Sicherheitsrichtlinien für WordPress
Trotzdem würde hier niemand auf die Idee kommen zu sagen: ‘Ich lasse meine Eingangstür einfach offen’, nur weil es bequemer ist. Genauso verhält es sich mit der Sicherheit für WordPress. Es besteht immer ein Spannungsfeld zwischen Sicherheit und Bedienbarkeit der Software. Allerdings solltest du es dir nicht zu bequem machen, da Angreifer oft genau diese Bequemlichkeit ausnutzen.
Inhaltsverzeichnis
Wie sicher ist WordPress eigentlich?
Bei der Frage nach der Sicherheit von Webseiten, muss zunächst erwähnt werden, dass Webseiten immer angegriffen werden. Egal wer, egal wo, egal wann – jeden Tag gibt es Hacker-Attacken auf Webseiten.
WordPress selbst ist daher sehr, sehr sicher. Hier gibt es regelmäßige Sicherheitsreleases, die Sicherheitslücken schließen. Dazu zählen unter anderem die Core Updates wie zum Beispiel WordPress 6.5 und auch die direkten Updates hinter dem Core Release. Diese Sicherheitslücken stellen aber tatsächlich meist kein wirklich großes Risiko dar. Die letzte Sicherheitslücke bei WordPress, die einfach für Hacker zu knacken war, ist bereits einige Jahre her.
Das Gute: Hacker gelangen nicht an die Core-Software von WordPress. Stattdessen werden die allermeisten Webseiten durch unnötige Probleme, wie z.B. das nicht-Aktualisieren von Funktionen oder das Verwenden unsicherer Passwörter, gehackt. Besonders anfällig sind, Statistiken zufolge, veraltete WordPress Core Versionen. Tatsächlich werden diese Schwierigkeiten aber mit jeder neuen Core Version von WordPress weniger.
Wie erfahre ich von Sicherheitslücken?
Es gibt verschiedene Wege, von Sicherheitslücken zu erfahren. Zum einen gibt es Mailing-Listen, die angeschrieben werden, sofern Sicherheitslücken bekannt werden, für mehr Sicherheit bei WordPress. Gleichzeitig gibt es auch Newsletter, über die neue Sicherheitslücken bekannt gegeben werden. Für den normalen Anwender von WordPress reicht es aber überwiegend aus, wenn eine Sicherheitslücke mit einem Update – zum Beheben des Risikos – veröffentlicht wird.
Der beste Weg sich selbst zu informieren ist daher, die Plugin Updates, die du selbst verwendest, im Blick zu behalten. Hier kannst du beispielsweise einstellen, dass du von WordPress bei neuen Updates über E-Mail informiert bist. So entgeht dir auch ganz sicher kein wichtiges Update zu einer Sicherheitslücke.
Wie kann ich meine Webseite sicherer machen?
Daher ist es umso wichtiger zu verstehen, dass jeder für die WordPress Sicherheit seiner Webseite selbst verantwortlich ist. Wer das verstanden hat, dass auch noch so kleine Webseiten angegriffen werden können, der kann beginnen sich, um die Sicherheit seiner Webseite zu kümmern.
Zunächst einmal besteht der Sicherheits-Aspekt bei WordPress Webseiten erst einmal darin, Sicherheitslücken zu schließen. Diese tauchen bei jeder Form von Software immer wieder auf. In diesem Fall bedeutet Sicherheitslücken schließen, das System aktuell zu halten, damit bekannte Lücken durch ein Update geschlossen werden können.
Wie oft sollten Updates/ Backups gemacht werden?
Einmal in der Woche sollten die Updates und Backups überprüft bzw. näher angeschaut werden, um die WordPress Sicherheit zu erhalten. Das bedeutet aber nicht zwangsläufig, dass dann auch ein Update gemacht werden muss. Sollte unter den neuen Updates aber ein relevantes Sicherheits-Update sein, mit dem eine Sicherheitslücke geschlossen wurde, solltest du dieses auch zügig durchführen.
An dieser Stelle neigt man dazu, es sich zu bequem zu machen und sich zu fragen: "Muss ich wirklich jedes Mal Updates machen, wenn ich das schon einmal getan habe? Oder man gibt die eigene Verantwortung ab, indem man sagt: Ich habe doch dieses Sicherheitsplugin oder Wer sollte mich schon hacken? Mich kennt ja keiner. Die vermeintliche Bequemlichkeit ist fehl am Platz."
Adrian, Systemadministrator
In der Vergangenheit wurden solche Sicherheitslücken nach Bekanntgabe schon oftmals nach nur wenigen Stunden ausgenutzt. Daher solltest du auf wöchentlicher Basis einfach mal schauen, ob und welche neuen Updates bei WordPress zur Verfügung stehen.
💡 Schon gewusst?
Mit der Kommerzialisierung des Internets, wurde auch das Ausnutzen von Sicherheitslücken beeinflusst. Früher war der klassische „Spam“ oder Viren manuell aufgesetzt, wohingegen Spam heute von KI erstellt wird.
Grundregeln für den Schutz deiner Webseite
- Führe Regelmäßige Backups ein – wenn deine Seite wirklich gehackt werden sollte, hast du deine Daten alle an einem sicheren Ort. Manchmal hast du selbst gar keine Chance, da nur wenige Stunden zwischen dem Auftreten einer Sicherheitslücke und einem Hackerangriff liegen können. Ist das mitten in der Nacht der Fall, hast du keine Chance, schnell zu reagieren. Mit dem Backup kannst du deinen ursprünglichen Webseitenzustand dann relativ zügig wieder herstellen und mehr Sicherheit auf WordPress schaffen.
- Regelmäßige Updates pflegen – Wie bei den Backups sind regelmäßige Updates essenziell, um den WordPress Core, wie auch Plugin Versionen zu aktualisieren. Es ist wichtig, alles zu aktualisieren und nicht nur einzelne Bestandteile deiner Webseite, dazu gehören auch diejenigen Plugins, die Geld, Kosten oder Lizenzen haben.
- Lösche alte oder nicht verwendete Plugins – insbesondere, wenn es keine Sicherheitsupdates mehr dafür gibt. Das befreit deine Webseite von altem Ballast und erhöht die WordPress Sicherheit.
- Sichere Passwörter verwenden – es gibt viele Tools, um lange, komplexe Passwörter erstellen zu lassen. Diese sind wesentlich komplexer zu knacken als selbst erdachte Passwörter.
- Hinterlege die Zwei-Faktor-Authentifizierung für den Login im WordPress Backend. Darüber bekommst du bei deiner Anmeldung bei WordPress zusätzlich noch eine SMS oder E-Mail mit einem Verifizierungscode zugeschickt.
- Erstelle eigene Autoren-Benutzer für Beiträge und veröffentliche Inhalte nicht mit dem ersten WordPress Nutzer. Solltest du gehackt werden, kann dieser Nutzer nicht viel ausrichten. Somit schaffst du mehr Sicherheit für deine WordPress Seite.
- Achte auf die Herkunft der Plugins und kaufe diese nur bei sicheren Quellen oder Herstellern. Bei unsauberen Quellen kannst du dir über die Qualität und die Funktionen nicht sicher sein.
Mit dieser Basis bist du gut gerüstet, um die meisten Schwierigkeiten von dir fernzuhalten.
- PageSpeed Score
- Core Web Vitals
- Parameter mit Erläuterung
Nach dem Absenden erhältst du das Ergebnis direkt per E-Mail.
Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.
Wie kann dir die Performanceanalyse bei der Sicherheit deiner Webseite helfen?
Reparaturen
Bei der Sicherheit deiner WordPress Webseite ist es ebenso wichtig, dass die Fehler und Probleme auf deiner Webseite alle behoben sind. Dabei kann dir dein Hoster oder eine Agentur helfen, deine Probleme zu analysieren und zu reparieren.
Eine solche Reparatur kann von Content-Inhalten bis hin zu technischen Features oder Konfigurationen alles beinhalten, wie zum Beispiel Cookie Banner oder sehr komplexe CSS Themen.
Bei der Performanceanalyse wird dir von solchen Agenturen erst einmal ein Analyseprofil erstellt, vom Hosting über Bilder bis hin zum Caching wird sich hier genau angeschaut, wo die Trigger deiner Webseite liegen, welche Optimierungen vielleicht bereits eingebaut wurden und was noch verbessert werden kann.
💡 TIPP
Es gibt bekannte Faustregeln, wie: Weniger Plugins sind besser. Das stimmt im Grunde auch, dennoch bedeutet das nicht, dass feste Grenzen wie z. Bsp. „alles über 20 Plugins ist schlecht“ richtig sind. Denn das kommt natürlich immer auf den Einzelfall, die integrierten Plugins und deren Funktionen an.
Solltest du ein Plugin aber nicht mehr benötigen, solltest du es löschen. Weniger Plugins bedeutet, weniger mögliche Einfallstore und Sicherheitslücken.
Apropos –Thema Sicherheit jetzt auch im Podcast
Wenn du mehr zum Thema Sicherheit und alles rund um WordPress erfahren möchtest, schau doch mal in unserem Podcast „Hör mal wer da Hosted“ vorbei. Unsere Hosts Adrian und Nick unterhalten sich mit WordPress Experten aus der WordPress Community und haben clevere Tipps, Tricks und Insider-Informationen für dich.
Außerdem besuchen einige von uns auch regelmäßig das WordPress Meetup ganz in unserer Nähe in Saarbrücken. Wir freuen uns sehr, dass unser Team aktiv mit vielen WordPress Nutzern immer wieder in den Austausch geht und wir dabei selbst noch viel Neues dazulernen dürfen.
Backups gegen Sicherheitslücken
Behalte deswegen immer dein WordPress Backend oder mögliche Fehler auf deiner Seite im Auge. Du kannst dir auch Hilfe von Experten holen, die diesen Service für dich übernehmen.