(Update) WordPress hat den Ruf, besonders anfällig für Hackangriffe zu sein. Tatsächlich entfielen zum Beispiel im Jahr 2018 etwa 90 Prozent der gehackten CMS-Seiten auf WordPress, eine Entwicklung, die sich auch in den folgenden Jahren beobachten lässt. Das heißt aber nicht, dass WordPress anfälliger als andere Plattformen ist. Das beliebte CMS wird häufiger zum Ziel von Hackern, da es sehr stark verbreitet ist, denn aktuell nutzen 42% aller Webseiten weltweit WordPress.Daher ist es ganz normal, dass hier auch häufiger Angriffe stattfinden. Dadurch ist die Gesamtzahl der Ziele, die WordPress-Webseiten betreffen, besonders hoch.
Sie sollten sich dadurch aber nicht abschrecken lassen, denn Sie können die Sicherheit Ihrer WordPress-Seiten erhöhen, indem Sie einige grundsätzliche Ansätze befolgen. Vollständigen Schutz und Gewissheit erhalten Sie aber, wenn Sie aktiv vorgehen und ein Screening-Tool einsetzen.
Welche Ansätze gibt es, um die WordPress-Sicherheit zu erhöhen?
„Grundsätzlich ist ein perfekt abgesichertes Systeme ein kaum erreichbares Ideal. So etwas dürfte beim besten Willen kaum 100% realisierbar und dauerhaft aufrechtzuerhalten sein. Ein sicherer Server ist aber eine zentrale Voraussetzung, denn er schützt die Vertraulichkeit, Unversehrtheit und Zugänglichkeit der Ressourcen unter Kontrolle eines Server-Administrators.“
Im WordPress-Kodex selbst lässt sich zum Thema Sicherheit folgende Beschreibung finden. Der CMS-Anbieter führt dazu Qualitätskriterien für einen sicheren WebHosting-Anbieter an. Dazu zählen vor allem:
- Die Bereitschaft, Sicherheitsbedenken zu besprechen und vorhandene Sicherheitsmerkmale und -Prozesse des Web Hosting zu erläutern.
- Stets eine aktuelle, stabile Version der gesamten Serversoftware zu nutzen.
- Zuverlässige Backups und Wiederherstellung anzubieten.
Genau diese Eigenschaften werden Ihnen durch Virtual Server von Host Europe in Verbindung mit der Administrationssoftware Plesk geboten. Darüber hinaus gibt es sehr leistungsfähige Tools, die die Sicherheit Ihrer WordPress-Installationen signifikant weiter erhöhen.
Tipp – Nutzen Sie immer die aktuelle Version von WordPress
Ein grundsätzlicher Ansatz für mehr Sicherheit bei WordPress ist vor allem, die aktuelle Version von WordPress zu verwenden. Zwar sind in der Standard-Voreinstellung von WordPress Auto-Updates aktiviert, sodass das Programm immer automatisch upgedatet wird. Eigentlich bräuchten Sie sich also um nichts mehr zu kümmern . Trotzdem bergen Updates immer Risiken, wie Inkompatibilitäten mit bestimmten Plugins. Wenn die Plugin- oder Theme-Entwickler zu langsam sind, Sie aber trotzdem Ihre WordPress-Installation updaten, kann das im Worst Case Ihre Webseite lahmlegen.
Meistens besteht das Problem bei kostenlosen Plugins oder Themes, die der Entwickler zwar mal erstellt hat, sich dann aber nicht weiter um die Pflege kümmert. Eine Lösung ist es, auf Bezahlversionen auszuweichen, weil hier in der Regel professionelle Entwickler sitzen. Diese pflegen und aktualisieren immer wieder Ihre Produkte und achten so auch auf eventuelle Sicherheitslücken. Bei kostenlosen Plugins und Themes kann es passieren, dass der Entwickler seine Arbeit eventuell sogar einstellt und somit keine Updates mehr verfügbar sind.
Tipp – Verwenden Sie nur vertrauensvolle Themes und Plugins
Themes und Plugins sollten nur von vertrauenswürdigen Quellen bezogen werden und bestenfalls mit einem externen Tool geprüft werden. Plugins und Themes, die Sie direkt über das WordPress Backend beziehen können, sind immer geprüft und können gefahrlos (in Bezug auf Sicherheit) eingesetzt werden. Natürlich müssen alle Plugins aufeinander abgestimmt sein. Zumindest sollten Sie vor dem Produktiveinsatz die Kompatibilität untereinander prüfen.
Tipp – Seien Sie vorsichtig mit der Freigabe von Datei-Berechtigungen
Die Freigabe von Datei-Berechtigungen und Datenbanken ist ein weiterer grundsätzlicher Punkt, den Sie beachten müssen. Seien Sie vorsichtig.
- Wählen Sie weitere Benutzer sorgfältig aus und vergeben Sie nur die Rechte, die diese Person auch wirklich benötigt.
- Arbeitet jemand nicht mehr an Ihrer Seite oder geht in seinen Urlaub, sollten Sie den Account vorsichtshalber für diese Zeit sperren.
Vieles davon können Sie mit Plesk automatisieren. Ihnen stehen hilfreiche Tools zur Verfügung, die Ihren Arbeitsalltag mit WordPress erleichtern. Besonders das Thema Sicherheit wird leider oft vernachlässigt – WordPress ist einfach zu bedienen und zieht immer mehr Benutzer an. Leider sind diese oft unbedacht und gehen bei Sicherheitsproblemen nicht sinnvoll vor. Wenn Sie WordPress-Hosting anbieten, ist es also an Ihnen, hier zu unterstützen.
Warum es sich lohnt in WordPress-Sicherheit zu investieren
Sicherheitsarbeiten sind Aufwand, der betrieben werden muss. Sie haben keinen sofortigen Nutzen, wie bei einer Versicherung. Aber wenn es zu Problemen kommt, wird es schnell teuer. Daher sollten Sie auf die Sicherheit Ihrer WordPress-Installationen achten. Denn:
- Ihre Kunden haben ein berechtigtes Interesse an sicheren Websites
- Blogs und E-Commerce-Seiten sind in der Regel zentrale Umsatzpfeiler für viele Unternehmen. Selbst ein kurzzeitiger Ausfall – oder noch schlimmer: ein Datenverlust – kann der Reputation der Webseite und damit dem Unternehmen massiv schaden. Fällt zum Beispiel ein Online-Shop länger aus, kann der Kunde Regressansprüche gegen Sie geltend machen.
- Veraltete WordPress-Versionen, zweifelhafte oder deaktivierte Plugins sind oft die Schwachstellen, die eine WordPress-Webseite anfällig machen.
- Der Faktor Mensch kommt hinzu. Unerfahrene Administratoren, schlecht gesicherte Anmeldeinformationen und das oft mangelhafte Sicherheitswissen von Anwendern ohne technischen Hintergrund sind erhebliche Risikofaktoren.
Daraus ergeben sich jedoch auch für Sie aber auch viele Möglichkeiten für Sie. Bieten Sie Ihren Kunden zusätzliche Serviceleistungen im Bereich Sicherheit.
- Überprüfen Sie bestehende Webseiten auf ihre Sicherheit.
- Entwickeln Sie neue Projekte von Grund auf mit den richtigen Zusatzdiensten.
- Erweitern können Sie Ihr Portfolio, denn Web-Anwendungen werden für Kunden verstärkt zu einer kritischen Infrastruktur, für deren Sicherheit zunehmend Geld mobilisiert wird.
Nutzen Sie diese Situation zu Ihrem Vorteil. Liefern sie mit Server-Produkten von Host Europe und Plesk überzeugende Antworten auf die Fragen und Probleme Ihrer Kunden. Durch den Mehrwert und das zusätzliche Angebot können Sie selbstbewusst kommunizieren. Insbesondere, wenn Ihr Kunde wenig Erfahrung mit Sicherheitsfragen hat, können Sie ihm ein gutes Gefühl vermitteln. Er wird sich gut aufgehoben fühlen, weil Sie sich um diese Angelegenheiten kümmern. Das fördert zusätzlich die Kundenbindung und stärkt die Geschäftsbeziehung.
Szenarien, die gefährlich für Ihren WordPress-Server sein können
Neben den bereits genannten Punkte gibt es eine ganze Reihe von weiterer Szenarien, wie Hacker WordPress-Webseiten infiltrieren und Schaden anrichten können. Häufig erfolgen diese Angriffe über Backdoors, böswillige Umleitungen oder Cross Site Scripting.
1. Backdoors (Hintertüren)
Backdoors bieten Hackern Zugriffsmöglichkeiten auf WordPress-Webseiten und Datenbanken, indem Sicherheitsvorkehrungen von vorneherein umgangen werden. Dies funktioniert zum Beispiel über versteckte Passagen in den PHP-Dateien von WordPress. Wenn ein solcher – möglicherweise serverweiter – Zugang einmal besteht, können seitenübergreifende Angriffe erfolgen, die zu erheblichen Schäden führen können. Brisant ist, dass bei vielen Webseiten potenziell gefährliche Backdoors möglich sind, die Betreiber aber nicht als solche erkennen können. Denn häufig sehen diese Hintertüren so aus, wie legitime WordPress-Dateien oder Nutzerprofile. Die manuelle Kontrolle von WordPress-Installationen ist in der Regel keine praktikable Option, da dies sehr zeitaufwendig ist und Sie bestimmt andere Sachen zu tun haben. Unwahrscheinlich ist auch, dass Sie als Anwender mit dem kompletten Code aller eingesetzten Plugins und jeder Funktion vertraut sind.
2. Böswillige Umleitungen
Umleitungen von ihrer Website aus, die Sie nicht selbst vorgenommen haben, werden ebenfalls meistens über Backdoors eingerichtet. Beispielsweise können über die WordPress .htaccess-Datei verschlüsselte Weiterleitungen platziert werden, die Aufrufe auf bösartige Webseiten weiterleiten.
So werden zum Beispiel Phishing-Angriffe initiiert, indem auf Seiten weitergeleitet wird, die vertrauliche Informationen abfragen. WordPress ist wegen der hohen Anzahl an verfügbaren Plugins, die ebenfalls zum Ziel von Backdoors werden können, besonders verwundbar für solche Angriffe.
Es gibt verschiedene Tools, die mehr Sicherheit versprechen. Von kostenlos bis sehr teuer ist die Bandbreite entsprechend groß und liefert Firewalls, Virenscanner und weitere Screeningtools. Oft sind diese aber nicht untereinander kompatibel oder schränken wichtige Funktionen wie Cookiebanner ein.
3. Cross Site Scripting
Cross Site Scripting zielt vor allem auf die Besucher Ihrer Website. Durch bösartige Skripts, die in Ihre Website injiziert werden, versuchen Angreifer den Endbenutzer browserspezifisch anzugehen. So kann es vorkommen , dass Cookie- und Besuchsdaten missbraucht und an Dritte weitergeleitet werden. Das Cross Site Scripting Verfahren wird auch für unerlaubte Datenprofilierung genutzt.
WordPress-Seiten absichern durch Plesk WPchk
Viele Plugins, die eigentlich dem Schutz Ihrer WordPress-Webseite dienen sollten, nutzen nichts, wenn diese bereits auf einer möglicherweise kompromittierten Installation arbeiten. Wenn der Hacker bereits in Ihrem WordPress-Backend arbeiten kann, wird er diese Plugins als erste ausschalten.
Es ist sinnvoller, ein externes Tool laufen zu lassen, dass sich außerhalb der WordPress-Installation befindet. Hier hilft Plesk WPchk.
- Plesk WPchk ist ein frei erhältliches Sicherheitstool für WordPress, dass den Sicherheitsstatus für WordPress-Installationen analysieren kann.
- Das Tool dient dabei dem Screening und nimmt selbst keine Änderungen vor, sondern zeigt Sicherheitslücken in jeder WordPress-Instanz auf.
- Sie erhalten es über Github und können es dann via WordPress Command Line Interface (CLI) aufrufen.
WPchk zeigt übersichtlich, wo welches Problem besteht. Sie können dann entweder selbst aktiv werden, wenn Sie über die nötigen Kenntnisse verfügen, oder das Plesk WordPress Toolkit verwenden, um die Probleme zu beheben. Es nimmt Ihnen langwierige, obligatorische Aufgaben ab und automatisiert so viele Vorgänge, um alle WordPress-Seiten sicherer zu machen.
Zusätzlicher Schutz vor Malware durch Sucuri
Um ganz sicherzugehen, sollten Sie zusätzlich das Tool Sucuri Website Security einsetzen. Dieses gibt es sowohl als WordPress-Plugin als auch als eigenständiges Sicherheitstool. Sucuri bietet Ihnen folgende Funktionen:
- Sucuri ist ein Malware-Scanner, der das Entfernen von schädlichem Code und Scripts garantieren kann.
- Zusätzliche Sicherheit wird durch eine optionale Firewall geschaffen, die den Datenaustausch zwischen Client und Webserver analysiert und schädlichen Code automatisch blockiert.
Hinweis: Die Firewall ist keine Funktion des Plugins selbst. Der gesamte Datenverkehr zu Ihrer Webseite wird über die Server von Sucuri umgeleitet, auf Schadcode überprüft, von schädlichen Datenpaketen bereinigt und anschließend an Ihren Server weitergeleitet.
- Ergänzt wird das Sucuri-Angebot durch einen Sicherheits-Service von Spezialisten. Im Ernstfall erhalten Sie professionelle Hilfe innerhalb kürzester Zeit.
WordPress-Seiten absichern – Kurz und knapp
Wenn Sie alle von uns genannten Tipps befolgen, haben es Hacker bei Ihnen schwer. Ihre Kunden sind zufrieden, und Sie haben im Ernstfall einen starken Partner an Ihrer Seite, der Ihnen und Ihren Kunden hilft.
Übrigens: Mit einem WordPress Hosting-Produkt von Host Europe werden Sicherheits- und wichtige Systemupdates automatisch eingespielt und Ihre WordPress-Webseite automatisch und kostenlos einmal täglich auf Malware gescannt. Außerdem erhalten Sie für Ihre Webseite kostenlos und dauerhaft ein SSL-Zertifikat. Mehr Informationen zu den WordPress Hosting-Produkten von Host Europe.
Titelmotiv: Bild von Gerd Altmann auf Pixabay
- Produkt-Sicherheitsverordnung: Das müssen Onlinehändler jetzt beachten - 11. Dezember 2024
- Was Sie über das PHP-Framework Laravel wissen sollten - 11. Dezember 2024
- KI-Logo-Generatoren: Logo erstellen mit künstlicher Intelligenz? - 8. November 2024