Wie Sie die IT-Sicherheit von WordPress-Seiten erhöhen

Angriffe auf Websites sind an der Tagesordnung. Gerade kleine Unternehmen sind besonders anfällig für Hackerangriffe, da sie in der Regel keine Mitarbeiter haben, die sich um den Betrieb ihrer Website kümmern -- geschweige denn um deren Absicherung durch Härtungsmaßnahmen oder Pentests.

Da WordPress-Seiten einen hohen Marktanteil haben, lohnen sich automatisierte Angriffe dort besonders. Erst kürzlich wurde ein automatisierter Angriff auf über 900.000 WordPress-Seiten teils erfolgreich durchgeführt, um Hintertüren für weitere illegale Aktivitäten zu installieren.

Glücklicherweise können Sie bereits mit wenigen einfachen Maßnahmen die Sicherheit Ihrer Website deutlich erhöhen -- auch ohne tiefgehende Kenntnisse im Bereich Penetrationstests oder IT-Sicherheit.

Die Grundlagen für höhere IT-Sicherheit in WordPress

Bevor wir auf konkrete Sicherheitstipps für Ihre WordPress-Website eingehen, lohnt sich ein kurzer Blick auf einige allgemeine Sicherheitsvorkehrungen. Diese gelten für WordPress ebenso wie für andere Content-Management-Systeme, auch wenn sich die Terminologie unterscheiden kann.

• Halten Sie Ihre Software aktuell. Die WordPress-Community behält Sicherheitsbedrohungen im Blick und reagiert in der Regel schnell auf neue Schwachstellen. Allerdings nützt das wenig, wenn Sie die Updates nicht installieren. Seit Version 3.7 führt WordPress automatische Sicherheits-Updates durch. Falls Sie noch eine ältere Version einsetzen, sollten Sie dringend ein Update vornehmen. Erstellen Sie vorher immer eine Sicherungskopie.
• Deaktivieren Sie ungenutzte Plugins. Plugins können immer potenzielle Schwachstellen mit sich bringen. Das soll Sie nicht von der Nutzung abschrecken -- aber wenn Sie ein bestimmtes Plugin nicht verwenden, sollten Sie es deaktivieren oder vollständig entfernen.
• Erstellen Sie regelmäßige Backups. Wenn Ihre Website kompromittiert wurde und sich nicht zuverlässig bereinigen lässt, ist die Wiederherstellung aus einem Backup möglicherweise die einzige Option. BackWPup und BackupBuddy sind zwei bewährte Backup-Lösungen für WordPress.

Sicherheits-Tools von WordPress selbst

Wenn Ihre Website bereits längere Zeit online ist, wurde sie mit hoher Wahrscheinlichkeit schon von automatisierten Bots erfasst und möglicherweise angegriffen.

Häufig besteht der beste Schutz gegen solche automatisierten Angriffe darin, selbst auf Automatisierung zu setzen. Plugins wie iThemes Security und Wordfence verschleiern Details Ihrer WordPress-Installation, erschweren dadurch Angriffe und bieten zusätzlich Werkzeuge, um potenzielle Angriffe zu erkennen und darauf zu reagieren.

Durch die Konfiguration von Plugin-Optionen -- etwa die Begrenzung von Login-Versuchen, die Anforderung starker Passwörter oder die Verschlüsselung des Admin-Bereichs -- schaffen Sie zusätzliche Hürden, die Angreifer auf leichtere Ziele ausweichen lassen.

Keine der genannten Empfehlungen erfordert großen Aufwand, doch in Kombination können sie das Risiko eines erfolgreichen Angriffs auf Ihre WordPress-Website erheblich senken. Der Schutz Ihrer Website vor den häufigsten Web-Angriffen funktioniert ähnlich wie das Prinzip der Bären-Flucht: Ihre Website muss nicht zu 100 % sicher sein -- sie muss nur sicherer sein als die anderen. Don’t be the low hanging fruit!

Erreichen Sie erhöhte Sicherheit durch einen WordPress-Pentest

Es ist daher wenig überraschend, dass erfahrene Angreifer und Skript-Kiddies bevorzugt WordPress-Websites ins Visier nehmen. Ob Sie nun Webmaster oder Sicherheitsexperte sind: Wenn Sie mit der Beurteilung der Sicherheitslage einer WordPress-Website betraut werden, sollten Sie sich der typischen Sicherheitsfallen bewusst sein, die in der Vielzahl von Plugins lauern können. Die meisten Plugins werden weder von der WordPress-Community noch von ihren Entwicklern einem ausreichenden Pentest unterzogen.