Ist WordPress sicher? Das ist eine der Fragen, die mir am häufigsten gestellt werden. Meine Antwort hat sich in den letzten Jahren nicht wesentlich verändert:
Ja, WordPress ist meiner Meinung nach sicher.

Aber keine Website ist ganz von alleine sicher. Genauso viel oder wenig wie jeder beliebige Computer oder alle anderen Redaktionssysteme da draußen. Es gibt ein paar Regeln, die man beachten muss. Die sind allerdings nicht besonders kompliziert und können leicht umgesetzt werden.

Vor wem muss ich meine WordPress-Website schützen?

Erst einmal vor mir selbst. Also vor allem, was ich, die Person vor dem Bildschirm, auslöse. Das können fehlerhafte Updates von Plugins oder Themes sein. Oder Fehler im Code sein, die ich selbst eingebaut habe. Und vieles mehr.

Dann sind da noch Angriffe von außen. WordPress ist das Redaktionssystem mit der größten Verbreitung. Deshalb ist es auch ein System, das sehr häufig attackiert wird.
Es sind allerdings keine Menschen, die vor ihrem Rechner sitzen und gezielt versuchen, eine bestimmte Website zu knacken. Es sind Bots, die das Web nach WordPress-Installationen abgrasen.

Wird eine Website angegriffen, geht es so gut wie nie um einen persönlichen Angriff. Und es geht auch nicht darum, Daten aus Ihrer Website zu klauen. Aber eine gehackte Website kann für vielerlei Ungutes oder Kriminelles eingesetzt werden.

So wird Ihre WordPress-Installation sicher

Hausputz

Sorgen Sie dafür, dass auf dem Serverspace keine alte Software rumliegt: Die alte WordPress-Website, die Sie sicherheitshalber noch nicht gelöscht haben. Die Installation, an der Sie etwas ausprobieren wollten und sie dann vergessen haben. Weg damit!

SERVICE

Für unsere Kundinnen und Kunden übernehmen wir gerne die Wartung und Pflege der Website. Inklusive kleiner Anpassungen und Bugfixes.

Sprechen Sie uns an!

Backups automatisieren. Es gibt etliche Plugins, die es erlauben, automatisierte Backups zu erstellen. Die Backups sollten Sie jedoch nicht im selben Serverspace speichern wie die aktive Website, sondern an einem anderen Ort. In Frage kommen etwa Amazon S3, Dropbox, Google,… Speicher ist heutzutage nicht mehr teuer.
Bitte beachten: Je nachdem, welche Art von Daten hier gespeichert werden, muss natürlich die DSGVO berücksichtigt werden. (Da genügen bereits Kommentare oder Anfragen über Kontaktformulare.)
Wichtig hierbei: In einem entspannten Moment testen, wie aus dem Backup die Website wiederhergestellt werden kann. Damit es im Fall der Fälle auch wirklich klappt.

Die WordPress-Installation sollte auf dem aktuellen Stand sein. Dasselbe gilt für Plugins und Themes. Viele Aktualisierungen sind Sicherheits-Patches – daher ist es sehr wichtig, diese Aktualisierungen auch wirklich durchzuführen.

Die Computer, von denen aus Mitarbeiterinnen und Mitarbeiter auf die Website zugreifen, müssen abgesichert sein. Auch hier sind regelmäßige Updates Pflicht, bitte regelmäßig nach Schadsoftware scannen.

Vorsicht in öffentlichen Wifis: Bitte auch hier die Geräte absichern (VPN) und abwägen, ob der Zugriff gerade in diesem Moment wirklich notwendig ist.

Zugänge absichern

  • Sichere Passwörter sind das A und O! Und natürlich das super-sichere Passwort nicht auf mehreren Websites benutzen.
    Noch besser, auch wenn es manchmal lästig ist: 2-Faktor-Authentifizierung!
    Das bedeutet, dass zusätzlich zum Benutzernamen und Passwort beim Anmelden noch eine dritte Information gebraucht wird. Häufig ist das in irgendeiner Form über das Handy gelöst, als App oder mittels eines Codes per SMS.
  • Beim Einrichten von sicheren Passwörter auch den FTP-Zugang und den Zugang zum Kundenmenü des Hosters nicht vergessen.
    Auch für das Kundenmenü kann man eventuell 2-Faktor-Authentifizierung einrichten. Wenn nicht, gerne den Hosting-Anbieter danach fragen!
  • Sind die Zugriffsrechte der WordPress-Installation korrekt? Verzeichnisse sollten nicht mehr als „755“ haben, Dateien nicht mehr als „644“.
    Normalerweise kommt WordPress bereits mit den korrekt eingestellten Rechten, ich habe hier aber schon die abenteuerlichsten Dinge gesehen.

Beiträge schreibt die Redakteurin

WordPress sieht verschiedene Benutzerrollen vor, je nach Bedürfnissen der einzelnen Benutzer. Gewöhnen Sie sich an, einen Redakteurs-Zugang zum Schreiben von Beiträge zu benutzen. Benutzer, die Artikel veröffentlichen, sind von außen sichtbar. Es ist daher sinnvoll, diesen Benutzern keine vollen Administrationsrechte zu geben.

Bei der Vergabe der Benutzernamen kann man beliebig kreativ sein. Der angezeigte Name muss nicht identisch mit dem tatsächlichen Benutzernamen sein.

Zusätzliche Möglichkeiten

Wenn Sie die Regeln oben beachten, ist die WordPress-Website schon ziemlich gut abgesichert.

Noch mehr Tipps hat Dietmar Leher in einem Vortrag für unser WordPress Meetup in München hier zusammengestellt: WP-Sicherheit_Oktober2018

Last but not least – Hosting und WordPress

Die Wahl des Hosting-Anbieters hat ebenfalls einen großen Einfluss darauf, wie sicher die eigene Website ist. Der billigste Hoster wird mit großer Wahrscheinlichkeit nicht der sicherste sein. Je weniger das Ganze kosten darf, desto größer ist das Risiko, dass an irgendeiner Stelle gespart wird. Und je mehr Projekte auf einen Server gepackt werden, desto höher ist das Risiko, dass irgendwo eine Sicherheitslücke entsteht.

Hosting speziell für WordPress

Mittlerweile bieten fast alle Hoster spezielle Pakete für WordPress-Websites an.
Oft geht es dabei um ganz spezifische WordPress-Dienstleistungen, z.B. Backups, Staging-Server oder auch spezielle Sicherheitspakete. Diese Pakete sind zwar in der Regel teurer als das „Standard-Hosting“, sie bieten dafür aber natürlich um einiges mehr: Ein komfortables Hosting-Paket kann einem viele der Punkte erleichtern oder sogar abnehmen, die ich oben aufgeführt habe.

Wer sich also nicht selbst damit befassen kann oder möchte, wie man aus einem Backup die Website wiederherstellen kann, ist mit einem guten Hosting fein raus und kann all diese Dinge per Knopfdruck im Kundenmenü erledigen.
Oder man hat ein Hosting-Paket, das einem eine Staging-Umgebung anbietet mit der Option, mit einem Klick die Live-Website durch die Staging-Site zu ersetzen. Dort kann man problemlos alles ausprobieren und im Zweifelsfall wieder löschen, wenn’s schief gegangen ist. Die Live-Website bleibt davon völlig unberührt.