Wie Sie die IT-Sicherheit von WordPress-Seiten erhöhen

Angriffe auf Websites sind an der Tagesordnung. Leider sind kleine Unternehmen besonders anfällig für Hackerangriffe aus dem Internet, da sie normalerweise keine Mitarbeiter haben, die sich um den Betrieb ihrer Website kümmern, geschweige denn um deren Absicherung durch Härtungsmaßnahmen oder Pentests.

Da WordPress-Seiten einen hohen Marktanteil haben, lohnen sich dort automatisierte Angriffe sehr. Erst kürzlich ein wurde ein automatisierter Angriff auf über 900.000 teils erfolgreich durchgeführt, um Hintertüren für weitere illegale Aktivitäten zu installieren.

Glücklicherweise gibt es ein paar einfache Dinge, die Sie tun können, um Ihre Website sicherer zu machen, ohne die fundierte Kenntnisse von einem Penetrationstest, kurz Pentest, oder IT-Sicherheit generell zu haben.

Die Grundlagen für höhere IT-Sicherheit in WordPress

Bevor wir in einige der Sicherheitstipps eintauchen, die zum Schutz Ihrer WordPress-Website verwendet werden können, ist es wahrscheinlich eine gute Idee, kurz einige allgemeine Sicherheitsvorkehrungen zu überprüfen, die für WordPress und andere ähnliche Content-Management-Systeme gelten, auch wenn die Terminologie davon abweichen kann.

• Bleiben Sie mit Patches auf dem neuesten Stand. Die WordPress-Community behält den Überblick über Sicherheitsbedrohungen und reagiert im Allgemeinen schnell auf neue Schwachstellen. Aber wenn Sie die Updates nicht installieren, nützt Ihnen das nicht viel. WordPress hat vor Kurzem damit begonnen, automatische Sicherheits-Updates zu implementieren, aber nur für die Versionen 3.7 und höher. Wenn Sie eine ältere Version verwenden, ist es in Ihrem besten Interesse, ein Update durchzuführen. Erstellen Sie vorher immer eine Sicherheitskopie.
• Sicherheitsbedenken und mögliche Schwachstellen sind bei Plugins immer wahrscheinlich. Das soll Sie nicht von der Installation von Plugins abschrecken, aber wenn Sie ein bestimmtes Plugin nicht verwenden, ist es eine gute Idee, es zu deaktivieren oder ganz zu entfernen.
• Sichern Sie Ihre Website regelmäßig! Wenn Ihre Website kompromittiert ist und nicht mit Sicherheit "gesäubert" werden kann, ist die Wiederherstellung aus einem Backup möglicherweise die einzige Möglichkeit. [BackWPup](https://wordpress.org/support/plugin/backwpup/reviews/) und [BackupBuddy](https://ithemes.com/backupbuddy/) sind beides gute Backup-Optionen für WordPress.

Sicherheits-Tools von WordPress selbst

Wenn Ihre Website schon längere Zeit online ist, wird sie bereits erfasst und möglicherweise von automatisierten Tools angegriffen, die im Web von automatischen Bots ausgeführt werden.

Oftmals ist der beste Weg, Ihre Website vor diesen automatisierten Angriffen zu schützen, wenn Sie selbst ein wenig Automatisierung hinzufügen. Plugins wie iThemes Security und Wordfence verschleiern Details Ihrer WordPress-Installation und erschweren dadurch Angriffe und verfügen außerdem über Werkzeuge, um potenzielle Angriffe zu erkennen und darauf zu reagieren.

Die Konfiguration von Plugin-Optionen zur Begrenzung von Login-Versuchen, zur Anforderung starker Passwörter und zur Verschlüsselung des Admin-Bereichs von WordPress bietet einen zusätzlichen Schutz, der Angreifer zu einem leichteren Ziel umleiten könnte.

Keine der Empfehlungen, die wir aufgelistet haben, erfordert viel Arbeit bei der Umsetzung, aber zusammengenommen kann das Risiko, das Ihre WordPress-Website gehackt wird, erheblich reduziert werden. Der Schutz Ihrer Website vor den häufigsten Web-Angriffen ist ein wenig so, als würde man vor einem Bären davonlaufen. Ihre Website muss nicht unbedingt zu 99% sicher sein, sie muss nur sicherer sein als die anderen angegriffenen Websites. Don’t be the low hanging fruit!

Erreichen Sie erhöhte Sicherheit durch einen WordPress-Pentest

Es ist also keine Überraschung, dass erfahrene Angreifer und "Skript-Kiddies" gerne WordPress-Websites ins Visier nehmen. Ganz gleich, ob Sie Webmaster oder Sicherheitsexperte sind, wenn Sie mit der Beurteilung der Sicherheitslage einer WordPress-Website betraut werden, hilft es Ihnen, sich der allgemeinen Sicherheits-Fallen, die in der Vielzahl von Plugins stecken können, bewusst zu sein, die Angreifer in der Regel ausnutzen. Die meisten Plugins werden nämlich nicht von der WordPress-Community oder dem Programmierer einem ausreichenden Pentest unterzogen.