WordPress ist sicher

Wie sicher ist WordPress?

WordPress bietet bereits von Haus aus ein vernünftiges Maß an Sicherheit, ist aber ebenso wie auch andere CMS angreifbar. Allerdings kann durch den Einsatz professioneller Plugins die Sicherheit von WordPress auf ein sehr hohes Niveau gebracht werden.

WordPress ist sicher!

Eine professionelle Website wird auf einem gesicherten Webserver betrieben, dieser befindet sich in der Regel außerhalb des Firmennetzwerks. Über die Website erhalten Eindringlinge also keinen Zugriff auf das Firmennetz. Von einem exzessiven Einsatz von WordPress Plugins zweifelhafter Herkunft ist abzuraten, aber das gilt für alle CMS. Ebenso sollte die Verwendung von unsicheren Passwörtern auch bei WordPress vermieden werden.

Natürlich ist aufgrund der großen Verbreitung von WordPress die Wahrscheinlichkeit, dass eine Malware für WordPress entwickelt wird höher, als bei einem seltenen Nischen-CMS. Daher empfehlen wir eine Reihe von Maßnahmen zur Verbesserung der WordPress Sicherheit. Die folgende Liste zeigt einige Möglichkeiten, wie die Sicherheit einer WordPress Installation verbessert werden kann, u.A.:

• Für einen sichereren Betrieb des Blogs / der Webseite ist es wichtig, dass WordPress von „scratch“ aus installiert wird und diverse Anpassungen an der Datenbank (wie bspw. Ändern der Table-Prefixes), an der Webserver-Konfiguration sowie diverse PHP-Settings durchgeführt werden.
• Dto. für das Einstellen der Benutzerberechtigungen, Logins etc.
• Manche Hoster bieten eine „WordPress One-Click Installation“ an – davon raten wir explizit ab. Wir haben diverse dieser Möglichkeiten geprüft – aus unserer Sicht sind die alle nicht gut. In der Regel wird eine vom Hoster modifizierte WordPress-Version eingespielt oder es werden Hoster-eigene Plugins zwingend benötigt. Die Probleme tauchen dann im laufenden Betrieb auf. Auch ein potenzieller Wechsel des Hoster ist so (fast) nicht möglich.
• Wir setzen ausschließlich sehr häufig genutzte WordPress Themes und WordPress Plugins ein, die seit Jahren auf dem Markt sind und für die es regelmäßig Updates gibt
• Die komplette Webseite sollte SSL-verschlüsselt sein
• Umbenennung des Admin-Accounts / Änderung der ID des Benutzers mit der ID 1
• Sicherheitsscanfunktion zur Aufdeckung möglicher Sicherheitslücken und Funktion zur Behebung
• Blacklist für „kritische“ Bots und andere Hosts, sowie für „kritische“ User Agents
• Blacklist für Hosts und Benutzer mit zu vielen ungültigen Login-Versuchen (Ausschluss von Brute-Force-Angriffen)
• Konfigurierbare Passwortstärke ab einer „Mindest-Benutzerrolle“  für Admin-Bereich
• Deaktivierung der Dateibearbeitung innerhalb des WordPress-Backend
• Erkennung und Blockierung zahlreicher Angriffe auf Dateisystem und Datenbank
• Überwachung des Dateisystems auf unzulässige Änderungen
• Regelmäßige Backups der Datenbank sowie des Filesystems
• Ggf. zeitabhängige Deaktivierung der Login Möglichkeit

Fazit: WordPress ist sicher!

Tatsächlich kann man mit ein paar einfachen Regeln die Angriffsfläche auf die eigene Webseite deutlich verringern und vor allem Massenattacken und Defacements wirkungsvoll verhindern.

Die wichtigste Regel lautet: Updates. Egal ob es sich um eine neue Version von WordPress, eines Plugins oder eines Themes handelt: Sobald die Macher eine Aktualisierung zur Verfügung stellen, sollte diese schnellstmöglich installiert werden.

Der Grund: Spätestens wenn eine behobene Schwachstelle dokumentiert wurde, werden Angreifer diese in ihre Programme integrieren.

Man kann mit WordPress professionelle Unternehmens-Websites erstellen! Die Umsetzung sollte aber mit einer erfahrenen Full Service-Internetagentur erfolgen!

Quellen: wordpress.org; summ-it Unternehmensberatung, Perimetrik sowie Kasperski