Blogbeitrag vom 09.06.2022 Sicherheit

WordPress-Websites sicher betreiben

Ursprünglich als Software für Blogs entwickelt, ist WordPress mittlerweile das beliebteste Content-Management-System (CMS).

64,2 % aller Websites weltweit, welche ein CMS nutzen, werden mit WordPress erstellt. Mit grossem Abstand folgen das auf Online-Shops spezialisierte Shopify mit 6,3 % und der Website-Baukasten Wix mit 3,4 %. (Statista GmbH, 2022).

Aber gerade weil WordPress so weit verbreitet ist, ist es leider auch Hackerangriffen ausgesetzt. Selbst wenn die grosse Community dafür sorgt, dass Sicherheitslücken schnell entdeckt und behoben werden, können Sie zusätzliche Massnahmen ergreifen, um Ihre Website zu schützen. Welche dies sind, verraten wir Ihnen in diesem Beitrag.

WordPress: Die Basics

Mit WordPress können Websites mit Leichtigkeit erstellt werden – auch ohne Programmierkenntnisse. Mithilfe von Bausteinen kann jede Art von Website eingerichtet und mit Themes gestaltet werden. Durch die Einbindung von Plugins sind diverse Funktionserweiterungen möglich. Mit dem CMS können Inhalte einfach verwaltet und online veröffentlicht werden.

Das Theme bestimmt das Aussehen der Website. Mit einem Mausklick kann das Theme und somit das ganze Website-Design geändert werden. Durch den modularen Aufbau von WordPress können durch Plugins weitere Funktionen (zum Beispiel ein Kontaktformular, ein Chat oder eine Fotogalerie) hinzugefügt werden.

Die Auswahl ist riesig – fast 10’000 Themes und 60’000 Plugins stehen im offiziellen WordPress-Verzeichnis zur Verfügung. Und dies sind nur die gratis Themes und Plugins aus dem offiziellen WordPress-Verzeichnis. Zusätzlich gibt es viele Tausende kostenpflichtige Premium Themes und Plugins (diese werden zum Beispiel auf Online-Marktplätzen für Themes und Plugins oder direkt auf den Websites der Entwickler:innen verkauft).

Doch genau die Themes und Plugins können unter Umständen zu Problemen und Sicherheitslücken führen. Wie Sie diese so gut wie möglich vermeiden können, wird in den folgenden Abschnitten beschrieben.

Aktuelle Version verwenden

Um Ihre Website bestmöglich vor Hackerangriffen zu schützen und dadurch auch den Datenschutz zu gewährleisten, ist es äusserst wichtig, stets die aktuelle WordPress-Version zu verwenden.

Kritische Sicherheitslücken werden von WordPress automatisiert geschlossen, diese sogenannten «Patches» (Pflaster) dienen jedoch nur als temporäre Lösung zur Schliessung dieser Sicherheitslücken. Durch ein Update wird die aktuellste Version eingespielt, welche Verbesserungen, neue Funktionen und weitere Fehlerbehebungen enthält. Verfügbare Updates sollten daher immer zeitnah installiert werden.

Neben der Kernsoftware müssen auch das verwendete Theme und die genutzten Plugins laufend aktualisiert werden, da diese eine zusätzliche Gefahr darstellen, insbesondere bei Inkompatibilitäten zur Kernsoftware. Mit regelmässigen Updates sorgen Sie für einen reibungslosen und sicheren Betrieb Ihrer Website.

Automatische Updates – ja oder nein?

WordPress bietet seit der Version 5.5 (veröffentlicht am 11.08.2020) auch die Option, im Backend automatische Aktualisierungen zu aktivieren. Was im ersten Moment nach einer Erleichterung klingt, birgt allerdings auch Risiken. Wenn zum Beispiel mehrere Plugins gleichzeitig unbeaufsichtigt aktualisiert werden und eines davon zu einem Fehler führt, kann dieser nicht gleich identifiziert werden. Wenn Sie die Updates manuell durchführen, können Sie Ihre Website nach jeder Aktualisierung direkt prüfen und eventuelle Probleme eher erkennen.

Daten durch Backups sichern

Ein fehlgeschlagenes Update kann zu Beschädigungen oder sogar einem Verlust von Daten führen.

Legen Sie darum vor jedem manuellen Update ein Backup der gesamten Website an. Auch falls Ihr Hosting-Anbieter automatische Backups anbietet – sicher ist sicher. Durch eine eigene Sicherheitskopie können Sie zudem sicherstellen, dass Sie bei einem allfälligen Datenverlust ohne Umwege auf Ihre Daten zugreifen können.

Wenn Sie sich für die Aktivierung von automatischen Aktualisierungen durch WordPress entschieden haben: Führen Sie auch dann in regelmässigen Abständen Backups Ihrer Website durch.

Sollte es trotz aller getroffenen Sicherheitsmassnahmen zu einem Hackerangriff kommen, können Ihre Daten damit zumindest bis zu einem gewissen Zeitpunkt wiederhergestellt werden.

Themes und Plugins: weniger ist mehr

Um eine Funktionsüberladung zu vermeiden, sollten nur so viele Plugins wie nötig eingesetzt werden. Ungenutzte oder veraltete Themes und Plugins bergen zudem ein Sicherheitsrisiko und sollten aus diesem Grund deaktiviert und gelöscht werden.

Wir raten dazu, nur Themes und Plugins aus dem offiziellen WordPress-Verzeichnis zu verwenden. Diese werden vor der Veröffentlichung auf Funktionalität und Vertrauenswürdigkeit überprüft. Alternativ kann mittels einer Individualentwicklung des Themes und der erforderlichen Funktionalitäten eine wesentlich bessere Kontrolle über das System erlangt werden.

Bevor Sie ein Theme oder Plugin herunterladen, informieren Sie sich, ob es Ihre Anforderungen erfüllt. Detaillierte Informationen finden Sie in der Regel in der Beschreibung, aber auch die Rezensionen können Ihnen nützliche Hinweise liefern. Falls bereits von Anfang an nur sehr spärliche Informationen und Dokumentationen vorhanden sind, empfiehlt es sich tendenziell, von einer Verwendung abzusehen. Dies kann zu einem späteren Zeitpunkt zu Problemen führen, indem zum Beispiel kein Support oder keine Updates verfügbar sind.

Hinweis: Der Einsatz von Plugins sollte immer datenschutzrechtlich abgeklärt werden. Allenfalls müssen Plugins in der Datenschutzerklärung aufgeführt werden.

Sicherheits-Plugins

Durch Plugins kann die Sicherheit Ihrer Website aber auch verbessert werden: Mit einem Sicherheits-Plugin wie beispielsweise einer Firewall werden verdächtige Aktivitäten blockiert, wodurch Angriffe verhindert werden können.

Eines der beliebtesten Sicherheits-Plugins ist WordFence, welches auf über 4 Millionen Websites installiert ist (WordPress.org, 2022). Mit einer Endpoint-Firewall, einem Antiviren-Scanner, einem Brute-Force-Schutz und weiteren Features bietet WordFence einen umfangreichen Schutz vor Hackerangriffen und Schadsoftware.

Eine Alternative dazu ist NinjaFirewall. Trotz des geringeren Funktionsumfangs im Vergleich zu WordFence gewährleistet diese leistungsstarke Firewall einen umfassenden Schutz.

Durch den erwähnten Brute-Force-Schutz wird verhindert, dass durch einen Hackerangriff beliebig viele Passwörter für einen Benutzernamen ausprobiert werden können, was zu unserem nächsten Tipp führt.

Nutzen Sie sichere Passwörter

Nutzen Sie für Ihre Logins unbedingt sichere Passwörter. Beachten Sie dazu folgende Kriterien:

  • Mindestens 12 Zeichen lang
  • Gross- und Kleinbuchstaben
  • Zahlen
  • Sonderzeichen
  • In keinem Wörterbuch zu finden

Wählen Sie für jeden Dienst ein separates Passwort aus und bewahren Sie dieses an einem sicheren Ort auf. Oder noch besser: Nutzen Sie einen Passwortmanager. Mit diesem können Sie für jeden Dienst ein sicheres, einzigartiges Passwort generieren, welches verschlüsselt gespeichert wird. Sie müssen sich nur ein Master-Passwort merken, um die gespeicherten Passwörter zu entschlüsseln.

Als zusätzlichen Sicherheitsmechanismus sollten Sie (sofern möglich) die Zwei-Faktor-Authentifizierung aktivieren.

Detaillierte Informationen zu starken Passwörtern sowie ein Passwort-Quiz finden Sie auf iBarry, der Plattform für Internetsicherheit der Swiss Internet Security Alliance.

Zugriffsrechte im Auge behalten

Die Zugriffsrechte für den WordPress-Admin-Bereich sollten stets auf dem neusten Stand sein. Halten Sie die Benutzerliste aktuell und löschen Sie nicht mehr berechtigte Benutzer und Benutzerinnen sofort.

Für Unternehmen-Websites raten wir zu einem Benutzermanagement. Erteilen Sie den Benutzer:innen keinen uneingeschränkten Zugriff, sondern nur diejenigen Zugriffsrechte, welche auch wirklich benötigt werden.

Hosting

Um Ihre Website im Internet zu veröffentlichen, brauchen Sie ein Hosting. Ein Hosting-Anbieter stellt den Speicherplatz auf dem Webserver bereit und bietet je nach Anbieter viele weitere Funktionen.

Weil die Sicherheit Ihrer Website auch von Ihrem Hosting-Anbieter abhängt, raten wir zu einem lokalen Webhoster, wodurch zudem die Rechtssicherheit garantiert wird. Durch das Ergreifen aller erforderlichen Schutzmassnahmen wird Ihnen eine sichere Infrastruktur zur Verfügung gestellt. Mit einer Überwachung rund um die Uhr werden Unregelmässigkeiten sofort erkannt und es kann umgehend interveniert werden.

Viele Hosting-Pakete enthalten ein kostenloses SSL-Zertifikat. Dadurch ist eine verschlüsselte Verbindung und somit ein geschützter Zugriff auf Ihre Website gewährleistet.

Wenn der Hosting-Anbieter zudem über die aktuelle Hard- und Software verfügt, wird Ihre Website blitzschnell geladen.

Unsere Tipps im Überblick

  • Aktuelle Version verwenden (WordPress Core, Themes und Plugins)
  • Regelmässige Backups anlegen
  • Nur so viele Plugins wie nötig einsetzen und ungenutzte oder veraltete Themes und Plugins deaktivieren und löschen
  • Nur Themes und Plugins aus dem offiziellen WordPress-Verzeichnis nutzen
  • Sicherheits-Plugins verwenden
  • Sichere Passwörter nutzen
  • Zugriffsrechte: Benutzerliste aktuell halten und nicht mehr berechtigte Benutzer löschen
  • Lokalen und sicheren Hosting-Anbieter auswählen

Mit all diesen Massnahmen in Kombination können Sie dafür sorgen, dass Ihre Website besser vor Angriffen geschützt ist. Mit einer sicheren und vertrauenswürdigen Website schützen Sie zudem auch die Daten Ihrer Besucher:innen.

Möchten Sie Ihren Aufwand reduzieren und dies den Profis überlassen, dann wenden Sie sich an eine erfahrene Web-Agentur.

Bei walsermedia verwenden wir keine Standard-Themes aus dem Internet, sondern programmieren eigens entwickelte, individuelle und sichere Websites basierend auf der Kernsoftware von WordPress. Die CMS-Oberfläche wird auf Ihre Anforderungen angepasst und kann daher noch benutzerfreundlicher gestaltet werden. Mit unserem Managed Service kümmern wir uns um sämtliche Updates und sichern Ihre Daten davor durch ein zusätzliches manuelles Backup.