Sicherheit
WordPress

Wie unsicher ist WordPress und wie kann ich mich schützen?

Eins vorneweg, dass sichere Internet gibt es nicht. Überall lauern Gefahren und Tag für Tag kommen neue dazu. Ich möchte Ihnen in diesem Artikel darlegen, wo es Gefahren liegen und was man dagegen machen kann. 

Ist WordPress zu unsicher?

WordPress gibt es seit rund 16 Jahren und in dieser Zeit hat es sich zum größten Content-Management-System (CMS) im Internet entwickelt. 2019 liefen 34 % aller Websites basieren mit WordPress.

WordPress-Statistik 2019
WordPress-Statistik 2019

Nutzer sind begeistert über die Leistungsfähigkeit und Einfachheit. Mit unzählige Themes und Plugins lassen sich fast alle Wünsche an seiner Website umsetzen.

Aber gerade die weite Verbreitung von Websites, die mit WordPress erstellt wurden, lassen sie in den Fokus der Hacker rücken.
Laut Sucuri Inc., welcher das gleichnamige Sicherheits- Plugin anbietet, berichtet, dass 90 % aller Bereinigungsanfragen im Jahr 2018 von WordPress-Websites stammen.

WordPress-Sicherheitsstatistik
Die größten WordPress-Sicherheitsrisiken

Was sind die Ursachen für die Sicherheitsrisiken?

Die Ursachen dieser Sicherheitsrisiken lassen sich in 5 Kategorien unterteilen.

WordPress selbst
Wie jede andere Software ist auch das CMS WordPress nicht vor Sicherheitslücken gefeit.
Um entstandene Sicherheitslücken schnell zu schließen sind die Entwickler sehr aktiv und bringen zeitnah Sicherheitsupdates heraus.

Plugins
Völlig anders sieht es da schon bei den Plugins aus, die WordPress um viele und nützliche Funktionen erweitern.Mit dem heutigen Tag (20. November 2019) gibt es für WordPress ganze 54.696 Plugins. Die Vielfalt hört sich erst mal gut an, birgt aber auch die Gefahr, dass viele Plugins von mangelhafter Qualität sind.
Der Grund liegt darin, dass viele Plugins nicht von Profis entwickelt wurden. Damit möchte ich die Entwickler nicht schlecht reden, aber die mangelnde Erfahrung ist eine der Ursachen für die vielen Sicherheitslücken.
Wenn man sich das Plugin-Archiv von WordPress anschaut, dann kann man recht schnell Plugins entdecken die das letzte Mal vor 3, 4 oder gar 5 Jahren ein Update erfahren haben

Themes
Bei den Themes, also den Layouts für WordPress-Sites, sieht das nicht ganz so dramatisch aus.
Dennoch gibt es auch hier immer wieder Berichte über unsichere Themes.
Die Standard-Themes von WordPress gehören noch zu den sichersten und auch bei Premium-Theme-Anbietern bekommt man oft mehr Sicherheit und mehr Support.

User am Laptop
Das eigene Nutzerverhalten ist kein unwesentlicher Sicherheitsfaktor.

Eigenes Verhalten
Ein weiterer Grund für gehackte Blogs ist oft der Blog-Betreiber selbst.
Unsichere Passwörter, fehlende Updates, Nutzung von öffentlichen und unverschlüsselten Netzen und andere Dinge können es Angreifern sehr einfach machen einen Blog zu hacken.

Sonstige Ursachen
Darüber hinaus kann es weitere Gefahrenstellen geben. So wird z. B. oft der FTP-Zugang angegriffen, was aber nichts direkt mit WordPress zu hat.
Oder es gibt einen Trojaner auf dem PC des Bloggers, der Zugangsdaten ausliest. Auch das ist kein WordPress-spezifisches Problem.

Wie kann ich für mehr Sicherheit sorgen?

Ich kann Sie beruhigen, wenn ich sage, dass man nicht auf verlorenen Posten steht, wenn man die Sicherheitsrisiken minimieren möchte.
Sicher ist es mit etwas Arbeit verbunden aber mit ein paar grundsätzlichen Tipps kann man seine WordPress-Website für sich und dem User sicherer machen.

  • Spielen Sie immer zeitnah Updates ein. Das gilt sowohl für Plugins, Themes und auch für WordPress selbst. Das Einspielen der Updates ist relativ einfach gestaltet und sollte zur Pflichtaufgabe eines jeden Betreibers sein.
    Hat man nicht die Zeit mehrmals die Woche nachzusehen, ob es Updates gibt, so kann man das auch automatisieren. Allerdings rate ich davon aus eigener Erfahrung ab. Gerade heute hat bei mir ein Plugin-Update dafür gesorgt, dass meine Seite für kurze Zeit offline war.
    Seid Einführung der WordPress-Version 5.2 gibt es Sicherheits-Feature was einem darüber informiert, wenn ein sogenannter „Fatal Error“ auftritt.
    Gleichzeitig wird eine Mail an den Administrator geschickt, in der ein Link zu einem Wiederherstellungs-Modus enthalten ist. In dem Modus werden Plugins und/oder Themes, die den fatalen Fehler verursachen, für ihn pausiert.
  • Vermeiden Sie die Nutzung von öffentlichen Netzwerken.
Netzwerk
Vermeiden Sie die Nutzung von offenen Netzwerken.
  • Nutzen Sie Sicherheits- Plugins die es in einer großen Anzahl gibt. Achten Sie dabei vor allem darauf, dass diese Plugins aktuell sind und kompatibel mit Ihrer WordPress-Version ist.
    Einen großen Vertrauensvorschuss haben auch solche Plugins, die eine große Nutzerzahl haben. Diese wird ihnen zum jeweiligen Plugin angezeigt.
    Mit Plugins die 100.000, 500.000 oder sogar über 1 Million Nutzer haben, sind sie schon fast auf der sicheren Seite, dass diese auch ihren Zweck erfüllen.
  • Nutzen Sie immer sichere Zugangsdaten- und arten. Sehen Sie es nicht als umständlich an, wenn Sie die Zwei-Faktor-Authentisierung nutzen. Ich selbst verwende dazu Google Authenticator.
  • Informieren Sie sich regelmäßig im Internet über aktuelle Sicherheitslücken. 
    Empfehlen kann ich Ihnen dazu die Website wpvulndb.com

Fazit

Nehmen Sie die Sicherheit Ihrer Website ernst und scheuen Sie nicht den erhöhten Arbeitsaufwand. Ihre User  werden es Ihnen danken.


Melden Sie sich für meine Gratis-News an
Marketing von
Creative Commons License AttributionRepublish

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

%d Bloggern gefällt das:
×
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz

Dies ist eine allgemeinverständliche Zusammenfassung der Lizenz (die diese nicht ersetzt).Haftungsbeschränkung.

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten.
Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell. Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.


Hinweise:

Sie müssen sich nicht an diese Lizenz halten hinsichtlich solcher Teile des Materials, die gemeinfrei sind, oder soweit Ihre Nutzungshandlungen durch Ausnahmen und Schranken des Urheberrechts gedeckt sind.
Es werden keine Garantien gegeben und auch keine Gewähr geleistet. Die Lizenz verschafft Ihnen möglicherweise nicht alle Erlaubnisse, die Sie für die jeweilige Nutzung brauchen. Es können beispielsweise andere Rechte wie Persönlichkeits- und Datenschutzrechte zu beachten sein, die Ihre Nutzung des Materials entsprechend beschränken.

License

Creative Commons License AttributionCreative Commons Attribution
Wie unsicher ist WordPress und wie kann ich mich schützen?