WordPress Sicherheit? Och nö, schon wieder Technik.

Dabei hast du doch gerade erst erfolgreich deine Webseite erstellt.

Das mach ich einfach später, denkst du dir so. Mir wird schon nichts passieren (schon irgendwie eine irrige Annahme, oder?!).

Und aus später wird sehr viel später. Hoffentlich nicht zu spät.

Die 4 Gründe, wieso du dein WordPress absichern solltest habe ich dir bereits im ersten Teil aufgezeigt. In Teil zwei ging es darum, wer Zugriff auf deine Webseite hat.

Im letzten Teil geht es darum, wie du deine WordPress Installation absicherst, indem du dich für die passende Plugins und Software Umgebung entscheidest.


​Proaktive WordPress-Sicherheit

Das 100%ige Rund-um-Sorglos-Paket gibt es nicht. Doch es gibt eine Menge Möglichkeiten, deine Webseite zu schützen.


​Sicherheits-Plugins

Wirf einen Blick ins offiziellen WordPress Verzeichnis und du findest unter dem Stichwort Security über 4.000 Plugins unterschiedlichster Kategorien und Funktionsumfang. Natürlich kannst du auch auf ein Plugin setzen, dass alle unten genannten Kategorien abdeckt.

Die drei meistgenutzten Security Plugins findest du hier im Anschluss.

WordPress Security Plugin - Prävention

Diese Plugins bieten ein gewisses Maß an Prävention, auch bekannt als Perimeter Defense für deine Website. Ihr Ziel: Hacks zu verhindern, indem sie eingehenden Traffic filtern.


WordPress absichern Security Plugins

Präventions-Plugins beschränken sich auf die Anwendungsebene. Das bedeutet, dass der Angriff auf die WordPress-Anwendung erfolgen muss, damit sie reagieren. Angriffe auf die Server Software lassen sich mit Security-Plugins nicht verhindern. Dafür bietet sich stattdessen eine Cloud-basierte WAF (online Firewall für die Webseite) an. Falsch eingestellt macht sie deine Webseite jedoch digital unsichtbar - also lass lieber einen Profi daran, wenn du diese Firewall einsetzen willst.

Hol dir die Tool Tipps direkt in dein Postfach


WordPress Security Plugin - Erkennung

Prävention hilft super bei bekannten Problemen, aber weniger gut bei unbekannten. Plugins, die alles erkennen, was an der Abwehr vorbeikommt, fallen unter die Kategorie Erkennung.

Diese Plugins versuchen, Eindringlinge durch File Integrity Checks zu identifizieren, nach Indikatoren für mögliche Angriffe zu suchen oder eine Kombination beider Mechanismen.

Die Wirkung dieser Plugins hängt streng von der Reihenfolge ab, in der du sie installierst. Zum Beispiel, wenn das Plugin auf Integritätsprüfungen basiert, dann muss es auf einer neuen, bekannten Umgebung installiert werden. Nur so kann es eine Ausgangsbasis für die Überprüfung erstellen.

Einige Plugins können bekannte Themes und Plugins von Drittanbietern mit ihrem eigenen Archiv vergleichen, um mit bereits betroffenen Websites zu arbeiten. Aber diese sind nicht kompatibel mit angepassten oder wenig bekannten Dateien.

​WordPress Security Plugin - Auditing

Entgegen der landläufigen Meinung fällt Sicherheit nicht unter den Punkt "einmal erledigt reicht für immer". Du musst Zeit investieren und regelmäßig prüfen, wer sich einloggt, was sich ändert und wann die Änderungen vorgenommen werden.

Auditing-Plugins helfen dir, da sie grundlegende Verwaltungsfunktionen anbieten, die dir helfen, einen Angriff zu identifizieren, zu vereiteln oder darauf zu reagieren.

WordPress Security Plugin - Utility

Der vielleicht der vielfältigste Bereich des gesamten WordPress Security Plugin Ökosystems. Einige Plugins ähneln einem Schweizer Taschenmesser für Sicherheit - flexibel und vielseitig einsetzbar. Andere bieten nur wenige Funktionen.

In den Konfigurationseinstellungen kannst du dich verlaufen. Deshalb lass da jemanden dran, der sich wirklich damit auskennt. Es kann ernsthafte Konsequenzen auf die Leistung deiner Webseite haben, weil z. B.

  • permanente Scans durchlaufen, die genauso ewig lange dauern wie der Virenscan auf deinem Laptop oder
  • du deine Webseite so abgesichert gut hast, der Google Bot dich nicht mehr findet: du bist quasi unsichtbar im Netz - blöd für dein Business.

Die drei meistgenutzten WordPress  Security Plugins

​Feature

​Wordfence

​iThemes Security

​Sucuri Security

  • ​Monitoring & Scans
  • ​Security Scans
  • ​Geplante Security Scans
  • ​Malware Identifizierung
  • ​Ident. Sicherheitsanomalien
  • ​Blacklist Monitoring
  • ​Dateiänderungen
  • ​DNS Monitoring
  • ​SSL Monitoring
  • ​Benachrichtigungen
  • ​Spamüberprüfung
  • ​Security Logs
  • ​ja
  • ​ja
  • ​nur Premium
  • ​Ja
  • ​Ja
  • ​nur Google Safe Browsing
  • ​Ja
  • ​Ja
  • ​Nein
  • ​Ja
  • ​nur Premium
  • ​erweitert
  • ​Mit Sucuri per Klick
  • ​nur Premium
  • ​Mit Sucuri per Klick
  • ​Mit Sucuri per Klick
  • ​Mit Sucuri per Klick
  • ​Mit Sucuri per Klick
  • ​Mit Sucuri per Klick
  • ​unklar
  • ​unklar
  • ​Ja
  • ​Ja
  • ​Basic
  • ​Ja
  • ​Ja
  • ​nur Premium
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Ja
  • ​Basic

Alle Plugins gibt es als kostenlose Variante. Doch die Premium Version bietet mehr Scans und Schutz. Achte hier auf die Details! Security-Scans, Malware-Identifizierung, Identifizierung von Sicherheitsanomalien oder Dateiänderungen meinen das Gleiche: durch den Abgleich von Dateien geprüft das Plugin, ob sich Malware auf deine Seite eingeschlichen hat. Einen Befall sollte dir jedoch bereits deine Google Search Console mitteilen, denn Google entfernt infizierte Webseiten recht fix aus den Suchergebnissen.

Das Sucuri Angebot enthält die eventuelle Malware Entfernung gleich mit im Preis, bei Wordfence nicht. Letzteres installierst du einfach als Plugin, während Sucuri sehr viel aufwändiger integriert wird.

Welches Plugin du wählst, hängt von deinem Geschäftsumfang ab.


Hosting

Das Thema Sicherheit beim Website-Hosting ist in den letzten Jahren zunehmend wichtiger und komplexer geworden.

Die meisten Webhoster bieten eine Kombination verschiedener Sicherheitsstufen, aber nicht individuell für jede Website. Oft kannst du Sicherheitspakete hinzubuchen. Was sinnvoll ist, hängt von der jeweiligen Konstellation aus deinem Webhosting und deiner WordPress Installation ab.

Je weniger ich weiß, wie meine Websites funktioniert, desto eher arbeite ich mit einem Hoster zusammen, der alles für mich verwaltet.

Überprüfe folgende Punkte bei deinem Webhoster:

  • Welche Sicherheitsvorkehrungen treffen sie, um deine Website (nicht nur ihren Server) zu schützen?
  • Welche Maßnahmen ergreift dein Anbieter, wenn sie Malware auf deiner Websites entdecken?
  • Wie oft suchen sie nach Malware?
  • Musst du dich an einen Dritten wenden, wenn deine Website gehackt wird?

SFTP/SSH-Verbindungen

Der sichere Dateitransfer zu und von deinem Server ist ein wichtiger Aspekt der Webseitensicherheit. Die Verschlüsselung schützt alle gesendeten Daten vor neugierigen Blicken.

​In der Regel hast du zwei der folgenden Möglichkeiten, um dich mit deinem Server zu verbinden:

  • SSH (Secure Socket Shell): ein sicheres Netzwerkprotokoll und die gebräuchlichste Methode zur sicheren Verwaltung von Remote-Servern. Mit Secure Socket Shell wird jede Art von Authentifizierung, einschließlich Passwortauthentifizierung und Dateiübertragung, vollständig verschlüsselt.
  • SFTP (SSH File Transfer Protocol): eine Erweiterung von SSH und ermöglicht die Authentifizierung über einen sicheren Kanal. Wenn du FileZilla oder einen anderen FTP-Client verwendest, kannst du stattdessen oft SFTP wählen. 22 ist der Standardport für SFTP in den meisten FTP-Diensten.

Brauch ich nicht! meinst du? Ich schon, z. B. wenn ich mein Freebie auf meiner Seite hochladen möchte oder größere Dateien, die ich nicht über meine Mediadatenbank hochladen kann.


​Backups

WordPress absichern Backup

Die Pflege von Webseiten Backups gehört zu deinen wichtigsten wiederkehrenden Aufgaben.

Ein gutes Backup rettet deine Website (und somit dein Business), falls vorher absolut alles andere schief ging. Wenn ein Hacker beschließt, alle deine Website-Dateien zu löschen oder mit fehlerhaften Skripten zu beschädigen, ​spielst du dein Backup ​ein.

Es gibt vier Hauptanforderungen für den Einsatz einer erfolgreichen Backup-Lösung:

  1. Standort außerhalb des Standorts: Speicher deine Backups außerhalb des Unternehmens und nicht auf dem gleichen Server wie deine Webseite. Backups, die auf deinem Webserver liegen, stellen ein ernsthaftes Sicherheitsrisiko dar. Sie enthalten oft alte, nicht gepatchte Software mit Schwachstellen. ​Aufgrund ihres öffentlich zugänglichen Standorts können sie von jedem genutzt werden, um deine Live-Webseite anzugreifen. Off-Site-Backups tragen auch zum Schutz vor Hardware Ausfällen bei. Wenn die Webserver Festplatte ausfällt, verlierst du alle deine Daten - die Live-Site und die Backups.
  2. Automatisch: Backup-Systeme sollten vollständig automatisiert sein, um sicherzustellen, dass Backups regelmäßig durchgeführt werden. Ich tendiere dazu, unangeheme Aufgaben vor mir herzuschieben, du auch? Deshalb minimierst du Benutzerfehler am besten durch Automatisierung. Wenn du unbedingt eine manuelle Lösung bevorzugst, dann stelle irgendwie sicher, dass du ​deine Backups regelmäßig machst.
  3. Redundant: Schofield's Second Law of Computing besagt, dass es keine Daten gibt, es sei denn, es gibt mindestens zwei Kopien davon. Das bedeutet, dass deine Backup-Strategie Redundanz oder Sicherungen deiner Backups beinhalten muss.
  4. Getestet & läuft: Stell sicher, dass der Wiederherstellungsprozess tatsächlich funktioniert. Ein schadhaftes Backup, das du nicht einspielen kannst, nutzt nichts. Also setze eine neue WordPress Installation auf eine Testdomain auf und stelle mit dem Backup deine Seite her.

​Erkennung

Es gibt eine Reihe von Tools, die dich benachrichtigen, wenn auf deiner Website komische Dinge passieren (O-Ton von Kundinnen). Um einer möglichen Sicherheitslücke auf die Spur zu kommen, kannst du diese Tools einsetzen, z. B. Sucuri.

WordPress Absichern Sucuri Sicherheits Plugin

Integritätsüberwachung

Integritätsprüfungen warnen dich frühzeitige vor einem Übergriff auf deine Webseite.

Die Tools zur Überwachung der Dateiintegrität werden normalerweise auf einem Server installiert, wo sie eine kryptografische Prüfsumme der kritischen Dateien und Registrierungseinträge erstellen. Wenn eine Datei oder ein Datensatz in irgendeiner Weise geändert wird, erhältst du eine Benachrichtigung über die Änderungen.

Installiere das kostenlose Sucuri Scanner-Plugin für WordPress, um unser zentrales Überwachungssystem zu nutzen.

Überprüfung / Warnungen

Auditing-Tools geben dir Einblick in die Benutzeraktivitäten auf deiner Website.

Stell dir folgende Fragen:

  • Wer meldet sich an?
  • Sollen derjenige sich einloggen?
  • Warum ändern die Person diesen Beitrag?
  • Warum melden sie sich mitten in der Nacht an?
  • Wer hat das Plugin installiert?

Verwende ein Tool, das alle Aktionen auf deiner Website aufzeichnet und dich warnt, einschließlich:

  • Erfolgreiche und fehlerhafte Benutzerauthentifizierung
  • Benutzer anlegen/entfernen
  • Datei-Uploads
  • Post- und Seitenerstellung
  • Veröffentlichung von Beiträgen und Seiten
  • Widget-Änderung / -Aktivierung
  • Plugin-Installation
  • Theme Änderungen
  • Änderungen der Einstellungen

​Krisen- und Wiederherstellungsplan

Es geht es nicht nur darum, auf einen Angriff oder Vorfall zu reagieren. Sondern auch darum, die Auswirkungen eines Angriffs zu analysieren, um zu verstehen, was genau vorging. Damit du Kontrollen einführen kannst, um zu verhindern, dass es wieder passiert. Dafür solltest du einen Plan parat haben. Spiele doch einmal gedanklich das Worst Case Szenario durch: was passiert, wenn meine Seite gehackt wird oder komplett ausfällt? Was machst du dann?

Fazit: wie ich mein WordPress absicher

Ich habe das für mich so gelöst, dass ich das Thema Sicherheit komplett an meinen Hoster ausgelagert habe. Gut, dafür zahle ich monatlich nicht 5 € sondern 10 € für meine Seite. Doch dafür läuft auch alles automatisch: alle Aktualisierungen, alle Sicherheitsupdates und alle Backups (die täglich sichern). Falls bei einer Aktualisierung etwas nicht mehr so auf meiner Webseite läuft wie vorher, spielt sich das Backup automatisch ein. Im Worst Case spiele ich mein letztes Backup mit einem Klick auf und mein Anbieter steht mir bei technischen Problemen rund um die Uhr zur Seite - auch am Wochenende.

Der Umzug hat mich erst davon abgehalten, doch bei WP-Projects ist auch das inklusive.

Also, worauf wartest du noch?!


Das könnte dir auch gefallen


Pin It on Pinterest

Share This