Wie sicher ist deine Website wirklich ?

Quick-Check in 2 Minuten!
Basierend auf meiner S.A.F.E.-Website-Methode

Du hast deine Website irgendwann eingerichtet... und seither läuft sie.
Aber läuft sie auch sicher?

Die meisten Selbstständigen wissen es nicht.
Nicht weil sie es nicht wollen, sondern weil niemand ihnen je gezeigt hat, worauf es ankommt.
Probleme fallen oft erst auf, wenn bereits etwas passiert ist. 🫣

Dieser Check gibt dir einen ersten konkreten Eindruck, wo du mit deiner Website stehst.

Die Fragen decken die vier Bereiche meiner S.A.F.E.-Website-Methode ab:

  • S Setup: Steht dein technisches Fundament?

  • A Absicherung: Wie gut ist dein Login geschützt?

  • F Formalitäten: Sind Cookies und externe Skripte DSGVO-konform eingebunden?

  • E Erhaltung: Hast du eine zuverlässige Wartungsroutine?

WordPress Sicherheit testen – Laptop zeigt den S.A.F.E. Website Quick-Check mit Fragen zu Backup, Updates und Login-Sicherheit
WordPress Sicherheit testen – Laptop zeigt den S.A.F.E. Website Quick-Check mit Fragen zu Backup, Updates und Login-Sicherheit

S.A.F.E.-Website Quick-Check

1. Backup

Hast du aktuell ein funktionierendes Backup deiner Website, das du im Notfall wiederherstellen kannst?

Ein Backup enthält alle Dateien, Einstellungen, Datenbankeinträge etc. deiner Website. Viele Website-Hoster bieten serverseitige, automatische Backups an, die im Notfall (tw. kostenpflichtig) wiederhergestellt werden können. Hast du diese aktiviert und sind sie in deinem Hosting-Paket inklusive?

Außerdem kannst du mit Plugins automatische Updates in WordPress erstellen und wiederherstellen. Hast du dieses eingerichtet?

Auch ganz wichtig: hast du dir wichtige Stände deiner Website zusätzlich auf deine Festplatte heruntergeladen? Das rettet dir vor allem den Popo, wenn auch die Backups auf dem Server ein "defekter" Stand sind, weil Fehler erst spät aufgefallen sind.

2. Plugins & Updates

Hast du in den letzten 30 Tagen alle Plugins, Themes und WordPress aktualisiert?

In WordPress werden dir Updates mit einem roten Kreis und einer Zahl angezeigt. Die Entwickler der Plugins etc. bringen regelmäßig Updates heraus, die auch wichtige Sicherheitslücken und Einfallstore für "Hacker" schließen.

Hast du daher alle Updates gemacht und bekommst keine roten Hinweise mehr angezeigt? Machst du dies regelmäßig?

3. Sicherheit beim Login

Ist dein Website-Login mit einem sicheren und einmaligen Passwort (und sogar 2-Faktor-Authentifizierung) geschützt?

Ein sicheres Passwort bedeutet: mindestens 16 zufällige Zeichen und das Passwort wird nur auf dieser Website verwendet. Es ist kein Geburtstag, kein Name, und auch nicht ein immer verwendetes Passwort, dem du einfach nur ein einmaliges Kürzel anhängst.
Am besten erstellst und speicherst du es mit einem guten Passwort-Manager (ist ohne eigentlich ja auch gar nicht möglich 😉).

Die 2-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsebene: nach dem Passwort brauchst du noch einen zweiten Code, zum Beispiel aus einer Authenticator-App auf deinem Handy. Selbst wenn jemand dein Passwort kennt, kommt er damit nicht rein.

4. Nutzerverwaltung

Hast du alle unnötigen Admin-Konten und veralteten Benutzerzugänge auf deiner Website bereits gelöscht?

In WordPress kannst du unter "Benutzer" alle Konten sehen, die Zugang zu deiner Website haben. Dazu gehören alte Konten von Webdesigner:innen, die du mal beauftragt hast, Testkonten oder vergessene Admins. Jedes dieser Konten ist ein potenzieller Angriffspunkt, auch wenn es niemand aktiv nutzt.
Schau nach, ob alle dort aufgelisteten Personen noch Zugang haben sollen.

5. DSGVO & Cookies

Werden Cookies erst nach Zustimmung geladen (Cookie-Banner ist DSGVO-konform)?

Ein Cookie-Banner, der zwar angezeigt wird, aber im Hintergrund bereits Cookies lädt, ist nicht DSGVO-konform. Cookies dürfen erst gesetzt werden, nachdem jemand aktiv zugestimmt hat. Du kannst das prüfen, indem du deine Website im Inkognito-Modus öffnest und schaust, was in den Browser-Einstellungen unter Cookies bereits geladen ist, bevor du auf "Akzeptieren" geklickt hast.

6. Externe Skripte

Hast du externe Dienste wie Google Fonts, Google Maps, Captcha oder YouTube datenschutzkonform eingebunden(und das auch nachgeprüft 😉)?

Wenn du z. B. Google Fonts direkt von Google lädst, werden die IP-Adressen deiner Besucher:innen an US-Server übertragen, ohne deren Zustimmung. Dasselbe gilt für eingebettete YouTube-Videos, Google Maps, reCaptcha und vieles mehr. Fonts sollten lokal auf deinem Server liegen, YouTube nur über den datenschutzfreundlichen Einbettungslink eingebunden sein, bzw. erst bei Zustimmung gezeigt werden.

Hast du das schon umgesetzt und auch wirklich nachgeprüft?

7. Sicherheitslücken & Technikprüfung

Wurde deine Website schon einmal gezielt auf Sicherheitslücken oder Malware geprüft?

Viele Websites sind kompromittiert, ohne dass die Betreiber:innen es wissen. Malware sitzt oft monatelang unbemerkt im Hintergrund.
Ein gezielter Scan mit einem Sicherheits-Plugin zeigt dir, ob auf deiner Website etwas nicht stimmt.

Das sollte regelmäßig stattfinden.

8. Pflege & Wartung

Hast du eine feste Wartungsroutine (z. B. monatlich)?

Eine Wartungsroutine bedeutet: du hast einen festen Rhythmus, in dem du deine Website bewusst checkst und updatest:
Backup vorhanden? Alle Updates gemacht? Alles erreichbar?

Das ist kein großer Aufwand. Wichtig ist, dass es wirklich regelmäßig passiert und nicht unter "mach ich irgendwann" fällt.

AUSWERTEN (noch nicht möglich)

Bitte beantworte zuerst alle Fragen.