Ein Gastbeitrag von Wordpress-Experte Andreas Hecht
Die große Beliebtheit von WordPress ist Fluch und Segen zugleich. Auf der einen Seite sorgt sie für eine riesige Auswahl an Themes und Plugins. Auf der anderen Seite stehen die Sicherheitsmängel des CMS und die daraus resultierende Summe an Websites, die gehackt werden können.
Der Sicherheitsdienstleister Wordfence zählte allein im Mai 2017 die unglaubliche Anzahl von einer Milliarde Brute-Force-Attacken auf WordPress-Websites. Dabei geht es darum, die Zugangsdaten zum Adminbereich herauszufinden, indem immer neue Kombinationen von Benutzername und Passwort ausprobiert werden. Die Angriffe laufen dabei vollautomatisch ab.
Als User bekommst du diese Angriffe im Allgemeinen nicht mit. Doch du kannst sie in deinen Server-Logs deutlich sehen. Vielleicht wunderst du dich auch, dass deine Website plötzlich so langsam geworden ist. Das passiert bei wirklich heftigen Angriffen.
Dein Auto schließt du doch auch ab, warum nicht deine Website? Wenn du einen Shop betreibst oder eine Mehr-Autoren-Website besitzt, dann bist du sogar verpflichtet, die sensiblen Daten deiner Benutzer oder Kunden zu schützen. Davon abgesehen wäre es doch schade, womöglich die Arbeit von einigen Jahren zu verlieren. Investiere daher etwas Zeit in die Absicherung deines WordPress.
Um WordPress effektiv absichern zu können, musst du zuerst verstehen, über welche Bereiche deine Website gehackt werden kann. Vier Bereiche sind hier besonders gefährdet:
1 – Der WordPress Core
WordPress gilt grundsätzlich als sicher, wenn es immer zeitnah aktualisiert wird. Alte Versionen des CMS jedoch können sehr einfach gehackt werden, weil mit jeder neuen Version von WordPress auch die Sicherheitslücken der vorigen Version bekannt gegeben werden.
2 – Die Plugins
WordPress-Plugins sind immer ein Sicherheitsrisiko. Das liegt daran, dass jedermann ohne große Kontrolle der Code-Qualität ein Plugin schreiben und in das offizielle Plugin-Verzeichnis hochladen kann. Du kannst also entweder ein sehr gut programmiertes Plugin bekommen oder aber ein miserabel programmiertes. Gute Programmierer schließen bereits mit ihrem Code potenzielle Sicherheitslücken.
Davon abgesehen sind veraltete Plugins ein großes Problem, weil sich auch in ihnen mit der Zeit Sicherheitslücken finden werden. Nutze daher nur Plugins, die ständig gepflegt und weiterentwickelt werden.
3 – WordPress-Themes
Auch Themes können Sicherheitslücken aufweisen. Zum Beispiel können sie für manche Funktionen auf Drittanbieter-Funktionalitäten zurückgreifen, die dann irgendwann Sicherheitslücken aufweisen. Man denke da an das Timthumb-Script für das Zuschneiden von Bildern.
4 – Zu einfache Passwörter
Viele User verwenden viel zu einfache Passwörter und spielen den Hackern dadurch in die Hände. Dein Benutzername kann von jedem halbwegs intelligenten Menschen innerhalb einer halben Minute herausgefunden werden. Nur dein Passwort sorgt daher für den Erfolg oder Misserfolg eines Hacks. Nutze daher ein wirklich starkes Passwort für deinen Adminzugang.
ganzen Beitrag lesen
