WordPress-Sicherheit optimieren

Warum Unternehmen die Sicherheit Ihrer WordPress Installation verbessern sollten

Viele Unternehmen und Privatpersonen befassen sich viel zu wenig mit dem Thema WordPress-Security und unternehmen oftmals wenig bis keine Vorkehrungen, um Angreifern das Leben schwer zu machen und die eigene Website gegen Angriffe abzusichern. Oftmals mit fatalen Folgen.

Foto: © Maksim Kabakou / Fotolia.com
Wer eine WordPress Installation betreibt, sollte sich unbedingt auch mit der Optimierung der Sicherheit befassen, um Angreifern wenig Chancen zu bieten. Foto: © Maksim Kabakou / Fotolia.com

WordPress ist ein System, das sich durch eine einfache Installation, eine durchdachte Handhabung und viele Funktionen auszeichnet. Immer mehr Unternehmen erkennen die Vorteile, dieses System bieten kann. Nicht umsonst ist WordPress das meistgenutzte Contant-Management-System (CMS) auf dem Markt. Leider macht diese Tatsache WordPress-Installationen auch zu einem beliebten Angriffsziel von Hackern. Unternehmen machen es Eindringlingen oftmals viel zu leicht, Zugriff auf den Server und/oder Daten zu erhalten. Besonders brisant wird es dann, wenn sensible Kundendaten betroffen sind. Dies kann vom Datenverlust bis hin zum Imageschaden für das eigene Unternehmen führen.

Leider ist es eher die Regel, dass sich viele Unternehmen zu wenig mit dem Thema WordPress Sicherheit auseinandersetzen. Oftmals werden wenig bis keine Vorkehrungen getroffen, um Angreifern das Leben schwer zu machen und die eigene Website gegen Angriffe abzusichern. Ebenfalls reicht es nicht aus, eine Standard WordPress-Installation aufzusetzen. Es ist ein Irrglaube, dass man dann ausreichend vor Angriffen geschützt wäre. Immer wieder haben wir es mit Installationen zu tun, die teilweise mit extrem veralteten Core-Versionen oder Plugins betrieben werden. Doch durch eine alte WordPress-Version öffnet man den Angreifern buchstäblich seine Türen. Auch wird noch immer oft darauf verzichtet, die Website mit HTTPS zu verschlüsseln.

Häufig gemachte Fehler:

(Liste erhebt keinen Anspruch auf Vollständigkeit / Reihenfolge beliebig):

  • Unsichere Authentifizierungsdaten aus realen Wörtern und oftmals ohne Sonderzeichen
  • Veraltete WordPress Version
  • Veraltete oder schlecht programmierte Plugins
  • Administrator mit dem Namen „admin“ vorhanden
  • Admin hat Benutzer mit der ID 1
  • Tabellenprefixe sind nicht geändert
  • Versionsnummer wird im Quelltext ausgegeben
  • Ausgabe von Informationen bei fehlerhaftem Admin-Login
  • Keine auf Sicherheit optimierte .htaccess Datei
  • Keine WordPress Security-Plugins installiert
  • Keine individuellen Authentifizierungsschlüssel in der wp-config.php
  • Falsche Ordner- und Dateirechte
  • Schlechte FTP-Passwörter
  • Keine regelmäßigen Backups der Datenbank und FTP-Daten
  • Brisante Daten werden unzureichend geschützt oder gar ungesichert auf dem Webserver abgelegt
  • Nicht mehr aktive Konten von Administratoren oder Redakteuren bleiben bestehen
  • Redakteure erhalten Administratorrechte, obwohl dies nicht nötig wäre
  • Kein oder veralteter Virenschutz auf dem lokalen Rechner
  • Büro verlassen ohne sich vom Adminbereich abzumelden / Computer zu sperren

Chance verpasst

Darum sollten sich Unternehmen mehr um die WordPress Sicherheit sorgen: Wer sich intensiv mit dem Thema WordPress-Sicherheit beschäftigt, kann seine Installation gegen Angriffe absichern. Oftmals werden Unternehmen aber erst dann aktiv, wenn bereits ein erfolgreicher Angriff bemerkt wurde. Viele Unternehmen merken aufgrund fehlender Vorkehrungen erst gar nicht, wie oft Angreifer versuchen, sich Zugriff auf den Server und die Daten zu beschaffen. Durch eine professionelle Optimierung der Sicherheit und eine kontinuierliche Überwachung der Installation kann man jedoch schon vorab Angriffe abwehren – oder besser noch ganz verhindern. Sollte man Opfer eines Angriffs geworden sein, dann ist schnelles Handeln unbedingt nötig!

Schützen Sie ihre Daten

Die Bedrohung durch Angriffe ist real. Immer wieder haben wir Kunden, bei denen Angriffe versucht wurden oder gar erfolgreich stattgefunden haben. Eine bereits gehackte Installation zu säubern ist oftmals nur mit großem Zeitaufwand und damit auch hohen Kosten zu bewerkstelligen. Wurden sogar wichtige Daten entwendet oder gelöscht, dann ist Schaden manchmal sogar nicht mehr abzuwenden. Treffen Sie deshalb schon jetzt alle wichtigen Maßnahmen, um ihre Website, ihre Daten und ihren Server zu schützen.

In jedem Unternehmen sollte es einen fachkundigen Mitarbeiter geben, der sich kontinuierlich mit dem Thema Internet- und WordPress-Security auseinandersetzt und sich diesbezüglich weiterbildet. Im Idealfall ist dies ein Entwickler oder der Administrator der Installation. Diese Person sollte alle wichtigen Sicherheitsoptimierungen treffen, andere Redakteure bei einer Schulung in das Thema einweisen und wichtige Tipps zum sicheren Umgang mit WordPress geben. Zudem sollten alle Sicherheitsmaßnahmen laufend überwacht und optimiert werden. Kann oder möchte man dies nicht selbst leisten, dann sollte man sich einen professionellen WordPress-Dienstleister zu Hilfe holen.

Zufrieden mit unserem Service oder unseren Artikeln?
» Bewerten Sie unsere Agentur doch schnell bei Google.

Das könnte Sie auch interessieren

Tobias Karnetzke CEODer Autor: Tobias Karnetzke ist Mitinhaber der Internetagentur Karnetzke. Er ist seit 2004 selbständiger Webdesigner, Programmierer, SEO-Experte und Google zertifiziert. Agenturen im In- und Ausland vertrauen auf seine Erfahrung als Berater und WordPress-Spezialist. E-Mail: tk@karnetzke.de