Die Sicherheit deiner Website und deiner persönlichen Daten hat immer Priorität. Auf dieser Seite erfährst du, wie wir deine Website und deine persönlichen Daten schützen und welche zusätzlichen Schritte wir dir hierzu empfehlen.
In diesem Ratgeber
Eine gute Verschlüsselung ist entscheidend, um den Schutz und die Sicherheit deiner Daten zu gewährleisten. Wir verschlüsseln (mit SSL) alle WordPress.com-Websites inklusive individueller Domains, die auf WordPress.com gehostet werden. Eine sichere Verschlüsselung ist uns so wichtig, dass wir keine Option zur Deaktivierung anbieten, da dies die Sicherheit deiner WordPress.com-Website gefährden würde. Außerdem werden alle unsicheren HTTP-Anfragen per 301-Weiterleitung auf die sichere HTTPS-Version umgeleitet. Erfahre mehr über HTTPS und SSL für deine Website.
Wir installieren automatisch ein SSL-Zertifikat für deine Website. Es kann sehr selten vorkommen, dass die spezifische Konfiguration einer Website eine ordnungsgemäße Funktionsweise des SSL-Zertifikats verhindert. Solltest du ein Problem mit deinem SSL-Zertifikat haben, wende dich bitte an uns.
Wir betreiben Firewalls und verfügen über Prozesse, die uns über nicht autorisierte Zugriffsversuche auf WordPress.com-Konten benachrichtigen.
Wir beobachten kontinuierlich den Web-Traffic und überwachen verdächtige Aktivitäten. Darüber hinaus verfügen wir über Sicherheitsmaßnahmen zum Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS).
Wir überprüfen regelmäßig die Sicherheit unserer Dienste und suchen nach potenziellen Schwachstellen. Darüber hinaus betreiben wir über HackerOne ein Bug-Bounty-Programm, um Personen zu belohnen, die Fehler finden und uns damit helfen, die Sicherheit unserer Dienste zu verbessern.
Bitte beachte, dass wir nicht erlauben, deine IP-Adresse auf die Positivliste zu setzen, falls du die Sicherheitsmaßnahmen deiner eigenen auf WordPress.com gehosteten Website selbst testen möchtest. Du kannst gerne testen, was du willst, aber da unser System nicht überprüfen kann, ob du bösartige Absichten hast, kann deine IP-Adresse temporär gesperrt werden.
Unsere Systeme führen regelmäßig Backups deiner WordPress.com-Website-Daten durch, damit wir sie bei einem Ereignis, das zu Datenverlusten führt (wie etwa einem Stromausfall oder einer Naturkatastrophe), wiederherstellen können.
Ein spezielles Sicherheitsteam kümmert sich um den Schutz deiner Daten. Es arbeitet direkt mit unseren Produktteams zusammen, um potenzielle Sicherheitsrisiken zu beheben und unser starkes Bekenntnis zur sicheren Aufbewahrung deiner Daten aufrechtzuerhalten.
Keine Methode der Übermittlung von Daten im Internet und keine Art der elektronischen Speicherung ist vollkommen sicher. Wir können keine Garantie für die absolute Sicherheit deiner Website oder deines Kontos geben – niemand kann das. Aber es ist uns enorm wichtig, deine Website und deine persönlichen Daten so gut wie möglich zu schützen.
Du selbst kannst ebenfalls einiges tun, um deine Daten zu schützen (lies weiter!).
Die größte Sicherheitsschwachstelle bei allen Online-Aktivitäten ist dein Passwort. Es ist der Schlüssel zu deinem Blog, deinen E-Mails, deinen Konten in sozialen Netzwerken und allen anderen Online-Diensten, die du nutzt. Wenn dein Passwort leicht zu erraten ist, ist deine Online-Identität gefährdet.
Es muss nur eine Person dein Passwort erraten, und schon kann sie alle deine jemals veröffentlichten Beiträge löschen. Sie könnte deine Website verunstalten. Sie könnte deine E-Mails lesen oder deine Adresse kapern und sich als du ausgeben. Sie könnte alles ruinieren, was du dir zeitaufwendig aufgebaut hast.
Alle deine Passwörter müssen für dich leicht zu merken und für andere schwer zu erraten sein. Eine zufällige Ziffern- und Zeichenfolge ist schwer zu erraten, aber ebenso schwer zu merken. Dein Geburtsdatum oder den Namen deines ersten Haustiers wirst du dagegen sicher nicht vergessen, dies ist aber trotzdem als Passwort äußerst ungeeignet, da es recht einfach zu erraten oder herauszufinden ist.
Auf WordPress.com kannst du sehr lange Passwörter mit einer beliebigen Kombination aus Buchstaben, Zahlen und Sonderzeichen verwenden, sodass die Sicherheit deines Passworts – und im weiteren Sinne deines Blogs – ganz in deinen Händen liegt. Wir haben ein paar Tipps zum Erstellen sicherer Passwörter zusammengestellt.
Du kannst dein Konto schützen, indem du dich nach getaner Arbeit stets wieder abmeldest. Dies ist besonders wichtig, wenn du an einem gemeinsam genutzten oder öffentlichen Computer arbeitest. Wenn du dich nicht abmeldest, kann eine andere Person einfach über den Browser-Verlauf deines Computers und das Aufrufen deines WordPress.com-Dashboards auf dein Konto zugreifen.
Du kannst dein Konto schützen, indem du dich nach getaner Arbeit stets wieder abmeldest.
Klicke dazu oben rechts auf deinen Gravatar. Anschließend klickst du unter deinem Gravatar auf Abmelden.
WordPress.com bietet eine umfangreiche Mehrbenutzerplattform. Auch wenn jede Website nur einen Eigentümer hat, können sich beliebig viele Benutzer daran beteiligen – dies ist ideal für Gruppenblogs mit mehreren Autoren, für Websites im Magazinstil mit einem redaktionellen Workflow oder für sonstige große Websites, bei denen du dir die administrative Arbeit mit anderen Personen teilen möchtest.
Das Teilen der Arbeitslast ist jedoch auch gleichbedeutend mit dem Teilen von Verantwortung. Deshalb kannst du auf WordPress.com verschiedene Rollen für alle Benutzer festlegen, die du deiner Website hinzufügst. Die Rollen bestimmen die Zugriffsebene des jeweiligen Benutzers.
- Mitarbeiter: Dies ist die eingeschränkteste Rolle. Ein Mitarbeiter kann nur Beitragsentwürfe erstellen, sie aber nicht veröffentlichen.
- Autor: Kann Beiträge veröffentlichen und Bilder hochladen, hat aber keinen Zugriff auf die Beiträge anderer Benutzer.
- Editor: Kann nicht nur die Beiträge aller Benutzer veröffentlichen, sondern auch Kommentare moderieren sowie Kategorien und Schlagwörter verwalten.
- Administrator: Hat die volle Kontrolle über die Website – er kann sie sogar löschen.
Versuche beim Hinzufügen von Benutzern, jene Rollen zu finden, die am besten zu ihren Aufgaben auf deiner Website passt. Wenn du ein Konto für einen Benutzer einrichtest, der nur ein paar Beiträge verfassen möchte, dann machst du ihn zum Mitarbeiter. Behalte die Rollen des Autors und Editors vertrauenswürdigen Benutzern vor, die sich langfristig auf deiner Website engagieren.
Besonders sparsam solltest du mit der Administratorenrolle umgehen. Wenn du einen anderen Benutzer zum Administrator deiner Website machst, erschaffst du buchstäblich neue Schlüssel für deine Website und übergibst diese an eine andere Person. Der Administrator kann mit deiner Website machen, was er will, und irgendwo herumliegende zusätzliche Schlüssel steigern das Risiko erheblich, dass deine Website gekapert wird.
Eigentlich solltest du die Administratorenrolle komplett meiden. In fast allen Fällen ist die Rolle des Editors die bessere Wahl.
Weitere Informationen hierzu findest du auf den Support-Seiten zum Hinzufügen von Benutzern und zu den Benutzerrollen.
Für die Zwei-Schritt-Authentifizierung kannst du jedes iOS-, Android-, Blackberry- oder SMS-fähige Mobilgerät als eindeutigen Schlüssel für dein Blog verwenden. Nachdem du dich bei diesem Dienst registriert hast, musst du bei jeder Anmeldung bei deinem Blog einen speziell generierten einmaligen Code eingeben. Auf diese Weise kann jemand, der an dein Passwort gerät, sich trotzdem nicht anmelden, wenn er nicht auch über dein Mobilgerät verfügt.
Weitere Informationen zu diesem Dienst erhältst du auf unserer Support-Seite zur Zwei-Schritt-Authentifizierung.
Der schwächste Punkt bei der Sicherheit deiner Online-Konten ist meist dein Passwort. Bei WordPress.com betreiben wir großen Aufwand, damit deine Inhalte sicher und geschützt sind und niemand außer dir darauf zugreifen kann.
Aber wenn eine andere Person dein Passwort erraten oder auf andere Weise daran gelangen konnte, kann sie damit jede Sicherheitsmaßnahme überwinden, da WordPress.com diese Person für dich hält. Sie kann beliebige Änderungen an deinem WordPress.com-Blog oder -Konto vornehmen, beispielsweise deine Inhalte löschen.
Um das zu verhindern, zeigt dir dieser Leitfaden, wie du starke Passwörter erstellst, die sich nur schwer erraten oder knacken lassen. Lies dir die folgenden Tipps durch und überprüfe dein eigenes Passwort. Wenn du der Meinung bist, dass dein Passwort unsicher ist, empfehlen wir dir dringend, es zu ändern.
Techniken zum Knacken von Passwörtern wurden in den letzten Jahren schnell und bedeutend weiterentwickelt, während die Methoden zum Erstellen von Passwörtern damit nicht Schritt halten konnten. Deshalb gelten die häufigsten Ratschläge zum Erstellen starker Passwörter heute als veraltet und unpraktisch.
Ein nach diesen Prinzipien erstelltes Passwort wie jal43#Koo%a ist für einen Computer sehr leicht zu knacken und für Menschen sehr schwer zu merken und zu tippen.
Die neuesten und effektivsten Passwortangriffe schaffen bis zu 350 Milliarden Versuche pro Sekunde, und diese Zahl wird in den nächsten Jahren mit Sicherheit noch erheblich steigen.
Zum Erstellen eines starken Passworts sind heute moderne Techniken nötig, von denen wir dir im nächsten Absatz zwei vorstellen.
Für das Generieren eines starken Passworts gibt es viele verschiedene Ansätze, aber Passwort-Manager und Passphrasen gehören zu den besten. Wähle die Methode, die für dich am besten funktioniert, und lies dir im entsprechenden Abschnitt dieses Artikels die nächsten Schritte durch.
Ein Passwort-Manager ist eine Software-Anwendung für deinen Computer oder dein Mobilgerät, die sehr starke Passwörter generiert und sie in einer sicheren Datenbank speichert. Auf diese Datenbank greifst du mit einer einzigen Passphrase zu und anschließend kann der Passwort-Manager deinen Benutzernamen und dein Passwort automatisch in Website-Formularen eingeben. Wenn du dir nur ein Passwort merken musst, kannst du dieses so zufällig und schwierig zu erraten machen, wie du möchtest.
Du musst dir damit nie wieder Gedanken über das Erstellen, Merken oder Eingeben eines guten Passworts machen. Das ist die einfachste und sicherste heute verfügbare Methode, die wir dir dringend empfehlen.
Es werden viele verschiedene Passwort-Manager-Anwendungen angeboten. Entscheide dich für eine davon und installiere sie auf deinem Computer. Nachfolgend sind die allgemeinen Schritte beschrieben, aber für weitere Einzelheiten solltest du in der Dokumentation deiner jeweiligen Anwendung nachschlagen.
- Wähle einen Passwort-Manager aus. Die folgenden werden häufig verwendet:
- Installiere die Anwendung auf deinem Computer.
- Installiere alle Erweiterungen oder Plugins für die Webbrowser, die du nutzt.
- Erstelle ein starkes Master-Passwort zum Öffnen der Passwort-Datenbank. Im Abschnitt Erstellen einer Passphrase in diesem Artikel geben wir dir Tipps dazu.
- (Optional:) Notiere das Master-Passwort und bewahre es an einem sicheren Ort auf, beispielsweise in einem Schließfach oder einem gesicherten Safe. Es ist wichtig, darauf zurückgreifen zu können, falls du einmal das Master-Passwort vergisst.
- (Optional:) Mit den integrierten Tools der Anwendung oder über einen Dienst wie SpiderOak kannst du deine Passwortdatenbank auf mehreren Geräten verwenden. Wenn du einen externen Dienst verwendest, achte darauf, dafür ein starkes Passwort zu verwenden und für das Konto (falls möglich) die Zwei-Schritt-Authentifizierung zu aktivieren.
Nachdem du nun deinen Passwort-Manager eingerichtet hast, kannst du beginnen, damit starke Passwörter zu generieren. Suche das integrierte Tool zur Generierung von Passwörtern in deinem Manager und konfiguriere es so, dass es 30 bis 50 zufällige Zeichen erstellt, mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen.
Das Ergebnis sollte in etwa so aussehen: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@.
Das wirkt wahrscheinlich abschreckend, aber bedenke, dass du dir dieses Passwort niemals merken oder es eingeben musst – der Passwort-Manager übernimmt das für dich.
Eine Passphrase funktioniert ähnlich wie ein Passwort, nutzt jedoch eine zufällige Wörterkombination statt eines einzigen Begriffs, beispielsweise kopie hinweis falle hell.
Da die Länge eines Passworts einer der wichtigsten Faktoren für seine Stärke ist, sind Passphrasen erheblich sicherer als herkömmliche Passwörter. Gleichzeitig lassen sie sich auch viel leichter merken und eingeben.
Sie sind nicht so sicher wie die Arten von Passwörtern, die von Passwort-Managern generiert werden, aber sie sind trotzdem eine gute Option, wenn du keinen Passwort-Manager verwenden möchtest. Sie eignen sich auch am besten dazu, das Master-Passwort für einen Passwort-Manager oder ein Passwort für dein Betriebssystem-Konto zu generieren, da diese Passwörter nicht automatisch vom Passwort-Manager ausgefüllt werden können.
Eine Passphrase wird genauso erstellt wie ein herkömmliches Passwort, sie muss jedoch nicht so komplex sein, da die Länge der Phrase genug Sicherheit bietet, um die fehlende Komplexität auszugleichen.
- Wähle vier zufällige Wörter aus. Du kannst natürlich auch den xkcd Passphrase Generator verwenden, aber es ist besser, wenn du dir selbst eines ausdenkst.
- Wenn du möchtest, kannst du Leerzeichen zwischen den Wörtern hinzufügen.
Nun hast du beispielsweise eine solche Phrase: kopie hinweis falle hell
Du kannst dich damit begnügen oder mit den folgenden Schritten die Stärke weiter erhöhen:
- Schreibe einige der Buchstaben groß.
- Füge einige Ziffern und Symbole ein.
Nach Anwendung dieser Regeln sieht sie in etwa folgendermaßen aus: Kopie hinweis 48 Falle (#) hell
Das solltest du vermeiden:
- Die Wörter sollten nicht nach einem vorhersehbaren Muster angeordnet sein oder einen vollständigen Satz bilden, da die Passphrase dadurch leichter zu erraten ist.
- Verwende keine Liedtexte, Zitate oder anderen veröffentlichten Texte. Angreifer besitzen riesige Datenbanken mit veröffentlichten Inhalten, aus denen Passwörter gebildet werden können.
- Verwende keine personenbezogenen Informationen. Selbst wenn diese mit Zahlen und Buchstaben kombiniert werden, kann jemand, der dich kennt oder dich online recherchiert, anhand dieser Informationen problemlos ein Passwort erraten.
Auch abseits deines WordPress.com-Kontos solltest du beim Erstellen von Passwörtern einige Dinge beachten, damit deine Informationen sicher geschützt bleiben.
- Nutze nie zweimal das gleiche Passwort. Viele beliebte Websites sichern dein Passwort nicht ausreichend in ihren Systemen, und Hacker brechen regelmäßig in diese Systeme ein und kompromittieren hunderte Millionen Konten. Wenn du Passwörter für mehrere Websites verwendest, kann der erfolgreiche Hacker einer Website sich mit deinen Anmeldedaten bei anderen Websites anmelden. Einzigartige Passwörter solltest du zumindest für alle Websites nutzen, die finanzielle oder vertrauliche Daten speichern oder die deinen Ruf schädigen könnten.
- Achte darauf, dass auch dein E-Mail-Kennwort sicher ist. Bei vielen Onlinediensten wie WordPress.com dient deine E-Mail-Adresse deiner Identifizierung. Wenn sich ein böswilliger Benutzer Zugang zu deinen E-Mails verschafft, kann er leicht deine Passwörter zurücksetzen und sich bei deinem Konto anmelden.
- Gib deine Passwörter niemals weiter. Selbst wenn du der Person vertraust, kann sich ein Angreifer bei der Übergabe einschalten oder sie belauschen bzw. in den Computer dieser Person eindringen. Wenn du den Verdacht hast, dass jemand außer dir dein Passwort kennt, solltest du es sofort ändern.
- Versende dein Passwort nie per E-Mail. E-Mails sind selten verschlüsselt, was es Angreifern ziemlich einfach macht, sie zu lesen. Mitarbeiter von WordPress.com werden dich niemals nach deinem Passwort fragen. Wenn du ein Passwort teilen musst, nutze eine sichere Übermittlungsmethode wie pwpush.com und lege fest, dass der Link nach dem ersten Anzeigen verfällt.
- Speichere deine Passwörter niemals in einem Webbrowser. Da Webbrowser Passwörter häufig nicht sicher speichern, solltest du stattdessen einen Passwort-Manager verwenden. Weitere Informationen findest du weiter oben im Abschnitt zu den Passwort-Managern.
- Speichere auf einem öffentlichen Computer niemals Passwörter und nutze dort auch nie die Funktion „Angemeldet bleiben“. Ansonsten kann nämlich die nächste Person, die den Computer verwendet, auf dein Konto zugreifen. Achte außerdem darauf, dich abzumelden und deinen Browser zu schließen, wenn du fertig bist.
- Schreibe dein Passwort nicht auf. Wenn du es notiert hast und jemand diese Notiz findet, ist das Passwort nicht mehr sicher. Speichere Passwörter stattdessen in einem Passwort-Manager, wo sie verschlüsselt werden. Weitere Informationen findest du weiter oben im Abschnitt zu den Passwort-Managern. Eine Ausnahme zu dieser Regel ist die sichere Aufbewahrung nicht wiederherstellbarer Passwörter (z. B. das Master-Passwort für einen Passwort-Manager oder für dein Betriebssystem-Konto). Eine gute Methode zur Absicherung ist die Aufbewahrung in einem Schließfach oder einem gesicherten Safe.
- Ändere deine Passwörter nur, wenn sie kompromittiert sein könnten. Solange du ein starkes Passwort verwendest, wie es in diesem Artikel empfohlen wird, verringert sich das Kompromittierungsrisiko durch häufige Passwortwechsel nicht. Da die Änderung aufwendig sein kann, schleichen sich leicht schlechte Angewohnheiten ein, um sich die Arbeit zu erleichtern – was wiederum die Anfälligkeit für Angriffe steigert. Wenn du jedoch den Verdacht hast, dass jemand Zugriff auf dein Konto hat, ist ein Passwortwechsel stets eine gute Vorsichtsmaßnahme.
Support 