Blog

Unser Wissensblog über Technik, Design und digitales Unternehmertum.

Wie sicher ist meine WordPress-Website? Die 3 häufigsten Anwenderfehler

Von Lars am 05. März 2022 um 12:08 Uhr

WordPress ist nicht ohne Grund das mit Abstand beliebteste Content-Management-System (CMS) weltweit. In nahezu allen Bereichen ist es seinen Mitbewerbern überlegen. Es ist Open Source, kostenlos, hat eine gigantische Community hinter sich und läuft mit seinen geringen Ansprüchen auf nahezu jedem gängigen Server. Der entscheidendste Vorteil ist aber die Flexibilität: Simple private Blogs, Firmen-Websites, Mitgliederverzeichnisse, E-Commerce, Lernsysteme und vieles mehr: all das lässt sich mit WordPress realisieren.

Neben all den Vorteilen gibt es jedoch auch Nachteile. Der schwerwiegendste Nachteil betrifft die Sicherheit. Denn wegen seiner hohen Verbreitung ist WordPress ein lukratives Ziel für Hacker. Hat man sich auf das Hacken von WordPress-Websites spezialisiert, findet man Millionen potenzielle Opfer aus sämtlichen Branchen.

Grundsätzlich ist WordPress aber ein sehr sicheres CMS. In der Regel führen erst grobe Anwenderfehler dazu, dass eine WordPress-Website gehackt werden kann. Im Folgenden zeige ich 3 typische Anwenderfehler und Schwachstellen auf, die man leider immer wieder beobachten kann.

3 typische Sicherheitsrisiken in WordPress-Installationen

1. Keine regelmäßigen – zeitnahen – Updates

Wie jede Software muss auch WordPress regelmäßig aktualisiert werden. Nicht selten findet man Websites, deren WordPress-Version seit Jahren keine Aktualisierung mehr erfahren hat. Updates sollten immer und unverzüglich durchgeführt werden. Selbst ein monatliches Update-Intervall – auch wenn besser als gar keines – ist zu weit gefasst.

Außerdem sollte natürlich nicht nur WordPress selbst, sondern alle Bestandteile aktuell gehalten werden. Zu aktualisieren sind also:

  • WordPress
  • Theme (auch manchmal „Template“ genannt)
  • Plug-Ins
  • Sämtliche Software des Servers, auf dem die Website läuft (insbesondere die PHP-Version)

2. Zu viele Plug-Ins

WordPress ist vor allem deshalb so beliebt, weil auch Laien durch das Installieren von Plug-Ins (gelegentlich auch „Erweiterungen“ oder „Apps“ genannt) vielfältige Funktionen hinzufügen können. So wird aus dem Blog durch ein paar Klicks beispielsweise ein Online-Shop oder eine umfangreiche Mitgliederverwaltung.

Jedes einzelne Plug-In ist aber ein potenzielles Sicherheitsrisiko. Gerade Laien können nicht abschätzen, ob und welche Schadcodes bzw. Sicherheitslücken sie leichtfertig installieren.

Im besten Fall installiert eine fachkundige Person die Plug-Ins. Es gibt aber auch ein paar Grundregeln, die vor den gröbsten Fehlern schützen können:

  • Nur absolut notwendige Plug-Ins installieren, die für die Grundfunktionalität der Website unerlässlich sind. Regelmäßig hinterfragen, ob das Plug-In noch benötigt wird.
  • Plug-Ins nur aus sicheren Quellen beziehen. Dabei darauf achten, dass die Plug-Ins eine regelmäßige Update-Historie und kontinuierlich positive Bewertungen vorweisen. Finden sich negative Bewertungen zur Sicherheit des Plug-Ins, ist das ein Ausschlusskriterium.
  • Nicht genutzte Plug-Ins komplett deinstallieren – nicht nur deaktivieren.
  • Faustregel: Maximal 10 Plug-Ins installieren. Je weniger Plug-Ins installiert sind, desto sicherer ist WordPress.

3. Unsichere Log-In-Daten

Im schlimmsten Fall loggt sich ein Angreifer einfach direkt als Administrator in die WordPress-Installation ein. Das passiert erfahrungsgemäß weitaus häufiger, als manch einer glauben mag. Zum Thema sichere Zugangsdaten und Passwörter gibt es eigene Artikel. Hier jedoch nochmal die wichtigsten Eckpunkte:

  • Zugangsdaten sollten immer geheim bleiben. Eine Weitergabe sollte nur erfolgen, wenn es keine andere Möglichkeit gibt.
  • Niemals die selben Log-In-Daten mehrmals verwenden. Ein Passwort muss immer einzigartig sein.
  • Administratoren-Rechte nur an Administratoren geben. Personen, die nur Beiträge posten und verwalten, sollten die Rolle „Redakteur“ erhalten.
  • Nicht mehr benutzte User regelmäßig löschen.
  • Zugangsdaten regelmäßig ändern. Bei jedem erkannten Sicherheitsvorfall sämtliche Zugangsdaten sofort ändern.

Sicherheits-Plug-Ins und „WordPress-Hardening“

Wer sich mit dem Thema Sicherheit von WordPress befasst, stößt zwangsläufig auf eine ganze Menge Sicherheits-Plug-Ins und den Begriff „Hardening“. Bei letzterem handelt es sich um Code-Anpassungen des WordPress-Kerns, um WordPress sicherer zu machen.

Grundsätzlich ist es möglich, WordPress durch individuelle Code-Anpassungen oder Plug-Ins abzusichern. Allerdings sollten Laien unter keinen Umständen gut gemeinte Änderungen an Sicherheitsrelevanten Code-Bestandteilen vornehmen. Im besten Fall wird damit nur die Website lahmgelegt. Schlimmstenfalls erreicht man damit genau das Gegenteil und baut neue Sicherheitslücken in WordPress ein. Der Einsatz von Sicherheits-Plug-Ins ist wie bei allen anderen Plug-Ins kritisch zu hinterfragen und im Zweifel stets zu unterlassen.

Fazit

Grundsätzlich ist WordPress ein sicheres System, das jedoch schnell durch unsachgemäßen Gebrauch zum Sicherheitsrisiko werden kann. Benutzer sollten sich im Klaren sein, dass sie als Administratoren für die gesamte Sicherheit des Systems selbst verantwortlich sind. Geht man dementsprechend vorsichtig und zurückhaltend vor, ist man vor den gröbsten Fehlern geschützt.