Tipp des Monats: WordPress absichern!

Zahlreiche Webseiten verlassen sich auf das CMS (Content Management System) WordPress für den Betrieb Ihrer Website. Das ist auch verständlich – ist es doch eines der verbreitetsten Open-Source-Systeme für den Betrieb einer Website – Schätzungen zufolge werden über 40% aller Websites, deren CMS bekannt ist, durch WordPress betrieben.

Diese Verbreitung macht WordPress natürlich auch zu einem beliebten Angriffsziel – hat man die Möglichkeit eine der Webseiten zu hacken, sind auch zahlreiche andere Ziele potentiell verwundbar. Daher sollte man sich an einige Empfehlungen halten, um nicht selbst Opfer einer gehackten Website zu werden – was im besten Fall lästig ist, im schlimmsten Fall aber, wenn das eigene Geschäftsmodell stark vom durchgehenden Betrieb der Website abhängt, für das Unternehmen existenzbedrohend sein kann.

Die hier ausgesprochenen Empfehlungen sollen nicht allzu technisch ausgeführt werden – aber vielleicht dazu anregen, die Punkte mit dem eigenen IT-Betreuer oder dem Entwickler der Website zu besprechen.

WordPress (& Plugins) aktualisieren

So wie jede andere Software enthält auch WordPress Fehler, was sich nicht nur in fehlender Funktionalität niederschlagen kann, sondern manchmal auch zu Sicherheitslücken führt. Bei ganz eklatanten Sicherheitslücken kann es dazu kommen, dass diese auch von jedermann, der es darauf anlegt, ausgenutzt werden können. Deshalb wird WordPress regelmäßig durch die Entwickler aktualisiert, um bekannte Fehler zu beheben. WordPress selbst enthält eine sehr komfortable Update-Funktion und in den meisten Fällen spricht nichts dagegen, die neuen Versionen schnellstmöglich nach Veröffentlichung einzuspielen oder WordPress sogar anzuweisen, die Updates automatisch zu starten, sobald sie verfügbar sind.

Manchmal wird hier von Entwicklerseite argumentiert, dass es bei zu schnellen Updates zu Schwierigkeiten kommen kann, da evtl. unbekannte Fehler enthalten sind oder das Update möglicherweise mit selbst entwickelter Software nicht kompatibel sein könnte.

Dies mag im Einzelfall zutreffen, ist aber für die Mehrheit der Websites meist unerheblich – jedenfalls sollte hier mit den Website-Zuständigen eine Vereinbarung getroffen werden, dass die WordPress-Version möglichst zeitnah aktuell zu halten ist.

Über sog. Plugins kann man WordPress mit allen erdenklichen Zusatzfunktionen ausstatten – man muss aber dabei beachten, dass auch diese Plugins wieder Sicherheitslücken enthalten können und WordPress damit angreifbar wird. Hier gilt grundsätzlich, dass man nur die unbedingt notwendigen Plugins installieren sollte und dabei auch darauf achten sollte, wie oft auch diese Updates erhalten. Auch hier verfügt WordPress über eine komfortable Update-Funktion, die nur wenige Augenblicke in Anspruch nimmt.

Sichere Passwörter

Für alle Bestandteile einer WordPress-Installation (Admin-Zugänge, Autoren-Zugänge, Datenbank, FTP, Hosting) sollten sichere Passwörter verwendet werden. Dies mag banal klingen, wird aber oft vernachlässigt. Außerdem sollte man darüber nachdenken, die WordPress-Zugänge mit Multi-Faktor-Authentifizierung abzusichern. WordPress bringt die Fähigkeiten dazu mit Bordmitteln mit, erforderlich ist dazu nur die Installation einer Authenticator App, wie z.B. den Google Authenticator.

HTTPS-Verschlüsselung für die Seite verwenden

Dies sollte heutzutage für alle Websites eigentlich schon Standard sein – trotzdem stolpert man immer wieder über Seiten, auf die nach wie vor nicht verschlüsselt zugegriffen werden kann.

Sollte das bei der eigenen Website noch der Fall sein, sollte man dies unbedingt ändern. Auch weil man mit der verschlüsselten Übertragung ein angemessenes Datenschutzniveau z.B. für ein enthaltenes Kontaktformular auf der Website herstellen kann. Hier sollte man sich dessen bewusst sein, dass man hier auch datenschutzrechtliche Verpflichtungen gegenüber seinen Website-Besuchern hat.

Security-Plugin installieren

Natürlich gibt es für WordPress auch Security-Plugins. Diese beheben meist eine Reihe von technischen Security-Themen bzw. weisen zumindest auf die Problematik hin. Zu den populärsten gehören Wordfence, Hide my WP, iThemes Security oder NinjaFirewall – was verwendet werden soll, sollte der IT-Verantwortliche selbst entscheiden, da er hier meist eigene Präferenzen hat. Diese Plugins können die meisten automatisierten Angriffe auf die eigene Website stoppen. Auch hier gilt natürlich, dass diese Plugins auf dem aktuellen Stand gehalten werden müssen, damit sie Ihre Aufgabe erledigen können.

Regelmäßige Backups

Auch für die Website gilt, dass eine regelmäßige Sicherung durchgeführt werden sollte – idealerweise auf ein Medium, das nicht ohne gesonderte Authentifizierung zugänglich ist. Wenn es doch zu einer Kompromittierung der eigenen Website kommt, hat man so zumindest die Möglichkeit kurzfristig ein Backup wiederherzustellen. Idealerweise sollte man allerdings vor dem Einspielen des Backups wissen, wie sich der Angreifer Zugriff verschafft hat, damit man nicht kurz nach der erfolgreichen Wiederherstellung neuerlich Opfer eines Angriffs wird. Da viele dieser Hacks automatisiert erfolgen, kann es bereits nach wenigen Minuten wieder soweit sein und das ganze Spiel beginnt von Neuem.

Wahl eines renommierten Hosters

Die Wahl einer renommierten Hosting-Umgebung hat maßgeblichen Einfluss auf die Sicherheit der eigenen Website. Einerseits sind hier die einzelnen WordPress-Instanzen meist voneinander isoliert, sodass es nicht zu einem Massenhack kommen kann und man kann davon ausgehen, dass die Server, welche die Seite bereitstellen, regelmäßig gewartet werden und sicherheitsrelevante Updates eingespielt werden.

DDOS-Schutz

Eine DDOS-Attacke zerstört die Seite im Regelfall nicht, sondern verhindert meist nur den Zugriff darauf, solange der Angriff anhält. Es werden aus verschiedensten Quellen Anfragen an die Seite geschickt, sodass der Server ausgelastet ist und auf „echte“ Zugriffe nicht mehr reagieren kann. Ein DDOS-Angriff hält meist nur ein paar Stunden oder Tage an und wird dann wieder eingestellt, da er auch den Angreifer Ressourcen kostet. Ein DDOS-Schutz wird vor allem dann von Vorteil sein, wenn die eigene Website durchgehend erreichbar sein sollte und ein Ausfall mit wirtschaftlichen Einbußen einhergeht. In diesen Fällen kann ein DDOS-Schutz sinnvoll sein. Bei einigen Hosting-Anbietern ist dieser bereits inkludiert oder man kann diesen auch separat erwerben, wie z.B. bei Couldflare.