Warum jede Firmenwebsite angegriffen wird, und was Sie in 30 Minuten dagegen tun können.
Sie haben eine WordPress-Website für Ihr Unternehmen. Vielleicht eine einfache Firmenpräsenz, vielleicht mit Kontaktformular und ein paar Unterseiten. Sie denken: „Wer sollte uns schon angreifen? Wir sind doch kein Konzern.“
Die ernüchternde Antwort: Niemand greift Sie persönlich an. Aber automatisierte Programme — sogenannte Bots — scannen rund um die Uhr das gesamte Internet nach verwundbaren Websites. Dabei ist es diesen Bots völlig egal, ob Sie ein Drei-Personen-Handwerksbetrieb oder ein DAX-Konzern sind. Wenn Ihre WordPress-Installation eine bekannte Sicherheitslücke hat, wird sie gefunden. Nicht in Wochen, sondern in Stunden.
Was passiert da eigentlich im Hintergrund?
Um das greifbar zu machen: Auf einer unserer Websites haben wir kürzlich beobachtet, wie eine einzelne IP-Adresse innerhalb weniger Minuten systematisch nach Dateien suchte, die es auf unserer Website gar nicht gibt. Die Zugriffe sahen so aus:
/.env/.env.production/api/.env/backend/.env/laravel/.env
Was steckt dahinter? Diese .env-Dateien werden von bestimmten Web-Frameworks verwendet und enthalten im Klartext Datenbank-Passwörter, API-Schlüssel und andere Zugangsdaten. WordPress nutzt dieses Format zwar nicht — hier heißt die Konfigurationsdatei wp-config.php — aber der Bot weiß nicht, welches System auf Ihrem Server läuft. Er probiert einfach alles durch.
Und das ist nur eine von vielen Angriffsmethoden. Andere Bots versuchen sich mit tausenden Passwort-Kombinationen in Ihr WordPress-Login einzuloggen. Wieder andere suchen nach veralteten Plugins mit bekannten Sicherheitslücken. Das passiert auf jeder Website, jeden Tag, rund um die Uhr.
Die gute Nachricht: Sie können sich schützen — kostenlos
Es gibt zwei bewährte Werkzeuge, die zusammen einen hervorragenden Schutz bieten und keinen Cent kosten: Wordfence (ein WordPress-Plugin) und Cloudflare (ein externer Sicherheitsdienst). Beide bieten kostenlose Versionen, die für die meisten kleinen und mittleren Unternehmen vollkommen ausreichen.
Das Schöne daran: Sie ergänzen sich perfekt, weil sie an verschiedenen Stellen arbeiten. Cloudflare fängt Angriffe ab, bevor sie Ihren Server überhaupt erreichen. Wordfence schützt Ihre WordPress-Installation von innen heraus. Zusammen bilden sie zwei Verteidigungslinien — und ein Angreifer müsste beide überwinden.
Cloudflare Free — der Türsteher vor Ihrem Server
Was Cloudflare macht
Stellen Sie sich Cloudflare wie einen Sicherheitsdienst vor, der vor dem Eingang Ihres Gebäudes steht. Jeder Besucher Ihrer Website wird zuerst von Cloudflare überprüft, bevor er zu Ihrem eigentlichen Server durchgelassen wird. Bekannte Angreifer, aggressive Bots und verdächtige Anfragen werden abgewiesen, ohne dass Ihr Server davon überhaupt etwas mitbekommt.
Technisch funktioniert das so: Wenn jemand www.ihre-firma.de im Browser eingibt, landet die Anfrage nicht mehr direkt bei Ihrem Hosting-Anbieter, sondern zuerst bei einem Cloudflare-Server. Cloudflare entscheidet dann in Sekundenbruchteilen: Ist das ein normaler Besucher? Dann weiterleiten. Ist das ein bekannter Angreifer? Dann blockieren. Ist das unklar? Dann eine kurze Sicherheitsprüfung zeigen.
Was Sie kostenlos bekommen
DDoS-Schutz: Bei einem sogenannten Distributed-Denial-of-Service-Angriff wird Ihre Website mit so vielen Anfragen überflutet, dass sie zusammenbricht. Cloudflare erkennt solche Angriffe und filtert sie heraus — Ihre Website bleibt erreichbar.
Schnelleres DNS: Das Domain Name System ist so etwas wie das Telefonbuch des Internets. Es übersetzt Ihren Domainnamen in eine IP-Adresse. Cloudflare betreibt eines der schnellsten DNS-Netzwerke weltweit. Das Ergebnis: Ihre Website lädt spürbar schneller, weil allein die Namensauflösung weniger Zeit kostet.
Content Delivery Network (CDN): Ihre Bilder, CSS-Dateien und Skripte werden auf Cloudflare-Servern weltweit zwischengespeichert. Ein Besucher aus München bekommt die Daten vom nächstgelegenen Cloudflare-Server — nicht von Ihrem Hosting-Server in Flensburg oder wo auch immer er steht. Das spart Ladezeit und entlastet Ihren Server.
SSL-Verschlüsselung: Cloudflare stellt sicher, dass die Verbindung zwischen Ihren Besuchern und Ihrer Website verschlüsselt ist. Das kleine Schloss-Symbol im Browser, das Ihre Besucher (und Google) erwarten.
Benutzerdefinierte Sicherheitsregeln: Sie können festlegen, dass bestimmte Pfade auf Ihrer Website — wie der WordPress-Login-Bereich — zusätzlich geschützt werden. Oder dass Zugriffe aus bestimmten Ländern, aus denen Sie keine Kunden erwarten, blockiert werden.
Einrichtung — einfacher als gedacht
Die Einrichtung dauert etwa 15 Minuten und besteht aus drei Schritten:
Zuerst erstellen Sie ein kostenloses Konto auf cloudflare.com und geben Ihre Domain ein. Cloudflare scannt automatisch Ihre bestehenden DNS-Einträge und übernimmt sie.
Dann ändern Sie bei Ihrem Domain-Anbieter die sogenannten Nameserver. Das klingt technisch, ist aber in der Praxis nur das Ersetzen von zwei Textzeilen in der Verwaltungsoberfläche Ihres Hosters. Cloudflare zeigt Ihnen genau, welche Werte Sie wo eintragen müssen. Die Änderung wird innerhalb weniger Stunden wirksam, und es gibt keine Ausfallzeit für Ihre Website.
Zum Schluss installieren Sie das offizielle Cloudflare-Plugin in WordPress — das dauert zwei Minuten und ermöglicht es Ihnen, den Cache direkt aus WordPress heraus zu steuern.
Danach läuft alles automatisch. Sie müssen sich um nichts mehr kümmern.
Wordfence Free — der Wachmann in Ihrem WordPress
Was Wordfence macht
Wenn Cloudflare der Türsteher vor dem Gebäude ist, dann ist Wordfence der Sicherheitsdienst innerhalb des Gebäudes. Es überwacht, was in Ihrer WordPress-Installation passiert: Wer versucht sich einzuloggen? Wurden Dateien verändert? Gibt es bekannte Sicherheitslücken in Ihren Plugins?
Was Sie kostenlos bekommen
Web Application Firewall (WAF): Wordfence analysiert jede Anfrage an Ihre Website und blockiert bekannte Angriffsmuster — zum Beispiel SQL-Injection-Versuche (bei denen Angreifer versuchen, Ihre Datenbank zu manipulieren) oder Cross-Site-Scripting (bei dem schädlicher Code in Ihre Seiten eingeschleust wird).
Malware-Scanner: Wordfence vergleicht die Dateien Ihrer WordPress-Installation, Ihrer Themes und Ihrer Plugins mit den Original-Versionen. Wenn eine Datei verändert wurde — etwa durch eingeschleusten Schadcode — schlägt Wordfence Alarm und kann die Datei wiederherstellen.
Login-Schutz: Brute-Force-Angriffe, bei denen tausende Passwörter durchprobiert werden, werden automatisch erkannt und blockiert. Die angreifende IP-Adresse wird gesperrt. Zusätzlich bietet Wordfence eine Zwei-Faktor-Authentifizierung: Beim Login geben Sie neben Ihrem Passwort einen Code aus einer Smartphone-App ein. Selbst wenn jemand Ihr Passwort erraten sollte, kommt er ohne Ihr Handy nicht rein.
E-Mail-Benachrichtigungen: Wordfence informiert Sie per E-Mail über Sicherheitsvorfälle. Sie erfahren, wenn jemand versucht hat einzubrechen, wenn ein Plugin eine bekannte Schwachstelle hat oder wenn sich an Ihren Dateien etwas geändert hat.
Was die kostenlose Version nicht kann
Wordfence Free erhält Firewall-Regeln und Malware-Signaturen 30 Tage später als die Premium-Version. Das bedeutet: Wenn heute eine neue Sicherheitslücke in einem beliebten WordPress-Plugin entdeckt wird, sind Premium-Nutzer sofort geschützt, Free-Nutzer erst nach einem Monat.
Für die meisten kleinen Firmenwebsites ist das vertretbar — zumal Cloudflare davor als zusätzliche Schutzschicht arbeitet. Wer auf Nummer sicher gehen möchte, kann jederzeit auf Wordfence Premium upgraden. Das kostet 149 US-Dollar pro Jahr und Website.
Einrichtung
Die Einrichtung ist noch einfacher als bei Cloudflare: In WordPress unter „Plugins“ nach „Wordfence“ suchen, installieren, aktivieren. Wordfence führt Sie dann durch einen kurzen Einrichtungsassistenten. Danach arbeitet die Firewall zunächst eine Woche im Lernmodus, um Ihre Website kennenzulernen, und aktiviert sich dann automatisch.
Die Zwei-Faktor-Authentifizierung sollten Sie in jedem Fall aktivieren — das ist der wirksamste Einzelschutz gegen unbefugte Logins und in zwei Minuten eingerichtet.
Zusammenspiel: Warum beide zusammen besser sind als jedes für sich
Cloudflare und Wordfence sind keine Konkurrenten — sie arbeiten auf verschiedenen Ebenen und ergänzen sich:
Cloudflare arbeitet auf Netzwerkebene. Es filtert den gesamten Datenverkehr, bevor er Ihren Server erreicht. DDoS-Angriffe, bekannte Angreifer-IPs und offensichtlich bösartige Anfragen werden abgefangen, ohne Ihren Server zu belasten. Ihr Server muss diese Anfragen gar nicht erst verarbeiten, was ihn schneller macht und Hosting-Ressourcen spart.
Wordfence arbeitet auf Anwendungsebene. Es versteht WordPress und kann Angriffe erkennen, die speziell auf WordPress-Schwachstellen abzielen. Es kennt Ihre Dateien, Ihre Plugins, Ihre Login-Versuche. Das kann Cloudflare von außen nicht leisten.
Ein Angreifer, der es durch Cloudflare schafft, trifft auf Wordfence. Und umgekehrt: Ein Angriffstyp, den Wordfence nicht kennt, wird möglicherweise bereits von Cloudflare blockiert. Zwei Schlösser sind besser als eins.
Was Sie heute noch tun können
Die gesamte Einrichtung beider Dienste dauert zusammen etwa 30 Minuten. Danach ist Ihre WordPress-Website deutlich besser geschützt als vorher — ohne laufende Kosten, ohne IT-Abteilung, ohne Wartungsaufwand.
Hier die Reihenfolge, die wir empfehlen:
Richten Sie zuerst Cloudflare ein. Erstellen Sie ein Konto, fügen Sie Ihre Domain hinzu und ändern Sie die Nameserver. Warten Sie, bis die Änderung aktiv ist — das dauert meist ein bis zwei Stunden, maximal 24 Stunden.
Installieren Sie dann Wordfence in WordPress. Aktivieren Sie die Zwei-Faktor-Authentifizierung und lassen Sie die Firewall im Lernmodus starten.
Prüfen Sie nach einer Woche die Wordfence-Berichte. Sie werden überrascht sein, wie viele Angriffsversuche bereits blockiert wurden.
Und falls Sie sich fragen, ob es das wirklich wert ist: Schauen Sie sich einmal die Zugriffsprotokolle Ihrer Website an. Sie werden feststellen, dass die Bots längst da sind. Die Frage ist nicht, ob Sie angegriffen werden — sondern ob Sie vorbereitet sind.
Dieser Beitrag ist Teil unserer Serie zur IT-Sicherheit für kleine und mittlere Unternehmen. Sie haben Fragen zur Absicherung Ihrer Firmen-Website? Sprechen Sie uns an — wir helfen Ihnen gerne.
