseite nicht mehr. Panik! Doch weil du ein automatisches Backup hast, kannst du mit wenigen Klicks den letzten funktionierenden Stand wiederherstellen. Ohne Backup hättest du unter Umständen Stunden oder Tage verloren – oder sogar alles neu aufbauen müssen.
Fehler passieren – sei es durch ein Update, einen Angriff oder einen Bedienfehler. Ein aktuelles Backup sorgt dafür, dass du deine Website in kürzester Zeit wiederherstellen kannst. Besonders wichtig: Backups sollten automatisch und regelmässig erstellt werden.
1. Automatische Backups durch KreativMedia:
Wir erstellen täglich ein vollständiges Backup deiner Webseite – ganz automatisch. Jede Sicherung bleibt 30 Tage lang verfügbar. Im Notfall kannst du dich einfach bei uns melden: Wir spielen dir eine frühere Version deiner Seite kostenlos und unkompliziert zurück.
2. Eigene Backups über Plesk verwalten:
Zusätzlich hast du die Möglichkeit, im Plesk-Backend eigene Backups zu erstellen – manuell oder automatisiert. Das ist besonders hilfreich, wenn du vor grösseren Updates oder Änderungen schnell selbst eine Sicherung anlegen möchtest.
Wie verwende ich den Backup-Manager in Plesk?
7. SSL-Zertifikat aktivieren
Du gibst im Browser eine Webseite ein und bekommst eine Warnung: „Diese Verbindung ist nicht sicher.“ Viele BesucherInnen verlassen die Seite sofort und suchen lieber nach einer Alternative. Dabei ist die Warnung nicht nur abschreckend, sondern auch berechtigt: Ohne gültiges SSL-Zertifikat kann die Identität der Webseite nicht zuverlässig bestätigt werden – der Server gilt als nicht vertrauenswürdig. Mit einem aktiven, gültigen Zertifikat wird deine Seite sicher über https:// geladen und schafft Vertrauen.
Ohne SSL können Dritte – z. B. in öffentlichen WLANs – Formulareingaben oder Login-Daten mitlesen. Das betrifft auch einfache Kontaktformulare oder Newsletter-Anmeldungen.
Gleichzeitig ist SSL ein sichtbares Vertrauenssignal. Moderne Browser kennzeichnen Seiten ohne SSL deutlich als nicht sicher. Gerade im geschäftlichen Umfeld oder bei neuen BesucherInnen kann das dein Image stark beschädigen – unabhängig davon, wie gut deine Inhalte sind.
Und nicht zuletzt: Google bevorzugt https://-Seiten im Ranking.
Wie installiere und verwende ich das kostenlose SSL-Zertifikat von Let’s Encrypt?
8. Starke Passwörter & 2-Faktor-Authentifizierung (2FA)
Du nutzt das Standardpasswort „admin123“ für dein WordPress-Login. Ein Angreifer probiert automatisch gängige Kombinationen durch – und hat in wenigen Sekunden Zugriff auf deine Website. Hättest du ein sicheres Passwort und zusätzlich 2FA genutzt, wäre der Angriff gescheitert.
Benutzerkonten, vor allem der Administrator-Zugang, sind ein beliebtes Ziel für Hacker. Ein schwaches Passwort reicht aus, um die volle Kontrolle über deine Seite zu übernehmen. Mit einer zusätzlichen Sicherheitsstufe durch Zwei-Faktor-Authentifizierung (2FA) schützt du dein Login doppelt: Ein Angreifer benötigt dann nicht nur dein Passwort, sondern auch einen Einmal-Code auf deinem Smartphone.
1. Starke Passwörter verwenden:
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren:
Ergänze dein Passwort mit einem zweiten Sicherheitsfaktor. Plugins wie WP 2FA oder Wordfence Login Security ermöglichen dir, deinen Login mit einer App wie Google Authenticator abzusichern. Beim Login wird zusätzlich ein Einmalcode abgefragt, der sich alle 30 Sekunden ändert.
Sicherheit muss nicht kompliziert sein. Schon mit wenigen gezielten Massnahmen kannst du deine Webseite deutlich besser schützen – ganz ohne technisches Vorwissen. Die acht Tipps in diesem Beitrag lassen sich nach und nach umsetzen und sorgen dafür, dass deine Website nicht nur stabil läuft, sondern auch das Vertrauen deiner BesucherInnen stärkt.
Falls du dir unsicher bist, wie gut deine Seite aktuell geschützt ist oder wenn du Unterstützung bei der Umsetzung brauchst, hilft unser Support dir gerne weiter.
