Zunächst würde ich dir empfehlen diesen Artikel zu lesen: https://de.wordpress.org/support/topic/seite-gehacked-was-tun/
Meine dringende Empfehlung wäre, das Projekt so wie es ist nicht weiter zu verwenden. Lösche ALLES (Dateien, Verzeichnisse + Datenbank) und stell das Projekt aus einem sauberen Backup wieder her. Anschließend solltest du alle ausstehenden Updates installieren, Passwörter ändern (auch im Hosting, z.B. FTP) und natürlich ein Sicherheitsplugin installieren. Nur so kannst du sicher sein wieder ein sauberes und sicheres Projekt vor dir zu haben.
Du suchst nicht nach einem Firewall-Plugin. Das würde nur Zugriffe auf URLs kontrollieren. Du brauchst viel eher ein Sicherheitsplugins, was für dich auch einzelne WordPress-Funkionen kontrolliert und überwacht. Es gibt sehr viele zur Auswahl: https://de.wordpress.org/plugins/tags/security/ – ich nutze gerne Solid Security, aber NinjaFirewall, WordFence und AIOS sind ebenso beliebt bei einigen Anwendern hier im Forum denke ich. Wovon ich abraten würde sind (aus Datenschutzgründen) JetPack und (auf Grund eigener negativer Erfahrungen) Real Simple Security. Welches du wählst ist absolut dir überlassen. Die leisten inzwischen alle nahezu das gleiche, unterscheiden sich nur in der Oberfläche und Handhabung voneinander.
Ergänzend zu den bereits genannten Links, beachte, dass die Sicherheit nicht bei WordPress anfängt, sondern bei deinem Rechner, dem Router usw., siehe
Kleine Checkliste für die Sicherheit im Internet
Hi Bettina,
die NinjaFirewall kann ich empfehlen (Konfigurationsvorlage).
Dazu noch automatische Updates aller Plugins, 2-Faktor-Authentifizierung für alle Admin Konten und regelmäßige Backups, z. B. wöchentlich über UpdraftPlus (free). In dem Setup kann nicht mehr viel schief gehen.
Gruß
Pascal
Dazu noch automatische Updates aller Plugins
Hi Pascal 👋
hier scheiden sich die Geister. Erstens, wenn, warum dann nur Plugins? WordPress und Themes können ebenso Sicherheits-Updates ausliefern.
Zweitens: Ich bin eher die Fraktion: Alles manuell aktualisieren, dann sieht man sofort, wenn etwas auf der Website nicht mehr funktioniert. Es gibt Möglichkeiten, sich nach selbst festgelegten Intervallen über vorhandene Updates informieren zu lassen und man kann zeitnah Updates selbst ausführen.
Vermutlich nennst du deswegen nur die Plugins:
Ab WordPress Version 6.6 ist eine Funktion integriert, die automatische Plugin-Updates bei einem kritischen Fehler (Fatal Error) selbstständig rückgängig macht.
Nachteile automatischer Updates: Es können Fehler entstehen, die nicht zu den „fatal errors“ gehören, aber dennoch die Funktionen oder das Aussehen der Website zerstören.
Verlässt man sich auf automatische Updates, kann man nicht zurückverfolgen, wann ein Fehler entstand. Monate später? Viel Spaß beim Troubleshooting.
Anderes Problem: Vor Updates ein Backup erstellen. Ja okay, ich kenne zumindest ein Plugin, das vor Updates ein Backup erstellt – allerdings nur in der kostenpflichtigen Pro-Version, hilft mir aber nur bedingt, wenn ich Fehler erst viel später bemerke.
Danke, Angelika – das sehe ich genauso.
Es hängt letztendlich stark von der Art und Bedeutung der Website ab, wie man mit Updates und Sicherheitsmaßnahmen umgeht. Bei einer einfachen privaten Seite (wovon ich hier ausging) kann man vieles automatisieren, während man bei missionskritischen Projekten wie Onlineshops oder geschäftsrelevanten Plattformen Updates natürlich nicht pauschal, unüberlegt durchlaufen lassen sollte. Gerade dort ist es sinnvoll, Änderungen bewusst zu prüfen und mit etwas Erfahrung entwickelt man als WordPress-Admin auch ein gutes Gespür dafür, wo Vorsicht angebracht ist.
Ein pauschales „alles automatisch“ oder „alles manuell“ wird der Realität meist nicht gerecht.
Auch bei Themes gibt es große Unterschiede in der Update-Stabilität. Manche laufen über Jahre unauffällig, andere sind deutlich fehleranfälliger – hier hilft vor allem langfristige Erfahrung mit dem jeweiligen Setup. Theme Updates inkl. der zugehörigen (Page Builder) Plugins spiele ich grundsätzlich manuell ein.
Vielen lieben Dank an euch alle für eure Inputs! Merci!!
🙂 Viel Erfolg beim Bereinigen und Absichern der Website. Danke für die Rückmeldung und das Setzen des Threads auf gelöst.
