Am Zürcher WordPress Meetup am 10. März 2025 teilte Michael Sutter, WordPress-Frontend-Ingenieur und langjähriger Community-Aktiver, seine Erfahrungen zum Thema WordPress-Sicherheit. Sein Fokus: effektive Prävention statt später Schadensbegrenzung. Michael betonte, dass Prävention viel mehr sei als regelmässige Backups – sie ist eine ganzheitliche Denkweise. Die Zusammenfassung und die Videoaufzeichnung findet ihr weiter unten.
Im zweiten Vortrag des Abends teilte Norman Irion, Unternehmer und Experte für digitale Sichtbarkeit, auf gewohnt humorvolle Weise seine Einschätzung zum Wandel im Online-Marketing. Unter dem Titel «Tschüss Google, Hallo KI» zeigte er auf, wie sich Suchverhalten, Plattformen und Werkzeuge verändern – und was das konkret für kleine und mittlere Unternehmen bedeutet. Sein Fokus lag dabei weniger auf Hype, sondern auf belastbaren Grundlagen, praxisnahen Strategien und der Frage, wie Sichtbarkeit auch im KI-Zeitalter nachhaltig aufgebaut werden kann.
Die Zusammenfassung von Normans Vortrag und die Videoaufzeichnung findet ihr ebenfalls weiter unten.
Prävention gegen WordPress-Hacking – Erkenntnisse aus der Praxis
Warum Prävention entscheidend ist
Hacks passieren laut Michael häufig unerkannt – oft erst Wochen oder Monate später bemerkt, im schlimmsten Fall gar nicht. Je schneller man einen Angriff entdeckt, desto geringer der Schaden. Daher sei es essenziell, frühzeitig und richtig zu reagieren.
Typische Warnzeichen:
- Unerwartete Mails mit dem Betreff «WordPress hat ein technisches Problem festgestellt»
- Verzeichnisse wie
/private/, die in einer Standardinstallation nicht existieren - Massiv veränderte oder vergrösserte Dateien wie index.php
- Veränderte
.htaccess-Dateien mit verdächtigen Regeln - Spam-Einträge in der Datenbank (z. B. zu Casinos oder dubiosen Shops)
- Manipulationen über die Google Search Console durch gestohlene Zugangsdaten
Michaels Sicherheits-Toolbox
1. Malware-Scanner richtig konfigurieren
- Empfehlung: Wordfence, aber nicht einfach nur installieren, sondern gezielt konfigurieren (z. B. Mail-Benachrichtigungen aktivieren)
- Ziel: Angriffe frühzeitig erkennen und reagieren
2. Zwei-Faktor-Authentifizierung (2FA)
- Pflicht für alle Admin-Accounts
- Einfach umsetzbar mit Tools wie Google Authenticator oder TOTP-Apps
- Ein Muss bei WordPress- und Hosting-Zugängen
3. Login-Versuche einschränken
- Standardmässig sind oft bis zu 20 Fehlversuche erlaubt
- Besser: deutlich weniger, um Brute-Force-Angriffe zu erschweren
4. Passwort-Politik
- Keine Standardnamen wie «admin»
- Jedes System und jeder Account braucht ein eigenes starkes Passwort
- Empfehlung: Passwortmanager nutzen
5. Regelmässige und externe Backups
- Backups nicht auf dem gleichen Server speichern, sondern z. B. via SFTP auf ein externes System
- Empfehlung: UpdraftPlus (in Premium-Version wegen Datenschutz & SFTP-Funktion)
6. Plugin-Strategie
- So wenig Plugins wie nötig, und nur solche, die regelmässig aktualisiert werden
- Wöchentliche Updates durchführen
- Plugins, die seit über 6 Monaten nicht aktualisiert wurden, möglichst ersetzen
7. PHP-Version aktuell halten
- Veraltete PHP-Versionen sind ein Sicherheitsrisiko
- Regelmässig prüfen und updaten, ggf. in Testumgebung mit Debugging testen
8. Keine FTP-Verbindungen
- SFTP oder SSH verwenden, niemals unverschlüsseltes FTP
- FTP-Zugangsdaten in unverschlüsselten Mails gelten als absolutes No-Go
9. wp-config.php absichern
- Individuelle Salt Keys generieren (nicht die Beispielwerte belassen!)
- Konfigurationsdateien regelmässig überprüfen
Fazit
Michael machte deutlich: 100%ige Sicherheit gibt es nicht – aber man kann es Angreifenden sehr schwer machen. Entscheidend ist, dass Prävention ganzheitlich gedacht wird: von der Technik bis zur Passwortkultur. Wer die vorgestellten Massnahmen beherzigt, senkt das Risiko eines Angriffs signifikant.
Oder in Michaels Worten:
„Wenn es einem Hacker zu mühsam wird, gibt er oft auf – und sucht sich das nächste, leichtere Ziel.“
Tschüss Google, Hallo KI – Wie sich digitale Sichtbarkeit für KMUs verändert
In seinem Vortrag «Tschüss Google, Hallo KI» zeigte Norman Irion eindrücklich, wie stark sich digitale Sichtbarkeit in den letzten Jahren verändert hat – und warum künstliche Intelligenz dabei zwar wichtig ist, klassische Grundlagen aber keineswegs ersetzt.
Ausgehend von seiner langjährigen Erfahrung mit Google Ads machte Norman klar: Google dominiert den Suchmarkt weiterhin mit rund 90% Marktanteil, doch die Spielregeln haben sich verändert. Mit kleinen Budgets ist bei Google Ads heute kaum noch etwas zu holen, während automatisierte Kampagnen wie Performance Max zunehmend intransparent werden. Für KMUs bedeutet das: blindes Budget-Erhöhen ist keine Strategie.
Ein zentraler Punkt des Vortrags war das Fundament digitaler Sichtbarkeit. Unabhängig von KI oder neuen Trends müssen Basisdaten stimmen: Name, Adresse, Telefonnummer und Öffnungszeiten müssen überall konsistent gepflegt sein. Ebenso gehören saubere Google-Basics wie Title Tag, Meta Description und eine klare H1-Struktur weiterhin zum Pflichtprogramm. Ohne diese Grundlagen funktionieren weder SEO noch Ads nachhaltig.
Spannend wurde es beim Blick in die Zukunft: Wie wird man zur Antwort auf eine KI-Frage? Begriffe wie Generative Engine Optimization (GEO) kursieren zwar bereits, sind aber laut Norman noch wenig greifbar. Dennoch können sich KMUs vorbereiten – etwa durch strukturierte Daten (Schema.org), gepflegte Entitäten, Aggregate Ratings sowie Einträge bei Wikidata oder Wikipedia. Diese Signale helfen nicht nur Google, sondern zunehmend auch KI-Systemen wie Perplexity oder Copilot, Inhalte einzuordnen.
Besonders praxisnah waren Normans Hinweise zur «gratis» Sichtbarkeit: Ein gut gepflegtes Google-Unternehmensprofil bleibt für lokale Unternehmen einer der effektivsten Kanäle. Social Media ist zwar nicht wirklich kostenlos, kann mit überschaubarem Budget aber gezielt Reichweite aufbauen – insbesondere lokal. Gleichzeitig warnte er vor typischen Fallstricken wie austauschbarem KI-Content («Herzlich willkommen auf unserer Website») ohne klaren Nutzen oder Relevanz.
Fazit
KI verändert das digitale Marketing rasant, ersetzt aber weder strategisches Denken noch saubere Grundlagen. Wer sichtbar bleiben will, muss Technik, Inhalte und Plattformen verstehen – und bereit sein, sich kontinuierlich anzupassen, statt auf schnelle Abkürzungen zu hoffen.