WordPress Backup

Selbst wenn es lange Zeit gut geht, irgendwann passiert es doch: ein Fehler bei der Bearbeitung, Probleme nach einem Update, versehentliches Löschen von Dateien, ein Angriff auf die eigene Website oder Schwierigkeiten mit dem Server. Gleichgültig wie das Szenario aussieht, Du willst in so einer Situation in jedem Fall ein aktuelles Backup Deiner WordPress Website auf das Du sofort und problemlos zugreifen kannst.

Selbst wenn alle verwendeten Texte und Bilder noch als einzelne Dateien auf dem eigenen Rechner vorliegen, entspricht das keinem soliden Backup. Niemand sollte den Aufwand unterschätzen diese erneut in WordPress einzufügen und zu veröffentlichen. Außerdem sind dann alle Kommentare verloren und das Zusammensuchen, Installieren und Einstellen des Themes und aller Plugins kostet meist ebenfalls viel Zeit.

Welche Daten sollten gesichert werden?

Natürlich spricht selten etwas gegen ein Komplettbackup von WordPress, also alle Dateien und die Datenbank. Wer jedoch effektiv sichern möchte kann sicher auf einige Elemente verzichten. Wirklich wichtig für das Backup sind: Die wp-config.php , der Ordner /wp-content/uploads und die Datenbank.

Wichtig zu wissen: WordPress besteht grundsätzlich aus zwei unterschiedlichen Datentypen. Da sind einmal die Dateien (WordPress selbst, Themes, Plugins und alle Uploads wie Bilder und andere Dateien), die in der Regel auch per FTP erreichbar sind. Auf der anderen Seite ist noch die Datenbank, in der WordPress alle Beiträge und Seiten sowie Einstellungen (auch von Plugins und Themes) ablegt. Diese Datenbank ist in der Regel nicht über FTP erreichbar.

Natürlich ist es auch eine gute Idee zumindest noch zu wissen welche Plugins installiert waren, während die Plugins selbst nach einem Unglück entweder aus dem Pluginverzeichnis oder aus anderen Quellen wieder erreichbar sein sollten. Wie oben bereits erwähnt ist es aber natürlich kein Fehler, einfach alles komplett zu sichern, das spart im Notfall definitiv Zeit.

Backupstrategie

Es ist empfehlenswert sich so früh wie möglich Gedanken über eine gute Backuplösung zu machen und dabei folgende Kriterien zu beachten:

Welche Backuplösungen für WordPress gibt es?

Plugins & Dienste

Für eine regelmäßige Sicherung ist eine automatisierte Variante angenehmer. Wir stellen einige empfehlenswerte Optionen vor:

Diese Plugins bieten auch die Möglichkeit außer der Reihe ein Backup auszulösen. Damit muss keine manuelle Sicherung vor Updates durchgeführt werden. Auch hier gilt: lieber nachprüfen, ob das Backup auch wirklich funktioniert hat und alle Dateien und die Datenbank in der Sicherung vorhanden sind.

Manuell

Eine Sicherung ist natürlich auch manuell durchführbar. Alle Dateien werden mittels FTP-Client auf den eigenen Rechner übertragen. Die Datenbank kann in der Regel über eine vom Webhostinganbieter zur Verfügung gestellte Oberfläche (z.B. phpMyAdmin, Adminer, etc.) heruntergeladen werden.

Backup vom Webhostinganbieter

Manche Webhoster bieten ihren Kunden eine Backupfunktion an. Hier ist jedoch genau zu prüfen wie im Notfall auf das Backup zugegriffen werden kann und welche Daten genau gesichert werden. Oft taugt diese Form des Backups zwar ganz gut als zusätzlicher Fallstrick, stellt aber keine solide und flexible Backuplösung dar.

Fazit WordPress Backup

Ein regelmäßiges WordPress Backup sollte aus unserer Sicht zur Pflicht gehören! Lösungen wie UpdraftPlus oder BackWPup, die automatisch Sicherungen auf einem Clouddienst wie Dropbox durchführen, sind eine gute Option. Das Backup kann von dem Clouddienst auf den eigenen Rechner synchronisiert werden und so zusätzlich mit in das hoffentlich vorhandene Backup der lokalen Festplatte fließen.

WordPress Sicherheit für Anfänger

Sicherheit klingt immer gut. Aber worum geht es dabei? Ist WordPress unsicher? Wogegen und wie soll WordPress geschützt werden?

WordPress & Sicherheit

Aktuelle Gefahr droht hauptsächlich durch böswillige Eindringlinge, die im System Code platzieren, um einerseits diesen weiter zu verbreiten und andererseits um Angriffe auf andere Systeme ausführen zu können z.B. mit der Brute-Force-Methode. Dies geschieht möglichst verdeckt, damit der Betreiber der Website keinen Verdacht schöpft und keine Gegenmaßnahmen ergreift.

WordPress selbst ist relativ sicher. Das Projekt wird aktiv entwickelt und falls Sicherheitslecks bekannt werden, wird die Schwachstelle in der Regel in kurzer Zeit behoben und ein Sicherheitsupdate bereit gestellt. Ein guter Grund auf regelmäßige Updates zu achten, auch wenn kleinere Aktualisierungen sogar automatisch ausgeführt werden. Es gibt darüber hinaus einige Punkte, die gerade Anfänger berücksichtigen sollten, um einen unbefugten Zutritt zum System zu verhindern.

WordPress Sicherheitstipps für Anfänger

Sicheres Passwort

Ein sicheres Password sollte für jeden zum Standard gehören. Obwohl das nicht ganz richtig ist. Die Mehrzahl fehlt: Sichere Passwörter sollten zum Standard gehören. Selbst ein gutes Passwort, das für viele Seiten und Logins verwendet wird, kann auf eine der von Hackern verwendeten Passwortlisten gelangen, weil z.B. nur einer der genutzten Seiten oder Dienste gehackt und das Passwort ausgespäht wurde. Also stets für jeden Dienst und jede Seite ein eigenes Passwort erstellen.

Als Gedächtnisunterstützung sind Apps wie 1Password, LastPass und KeePass empfehlenswert, die auch gleichzeitig eine Funktion zum Erstellen von sicheren Passwörtern bieten. Wer noch Passwörter wie "Test", "123456", "Passwort" oder ähnlich einfach zu erratende Varianten nutzt, sollte sich den Artikel "Was macht ein sicheres Passwort aus?" durchlesen und anschließend umgehend ein neues Passwort erstellen, das die genannten Kriterien Zufall, Länge und Einmaligkeit erfüllt.

Backup

Da es keine absolute Sicherheit gibt, ist mit einer guten Backupstrategie im Ernstfall die Website komplett wiederherstellbar. Bei den Empfehlungen aus unserem "WordPress Backup" Artikel, sollte in diesem Zusammenhang dringend auf folgende zwei Kriterien geachtet werden:

  1. Backups nicht nur auf dem Server sichern: Falls die Website gehackt wird, ist das Backup ggf. beeinträchtigt oder nicht mehr zugänglich.
  2. Auch längerfristig Backups speichern: Wenn das eigene System unbemerkt vor einem Monat gehackt wurde, helfen Backups der letzten zwei Wochen nicht weiter.

Updates, Updates, Updates

Sämtliche Systemkomponenten so aktuell wie möglich zu halten ist eine ausgezeichnete Vorsichtsmaßnahme. Während WordPress einfache Updates automatisch ausführt, gilt dies leider nicht für Plugins und Themes. Letztere enthalten viel häufiger die ausgenutzte Schwachstelle für einen erfolgreichen Angriff als WordPress selbst. Insofern immer achtsam bei der Auswahl von Plugins und Themes sein und auf regelmäßige Aktualisierungen achten.

Sicherheitsplugin

Es gibt ausgezeichnete kostenfreie Sicherheitsplugins, die das System überwachen und Maßnahmen zum Schutz vor Angriffen vornehmen. Unsere Empfehlungen: Wordfence Security oder Sucuri Security. Beide Plugins sind auch in einer kostenpflichtigen Version mit erweiterten Funktionen zu haben.

Zusätzliche Sicherheitstipps zur Bereinigung von Altlasten

Für Anfänger sind die oben genannten Hinweise eine gute Ausgangsbasis. Folgende Hinweise können bei bereits länger aktiven WordPress Installationen wichtig sein.

Kein admin als Benutzernamen

Mittlerweile zwingt WordPress jeden bei der Installation einen anderen Benutzernamen als "admin" zu vergeben. Das war nicht immer so und damit hatten Angreifer leichteres Spiel, weil diese bei ihrem Zugriffsversuchen davon ausgehen konnten, dass der Benutzername in vielen Fällen "admin" lautet. Leider wird dieser Benutzername auch heute noch von einigen Webhostingdiensten in deren 1-Klick WordPress Installationsroutinen verwendet.

Falls ein Benutzer namens "admin" in WordPress existiert, sollte ein neuer Nutzer mit Administrationsrechten und anderem Benutzernamen eingerichtet werden. Und anschließend wird der Benutzer "admin" gelöscht. WordPress lässt keine Änderung von Benutzernamen zu.

Authentifizierungsschlüssel und Salts in der wp-config.php

WordPress erzeugt während der Installation automatisch Authentifizierungsschlüssel und Salts, die der Verschlüsselung von Informationen dienen und in der in der wp-config.php gesichert werden. Findet sich in der Datei ein entsprechender Abschnitt mit Zufallszeichenketten ist alles in Ordnung:

Bei älteren Installationen kann dieser Abschnitt fehlen und sollte zur Erhöhung der Sicherheit nachgetragen werden (Achtung: nicht mit den oben genannten Beispieldaten!). Eine schnelle Methode neue, sichere Keys per Zufall zu generieren bietet der Online Salt-Key Generator. Weitere Informationen finden sich in unserem Artikel zur wp-config.php.

Weiterführende Tipps

Fremde Anmeldeversuche einschränken

Angreifer nutzen Bots, um durch automatisiertes Austesten von verschiedenen Benutzernamen und Passwortkombinationen den Login zu erraten. Daher ist es ratsam die Anmeldeversuche zu begrenzen. Dies erledigen die oben genannten Sicherheitsplugins bereits recht gut. Zusätzlich kann das Hinzufügen von Sicherheitsfragen zum Login automatisierte Anmeldeversuche weiter behindern. Dabei hilft das WP Security Question Plugin.

Kommentarspam verhindern

Spam in den Kommentaren ist kein Sicherheitsproblem für das System, aber trotzdem nervig und unangenehm. Falls die Kommentarfunktion freigeschaltet ist, lassen sich viele Spamkommentare mit Hilfe des Plugins Antispam Bee verhindern.

Fazit WordPress Sicherheit für Anfänger

Mit nur wenigen anfängerfreundlichen Maßnahmen lässt sich die Sicherheit einer WordPress Installation deutlich erhöhen. Mit dem Wissen, dass es keine absolute Sicherheit gibt, sollte trotzdem stets für ein regelmäßiges Backup gesorgt werden.

Abonniere unseren Newsletter!

JOIN THE ELITE CLUB

3137

Du willst regelmäßig Informiert werden, wenn wir neue Artikel, Tipps und Tricks rund um WordPress veröffentlichen? Dann trage Dich jetzt ein! Zusätzlich kannst Du unsere Child Theme Vorlage herunterladen.

Vielen Dank für Deine Anmeldung!

 

Du musst jetzt nur noch den Link in der von uns zugesandten Bestätigunsemail anklicken. Falls Du keine erhalten hast, schau bitte auch in Deinem Spamordner nach.

 

Am besten trägst Du unsere E-Mailadresse newlsetter@wphelp.de in die Whitelist Deines E-Mailprogramms oder Anbieters ein.

Nur noch ein Schritt!

Abonniere unseren Newsletter!

JOIN THE ELITE CLUB

3137

Du willst regelmäßig Informiert werden, wenn wir neue Artikel, Tipps und Tricks rund um WordPress veröffentlichen? Dann trage Dich jetzt ein! Zusätzlich kannst Du unsere Convert Pro Vorlage herunterladen.

Vielen Dank für Deine Anmeldung!

 

Du musst jetzt nur noch den Link in der von uns zugesandten Bestätigunsemail anklicken. Falls Du keine erhalten hast, schau bitte auch in Deinem Spamordner nach.

 

Am besten trägst Du unsere E-Mailadresse newlsetter@wphelp.de in die Whitelist Deines E-Mailprogramms oder Anbieters ein.

Nur noch ein Schritt!