Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

5 Dinge, um WordPress sicherer zu machen

5 Dinge um wordpress sicherer zu machen

WordPress und die Sicherheit

WordPress ist von Haus aus vielleicht nicht das schnellste CMS, es ist im Kern aber sehr sicher und solide programmiert. Doch da WordPress auch bei sehr großen und bekannten Seiten mittlerweile als Unterbau dient, suchen Hacker auch intensiv und inzwischen sehr gezielt nach möglichen Lücken und Schwachstellen. Weil WordPress außerdem mit Plugins und Themes erweiterbar ist, entsteht schnell ein Netz mit Löchern, durch das Angreifer geschickt hindurchschlüpfen können.Wie ihr so etwas verhindert bzw. wie ihr euren WordPress Blog sicherer macht, verraten euch die folgenden fünf Punkte.

1. Sofort alle verfügbaren Updates installieren und nicht abwarten.

Goldene Regel für WordPress: Wenn ein Update erscheint, dann schließt das meist auch Sicherheitslücken und sollte daher schnellstmöglich installiert werden. Das hat noch einen anderen Grund, denn sobald die Lücken durch das Changelog etc. bekannt werden, versuchen Hacker noch einmal all diejenigen zu erwischen, die mit dem Update warten oder aus Kompatibilitätsgründen nicht umsteigen wollen. Soll heißen: Egal ob Core, Plugin oder Theme Update – sofort installieren und bei Problemen mit eigenen Anpassungen direkt an einer Lösung arbeiten, statt das Thema aufzuschieben. Klingt alles nervig, doch wer einmal gehackt wird, weiß wie viel Ärger das ist und wie unschön so etwas für die eigenen Nutzer oder Besucher werden kann. Also nicht abwarten, sofort updaten.

2. Sichere Passwörter nutzen, auch wenn das mehr Aufwand bedeutet.

Klingt unglaublich, doch immer wenn Passwortlisten und ähnliches nach einem Hack auftauchen, stellt sich heraus, dass die Meisten Nutzer es gar nicht anders verdient haben. Ich meine “123456” ist eben kein sicheres Passwort und “123456!” auch nicht. Von solchen hohlen und durchschaubaren Passwörtern gibt es immer noch eine Menge. WordPress versucht dem zwar inzwischen mit dem neuen System für Passwörter entgegenzuwirken, trotzdem bleiben viele aus Bequemlichkeit bei unsicheren Passwörtern. Wer zu faul ist, kann von mir aus auch random.org benutzen, nur setzt auf viele Zeichen und im besten Fall auch auf Sonderzeichen. Ein Video dazu gibt es hier.

3. Eine Firewall konfigurieren, die all die automatisierten Hacks blockt.

Desto mehr sich WordPress verbreitet, desto beliebter wird es als Angriffsziel. Weil außerdem ständig neue Sicherheitslücken in bekannten Plugins auftauchen, ist auch immer etwas zum angreifen verfügbar. Eine Firewall ist daher fast schon Pflicht, auch weil sie die ganzen automatisierten Zugriffe und Hacks blockt, die zwar auch oft ins Leere laufen, die aber trotzdem an den Ressourcen eures Servers oder Webspace knabbern. Gleiches gilt für Logins, denn längst greifen Bots automatisiert auf die wp-login.php zu und testen Admin-Accounts und allerlei Passwörter per Brute-Force-Attacke. Um das zu verhindern bzw. einzudämmen, einfach eine Firewall oder zumindest einen Schutz für Brute-Force-Attacken installieren. NinjaFirewall kann beides. Wer keine Firewall installieren möchte, warum auch immer, sollte aber zumindest die möglichen Login-Versuche reduzieren. Was passiert, wenn das nicht geschieht, hat uns schließlich erst kürzlich der iCloud-Hack gezeigt, der dutzende Nacktbilder prominenter Persönlichkeiten präsentierte.

4. Möglichst wenig WordPress Plugins verwenden, um das Risiko zu minimieren.

Vorhin hatte ich es bereits erwähnt: Die meisten Sicherheitslücken kommen durch Plugins oder Themes. WordPress selbst ist recht solide und behebt Schwachstellen schnell mit Hilfe der automatischen Updates, doch Plugins sind oft veraltet oder werden schlecht gepflegt. Außerdem kann theoretisch jeder Rentner ein Tutorial lesen und danach ein Plugin veröffentlichen, auch wenn ihm die Erfahrung und das Wissen fehlen, um effektiv zu programmieren. Um Schwachstellen im eigenen Blog zu verhindern solltet ihr also immer so wenig Erweiterungen wie möglich im Einsatz haben. Inaktive Erweiterungen sollten komplett entfernt werden und allgemein gilt auch, dass ihr eure Plugins gut auswählen solltet. Schaut vorab also immer, ob eine Erweiterung Support erhält, aktiv gepflegt wird, wie viele Downloads sie verzeichnen kann und wann das letzte Update kam. Saubere Erweiterungen haben Erfolg und werden daher auch immer wieder geprüft. Außerdem kümmern sich Entwickler bei Fragen sehr gerne um eine Antwort und sind bemüht ihr Plugin weiter zu perfektionieren, zumindest wenn es genug Anwender gibt.

5. Eine Zwei-Faktor-Authentifizierung nutzen, um den Login stärker zu schützen.

Eine Zwei-Faktor-Authentifizierung stellt sicher, dass wirklich niemand fremdes Zugriff auf euren WordPress Blog erhält. Ein wenig umständlich, aber eben sehr sicher. Das Ganze kann aber auch relativ unkompliziert via E-Mail erledigt werden. Alternativ könnt ihr zwischen vielen Premium und kostenfreien Plugins aus dem Plugin-Verzeichnis wählen. Ist allerdings wirklich recht aufwendig und bestimmt nicht für jeden Blogger das Richtige. Wer will, schützt sein Login hier aber noch einmal doppelt.

Sicherheit ist wichtig

WordPress Sicherheit fängt damit an, dass ihr nicht einfach alles wie wild installiert. WordPress lässt sich toll erweitern, doch nicht jedes Plugin oder Theme ist schlau programmiert, daher auch nicht sicher oder besonders robust bei Angriffen. Eines ist aber klar: Sicherheit innerhalb von WordPress wird immer wichtiger, denn mittlerweile nutzen die meisten Blogs und Websites WordPress als CMS, oder zumindest als Unterbau. Bei der hohen Verbreitung ist es also kein Wunder, dass inzwischen automatisiert WordPress-Installation angegriffen werden. Sicherheit ist von großer Bedeutung und deshalb ist es auch enorm wichtig die grundlegenden Sicherheitsregeln einzuhalten. Niemand investiert gerne Zeit und Geld in sicherheitsrelevante Themen oder Backups, doch sobald es dann Probleme gibt, wünscht sich jeder, er hätte es getan. Seid schlauer und sichert euren Blog sofort ab. Nicht erst dann, wenn etwas passiert ist.



Wordpress Performance eBook