Über 120.000 Websites werden gehackt – Tag für Tag. Damit es mit all seinen negativen Folgen gar nicht erst zu Ausfällen kommt, ist eine sichere WordPress Website das A und O. In diesem Artikel haben wir typische Sicherheitsmaßnahmen aufgelistet, die Sie für Ihr Webprojekt ins Auge fassen sollten.
Sicherheits-Basics zum Schutz vor Hacking
Einer ernsthaften Hacking-Attacke können durchschnittliche Websites kaum etwas entgegensetzen. Früher oder später sind sie geknackt. Die gute Nachricht ist: Selten sind kleinere und mittelständische Unternehmenswebsites das Hauptziel eines Hacking-Angriffs. Wesentlich öfter werden die Firmenpräsenzen im Rahmen von automatisierten Prozessen attackiert. Je kritischer der Sicherheitszustand der Website, desto eher können diese Angriffe zum Erfolg führen.
Mit diesen sechs Maßnahmen können Sie Ihre Website ganz grundsätzlich gegen Hacking schützen. Gleichzeitig reduzieren sie damit auch das Risiko, dass ihre Website durch unseriöse Erweiterungen oder dergleichen langfristiger ausfällt.
Sicheres Hosting
Ihr Hoster kann bereits viel dafür tun, dass Ihre Website vor Angriffen geschützt ist. Dazu zählt die Absicherung gegen DDoS-Attacken, der Einsatz von Hardware-Firewalls und ein aktuelles Server-Betriebssystem.
Gute Hoster kommunizieren entsprechende Sicherheitsmaßnahmen offen – unsere Kunden wissen beispielsweise jederzeit genau, welche Maßnahmen wir zur Absicherung ihrer Projekte einsetzen.
Sichere Zugangsdaten
„Benutzername: Admin“ und „Passwort: 12345678“ sind die mit Abstand unsichersten Zugangsdaten für Ihre WordPress-Seite. Sichere Passwörter und ein individueller Benutzername für den Admin-Zugang tragen viel dazu bei, um eine Website beispielsweise vor automatisierten Brute-Force-Attacken zu schützen.
Zusätzliche Sicherheitsmaßnahmen:
- 2-Faktor-Authentifizierung
- Limitierung der fehlerhaften Login-Versuche (per Plugin/Security-Tool)
- Login-Pfad maskieren als Alternative zum gut bekannten „/wp-admin“-Pfad
Sicherheitsupdates ausführen
Seit dem Major-Update auf WordPress 3.7 werden kritische Sicherheitsupdates in WordPress automatisch ausgeführt – sofern sie nicht manuell ausgeschaltet werden.
Seit 2020 mit dem Update auf die 5.5 Version lassen sich automatische Updates auch für einzelne Plugins und Themes zuweisen.
Der große Vorteil an automatischen Updates: Sie werden selbstständig ausgespielt und fixen etwaige Sicherheitslecks sofort. Der WordPress Core-Bereich und die verwendeten Plugins bleiben aktuell und bieten weniger Angriffsfläche für Backdoor-Angriffe.
Achtung: Im laufenden Betrieb von Shops oder Seiten mit starkem Kundentraffic könnten Ausfälle durch automatische Updates schwerwiegende Konsequenzen haben. In diesen Fällen ist ein WordPress Hosting mit Staging samt professioneller WordPress-Wartung die deutlich sinnvollere Methode, um sowohl alle WordPress-Instanzen jederzeit up to date zu halten als auch teure Ausfälle zu vermeiden.
Berechtigungen und Rollenmanagement
Je mehr Nutzer Zugriff auf das Backend einer Website haben, desto eher öffnen sich Sicherheitslücken, die für Hackingangriffe genutzt werden können.
Für eine sichere WordPress-Website (und jedes andere CMS) gilt deshalb:
- so wenige Benutzer mit Zugriffsrechten wie möglich
- abgestuftes Rechtemanagement: passende Rollen für Redakteure und Admins zuweisen
- sicheres Passwortmanagement für Benutzer vorschreiben
- Berechtigungen und Zugangsvoraussetzungen regelmäßig prüfen und ggfs. ausgetretene Mitgliedern oder gekündigten Angestellten die Zugangsberechtigungen zur Website entziehen
Plugins und Themes
Soll ein neues Plugin installiert werden? Ein kurzer Check im WordPress-Repository zeigt, wann die Erweiterung zuletzt aktualisiert wurde; wie viele Personen es bereits heruntergeladen/installiert haben und ob es mit der aktuellen WordPress-Version kompatibel ist.
Ähnlich verhält es sich mit Themes: Sind sie aktuell, kompatibel mit der modernsten WordPress-Fassung und gut bewertet?
Kauf-Plugins und -Themes unterliegen, sofern sie bei den üblichen Verkaufsplattformen gelistet sind, strengen Qualitätskriterien. Vorsichtig sein sollten sie bei Nischenprodukten, deren Entwickler keine nachvollziehbaren Angaben zur Absicherung und der Code-Qualität machen können. Besser: Nur Plugins und Themes aus verlässlichen Quellen nutzen!
Backups
Sie sollten selbstverständlich sein, sind es aber nicht unbedingt. Aktuelle Backups tragen dazu bei, dass im Falle des Falles Ihre Website schnell wieder auf den Zustand vor einem Sicherheitsleck zurückgesetzt werden kann.
Grundregeln für sichere Websites
Jedes CMS ist nur so gut wie seine Anwender. Sichere Passwörter, regelmäßige Updates und eine strikte Zugangskontrolle zum Backend einer Website sollten Standard bei der Website-Pflege sein.
Nicht länger unterstützte PHP-Versionen, Websites ohne Https-Protokoll beziehungsweise ohne SSL-Verschlüsselung entsprechen zum einen nicht dem aktuellen Stand und sind zum anderen auch schlicht vermeidbare Sicherheitslücken.
Für unsere Kunden behalten wir diese Rahmenbedingungen im Blick und weisen rechtzeitig auf eventuelle Sicherheitslücken hin.