Blog

Wordpress - Sicherheit

Ist WordPress sicher?

Ein unliebsamer Fakt ist: Websites werden gehackt. Dagegen möchte man sich als Betreiber einer Online-Präsenz natürlich schützen, wobei eine Frage nicht ausbleibt: Ist mein Content-Management-System, ist WordPress sicher? Wir geben Ihnen in diesem Beitrag die Antwort.

Kurz und knapp: Ja, WordPress ist sicher. Aber: Damit Ihr WordPress dauerhaft sicher bleibt, müssen Sie es pflegen. WordPress ist das beliebteste Content-Management-System der Welt, was es wiederum zu einem der beliebtesten Angriffsziele für Hacker macht. Jedes Jahr gibt es Hunderttausende von Attacken.

Quelle: Hacked Website Trend Report 2018

Diese dringen in der Regel jedoch nicht zum Kern der Software vor, sondern gelangen etwa über ungeschlossene Sicherheitslücken aufgrund von nicht ausgeführten Updates oder schwachen Passwörtern zum Erfolg – also über vermeidbare Schwachstellen. Schauen wir uns das mal genauer an.

Wie Hackerangriffe auf WordPress funktionieren

Es ist relativ unwahrscheinlich, dass ein Hacker ausschließlich Ihre Website im Visier hat. Vielmehr laufen die meisten Hackerangriffe automatisiert ab – mithilfe von Bots, also kleinen Programmpaketen, die systematisch und massenhaft Benutzername-Passwort-Kombinationen ausprobieren, bis sie irgendwo erfolgreich sind.

Was die Hacker wollen? Jedenfalls nicht Ihre Inhalte, sondern Schadcode installieren und dadurch Kontrolle über Ihren Server erhalten. Diesen verwenden sie dann beispielsweise dafür, Anzeigen zu verbreiten oder andere Server anzugreifen. Wie Sie merken, dass Sie gehackt wurden, haben wir bereits in einem älteren Beitrag dargelegt: Wurde Ihre WordPress-Website gehackt? Sieben Anzeichen eines Angriffs

Die Sicherheitspolitik von WordPress

Wann immer WordPress eine Sicherheitslücke in der eigenen Software entdeckt, stellt das Team dahinter in kürzester Zeit ein Update zur Verfügung, das diese schließt. Installieren müssen Sie es in der Regel jedoch selbst. Ist die Sicherheitslücke besonders gravierend, kümmert sich WordPress auch schon mal automatisiert darum.

Quelle: Hacked Website Trend Report 2018


Ignorieren Sie die bereitgestellten Updates, setzen Sie sich selbst dem Risiko aus, Opfer eines Hackerangriffs zu werden.
Ein Blick auf den Hacked Website Trend Report 2018 von Sucuri zeigt, dass 36,7 Prozent aller gehackten WordPress-Websites, die untersucht wurden, eine veraltete Version des CMS installiert hatten.

Veraltete Themes und Plug-ins als Risikofaktoren

WordPress ist eine Open-Source-Software und jeder, der die entsprechende Kompetenz besitzt, kann ein Theme oder Plug-in dafür entwickeln. Das Gute daran: Es gibt eine schier unerschöpfliche Auswahl an Designs und Zusatzfunktionen. Der Nachteil: Jede Erweiterung ist eine potenzielle Gefahr, wenn sie nicht regelmäßig aktualisiert wird.

Nun kommt es vor, dass sich Entwickler nach einiger Zeit nicht mehr um ihre Werke kümmern und entsprechend keine Updates mehr liefern. Oder aber die Nutzer installieren die Updates nicht. Einer Umfrage von Wordfence zufolge sind 60 Prozent der erfolgreichen Hackerangriffe auf veraltete Plug-ins oder Themes zurückzuführen.

Wie Sie Ihr WordPress sicher halten

Sie merken: In den meisten Fällen, in denen eine WordPress-Website gehackt wird, liegt die Schuld nicht bei der Software selbst. Kein Content-Managament-System kann 100-prozentige Sicherheit gewährleisten, aber das WordPress-Sicherheitsteam leistet gute Arbeit und besteht einem Bericht von Kinsta zufolge aus 50 Experten.

Die Ursachen für erfolgreiche Hackerangriffe sind vielmehr im Fehlverhalten der Nutzer verortet – in der Nutzung von Erweiterungen aus unsicheren Quellen sowie schwachen Passwörtern und der Faulheit, wenn es darum geht, Updates zu installieren. Darüber hinaus gibt es noch weitere Faktoren, die die Sicherheit Ihres CMS beeinflussen.

Was Sie alles tun können, um Ihre WordPress-Installation vor Hackerangriffen zu schützen, haben wir ebenfalls bereits in einem älteren Beitrag niedergeschrieben: So schützen Sie WordPress gegen Hacker-Angriffe. Hier die Maßnahmen in deiner Zusammenfassung:

Die wichtigsten Schritte für eine sichere WordPress-Website:

  1. Halten Sie WordPress, Ihr Theme und Ihre Plug-ins stets auf dem neuesten Stand
  2. Verwenden Sie keine Themes oder Plug-ins aus unsicheren Quellen
  3. Deinstallieren Sie unnütze Themes und Plug-ins
  4. Verwenden Sie sichere Passwörter und einen anderen Benutzernamen als „admin“
  5. Verschleiern Sie Ihren Log-in-Bereich und begrenzen Sie die Anzahl der möglichen Log-in-Versuche
  6. Achten Sie auf einen sicheren Server und nutzen Sie SFTP sowie einen vertrauensvollen Hoster
  7. Verhindern Sie Zugriffe auf Ihre wp-config.php
  8. Verwenden Sie eine Firewall
  9. Erstellen Sie Back-ups

In diesem Sinne: Sorgen Sie dafür, dass Ihr WordPress sicher ist!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Fill out this field
Fill out this field
Bitte geben Sie eine gültige E-Mail-Adresse ein.

Menü

Elbnetz-Logo

Gruß ins Homeoffice:

Wir bieten ab sofort unser individuelles
WordPress-Coaching auch als Webinar an!