Wie sicher ist WordPress?

Ist WordPress sicher? Das ist eine der Fragen, die mir am häufigsten gestellt werden. Meine Antwort hat sich in den letzten Jahren nicht wesentlich verändert:
Ja, WordPress ist meiner Meinung nach sicher.

Aber keine Website ist ganz von alleine sicher. Genauso viel oder wenig wie jeder beliebige Computer oder alle anderen Redaktionssysteme da draußen. Es gibt ein paar Regeln, die man beachten muss. Die sind allerdings nicht besonders kompliziert und können leicht umgesetzt werden.

Vor wem muss ich meine WordPress-Website schützen?

Erst einmal vor mir selbst. Also vor allem, was ich, die Person vor dem Bildschirm, auslöse. Das können fehlerhafte Updates von Plugins oder Themes sein. Oder Fehler im Code sein, die ich selbst eingebaut habe. Und vieles mehr.

Dann sind da noch Angriffe von außen. WordPress ist das Redaktionssystem mit der größten Verbreitung. Deshalb ist es auch ein System, das sehr häufig attackiert wird.
Es sind allerdings keine Menschen, die vor ihrem Rechner sitzen und gezielt versuchen, eine bestimmte Website zu knacken. Es sind Bots, die das Web nach WordPress-Installationen abgrasen.

Wird eine Website angegriffen, geht es so gut wie nie um einen persönlichen Angriff. Und es geht auch nicht darum, Daten aus der Website zu klauen. Aber eine gehackte Website kann für vielerlei Ungutes oder Kriminelles eingesetzt werden.

So wird deine WordPress-Installation sicher

Hausputz

Sorge dafür, dass auf dem Serverspace keine alte Software rumliegt: Die alte WordPress-Website, die du sicherheitshalber noch nicht gelöscht hast. Die Installation, an der du etwas ausprobieren wolltest und sie du dann vergessen hast. Weg damit!

Backups automatisieren. Es gibt etliche Plugins, die es erlauben, automatisierte Backups zu erstellen. Die Backups solltest du jedoch nicht im selben Serverspace speichern wie die aktive Website, sondern an einem anderen Ort. In Frage kommen etwa Amazon S3, Dropbox, Google,… Speicher ist heutzutage nicht mehr teuer.
Bitte beachten: Je nachdem, welche Art von Daten hier gespeichert werden, muss natürlich die DSGVO berücksichtigt werden. (Da genügen bereits Kommentare oder Anfragen über Kontaktformulare.)
Wichtig hierbei: In einem entspannten Moment testen, wie aus dem Backup die Website wiederhergestellt werden kann. Damit es im Fall der Fälle auch wirklich klappt.

Die WordPress-Installation sollte auf dem aktuellen Stand sein. Dasselbe gilt für Plugins und Themes. Viele Aktualisierungen sind Sicherheits-Patches – daher ist es sehr wichtig, diese Aktualisierungen auch wirklich durchzuführen.

Die Computer, von denen aus Redakteurinnen und Redakteure auf die Website zugreifen, müssen abgesichert sein. Auch hier sind regelmäßige Updates Pflicht. Nicht vergessen: Alle Rechner regelmäßig nach Schadsoftware scannen.

Vorsicht in öffentlichen Wifis: Auch hier ist es wichtig, die Geräte, die auf die Website zugreifen, abzusichern (VPN). Und abwägen, ob der Zugriff gerade in diesem Moment wirklich notwendig ist.

Zugänge absichern

  • Sichere Passwörter sind das A und O! Und du solltest natürlich das super-sichere Passwort nicht auf mehreren Websites benutzen.
    Noch besser, auch wenn es manchmal lästig ist: 2-Faktor-Authentifizierung!
    Das bedeutet, dass zusätzlich zum Benutzernamen und Passwort beim Anmelden noch eine dritte Information gebraucht wird. Häufig ist das in irgendeiner Form über das Handy gelöst, als App oder mittels eines Codes per SMS.
  • Beim Einrichten von sicheren Passwörter auch den FTP-Zugang und den Zugang zum Kundenmenü des Hosters nicht vergessen.
    Auch für das Kundenmenü kann man eventuell 2-Faktor-Authentifizierung einrichten. Wenn nicht, den Hosting-Anbieter danach fragen!
  • Sind die Zugriffsrechte der WordPress-Installation korrekt? Verzeichnisse sollten nicht mehr als „755“ haben, Dateien nicht mehr als „644“.
    Normalerweise kommt WordPress bereits mit den korrekt eingestellten Rechten, ich habe hier aber schon die abenteuerlichsten Dinge gesehen.

Beiträge schreibt die Redakteurin

WordPress sieht verschiedene Benutzerrollen vor. Gewöhnen dir an, einen Redakteurs-Zugang zum Schreiben von Beiträge zu benutzen. Benutzer, die Artikel veröffentlichen, sind von außen sichtbar. Diese Benutzer sollten keine vollen Administrationsrechte haben.

Bei der Vergabe der Benutzernamen kann man beliebig kreativ sein. Der angezeigte Name muss nicht identisch mit dem tatsächlichen Benutzernamen sein.

Zusätzliche Möglichkeiten

Wenn du die Regeln oben beachtest, ist die WordPress-Website schon ziemlich gut abgesichert.
Noch mehr Tipps hat Dietmar Leher in einem Vortrag für das WordPress Meetup in München hier zusammengestellt: WP-Sicherheit_Oktober2018

Last but not least – Hosting und WordPress

Die Wahl des Hosting-Anbieters hat ebenfalls einen großen Einfluss darauf, wie sicher die eigene Website ist. Der billigste Hoster wird mit großer Wahrscheinlichkeit nicht der sicherste sein. Je weniger das Ganze kosten darf, desto größer ist das Risiko, dass an irgendeiner Stelle gespart wird. Und je mehr Projekte auf einen Server gepackt werden, desto höher ist das Risiko, dass irgendwo eine Sicherheitslücke entsteht.

Hosting speziell für WordPress

Mittlerweile bieten fast alle Hoster spezielle Pakete für WordPress-Websites an.
Oft geht es dabei um ganz spezifische WordPress-Dienstleistungen, z.B. Backups, Staging-Server oder auch spezielle Sicherheitspakete. Diese Pakete sind zwar in der Regel teurer als das „Standard-Hosting“, sie bieten dafür aber um einiges mehr: Ein komfortables Hosting-Paket kann einem viele der Punkte erleichtern oder sogar abnehmen, die ich oben aufgeführt habe.

Wer sich also nicht selbst damit befassen kann oder möchte, wie man aus einem Backup die Website wiederherstellen kann, ist mit einem guten Hosting fein raus und kann all diese Dinge per Knopfdruck im Kundenmenü erledigen.
Oder man hat ein Hosting-Paket, das einem eine Staging-Umgebung anbietet mit der Option, mit einem Klick die Live-Website durch die Staging-Site zu ersetzen. Dort kann man problemlos alles ausprobieren und im Zweifelsfall wieder löschen, wenn’s schief gegangen ist. Die Live-Website bleibt davon völlig unberührt.

Dieser Artikel ist ursprünglich hier erschienen: Start the Loop – WordPress leicht gemacht

Kommentare, die nichts mit dem jeweiligen Artikel zu tun haben, oder die (weitgehend) inhaltslos sind und keinen Mehrwert für andere Leserinnen und Leser bieten, veröffentlichen wir nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hinweise zum Datenschutz
Wenn du einen Kommentar schreibst, wird dieser inklusive Metadaten zeitlich unbegrenzt gespeichert. Auf diese Art können wir Folgekommentare automatisch erkennen und freigeben, anstelle sie in einer Moderations-Warteschlange festzuhalten.
Wenn Besucher Kommentare auf der Website schreiben, sammeln wir die Daten, die im Kommentar-Formular angezeigt werden, außerdem die IP-Adresse des Besuchers und den User-Agent-String (damit wird der Browser identifiziert), um die Erkennung von Spam zu unterstützen. Aus deiner E-Mail-Adresse kann eine anonymisierte Zeichenfolge erstellt (auch Hash genannt) und dem Gravatar-Dienst übergeben werden, um zu prüfen, ob du diesen benutzt.
Die Datenschutzerklärung des Gravatar-Dienstes findest du hier.
Nachdem dein Kommentar freigegeben wurde, ist dein Profilbild öffentlich im Kontext deines Kommentars sichtbar.