TL;DR: Lösche konsequent deaktivierte Plugins, benutze sichere Passwörter & 2FA und deaktiviere die XML-RPC Schnittstelle. Du wirst weiterlesen müssen, wenn du alle WordPress Sicherheitslücken schließen willst, aber es lohnt sich.

Deine WordPress-Website wird wahrscheinlich jetzt gerade von Bots angegriffen und du merkst es nicht mal.

Warum?

Das ganze passiert völlig emotionslos.

Weil die meisten WordPress-Angriffe völlig automatisch passieren. Jeden Tag, rund um die Uhr.

Sie treffen nicht gezielt dich, sondern jede Website, die verwundbar ist.

Jeder Bot arbeitet bei so einer Attacke eine Liste von Schwachstellen ab, über die deine WordPress Website verwundbar ist.

Wird so eine WordPress Sicherheitslücke entdeckt, wird sofort angegriffen.

Stelle dir so einen Bot wie einen Dieb vor, der an einer Reihe geparkter Autos vorbeigeht und systematisch versucht, jede Autotür zu öffnen.

Die Fakten:

• Etwa 80 % aller WordPress-Hacks wären mit minimalem Aufwand vermeidbar
• Fast ein Drittel des gesamten Internet-Traffics kommt von schädlichen Bots
• Diese Bots durchforsten Tag und Nacht das Netz – auf der Suche nach veralteten Plugins, offenen Schnittstellen, Sicherheitslücken und Konfigurationsfehlern

Wird deine Seite als verwundbar markiert, kannst du binnen Sekunden infiziert sein. Oft ohne es zu merken

Die Folgen?

•     Reputationsverlust & Imageschaden
•     SEO-Blacklisting & Sichtbarkeitsverlust
•     Deine Website ist plötzlich offline wenn du sie am meisten brauchst: 
  • Mitten im Launch
  • Während einer Social Media Kampagne
  • Wenn du Ads schaltest
•     Stress, Nervenzusammenbruch und das Gefühl von Kontrollverlust

Hier ist die gute Nachricht:

Für die Grundsicherheit deiner Website musst du nicht IT-Profi sein.

Was du brauchst:

✅ Diesen Artikel
✅ 10 Minuten Fokus
✅ Und die Bereitschaft, dein digitales Fundament endlich ernst zu nehmen

Jede Sicherheitsmaßnahme ist wie ein digitaler Türsteher, der deine Website beschützt.

Je mehr von ihnen du vor dein WordPress Login stellst, umso besser.

Also lass uns anfangen.

Nr. 1: Veraltete, deaktivierte oder unsichere Plugins

WordPress-Plugins sind kein nettes Add-on.
Sie sind die am häufigsten genutzten Einfallstore (Angriffsvektoren) für Hacker – und trotzdem verkommen viele Websites zur Plugin-Müllhalde.

Ich sehe regelmäßig Admin-Bereiche voller Karteileichen, veralteter Code-Reste und deaktivierter Plugins.

Das ist nicht „ungefährlich“. Das ist fahrlässig.

Warum können können WordPress Plugins gefährlich sein?

Bösartige Bots durchsuchen rund um die Uhr Millionen Websites nach bekannten Schwachstellen in WordPress-Plugins.

Dabei es ist ihnen völlig egal, ob du das Plugin nutzt oder deaktiviert hast. Sobald es auf dem Server liegt, ist es angreifbar.

In meinen Logfiles sehe ich regelmäßig Angriffe auf Verzeichnisse von verwundbaren Plugins oder Serverdateien, die gar nicht installiert sind.

Das hat folgenden Grund:

Schädliche Bots prüfen, auf Verdacht, ob WordPress Sicherheitslücken vorhanden sind.

Wie Einbrecher, die nachts an 1000 Türgriffen rütteln und irgendwann geht eine auf.

Die 3 gefährlichsten Plugin-Fehler

1. Veraltete Plugins

Ich habe diesen Vergleich schon weiter oben benutzt, ich nehme ihn aber gerne nochmal, weil er gut passt:

Ein Plugin ohne Updates ist wie ein Auto mit offenen Türen und Fenstern auf einem öffentlichen Parkplatz. Bei Nacht, ohne Kameras.

Keiner schaut hin, jeder kann sich bedienen.

Sobald eine Sicherheitslücke bekannt ist, starten Angriffe und deine Website ist in Gefahr.

Lösung: Sofort aktualisieren – oder löschen.

2. Deaktivierte, aber noch installierte Plugins

Deaktiviert heißt nicht sicher.
Die Dateien liegen weiterhin auf dem  Server und sind so angreifbar.

Lösung: Deinstallieren, nicht nur deaktivieren.

3. Plugins aus dubiosen Quellen („genullte“ Plugins)

Diese gecrackten Premium-Plugins enthalten oft Malware, Hintertüren und/oder Spionagecode oder andere WordPress Sicherheitslücken! Du spielt praktisch russisches Roulette mit deiner Website.

Lösung:
Nutze ohne wenn und aber nur Plugins aus offiziellen Quellen oder von bekannten Entwicklern – niemals aus „Free Download“-Foren.

Du benutzt bereits genullte/gecrackte Plugins oder Themes?

Das stehen die Chancen mehr als gut, dass du dir bereits freiwillig Malware in deine WordPress-Installation geholt hast.

Mein Rat (unbequem, aber wirkungsvoll):

Geh auf Nummer Sicher und lasse den kompletten Server vom Hoster neu aufsetzen und baue deine Website von Grund auf neu.

Diesmal mit offiziellen Plugins und Themes. 

Mit anderen Worten: Einmal alles komplett platt machen und sauber neu aufsetzen.

Kein Mitleid. Nur Konsequenz.

Wie erkenne ich sichere Plugins? (Checkliste)

Nutze diese Checkliste, bevor du ein neues Plugin installierst. Oder bewerte diene bereits Installierten Plugins:

•  Version über 1.0 (unter 1.0 = Beta)
• Installationen: Mehr als 2000
• Letztes Update: < 2 Monate alt
• Entwickler-Aktivität: Werden Feher korrigiert, Support, Changelog, Antworten auf Bewertungen
• Bewertungen: Lies die 1-Sterne-Kommentare – kommt dir etwas komisch vor?
• Quelle: Nur WordPress.org oder offizielle Entwicklerseite

Miste jetzt deine Plugins aus!

WordPress-Plugins sind wie Türen zu deinem digitalen Haus.
Lass keine offen, und baue die aus, die du nicht brauchst.

Werde jetzt aktiv und räum auf:

• Gehe in dein WP-Backend → Plugins
• Mache ein Backup deiner Datenbank und aller WordPress-Dateien
• Lösche alle Plugins, die du nicht nutzt (Welche das sind, kann ich dir nicht sagen, das musst du entscheiden)
• Aktualisiere alle aktiven Plugins
• Prüfe, ob du Plugins installiert hast, die nicht mehr weiterentwickelt werden. Wenn ja, ersetze sie.
• Prüfe die Herkunft: Nur offizielle Quellen verwenden

Nr. 2: Schwache Passwörter & fehlende Zwei-Faktor-Authentifizierung (2FA)

Dein Password kann leicht eine größten WordPress Sicherheitslücken werden.

Wenn dein WordPress Admin Bereich  kein 2FA Schutz hat und dein Passwort „meinpasswort123“ lautet, ist es eine Frage der Zeit, dass deine Website von Bots überrannt wird.

Denn Hacking-Bots versuchen Tag und Nacht, sich in WordPress Accounts zu prügeln.

Vielleicht klopfen sie gerade bei dir an.

Das nennt man: Brute-Force-Attacke.

Was ist eine Brute-Force-Attacke?

Brute-Force-Angriffe funktionieren plump und automatisiert. Und genau deshalb sind sie so gefährlich:

1. Der Bot versucht deinen Benutzernamen zu erraten oder herauszufinden
2. Danach testet er automatisiert tausende Passwörter – aus illegal veröffentlichten Passwort-Datenbanken

Die Methode wirkt simpel, ist aber statistisch sehr wirksam.

Je mehr Bots im Netz unterwegs sind, desto höher die Chance, dass Angreifer Erfolg haben.

2023 bestand ca 30% des Internet Traffics aus schädlichen Bots!

Tendenz steigend.

2011 wurde eine meiner eigenen Seiten Opfer eines solchen Angriffs.
Das wünsche ich niemandem – und genau deshalb liest du diesen Artikel.

Brute-Force-Attacken sind keine gezielten Angriffe.
Sie basieren auf reiner Statistik. Und für den Bot bist du nur eines von Millionen Zielen auf der Liste.

Ein Plugin wie Solid Security zeigt dir, wie oft und in welcher Form deine Website angegriffen wird – oft ohne, dass du es überhaupt merkst.

Diese Angriffe kommen in Wellen – wie automatisierte Schwärme, die durch das Netz ziehen und nach offenen Türen suchen.
Manche Seiten stehen wochenlang unter Beschuss, andere nur gelegentlich.

Wenn deine Website wächst und mehr Besucher bekommt, wird sie auch als Angriffsziel interessanter!

Wenn dir deine Sicherheit im Internet wichtig ist, schau dir auch den Artikel zu mehr Internet Sicherheit -> Zum Artikel „Internetsicherheit“

Was bedeutet Zwei-Faktor-Authentifizierung (2FA)

2FA ist ein zusätzlicher Schutzmechanismus, der deinen WordPress-Zugang doppelt absichert.

Neben deinem Passwort brauchst du beim Login einen zusätzlichen temporären Code, den du z. B. auf deinem Smartphone generierst.

Bei der Anmeldung mit 2FA-Apps wird das Passwort als „Wissen“ und der Bestätigungscode als „Besitz“ verwendet.

Selbst wenn dein Passwort geknackt wird bleibt dein Account abgesichert. Ohne den 2FA-Code kann sich niemand einloggen.

2FA ist heute keine Option mehr. Es ist Pflicht.

Denn dieser zusätzliche Sicherheits-Layer stärkt die Sicherheit deines WordPress Logins enorm.

Diese Plugins kannst du deinen Login bereits kostenlos mit 2FA absichern.

Alle hier genannten Plugins sind (noch) kostenlos und einfach in der Handhabung:

•     Wordfence
•     Solid Security (ehem. iThemes Security)

Auf deinem Smartphone brauchst du zusätzlich eine 2FA App wie diese:

• Google Autentificator
• Microsoft Authenticator
• 2FA Authenticator (2FAS)
• Authy

Du hast jetzt alle Infos zu 2FA, damit du starten kannst.

Leg los! Wenn du Fragen zu dem Thema hast melde dich.

Was ist ein sicheres Passwort?

Bitte vergiss Sonderzeichen-Kauderwelsch wie H3!%daR$2024, es sei denn du bist der Mentalist.

Das kann sich kein Mensch merken.

Setze stattdessen auf Passphrasen: Benutze stattdessen drei zufällige Wörter, mit Groß- und Kleinschreibung ohne Leerzeichen dazwichen.

Beispiel:
„TaubeSchlittschuhKlavier“

• Über 20 Zeichen
• Relativ leicht zu merken
• Ab 17 Zeichen schwer zu knacken

Du hast soeben eine der WordPress Sicherheitslücken geschlossen, die oft vergessen wird.

Es geht noch sicherer:

• Benutze einen Passwortmanager wie Dashlane oder Stickypassword
• Erstelle im Passwortmanager für jede Website ein eigenes, starkes Passwort (ab dann kannst du nur noch Sonderzeichen-Kauderwelsch benutzten!)
• Aktiviere 2FA bei allen Konten, die es anbieten

Bonus Tipp:

WordPress-Loginversuche begrenzen

Brute Force Attacken kannst du im Keim Ersticken, indem du die Anzahl der Login Versuche begrenzt. So hat jeder Login-Versuch von einer bestimmten IP-Adresse nur eine bestimmte Anzahl an Versuchen. Übrigens auch du. Wird dieses Limit überschritten, wird die IP-Adresse gesperrt und darf sich gar nicht mehr einloggen. Zumindest für eine gewisse Zeit.

Benutze dafür Plugins wie 

• Solid Security 
• Wordfence
• Limit Login Attempts Reloaded

Mit schwachen Passwörtern, ohne 2FA und ohne limitierten Login Versuchen lässt du nicht nur deine Haustür offen stehen und stellst auch noch ein Schild mit „Bin im Urlaub“ davor auf. 

Sichere dich JETZT ab.

Nr. 3: Die XML-RPC-Schnittstelle

TL;DR: Die XML-RPC-Schnittstelle gilt in als veraltet und brandgefährlich. Wenn du XML-RPC nicht zwingend brauchst, schalte die Schnittstelle ab. Besser heute als morgen. 

Dieses Thema wird etwas technischer als die anderen. Ich werde mich auf das absolute Minimum an Information beschränken, damit du klar die Infos bekommst, die du brauchst.

Ich nutze die Begriffe „XML-RPC-Datei“, „Schnittstelle“ oder einfach „XML-RPC“ gleichberechtigt.

Was ist die XML RPC Schnittstelle?

Die XML-RPC Schnittstelle ist in Wirklichkeit eine Datei im WordPress Stammverzeichnis und gehört zu den unbekannten aber auch extrem gefährlichen WordPress Sicherheitslücken.

Die unscheinbare Datei xmlrpc.php sorgt dafür, dass du auch von außen mit WordPress kommuniziert kannst.

Beispiel:

• Beiträge per E-Mail oder über Mobile Apps veröffentlichen
• Jetpack oder ähnliche externe Dienste (suche dir ASAP eine moderne Alternative!)
• Pingbacks/Trackbacks (Automaische Verweise, wenn du andere Blogs zitierst)

Klingt das praktisch? Ist es definitiv, wenn du die Funktion wirklich brauchst.
Aber 99 % der WordPress-Seiten nutzen die Schnittstelle nicht. Sie ist dann völlig überflüssig und sogar eine gefährliche Sicherheitslücke, wenn sie offen bleibt.

Leider können auch Fremde über die Schnittstelle mit deiner WordPress Seite Kommunizieren.

Das kann fatale Folgen haben.

Welche das sind, verrate ich dir jetzt.

 Warum XML-RPC ein Sicherheitsrisiko ist

Diese Schnittstelle eine Hintertür, die kaum jemand kennt. Aber der Schaden, der darüber angerichtet werden kann, ist immens!

1. XML-RPC ermöglicht Brute-Force-Angriffe „auf Stereoiden„
   Angreifer können über eine einzige Anfrage an die Schnittstelle hunderte und tausende Loginversuche gleichzeitig anstoßen.
   Normale Login-Schutzmechanismen greifen hier kaum.
2. DDoS-Angriffe via Pingbacks
   Dein Hosting-Anbieter kann dich in diesem Fall sperren, obwohl du keine Schuld hast. Es reicht, dass XML-RPC aktiv war!
3. Heimlicher Missbrauch der Schnittstelle
   Ist deine Website erstmal gehackt, wird die XML-RPC-Datei für die Häcker zur Schnittstelle zu deinen Inhalten. Die können jetzt geändert, gelöscht oder neu erstellt werden. Die möglichen Folgen sind Reputationsverlust, Datenverlust oder beides.

Zwischenfazit:

Die XML-RPC-Schnittstelle kannst du dir wie eine Fernbedienung für deine WordPress-Website vorstellen. Wenn du sie nie brauchst, sorge dafür, dass niemand sonst sie benutzt!

Wie das geht, zeige ich dir jetzt.

Die XML-RPC-Hintertür schließen: es ist einfacher als du denkst.

Du hast zwei Möglichkeiten:

Entweder du schränkst die Benutzung der xmlrpc.php-Datei stark ein, oder du verbietest sie komplett. Ich würde immer darauf hinarbeiten, dass ich XML-RPC niemals nutze.

1. Blockieren: Über ein Sicherheits-Plugin wie zum Beispiel SolidSecurity werden die Zugriffe auf die Schnittstelle eingeschränkt.

Scheitern mehrere Loginversuche auf die XML-RPC, werden weitere Zugriffe temporär blockiert.

Wenn also ein Angriff mit hunderten Login-Versuchen stattfindet, blockt das Sicherheitsplugin diese Attacke nach wenigen missglückten Login-Versuchen ab.

2. Deaktivieren/dauerhaft blockieren: Über ein Script oder ein Plugin (z.B. SolidSecurity) wird eine dauerhafte 301 Umleitung für die Datei eingerichtet oder den Zugriff komplett unterbinden.

Die Folge ist, dass die XML-RPC- Schnittstelle gar nicht erst benutzt werden kann. (Genau dieses Ergebnis strebe ich an. Immer!)

Schritt 1: Teste, ob XML-RPC auf deiner Website aktiv ist

Alles was du dafür brauchst ist dein Browser.

Mehr brauchst du wirklich nicht, also gibt es für dich keine Ausreden!

Los gehts:

1. Öffne deinen Browser
2. Gib in die Browserzeile folgende URL ein: 
   https://www.deinewebsite.de/xmlrpc.php
   (Ersetze „deinewebsite.de“ mit deiner Domain)
   Und achte immer auf korrekte Schreibweise!
3. Klicke „Enter“ und schau dir die Webseite an, die jetzt im Browser angezeigt wird

Die Test-Ergebnisse und was sie bedeuten:

• „XML-RPC server accepts POST requests only.“
  Vorsicht! Die XML-RPC–Datei ist erreichbar und somit angreifbar!
• „403 Forbidden“ oder „404 Not Found“
  Sehr gut! Die Datei ist blockiert oder deaktiviert.
• Leere Seite oder Umleitung auf die Startseite oder eine Unterseite
  Top! xmlrpc.php wird durch ein Plugin oder die .htaccess geblockt oder umgeleitet. Überprüfe trotzdem manuell, ob der Zugriff auf XML-RPC wirklich komplett verhindert wird.

Schritt 2: XML-RPC deaktivieren oder blockieren

Ich sage es immer wieder, bis es dir zu den Augen wieder rausquillt: Wenn du die XML-RPC-Schnittstelle nicht brauchst: Weg damit!

Wenn du aktuell noch auf die Funktion angewiesen bist, suche dir unbedingt so schnell es geht einen zeitgemäßen Ersatz.

Option 1: XML-RPC komplett deaktivieren (Meine Empfehlung!)

Deaktiviere den Zugriff auf diese Datei dauerhaft und ohne Ausnahme und nimm Hackern so einen ihrer Lieblings-Vectoren weg!

Variante A: Via Sicherheits-Plugin (Einsteigerfreundlich)

Dieses Plugin deaktiviert XML-RPC zuverlässig:

• Solid Security (ab der kostenlosen Version möglich)

Achtung: Installiere immer nur ein Security-Plugin. Mehr brauchst du nicht, denn sie alle sind in ihrer Funktion ähnlich.

Variante B: Ohne Plugin per .htaccess

Deaktiviere die Schnittstelle direkt auf Serverebene:

Achtung: Hier solltest du dich nur dann heranwagen, wenn du genau weißt, was du tust. Kleine Fehler können deine Website (zumindest temporär) unbrauchbar machen!

1. Öffne die .htaccess-Datei per FTP
2. Füge am Ende der Datei folgenden Code ein:

<Files xmlrpc.php>
Require all denied
</Files>

Achtung: Ein einziger Fehler in der .htaccess kann deine Website komplett lahmlegen.

Überprüfe deine Eingaben also immer doppelt vor jedem abspeichern!

Mache grundsätzlich vor direkten Eingriffen in WordPress-Datein immer ein Backup. Falls etwas schiefläuft: Rückgängig machen, neu speichern, prüfen, ob alles funktioniert.

In diesem speziellen Fall reicht es, wenn du deinen fehlerhaften Eintrag aus der .htaccess löscht und erneut speicherst.

Du hast die  .htaccess abgespeichert und alles läuft normal? Gut. Überprüfe nochmal mit dem Browser-Test von weiter oben, ob XML-RPC jetzt wirklich blockiert ist.

Option 2: Nur Pingbacks deaktivieren (nur, wenn du XML-RPC wirklich brauchst)

Wenn du Jetpack oder andere Dienste nutzt, die auf XML-RPC.php zugreifen, kannst du zumindest eine gefährlich Funktion abstellen:

Pingbacks deaktivieren mit SolidSecurity (kostenlos)

In der kostenlosen Version kannst du gezielt nur die Pingbacks der XML-RPC.php deaktivieren.

Das schützt dich zumindest vor DDoS-Missbrauch, auch wenn XML-RPC selbst aktiv bleibt.

Warum ich Mini-Plugins für ein potentielles Sicherheitsrisiko halte

Ich rate Audit-Kunden grundsätzlich von Einzellösungen wie in diesem Fall „Disable XML-RPC Pingback“ oder „Stop XML-RPC Attacks“ dringend ab.

Warum?

Weil ich mir für meine Wohnungstür auch lieber ein hochwertiges Sicherheitsschloss im Fachhandel kaufe als ein Vorhängeschloss vom Flohmarkt.

• Viele kleine Plugins werden von einzelnen Entwicklern programmiert und erhalten nur selten Updates, wenn du Pech hast.
• Entwickler von kleinen Plugins können von heute auf morgen das Interesse an ihrem Plugin verlieren und abtauchen. Im schlimmsten Fall merkst du es gar nicht. 
• Beispiel: „Disable XML-RPC Pingback“ hat über 60.000 aktive Installationen, aber seit über einem Jahr hat es kein Update bekommen. Das ist kein gutes Zeichen. Vor allem bei sicherheitsrelevanten Plugins.
• Security-Plugins ohne Updates können selbst zum Risiko werden

Also: Wenn deine Website funktionieren muss, dann geh auch bei deinen Sicherheitsplugins auf Nummer sicher:

Setze auf etablierte Security-Standards. Es gibt gute kostenlose Security Lösungen, die die XML-RPC Datei effektiv blockieren. 

Je verbreiteter ein Plugin ist, desto besser ist die Wartung, und desto sicherer und stabiler die Performance.

Wenn du Plugins in einer Testumgebung ausprobieren willst. Mach das! Teste kleine und unbekannte Plugins auf Herz und Nieren, aber nie auf deiner Live-Umgebung. 

Ich spreche hier aber zu Unternehmern, die ihre Website maximal absichern wollen. Und dann gibt es keinen Platz für Experimente. 

Deaktiviere die Schnittstelle direkt auf Serverebene:

Achtung: Hier solltest du dich nur dann heranwagen, wenn du genau weißt, was du tust. Kleine Fehler können deine Website (zumindest temporär) unbrauchbar machen!

Was du gelernt hast, ist ein guter Anfang

Du hast bis hierhin gelesen und auf dem Weg hoffentlich alle Hintertüren geschlossen.

Respekt.

Du bist jetzt sicherer als die meisten WordPress-Seiten da draußen.

Und du hast (hoffentlich) verstanden:

• Veraltete Plugins sind gefährlich
• Dein Passwort ohne 2FA ist ein No-Go
• Du hast eine der wichtigsten Hintertüren versiegelt

Was du gewonnen hast, ist unbezahlbar:
Mehr Sicherheit und ein besserer Schlaf als vorher.

Sicherheit ist aber kein 1x Sprint:

Jetzt hast du erstmal einen Grund zu feiern.

Zu Recht!

Ich respektiere jeden, der konsequent ins Handeln kommt, denn das tut nicht jeder!

Besonders bei einem trockenen Thema wie Sicherheit.

Viele belassen es bei einer einmaligen Aktion.

Sie schauen irgendwann nochmal vorbei, wenn sie Zeit haben, um den Rest zu erledigen.

Aber wenn du beim Thema Website-Sicherheit auf „Selbermachen“ setzt, spielst du auf Zeit.

Bots und Hacker machen keine Pause.

Niemals.

Sie rennen permanent gegen unsere Websites an.

Also bleib dran!

Sicherheit ist kein DIY-Artikel – sondern ein System

Einmal diesen Artikel durcharbeiten und hoffen, dass deine WordPress-Seite für immer sicher ist, ist keine Dauerlösung.

Updates bringen wenig, wenn du „auf gut Glück“ alle halbe Jahre den Update-Knopf drückst.
Die automatische Updatefunktion hilft nur, wenn du genau weißt, was du tust und trotzdem jedes Mal kontrollierst, ob noch alles funktioniert.

Block dir einen festen Termin:  Wöchentlich oder monatlich. Und dann check deine Website einmal gründlich durch.
Denn:

• Einstellungen, die du gemacht hast, können bei einem Update überschrieben werden.
• Plugins können nach einem Update abstürzen, wenn deine PHP-Version nicht aktuell ist.
• Die Liste potenzieller Probleme ist endlos.

Ok, bei kleinen WordPress-Seiten mit wenigen Standard-Plugins kann zumindest die Aktualisierung auf Autopilot langfristig funktionieren. 

Aber ich sehe regelmäßig exotische Plugin-Kombinationen, bei denen es reines Glück war, dass sie bis heute online sind.

Sei also ehrlich zu dir selbst

WordPress gehört zu den populärsten CMS der Welt.

Es gibt dir alle Freiheiten, deine Website zu erweitern.

So denke ich – und Millionen andere WordPress-Nutzer auch.

Aber:
Gerade wegen dieser Verbreitung gehört WordPress zu den am häufigsten angegriffenen Systemen im Netz.

Das bedeutet: Sicherheit ist Verantwortung.

Wenn du ein paar Stellschrauben deiner Website richtig einstellst ist das zweifellos ein guter Anfang. Die Arbeit fängt da aber erst an. Sicherheit ist ein Marathon.

Klar – es fühlt sich gut an, eine Sicherheitslücke geschlossen zu haben.
Ich erinnere mich an meine ersten Erfolge.
Aber Sicherheit ist mehr.

Und wenn ein Sicherheitskonzept Lücken hat und etwas schief geht, bedeutet das für Laien oft eines: Panik.

Fast noch wichtiger als das schließen von WordPress Sicherheitslücken ist der Notfallplan.

Was passiert, wenn wirklich etwas schief geht?

Wir sind Menschen und wir machen Fehler. 

Auch mir kann es passieren dass morgen eine meiner Websites gehackt wird, weil es keine absolute Sicherheit gibt.

Dann weiß ich, was dann zu tun ist, denn ich spiele Notfall-Szenarien in Abständen wie eine durch Feuerübung durch.

Die Frage, die du dir stellen solltest, ist einfach:
Willst du deine Zeit mit den Dingen verbringen, die keinen Spaß machen?

Nur damit du auf Tag X vorbereitet bist?

Ein paar Beispiele:

• Logfiles lesen, verstehen und auswerten
• Zugriffspunkte checken
• Backup auf einer Staging-Umgebung testen
• Dich fragen, ob du an alles gedacht hast
• Dich nonstop weiterbilden
• Sicherheitsdatenbanken wie (z. B. (z.B. https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress) regelmäßig besuchen

Sicherheits-Plugins sind eine große Hilfe, aber sie sind nur ein Werkzeug.

Wer einen Hammer halten kann, kann noch lange keinen Dachstuhl bauen, das wirklich dicht ist.

Auch wenn es so klingt, als wollte ich Panik verbreiten.

Ich will niemanden entmutigen sondern dir ein realistisches Bild zeigen, denn ich weiß, was schief gehen kann.

Seit 2006 arbeite ich jeden Tag an diesen und anderen WordPress Schwachstellen.

Und ich habe mehrmals erlebt, was passiert, wenn man sie unterschätzt.

Dieser Artikel soll dich vor dem Schlimmsten bewahren. Ich hoffe, das gelingt mir.

Und wenn du willst, dass jemand anders deine WordPress Sicherheitslücken schließt, kenne ich da jemanden, der das schon eine Weile ganz gut macht:

Melde dich also gerne.

Ich arbeite seit 19 Jahre jeden Tag mit WordPress. An Affiliate-Projekten, an Websites für Coaches, Unternemer, KMUs, Vereine, in meinem Netzwerk und für Agenturen.

Zu den WordPress Wartungsverträgen

Alle Beispiele für E-Mail Adressen, Namen, Instituten und Passwörtern sind frei erfunden und sollen das Thema besser erklären.

Heute ist es mir nicht mehr peinlich. Denn heute weiß ich, es kann jeden erwischen. Und zwar jederzeit.

Ich musste selbst einmal richtig auf die Fr**se fliegen, damit ich heute meinen Kunden optimal helfen kann.

Wir hatten 2011, und ich war mir sicher, dass ich nicht zu denen gehöre, die gehacked werden.

Noch besser: ich war davon überzeugt, dass ich auf der absolut sicheren Seite bin.

Hast du auch schon einmal gedacht: „Warum sollte ausgerechnet ich gehackt werden?“

Genau, das dachte ich auch.

Oder: „Mein Passwort ist kompliziert genug. Das knackt schon keiner.“

Tja, bis es dann doch irgendwann passierte.

Meine Dummheit wurde an diesem Tag so konsequent bestraft, dass meine Einstellung zu Internetsicherheit für immer verändert werden sollte.

Internetsicherheit steht seitdem über allem, wenn ich mit WordPress-Websites arbeite.

Eine Gute Sache hatte mein Erlebnis also:

Meine Kunden profitieren heute davon.

Bis heute wurde keine meiner Websites oder eine meiner Kunden gehacked.

Dabei könnte es dir überall und jederzeit passieren.

Im Internet bist du nie ganz sicher.

Jeder Fehler, kann und wird ausgenutzt werden, sobald ein Hacker oder Bot ihn erkennt.

Ich will, dass du verstehst, wie wichtig Internetsicherheit ist und solche Fehler in Zukunft vermeidest!

Aber zurück zu meiner peinlichen Geschichte.

Was mir passiert ist, gehört wahrscheinlich zum Dümmsten, was ich mir je beim Einrichten einer Website „geleistet“ habe.

Und damit du vielleicht etwas daraus lernen kannst, musst du diese Geschichte erfahren.

Auch wenn ich nicht gut dabei weg komme.

Wenn du das gleich liest wirst du vielleicht denken „So leichtsinnig bin ja noch nicht mal ich!“.

Da magst du Recht haben.

Aber jeder macht mal diesen einen Fehler.

Und das war so:

Es war eine Vereins-Website, die von mehren Personen gepflegt werden sollte.

Damals hatte ich keine Ahnung von Bots, von Bruteforce Attacken oder Passwortstärken.

Ich hatte meine zwei bis drei (aus heutiger Sicht relativ kurzer) Standard-Passwörter mit immerhin einem Sonderzeichen. Damit war das Thema Passwörter für mich erledigt.

„Alles in Odnung!“ dachte ich – Ich bin sicher im Netz unterwegs und gehacked werden nur die großen Plattformen.“

Es sollte eine Ausnahme sein, damit sich jeder Beteiligte leichter einloggen kann.

Jetzt kommts:

Deshalb habe ich einfach die Kombination vom Zahlenschloss von einem Ausrüstungskontainer des Vereins als Login für die WordPressseite genommen. 

Vier Ziffern.

„****“

Mehr nicht.

Ganz easy für alle, die sich einloggen wollten!

„Easy!“ Genau das muss sich auch der Brute Force-Bot gedacht haben, der irgendwann die Vereinsseite entdeckt hat.

Das Passwort war vermutlich innerhalb von Sekunden geknackt.

Hier ein Fun Fact:

Ein Passwort aus 8 Zeichen mit Kleinbuchstaben und Zahlen kann heute in unter 10 Minuten geknackt werden.

Benutzt du auch Großbuchstaben im Passwort, dauert es immerhin unter 10 Stunden. 

Ich erinnere mich ziemlich gut an den Anruf von Andreas (Name geändert).

„Hast du die Werbung auf der Website eingebaut? Überall auf der Website sind Links zu irgendwelchen Seiten über Yachten.“

In dem Moment war klar, dass es passiert war.

Ich war wie eingefroren und konnte gar nichts machen.

Ich saß nur da, starrte vor mich hin und dachte in einer Endloschleife.

„Schei*e, was soll ich jetzt machen?! Schei*e, was jetzt?! Schei*e, was jetzt?! …“

Dieses Gefühl der Hilflosigkeit wünsche ich keinem!

Das Problem war am Ende überschaubar.

Es war Glück im Unglück, denn am Ende ist kein großer Schaden entstanden.

Die Website war nach kurzer Zeit ohne Malware und sicheren Passwörtern wieder online.

Seitdem gilt bei meinen Projekten: „Vorsicht ist die Mutter der Porzellankiste.“

Einleitung: Die größte Sicherheitslücke

Was ist die größte Sicherheitslücke bei Cyberangriffen?

Die Antwort wird vielen nicht schmecken, denn die harte Wahrheit ist einfach und unangenehm.

Du selbst bist eine der größten Sicherheitslücken, wenn es um Internetsicherheit geht.

Ob du eine große oder kleine Sicherheitslücke bist, hängt dabei von verschiedenen Faktoren ab.

Es kommt ganz darauf an, wie vorsichtig du dich im Internet bewegst.

Welche Verhaltensregeln befolgst du beim surfen?

Wie misstrauisch bist du im Internet?

Wie viel weißt du über Onlinesicherheit?

Diese Fragen entscheiden darüber, ob du ein leichtes Ziel für Angreifer bist oder ob sich Hacker und Cyberkriminelle an dir die Zähne ausbeißen.

Du musst nur ein paar Regeln befolgen und eventuell ein paar deiner Gewohnheiten ändern.

Worauf es ankommt zeige ich dir jetzt.

Tipp 1: Gesundes Misstrauen sobald du online gehst

Sorge mit einem „leicht paranoiden“ Mindset für mehr Internetsicherheit!

Viren, Malware und Trojaner können dir nur dann schaden, wenn sie deinen Computer oder dein mobiles Gerät infizieren.

In vielen Fällen passiert das nur dann, wenn du aktiv eine infizierte Datei auf dein Gerät herunterlädst und öffnest.

Jede Datei, die du herunterlädst oder per E-Mail bekommst, kann also Schadsoftware enthalten.

Wirklich jede. 

Ich halte mich deshalb seit Jahren an diese 4 Regeln, bevor ich Dateien downloade oder öffne.

1. Lade dir nur Dateien herunter, wenn du der Quelle 100% vertraust.
2. Bei Anhängen in E-Mails gilt: Gehe auf Nummer sicher, dass der Absender vertrauenswürdig ist.
3. Achte auf Websites darauf, dass die URL korrekt ist und dass ein SSL Zertifikat installiert ist. (Wie das geht, erfährst in diesem Artikel)
4. Wenn du ein Virenschutzprogramm installiert hast, solltest du Dateien vor dem Öffnen scannen. 

E-Mail Dienste wie Gmail oder Web.de  haben integrierte Spamfilter. Nutze sie und schalte sie auf keinen Fall aus, denn sie sind deine erste Verteidigungslinie.

Links können dich überall hinschicken, egal was im Linktext steht. Wenn du mit der Maus über einen Link fährst, siehst du meistens im unteren Teil deines Browsers, zu welcher URL der Link führt.

Jeden einzelnen Link überprüfen, ist extrem nervig. Deshalb sie dir sicher, dass du dich auf einer Website bewegst, der du vertraust. 

Wie du dich besser gegen Phishing Angriffe schützt, erfährst in Punkt 4.

So erkennst du, ob ein SSL-Zertifikat installiert ist

SSL (Secure Sockets Layer) Zertifikate verschlüsseln ein- und ausgehenden Datenverkehr  von deinem Browser zu einer Website. Das macht vor allem Bezahlvorgänge und Datenübertragungen sicherer. So können die Daten von Dritten nicht mitgelesen werden. 

Die komplette URL einer SSL-gesicherten Verbindung beginnt IMMER mit „https://„. Zusätzlich siehst du in der Adresszeile deines Browsers ein geschlossenes Vorhängeschloss-Icon.

Ist auf der Website kein SSL installiert, bekommst du das auch angezeigt oder du wirst gar nicht erst auf die Website gelassen. Stattdessen zeigen viele Browser eine Warn-Seite an.

Ein Hinweis auf eine unsichere Verbindung ist ein Warnsymbol in der Browserzeile und/oder die URL der Website beginnt mit „http://„.

Bitte sorge dafür, dass das du deinen Browser immer auf dem neusten Stand hälst.

Tipp 2: Starke Passwörter sind das Fundament für eine solide Internetsicherheit

Wir sind nun mal faul, wenn es um das erfinden von Passwörtern geht. 

Lange und komplexe Codewörter sind zwar sicher, aber schwer zu merken. Besonders dann, wenn wir uns für jeden Account einen neuen Sicherheitscode ausdenken sollen.

Viele Menschen denken sich irgendwann mal ein mehr oder weniger sicheres Passwort aus und benutzen es in allen ihren Online-Profilen.

Ich gehörte einst selbst zu diesem Club.

Aber diese Faulheit kann sich schnell rächen.

Wann ist ein Passwort wirklich sicher?

Das Internetsicherheits-Unternehmen Hive Systems berechnet mit einem eigenen System die Sicherheit von Passworten. 

Wie du in der Grafik oben sehen kannst sind einfache Passwörter unter 8 Zeichen extrem unsicher.

Die Zeitangaben sind rein rechnerische Werte. Wenn dein Passwort in weniger als einem Jahr geknackt werden kann, ist das laut Hive Systems sehr unsicher.

Alles, was in der Tabelle grün markiert ist, gilt als sicher. 

Je kürzer das Passwort, desto komplexer muss es sein.

Komplex bedeutet ein Mix aus Groß- und Kleinbuschstaben, Zahlen und Sonderzeichen.

Laut Tabelle sind Passwörter ab 13 Zeichen aus Groß- und Kleinbuschstaben, Ziffern und Sonderzeichen wirklich sicher. Z.B.: „Gk5!kd344HO?r“

Wenn du nur Kleinbuschstaben für dein Passwort benutzen willst, brauchst du mindestens 17 Zeichen, damit es sicher ist. Z.B.: „uzgjhlkopoeuibegf“

Passwortmanager für ein maximal sicheres Passwort

Komplexe Passwörter aus zufälligen Buchstaben, Zahlen und Sonderzeichen kann sich kein normaler Mensch merken.

Schon gar nicht, wenn du für verschiedene online-Konten unterschiedliche Kennwörter benutzen willst. 

In dem Fall ist ein Passwortmanager hilfreich, mit dem du deine Logindaten verwaltest. Ein Passwortmanager kann ein Gamechanger für deine Internetsicherheit sein.

Wenn du eine Kennwortverwaltung benutzt, musst du dir nur ein Masterpasswort merken. Damit loggst du dich in den Manager ein.

In der Passwort-Verwaltung selbst organisierst du alle deine Logindaten. Jetzt kannst individuell maximal komplexe Passwörter vergeben.

Je nach Programm bietet eine  solche Anwendung verschiedene weitere Funktionen. So haben einige Programme einen VPN, einen Darknet-Scanner oder einen Passwort-Generator mit an Bord. 

Anbieter sind 

• Dashlane
• Bitwarden

Passwort vs. Passphrase

In den letzten Jahren haben einige Experten für Cypersicherheit empfohlen, anstelle von Passwörtern so genannte Passphrasen zu verwenden. 

Eine Passphrase ist ein Passwort, das aus verschiedenen Wörtern zusammen gesetzt wird.

Passphrases lassen sich viel leichter merken als eine chaotische Zeichenkette.

Auch die englische Behörde „The National Cyber Security Centre“ (NCSC) empfiehlt Passprases statt Passwörtern.

Das NCSC hält eine Passphrase aus 3 Wörtern für ausreichend.

Ich füge hier hinzu dass deine Phrase dann mindestens 17 Zeichen lang sein sollte.

Diese Methode zum Absichern von online-Konten ist sicherer und besser zu merken.

Warum das so ist, erfährst du jetzt.

Bei Kennwörtern ist Kompexität nicht das wichtigste.

Noch wichtiger ist die Länge des Kennworts. 

Ein Beispiel.

Ein 17 Zeichen-Kennwort nur aus Kleinbuchstaben ist laut Hive Systems sehr sicher. Jetzt benutzen wir das Konzept der Passphrase und die Empfehlung des NCSC für die Erstellung.

Drei zufällige Worte mit mindestens 17 Zeichen.

Wie wäre es mit „Pommes“, „Nagel“ und „Steuer“?

Das fertige Passwort lautet jetzt „pommesnagelsteuer“. 17 Zeichen. Sicher! Bäm!

Mit Groß- und Kleinbuchstaben ist  das Kennwort noch sichererer.

Mit einem Sonderzeichen nochmal mehr.

Benutze keine Wörter aus deinem persönlichen Umfeld, sondern denke dir irgendwelche Random-Wörter aus. 

Wenn du eine Passphrase baust

• Der Sicherheitscode sollte mindestens 17 Zeichen lang sein.
• Benutze Wörter, die keinen Bezug zu dir oder dein Lebensumfeld haben. Vermeide Namen und Daten von dir oder deinem Umfeld.
• Beginne jedes neue Wort mit einem Großbuchstaben. So machst du es Hackern noch schwerer. (zum Beispiel: „PommesNagelSteuer“)

Tipp 3: Benutze Zweifaktor-Authentifizierung

Oder kurz 2FA. In diesem Zusammenhang wird dir auch die Abkürzung „MFA“ begegnen. MFA kann zwei oder sogar drei Faktoren zur Absicherung beinhalten. 

Diese Verfahren erhöht die Internetsicherheit erheblich!

Zwei-Faktor-Authentifizierung (2FA) ist ein zusätzliches Sicherheitsverfahren, das zwei verschiedene Methoden nutzt, um deine Identität zu bestätigen.

• Dein Passwort
• Einen Code, den du per App, E-Mail oder SMS erhältst.

Selbst  wenn Cyberkriminelle dein Passwort hacken oder Stehlen, ist dein Account in diesem Fall relativ sicher.

Sie brauchen auch den 2FA-Code, um sich in deinen Account einzuloggen. 

Es gibt verschiedene Arten der 2 Faktor Authentifizierung:

• Ein SMS-Code wird auf dein Smartphone geschickt.
• Ein 2FA Code wird per APP wie dem Google Authentifikator oder Authy generiert.
• Ein spezielles USB Device dient als Hardware Schlüssel.

2FA ist aktuell ein wirksamer zweiter Sicherheitslayer für für mehr Internet-Sicherheit.

Nutze diese Technik!

Bekannte 2FA Apps, die du für mehr Internetsicherheit nutzen kannst

Grundsätzlich stellen große Firmen wie Microsoft oder Google 2FA Apps kostenlos zur Verfügung.

Hier direkt ein paar 2FA-Apps großer Anbieter:

• Authy by Twilio
• Google Authentificator
• Microsoft Authentificator
• 2FA Authenticator
• Duo Mobile
• Aegis Authenticator

Hast du 2FA auf deiner Website implementiert?

Du betreibst eine WordPress Website?

Was für deine Sicherheit im Netz gilt gilt genau so für deine Website.

WordPress gehört zu den am meisten attackierten CMS Systemen im Internet.

Brute Force Attacken sind ein häufiger Angriffs Vector.

Die gute Nachricht:

Wenn du deinem Login einen 2FA hinzufügst, erhöhst du deine Website Sicherheit massiv.

Wenn deine Website für dich einen wirtschaftlichen Wert hat, solltest du sie schützen.

Wenn du keine Zeit oder keine Lust dazu hast, denk bitte über einen WordPress Wartungsvertrag nach.

Du findest auf meiner Website WordPress Wartungsverträge für jede Websitegröße.

Es ist nicht immer nötig die Wartung auszulagern, aber die Absicherung und Aktualisierung solltest du nicht vernachlässigen.

Hier geht es zum WordPress Wartungsvertrag 🚀

Tipp 4: E-Mail Phishing entlarven und umgehen

Cyberbedrohungen wie Phishing ist Teil unseres Lebens geworden und eine weit verbreitete Betrugsmasche im Internet.

Das Ziel sind deine persönlichen und geheimen Daten und im schlimmsten Fall deine (digitale) Identität.

Diese Angriffe aus dem Internet zielen nicht auf dein Passwort oder deinen Account. Das Ziel bei diesem Angriff ist der Mensch.

Der klassische Phishing Angriff kommt per E-Mail. Aber auch in den Postfächern von sozialen Netzwerken werden Nutzer mit Phishing-Nachrichten bombardiert.

Die Schwachstelle bist du und deine Psyche.

Das Risiko, Opfer zu werden ist besonders für unerfahrene Internet Benutzer hoch. 

Phishing läuft immer wieder recht ähnlich ab: 

Es wird ein Notfall wird so glaubhaft wie möglich simuliert, auf den du reagieren sollst.

Das Ziel ist immer gleich.

Du sollst Angst bekommen und sensible Daten preisgeben um den vorgetäuschten Notfall abzuwenden.

Klingt albern?

Es ist aber so.

In Phishing Nachrichten wird dir eine dringende Situation vorgespielt, auf die du reagieren sollst. Es wird Angst erzeugt, denn es drohen angeblich ernste Konsequenzen. Das kann der Verlust eines Kontos sein, eine Domain oder ein Konto wird gelöscht oder es drohen angeblich juristische Konsequenzen wegen irgendeinem Schei*.

Die meisten Menschen wollen genau das um jeden Preis verhindern und denken sich, es wird schon stimmen, also machen sie mit.

Am Ende sollst du meistens auf einen Link klicken und auf einer Website vertrauliche Informationen von dir preisgeben. Das können Zugangsdaten, Tan-Nummern oder Kreditkarteninformationen sein. 

Grundsätzlich gilt:

Keine social Media Plattform, keine Bank oder sonstige Institution wird Zugangsdaten oder Tan-Nummern oder irgendwas von dir abfragen. Niemals.

Sei in solchen Situationen also maximal misstrauisch. Besorge dir mehr Informationen, bevor du irgendwo drauf klickst. Persönliche Daten sollten dir heilig sein. Behalte sie, wo es nur geht für dich.

Das BSI informiert dich ebenfalls umfangreich, wie du dich gegen Phishing wehren kannst.

Ich habe zwei BSI-Artikel gefunden die für dich interessant sein werden. Unten in den Quellen habe ich dir alles verlinkt.

Die Vielfalt von hinterhältigen Phishing-Angriffen 

Es gibt verschiedene Arten des Phishings. Hier sind einige Varianten, die du kennen solltest.

• E-Mail-Phishing: Du erhältst eine gefälschte E-Mails und sollst auf Links klicken und/oder vertrauliche Daten preisgeben.
• Spear-Phishing: Eine spezialisierte Form des Phishings. Die E-Mail enthält persönliche Details über das Opfer und soll so maximales Vertrauen erzeugen. Dieser Angriff ist schwerer zu erkennen. 
• Whaling: Dieser Angriff richtet sich an hochrangige Personen in Betrieben oder Firmen um an Firmengeheimnisse zu kommen.
• Smishing: Phishing per SMS. Das Opfer soll auf einen schädlichen Link in einer SMS klicken. Beispiel: SMS von der Bank
• Vishing: Phishing per Telefonanruf. Das beste Beispiel ist der „Enkeltrick“: Ein angeblicher Enkel ruft bei Senioren an und bittet um Geld. Mehr Varianten des Enkeltricks findest du beim Weißen Ring.
• Pharming: Gefälschte Websites, auf denen Daten abgefragt werden. Oft leiten Phishing Mails auf Pharming-Websites.

Phishing E-Mails noch besser erkennen

Wenn eine Email dich, deine Finanzen, oder online Accounts von dir betreffen, vergewissere dich, dass die Mail vertrauenswürdig ist.

Die Methoden Krimineller werden immer raffinierter und machen es schwer, Fakes von echten Mails zu unterscheiden.

Das Design von gefälschten Emails werden immer glaubhafter und auch Fake Websites großer Unternehmen oder Banken werden immer professioneller geklont.

Das macht es manchmal schwer, Betrugsmails zu erkennen.

Ich gebe dir Tipps, wie du eine E-Mail auf Echtheit prüfen kannst.

An diesen Zeichen erkennst du mögliche Phishingversuche

• In der E-Mail ist die Rede von einem dringenden Notfall mit dem Bankkonto, der Kreditkarte, der Facebookseite, oder, oder, oder… .
• Unpersönliche Ansprache (z.B.: sehr geehrter Kunde, Sehr geehrte/r Herr/Frau, sehr geehrte/r deine@email.de).
• Falsche Grammatik oder Rechtschreibfehler.
• Wenn du direkt aufgefordert wirst, dich irgendwo einzuloggen oder Daten einzugeben.

Wenn du eine E-Mail oder eine andere Nachricht, die dir komisch vorkommt, atme kurz durch und tue folgendes:

1) Absender E-Mail prüfen

Prüfe ob es sich wirklich um eine offizielle Absender Email handelt. 

Ein Beispiel (alle Namen sind frei erfunden): 

Nehmen wir an, der Absender einer verdächtigen E-Mail ist „deineoffizielle Bank“. Du bist Kunde bei dieser Bank, also nimmst du diese Nachricht nartürlich ernst.

Die offizielle Website lautet „https://deineoffiziellebank.de/“. Der Absender sollte in diesem Szenario also ungefähr so aussehen: „absender@deineoffiziellebank.de“.

Die Absenderadresse dieser Mail sieht aber ganz anders aus. z.B.: „phishing@lkjdsflkjldskfjlsefjldks.ru“.

Jetzt sollten deine Alarmglocken läuten. 

Lösche die Mail!

2) In Google nach der Betreffzeile suchen

Die Chance ist groß, dass die Betreffzeile einer Phishing Mail bereits im Internet besprochen wurde. Du findest bei einer Google Recherche meistens gute Infos, ob es sich um einen Betrugsversuche handelt oder nicht.

1) ORIGINAL Absender kontaktieren

Wenn du dir immer noch unsicher bist, zögere nicht und kontaktiere den Original Absender.

Rufe direkt bei dem Unternehmen an, von dem du die vermeintlich dringende Nachricht erhalten hast.

Öffne die offizielle Website und frage dort direkt nach, ob sie diese Mail geschickt haben. Wenn du telefonisch niemanden erreichst, schreibe eine E-Mail. Im Zweifel nimmst du die E-Mail im Impressum. Diese E-Mails werden gelesen.

Tipp 5: Mache es Session Hijackern so schwer wie möglich

Session Hijacking = Sitzungs Entführung

Session Hijacking ist ein Cyberangriff, bei dem jemand heimlich die Verbindung eines eingeloggten Benutzers zu einer Website übernimmt. Das kann passieren, wenn ein Hacker einen fremden Session-Cookie übernimmt.

Stelle dir einen Session-Cookie wie einen Schlüssel zu einer Website vor, und ein Hacker kann diesen Schlüssel stehlen, um sich als der eingeloggte Benutzer auszugeben.

Dazu braucht er am Ende nicht mal eine Login-Daten!

Um es kurz zu machen: 

Hacker können deinen Login übernehmen, wenn du vergisst dich auszuloggen. 

Damit kann sogar in manchen Fällen eine 2FA Sicherung umgangen werden.

Deshalb logge dich immer aus, bevor du die Website mit deinem Onlinebanking oder Social Media Account schließt.

Sobald du dich in ein Onlinekonto einloggst, startest du eine so genannte „Session“. 

Wenn du die Website schließt und dich nicht vorher abmeldest, bleibt diese Session weiterhin bestehen.

Diese Session kann „entführt“ und übernommen werden!

Was heißt das?

Wer eine aktive Session eines eingeloggten Accounts übernimmt, kann diesen fremden Account direkt übernehmen, und zwar eingeloggt.

Wie kann so etwas passieren?

Diesen Cyberangriff bekommst du gar nicht mit, denn er passiert im Hintergrund. Der Angreifer befindet sich zwischen deinem Computer und dem Server und versucht so genannte Session-Cookies abzufangen. 

Der Datenverkehr in öffentlichen WLAN-Netzen gilt als besonders gefährdet.

• Offene WLAN Netzwerke
• Bösartige Browser Erweiterungen
• Unsichere Websites (http:// statt https://)

So kannst du dich besser gegen Session Highjacking schützen

• Immer schön Ausloggen. Logge dich immer aus, bevor du eine Website verlässt, auf der du eingeloggt bist.
• Vermeide öffentliche WLAN Netze.
• HTTPS verwenden: Achte darauf, dass eine sichere Verbindung zu deinen besuchten Websites aufgebaut wird. Das erkennst du an einem geschlossenen Vorhängeschloss-Symbol oder einem Schild in der Browser-Adresszeile.
• Sitzungs-Timeout: Dies ist für fortgeschrittene Benutzer. Du kannst ein einem Browser wie Firefox die Lebensdauer einer Session einstellen. https://support.mozilla.org/en-US/questions/1042479
• 2-Faktor-Authentifizierung (2FA): 2FA ist auch hier ein zusätzlicher Schutz. Selbst wenn ein Angreifer Zugriff auf deine Sitzung hat, erschwert 2FA den Zugang zu deinem Account erheblich.
• Ich persönlich deaktiviere mein WLAN am Smartphone, sobald ich das Haus verlasse.

Mit diesen Tipps erhöhst du deine Internetsicherheit drastisch. Wenn du alle Empfehlungen in diesem Artikel beherzigst, surfst du sicherer als die meisten Internet User.

FAQ

Quellen

Passwörter und Passphrasen

• https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/three-random-words
• https://www.hivesystems.com/blog/are-your-passwords-in-the-green

2FA

https://www.bizfactory.tech/blog/2fa-vs-mfa-was-ist-der-unterschied

Phishing

• https://weisser-ring.de/betrugsmaschen
• https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059
• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Schutz-gegen-Phishing/schutz-gegen-phishing_node.html
• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Wie-erkenne-ich-Phishing-in-E-Mails-und-auf-Webseiten/wie-erkenne-ich-phishing-in-e-mails-und-auf-webseiten_node.html
• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Checklisten/BSI-ProPK-Checkliste-Phishing.pdf?__blob=publicationFile&v=1