WordPress Sicherheit

WordPress Sicherheit - WordPress LogoWordPress kann gleich mehrere der bedeutsamsten Web-Statistiken für sich einheimsen. Das Content Management System betreibt ein Viertel aller Webseiten weltweit – eine unglaubliche Zahl, wenn man die mehr als 1,2 Mrd. Webseiten zugrunde legt – und hat einen Marktanteil von mehr als 50% unter allen CMS. Auch wenn Drupal, Joomla, TYPO3 & Co. einen hohen Bekanntheitsgrad vorweisen können, kommen Sie nicht um die Omnipräsenz von WordPress herum. Doch wie steht es um die Sicherheit von WordPress?

Ein System mit einer derartigen Verbreitung muss doch ein prädestiniertes Ziel für Hacker und Scriptkiddies sein, oder? Und tatsächlich werden täglich mehr als 35 Mio. Brute-Force-Angriffe auf WordPress-Seiten verursacht, und das sind lediglich die von Wordfence erfassten Statistiken. Fairerweise muss aber erwähnt werden, das der Angriffslust auf WordPress-Webseiten der höhere Update-Zyklus des Systems und seiner Plugins entgegensteht, während die Konkurrenz seltener Aktualisierungen anbietet.

Was ist aber zu tun, um WordPress sicherer zu machen?

WordPress richtig absichern

Mit den folgenden Tipps kann das Sicherheitsrisiko Ihre Webseite bereits drastisch gesenkt werden:

  1. Das Wichtigste zuerst: Aktualisieren! Nur durch Updates können Lücken geschlossen werden.
  2. Security Plugins installieren, die einige Angriffsvektoren abschwächen oder sogar vollständig blockieren können. Bewährt haben sich bei uns der Sucuri Scanner, die Wordfence Firewall und iThemes Security Pro (kostenpflichtig).
  3. Die Zwei-Faktor-Authentifizierung einrichten. Sollte es einem Angreifer gelingen die Login-Daten eines Nutzers abzugreifen, wird er durch den einmaligen Sicherheitscode, der an den jeweiligen Nutzer zum Anmelden geschickt wird, an der Anmeldung gehindert.
  4. Den Benutzer „admin“ umbenennen oder löschen. Er wird bei Brute-Force-Attacken als erstes missbraucht.
  5. Das Login-Formular mittels Captcha ausstatten. Erschwert den Zugang für Bots. Bewährt hat sich das Plugin Google Captcha (reCAPTCHA) by BestWebSoft oder die integrierte Lösung von iThemes Security Pro. Auch für Formulare zum Erstellen von Kommentaren empfehlenswert, um das Spam-Aufkommen zu verringern.
  6. Sichere Passwörter verwenden, die aus mind. 10 Zeichen mit Sonderzeichen, Zahlen und Buchstaben in Groß- und Kleinschreibung bestehen.
  7. Ein Content Delivery Network, wie bspw. Cloudflare, vorschalten, um DoS-Attacken zu verringern oder sogar zu verhindern, die eine Webseite bis zum Absturz auslasten können.
  8. Webseite mittels eines SSL-Zertifikats verschlüsseln. Ein netter Nebeneffekt: die Webseite wird nicht abgewertet (s. Googles Blog Beitrag „Moving towards a more secure web„).
  9. Keine Plugins installieren, die zuletzt vor 6 oder mehr Monaten aktualisiert wurden und somit nicht mehr regelmäßig gewartet werden.
  10. Einen professionellen Hoster auswählen, der Erfahrung im Umgang mit IT-Security vorweisen kann. Mit einem Managed Hosting, statt eines Root Servers, entfallen auch manuelle Wartungs- und Sicherheitsvorkehrungen, die der Hoster übernimmt.
  11. Regelmäßige Backups erstellen, um die Webseite im worst case wiederherstellen zu können.

Fazit

Mit nur wenigen aber sehr effektiven Handgriffen gehört Ihre Webseite nicht zu den mehr als 50% der betroffenen WordPress-Instanzen. Auch wenn einige Tipps einen tieferen Eingriff ins System erfordern und evtl. Fachwissen voraussetzen, sind die ersten 6 Punkte schon mit unter 1 Stunde Aufwand realisierbar.

Professionelle Wartung

Die Schwierigkeit, eine WordPress-Webseite sicher zu betreiben, haben wir bereits früh erkannt und bieten unseren Kunden mehrere Wartungsservice-Pakete an, mit denen ihr WordPress-Setup immer auf dem aktuellsten, gesicherten und abgesicherten Stand bleibt.

Gerne übernehmen wir auch die Wartung Ihrer Webseite. Ganz gleich ob sie mit WordPress, Joomla, Drupal, Contao, Typo3, Processwire, Shopware, Magento oder PrestaShop betrieben wird. Nehmen Sie Kontakt zu uns auf.

Kontaktieren Sie uns