Warum ein Sicherheitsaudit?
Jeden Tag werden tausende WordPress-Websites gehackt. Die häufigsten Gründe: veraltete Software, fehlende Sicherheitsmaßnahmen und falsche Konfigurationen. Ein Sicherheitsaudit zeigt Ihnen, wo Ihre Website verwundbar ist – bevor es ein Angreifer tut.
Die Folgen eines Hacks sind weitreichend: Malware und Spam-Weiterleitungen vertreiben Ihre Besucher. Google blacklistet Ihre Seite und Ihr Ranking bricht ein. Kundendaten können kompromittiert werden. Und die Wiederherstellung kostet ein Vielfaches dessen, was ein präventiver Check gekostet hätte.
Gleichzeitig verlieren langsame Websites messbar Kunden – 53% der Besucher verlassen eine Seite, die länger als 3 Sekunden lädt. Und fehlende SEO-Grundlagen sorgen dafür, dass Google Ihre Seite gar nicht erst findet.
Was ich prüfe: SSL/TLS & Sicherheitsheader
Die Basis jeder sicheren Website ist eine korrekte SSL/TLS-Konfiguration. Ich prüfe, ob Ihr Zertifikat gültig ist und wann es abläuft, ob die aktuelle TLS-Version (1.2 oder 1.3) verwendet wird, ob HTTP korrekt auf HTTPS umleitet und ob Mixed Content vorliegt – also unsichere Ressourcen auf einer eigentlich verschlüsselten Seite.
Zusätzlich analysiere ich Ihre HTTP-Sicherheitsheader: HSTS (Strict-Transport-Security), Content-Security-Policy, X-Frame-Options gegen Clickjacking, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Diese Header sind Ihre erste Verteidigungslinie gegen eine Vielzahl von Angriffen – und fehlen bei den meisten WordPress-Websites.
Was ich prüfe: WordPress-Konfiguration
WordPress verrät von Haus aus viel zu viel über sich selbst. Ich prüfe, ob Ihre WordPress-Version im Quellcode sichtbar ist, ob die Login-Seite öffentlich erreichbar ist, ob XML-RPC aktiviert ist (ein beliebtes Einfallstor für Brute-Force-Angriffe) und ob Benutzernamen über die REST-API oder Autor-Archive auslesbar sind.
Außerdem checke ich, ob der Debug-Modus versehentlich aktiv ist (was Angreifern wertvolle Informationen liefert), ob Directory-Listing aktiviert ist und ob sensible Dateien wie readme.html oder wp-config-Backups öffentlich zugänglich sind. Jeder dieser Punkte ist ein potentielles Einfallstor – und lässt sich in der Regel einfach schließen.
Was ich prüfe: Performance & SEO-Grundlagen
Sicherheit allein reicht nicht – Ihre Website muss auch schnell laden und für Suchmaschinen optimiert sein. Ich messe die Server-Antwortzeit (TTFB), prüfe ob GZIP- oder Brotli-Komprimierung aktiv ist und analysiere die Gesamtgröße Ihrer Startseite.
Im SEO-Bereich prüfe ich die Grundlagen, die häufig vernachlässigt werden: Ist ein aussagekräftiger Title-Tag vorhanden? Gibt es eine Meta-Description mit der richtigen Länge? Ist das Viewport-Meta-Tag für mobile Geräte gesetzt? Existiert eine XML-Sitemap und ist die robots.txt korrekt konfiguriert? Fehlt eines dieser Elemente, verschenken Sie Sichtbarkeit bei Google.