WordPress Sicherheit? Och nö, schon wieder Technik.

Dabei hast du doch gerade erst erfolgreich deine Webseite erstellt.

Das mach ich einfach später, denkst du dir so. Mir wird schon nichts passieren (schon irgendwie eine irrige Annahme, oder?!).

Von später zu sehr viel später (läuft ja alles trotzdem, was für Horrorszenarien da immer kursieren - so ein Quatsch!). Hoffentlich nicht zu spät.

4 Gründe, wieso du dein WordPress absichern solltest

1. Deine Webseite kann unbrauchbar werden

Judith, meine Webseite wird nicht mehr angezeigt, wenn ich sie aufrufe. Und ich komme auch nicht mehr rein. Kannst du mir helfen?

Was war geschehen?

Ein Plugin wurde mit Malware (bösartigem Code) infiziert und das hat gleich alles lahm gelegt. Die Webseite lief immer noch bei ihrem Hosting Anbieter und nachdem die Ursache beseitigt wurde, konnte die Webseite wieder angezeigt werden.

Hol dir die Tool Tipps direkt in dein Postfach

2. Google setzt dich auf die schwarze Liste

Du willst von Suchmaschinen gefunden werden, doch irgendwie kam Malware auf deine Webseite. Weil z. B. wegen veralteten Plugins. Google setzt dich sofort auf die sogenannte Blacklist, die schwarze Liste. Damit taucht deine Seite in den Suchergebnissen nicht mehr auf.

Erst wenn die Seite wieder hergestellt wurde, kannst du sie bei Google erneut einreichen. Ob du dann immer noch so gut in den Suchergebnissen gelistet wirst, steht auf einem anderen Blatt.

3. Datenverlust

Einerseits den Verlust deiner Webseite, den du durch den Hackerangriff erleidest. Andererseits  jedoch auch die Nutzerdaten, die deine Internetseite speichert, die ein Hacker erbeutet. Bei einem Blog zum Beispiel die Email-Adresse deiner Leser, bei einem Online-Shop schlimmstenfalls die Zahlungsinformationen. Laut DSGVO ein meldepflichtiger Vorfall. Der Datenschutzaufsichtsbehörde gegenüber wie auch den von der Datenpanne betroffenen Personen gegenüber. Sehr peinlich.


4. Rechtliche Konsequenzen

Du bist rechtlich als Webseitenbetreiber für die Sicherheit deiner Webseite verantwortlich. Das galt bereits vor der DSGVO. Nach Absatz 7 §13 TMG bist du dazu verpflichtet sicherzustellen, unerlaubten Zugriff auf deine Daten und technischen Einrichtungen zu verhindern. Zum Beispiel, in dem du deine Seite mit SSL verschlüsselst oder regelmäßig deine WordPress Installation aktualisierst.

Du siehst, all dies läuft auf einen wirtschaftlichen Schaden hinaus, den du besser vermeidest.

Jüngste Statistiken zeigen, dass rund 30 % der Website-Administratoren im gesamten Internet WordPress verwenden. Diese Popularität hat ihren Preis: sie sind oft von bösartigen Hackern und Spammern ausgesetzt, die versuchen unsichere Websites zu ihrem Vorteil zu nutzen. Bei der Sicherheit von WordPress geht es um die Reduzierung von Risiken, nicht um die Beseitigung von Risiken. Risiken gibt es immer, deshalb bleibt die Sicherheit ein kontinuierlicher Prozess, der eine häufige Bewertung möglicher Angriffe erfordert.

Diese Anleitung soll WordPress-Administratoren über grundlegende Sicherheitstechniken und umsetzbare Schritte aufklären, die dazu beitragen, deine Sicherheitslage zu verbessern und das Risiko eines Angriffs zu verringern.

Einen kostenlosen Webseiten Sicherheitscheck kannst du hier bei Sucuri oder beim Google Safe Browsing Status durchführen.

Software-Schwachstellen

Das WordPress-Sicherheitsteam arbeitet fleißig daran, wichtige Sicherheitsupdates und Schwachstellen-Patches bereitzustellen. Die Verwendung von Plugins und Designs von Drittanbietern setzt deine Webseite jedoch zusätzlichen Sicherheitsbedrohungen aus.

Durch die regelmäßige Installation der neuesten Versionen der wichtigsten WordPress-Dateien und Erweiterungen stellst du sicher, dass deine Website über alle gängigen Sicherheitspatches verfügt.

Überprüfe deine Plugins & Themes

Plugins und Themes veralten, werden überflüssig oder enthalten Fehler, die ein ernsthaftes Sicherheitsrisiko für Ihre Website darstellen.Um deine WordPress-Installation zu schützen, empfehle ich dir, deine Plugins und Themen regelmäßig zu überprüfen.

Wie überprüfst du deine Plugin-Sicherheit?

Bewerte die Sicherheit von WordPress-Plugins und -Themen, indem du dir einige wichtige Indikatoren ansiehst:

  • Hat das Plugin oder Theme eine große Installationsbasis?
  • Gibt es viele Nutzerbewertungen und wo liegt die durchschnittliche Bewertung?
  • Unterstützen die Entwickler aktiv ihr Plugin und treiben häufige Updates oder Sicherheitspatches voran?
  • Listet der Anbieter Nutzungsbedingungen oder eine Datenschutzerklärung auf?
  • Gibt es eine physische Kontaktadresse in den AGB oder von einer Kontaktseite?

Lies die Allgemeinen Geschäftsbedingungen sorgfältig durch - sie können unerwünschte Extras enthalten, die die Plugin Autoren nicht auf ihrer Homepage beworben haben. Wenn das Plugin oder das Design keine dieser Anforderungen erfüllt oder vor dem letzten Update den Besitzer gewechselt hat, solltest du vielleicht nach einer sichereren Lösung suchen.

Nicht verwendete Plugins & Designs entfernen

Wenn es um unbenutzte Plugins geht, ist weniger mehr. Das Speichern unnötiger Plugins in deiner WordPress-Installation erhöht die Wahrscheinlichkeit eines Angriffs, auch wenn sie deaktiviert sind und nur noch passiv in deiner Installation rumliegen.

Du benutzt das WordPress-Plugin nicht? Entferne es aus deiner Installation.

Aktualisierungen

WordPress aktualisieren

WordPress absichern Aktualisierungen

Installiere immer so schnell wie möglich Updates. Melde dich regelmäßig auf deiner Website an, um sicherzustellen, dass du über Updates informiert bist, sobald sie veröffentlicht werden.

Vorsicht!

Bevor du deine Website auf die neueste Version von WordPress aktualisierst, solltest du folgende Vorsichtsmaßnahmen ergreifen:

  • Sicher deine Webseite
  • Lies die Versionshinweise, um herauszufinden, ob Änderungen negative Auswirkungen auf deine Website haben.
  • Teste das Update auf einer Entwicklungsseite, um sicherzustellen, dass deine Designs, Plugins und andere Erweiterungen mit der neuesten Version kompatibel sind.

Plugins aktualisieren

WordPress absichern Aktualisierungen Plugins
WordPress kann die Plugins möglicherweise nicht aktualisieren, wenn sie von einer Website eines Drittanbieters heruntergeladen wurde. In diesem Fall musst du das Plugin möglicherweise manuell per FTP aktualisieren oder einen mitgelieferten Updater verwenden.

Plugin Updates WordPress manuell durchführen:

  1. ​Überprüfe die Kompatibilität zwischen dem Plugin und deiner aktuellen WordPress-Version.
  2. Lade die neueste Version des Plugins aus einer offiziellen Quelle herunter und speicher sie auf deinem lokalen Rechner.
  3. Schau nach, ob es speziellen Update-Anweisungen des Plugin-Entwicklers gibt. Ansonsten gehe zu den Schritten 4-9 über.
  4. Melde dich bei deinem Server über SFTP oder SSH an.
  5. Navigiere zu /wp-content/plugins/ und lade diesen Ordner auf deinen Computer herunter, um als Backup zu dienen.
  6. Suche das Verzeichnis des Plugins, das du aktualisieren willst, und lösche es von FTP.
  7. Lade die neueste Version an den gleichen Ort hoch.
  8. Melde dich als Admin bei WordPress an und klicken Sie auf Dashboard > Plugins.
  9. Such das Plugin, das du gerade aktualisiert hast, aus der Liste und klicke auf Aktivieren.

Aktualisieren von Themes

Wenn du kein Child-/Parent-Theme für Anpassungen verwendest, musst du deine Änderungen in einen neuen Theme Ordner kopieren und ihn dann via FTP aktualisieren.

Um Themes manuell in WordPress zu aktualisieren:

  • ​Verbinde dich mit deiner Website über FTP und gehe zu /wp-content/themes/, dann lade den aktuellen Themeordner auf deinen Computer herunter.
  • Lade die neuste Theme Version von der Website des Anbieters herunter und speichere sie auf deinem lokalen Computer - du hast jetzt zwei Kopien des Theme-Ordners.
  • Kopiere alle Anpassungen und Code-Änderungen aus deinem alten Design und füge sie zu den neuen Designs hinzu.
  • Lade die neueste Version des Themeverzeichnisses hoch, komplett mit Anpassungen an WordPress per FTP.

​Wenn du ein benutzerdefiniertes Child Theme verwendest, das die Funktionalität von einem Parent Theme übernimmt, dann geht das ziemlich einfach: überschreibe einfach deine Kopie des Parent Themes mit der neuesten Version aus der offiziellen Quelle. Deine Anpassungen bleiben im Child Theme erhalten.

​​Implementierung von SSL & HTTPS

SSL Zertifikat HTTPS

SSL hat in den letzten Jahren immer mehr an Bedeutung gewonnen. Nicht nur für die sichere Übertragung von Informationen zu und von Ihrer Website. Sondern auch bei Google: du wirst in den Suchergebnissen besser gelistet und erhöhst deine Sichtbarkeit. Bzw. verringerst die Chancen, abgestraft zu werden.

SSL ermöglicht den Zugriff auf eine Website über HTTPS, das die zwischen Besuchern und Webservern gesendeten Daten verschlüsselt. Seit 2014 wertet Google SSL als ein Rankingfaktor für SEO und hat damit begonnen, Nicht-HTTPS-Websites als unsicher zu markieren

Einige Punkte hast du sicherlich bereits beachtet, als du deine Webseite erstellt hast: die sorgfältige Theme- und Plugin Auswahl. Chrome, Firefox & Co zeigen deine Seite mit einem kleinen grünen Schlösschen an? Super das SSL Zertifikat funktioniert. Gehe dann zum nächsten Teil dieser Anleitung über:

durch Zugriffskontrollen dein WordPress absichern - das geht teilweise auch ganz untechnisch mit konventionellen Methoden.

Fazit

Meiner Erfahrung nach hapert es immer wieder an den Aktualisierungen. Wenn du das nicht manuell machen möchtest (was ich durchaus verstehe), dann wähle einen Hosting Anbieter, der das für dich automatisiert übernimmt.


Das könnte dir auch gefallen

Pin It on Pinterest

Share This