„Nimm bloß nicht WordPress! Mein Kumpel arbeitet in der IT und der sagt, WordPress ist wahnsinnig unsicher!“

Stimmt das? Nein, das stimmt so nicht. WordPress ist eine Software und um Software muss man sich kümmern. Indem man regelmäßig Updates macht und indem man sichere Passwörter verwendet. Das war’s aber auch schon. Der Kumpel liegt also falsch, WordPress ist ein sicheres System.

Webseiten, die keine Pflege brauchen, gibt es schon auch. Das sind statische HTML-Seiten bei denen keine Scriptsprachen am Werk sind. Folglich kann dort auch niemand Unfug treiben.

Wer lieber ein komfortables CMS haben möchte, der muss sich kümmern. So wie das Betriebssystem auf dem Laptop bekommt auch WordPress regelmäßig Updates. Jedes Update bringt neue, praktische Funktionen und nebenbei werden Sicherheitslücken geschlossen.
Ein Redaktionssystem ist also nichts, dass man einmal installiert und dann vergessen kann. Das System ist ein Stück Software und das braucht Aufmerksamkeit.

2 Regeln für die Sicherheit

Dabei ist es denkbar einfach, WordPress sicher zu machen. Wer die beiden wichtigsten Faustregeln beachtet, ist weitgehend raus aus der Schusslinie.

  1. Sichere Passwörter = lange Passwörter, am besten ganze Sätze (12 Stellen und mehr)
  2. Updates, Updates, Updates

Sicherheit ist immer relativ

In einem kleinen Dorf wo jeder jeden kennt, schließt niemand seine Haustür ab, wenn er aus dem Haus geht. In der Großstadt wäre das wahrscheinlich ein Fehler, denn hier leben viel mehr Menschen und darunter sind auch solche mit unlauteren Absichten, die sich in der Masse verstecken.

Bei WordPress ist das ganz ähnlich. Weil WordPress sehr weit verbreitet ist und es viele WordPress-Installationen gibt, sind diese Installationen ein lohnendes Ziel. Einfach weil es so viele davon gibt. Die Chance ist groß, dass sich in der großen Masse ungepflegte Systeme finden, die einmal installiert und dann vergessen wurden. Die mit schwachen Passwörtern abgesichert sind und bei denen niemand jemals ein Update gemacht hat.

Die Ziele der Hacker

Man muss sich von der Vorstellung frei machen, dass da ein ungewaschener Typ im Kapuzenshirt vor seinem Computer sitzt und versucht, ein Passwort zu erraten. So etwas gibt es nur im Krimi. In der Realität laufen die Attacken automatisiert ab. Kleine Programme – so genannte Bots – probieren so lange Buchstabenkombinationen aus, bis zufällig das richtige Passwort dabei ist. Oder sie lesen die beliebtesten Passwörter von Listen herunter (12345, passw0rt, qwerty und so weiter).

Die Bots operieren mit Hunderttausenden von IP-Adressen. Klappt ein Login nicht, wechselt das Angriffs-Programm blitzschnell die IP-Adresse.
Gegen solche Angriffe helfen solide Zugangsdaten. Ein 12- und mehrstelliges Passwort ist nicht so ohne weiteres zu knacken, das würde die bösen Jungs viel zu viel Rechenzeit kosten. Sie wenden sich lieber den leichteren Opfern zu.

Die Bots sind übrigens nicht an Euren Inhalten interessiert. Sie wollen nichts stehlen, im Gegenteil, sie bringen etwas mit. Nämlich Schadcode. Damit machen sie Euren Server zum Werkzeug für ihre kriminellen Aktivitäten. Der Server wird zur Spam-Schleuder oder zur Anzeigen-Verbreitungsmaschine. Oder der Server wird Teil eines bösen Netzwerks das andere Server angreift (Stichwort DDoS-Attacke).

Im täglichen Betrieb merkt ihr erst Mal nichts davon. Aber Google merkt das relativ schnell und setzt einen Warnhinweis. Wer jetzt nicht schnell reagiert, landet auf einer Blacklist. Von der wieder runterzukommen ist harte Arbeit. Aber das ist ein Thema für sich.

Zum Weiterlesen:
Hier gibt es einen älteren Artikel mit einer kleinen Checkliste mit Sicherheitstipps.