Ist WordPress sicher? Ja. Lesen Sie mal weiter …
Für uns ist WordPress das mit Abstand beste System für die allermeisten Internetseiten von kleinen und mittelständischen Unternehmen.
In Beratungsgesprächen mit neuen Kunden erklären wir regelmäßig, was die Software WordPress ist und wo ihre Vorteile liegen. Wir weisen aber auch drauf hin, was es im Zusammenhang mit WordPress zu beachten gilt. Einer dieser Punkte ist die Sicherheit.
Unter Webentwicklern und Webdesignern gibt es immer wieder Diskussionen über die WordPress Sicherheit – und genau dazu äußern wir uns in diesem Blogartikel.
Vorab: WordPress an sich ist ein sehr sicheres System. Wenn Ihre Webseite eine WordPress Seite ist, müssen Sie jedoch einige benutzerbedingte Punkte beachten – dazu gleich mehr.
Was ist WordPress?
WordPress ist ein Content-Management-System (kurz CMS), auf dem aktuell rund 30% aller Webseiten im Internet basieren. Ursprünglich war WordPress eine Blogsoftware – und das ist es auch immer noch. Aber durch den Einsatz von Erweiterungen ist praktisch alles mit WordPress möglich. Z.B. können kleinere und größere Unternehmensseiten, Portale oder auch WooCommerce-Shops sehr gut mit WordPress realisiert werden.
Als Einschub – was sind Erweiterungen?
Erweiterungen sind vor allem Themes und Plugins. Themes sorgen für die grafische Gestaltung von Webseiten, Plugins hingegen sind kleine Software-Programme, die die Funktionalität in die Webseite bringen.
Neben den praktischen Erweiterungen bietet WordPress eine benutzerfreundliche Oberfläche zur kompletten Verwaltung von Webseiten. Inhalte können schnell erstellt, das Aussehen und die Funktionen der Seite einfach verändert werden. Programmierkenntnisse sind dafür nicht erforderlich.
Warum benutzen wir WordPress?
Dank der unzähligen Erweiterungen für WordPress ist es uns möglich, für jeden Kunden eine individuelle Lösung zu finden.
Einen großen Vorteil sehen wir auch in der CMS-Funktion: Grundsätzlich kann jeder Kunde eigenständig und einfach Bilder und Texte austauschen und die Seite selbst verwalten und pflegen.
Das Wichtigste vielleicht aber: Die Unabhängigkeit. Die Entwicklercommunity hinter WordPress ist riesig, WordPress wird permanent weiterentwickelt, es ist ein offenes System – was letztlich auch unseren Kunden Unabhängigkeit und Langfristigkeit garantiert. Wer möchte sich schon an ein kleines, unbekanntes System eines einzelnen Anbieters binden?
Aber zurück dazu, dass es im Internet sehr viele WordPress-Seiten gibt … gerade deshalb ist die Sicherheit von WordPress so ein wichtiges Thema! Und: WordPress ist sicher – aber bitte beachten Sie die folgenden Punkte:
1. Updates
Das wichtigste für WordPress sind UPDATES. Es ist elementar wichtig, die Software WordPress und alle Plugins und Themes in der Seite regelmäßig auf den neusten Stand zu bringen. Durch die Updates werden nämlich Sicherheitslücken beseitigt (und häufig auch neue Funktionen hinzugefügt, die nützlich sein können.)
WordPress unterscheidet hierbei zwischen großen und kleinen Updates. Bei den kleinen Updates werden meist nur Sicherheitslücken geschlossen und Bugs beseitigt, während bei den größeren Updates neue Funktionen oder Verbesserungen hinzugefügt werden. Sie sollten jedoch, egal ob groß oder klein, jedes Update ausführen. Die kleineren Sicherheitsupdates werden seit WordPress 3.7 automatisch ausgeführt.
Für uns von Christmann & Woll sind Updates übrigens ganz normale Routine: Alle Webseiten, die wir für Kunden betreuen, werden täglich und auch am Wochenende aktualisiert.
2. Backups
Vor jedem Update sollten Sie ein Backup Ihrer Webseite erstellen, z.B. für den Fall, dass es einmal mit einem Update Probleme gibt. Ein weiterer Vorteil: Wenn Ihre WordPress-Seite nun doch einmal gehackt wurde – was natürlich trotz aller Sicherheitsmaßnahmen passieren kann – können Sie Ihre Seite mit Hilfe des Backups leichter wiederherstellen.
Viele Hoster erstellen regelmäßig Backups. Wenn Ihr Hoster diesen Service nicht anbietet, dann gibt es verschiedene andere Dienste, die das für Sie erledigen. Auch das ist für uns ganz normal: Vor jedem Update wird gesichert.
3. WordPress Sicherheits-Plugins
Für zusätzliche Sicherheit gibt es bei WordPress diverse Security Plugins wie zum Beispiel „iThemes Security“ oder „Wordfence Security“. Diese Plugins wehren Ihre Webseite zusätzlich vor verschiedenen Hacker-Attacken ab.
Beachten Sie dabei aber die Voraussetzungen der DSGVO. Viele dieser Plugins nutzen die IP-Adresse des Besuchers zum Schutz der Webseite. Diese Funktion muss unbedingt deaktiviert werden.
4. Quellen von Themes und Plugins
Ein anderes wichtiges Thema in Punkto WordPress-Sicherheit: die Themes und Plugins. Beide sind häufig eine Quelle für Sicherheitsprobleme. Sie sollten deshalb unbedingt darauf achten, Themes und Plugins nur von namhaften Entwicklern zu installieren – und „Wald und Wiesen-Plugins“ zu vermeiden. Hilfreich ist hier darauf zu schauen, wie viele WordPress-Seiten die Erweiterung nutzen und ob Bewertungen vorliegen.
Des Weiteren sollten Sie unbedingt berücksichtigen, keine unnötigen Erweiterungen zu installieren und ungenutzte Plugins und Themes aus Ihrer Webseite zu entfernen oder zu deaktivieren.
5. Veraltete Themes und Plugins
Veraltete Plugins und Themes sollten Sie ebenfalls unbedingt aus Ihrem WordPress entfernen. Denn dann, wenn eine Entwicklung eingestellt wurde und somit keine neuen Updates mehr herausgebracht werden, entstehen Sicherheitsrisiken. Und das ist dann wirklich gefährlich.
6. Passwörter und Nutzer
Wie bei jeder anderen Plattform auch kann ein schwaches Passwort wie „123456“ oder Ihr Geburtsdatum ein hohes Sicherheitsrisiko darstellen. Sie sollten also auch bei Ihrem WordPress ein starkes Passwort verwenden, das nicht von Hackern geknackt werden kann.
Besonders zu empfehlen sind zufällige Buchstaben, Zahlen und Zeichen, die so kompliziert sind, dass Sie sich diese nicht merken können. Dafür empfehlen wir einen Passwortcontainer (z.B. „LastPass“) und einen Passwortgenerator.
Übrigens: Je mehr Benutzer-Profile ihr WordPress hat, desto mehr Einlass-Tore gibt es für Hacker. Deshalb sollten Sie ihre Accounts auf ein Minimum reduzieren und sichere Passwörter für diese verwenden. Und noch ein Tipp: Nennen Sie Ihren Administratorzugang nicht „admin“ oder „wp-admin“.
7. Konfigurationsdatei und Datenbank
In der Konfigurationsdatei „wp-config.php“ von WordPress lassen sich weitere Änderungen vornehmen, um Ihre Webseite sicherer zu machen. Hier ist allerdings Vorsicht geboten, da durch eine falsche Änderung der Datei auch die gesamte Installation lahmgelegt werden kann. Nehmen Sie hier Änderung vor, achten Sie wie immer vorher darauf, ein Backup der Webseite zu erstellen.
Die einzelnen Beiträge, Seiten etc. werden bei WordPress in einer MySQL Datenbank abgespeichert. Die einzelnen Tabellen in dieser Datenbank haben standardmäßig den Tabellenpräfix wp_. Dieses Präfix sollten Sie schon bei der Installation von WordPress ändern (lassen), um für mehr Sicherheit zu sorgen.
8. Login-Bereich
Um sogenannten Brute-Force-Attacken, bei denen versucht wird das Passwort durch viele verschiedene Versuche zu knacken, aus dem Weg zu gehen, bietet es sich an, die Anzahl der Login Versuche zu beschränken. Dafür empfehlen wir das Plugin „Limit Login Attempts“.
Außerdem ist bei jeder neuen WordPress Installation der Admin-Bereich standardmäßig unter /wp-admin erreichbar. Um den Login-Bereich zu schützen, können Sie am besten mit einem Plugin wie „Rename wp-login.php“ diesen Bereich umbenennen und ihn so schwerer erreichbar machen.
9. SSL
Durch die Einbindung eines SSL Zertifikats in Ihre Webseite wird die Seite auf „https“ umgestellt. Damit werden sämtliche Formulareingaben wie zum Beispiel Kontaktformulare oder Login-Daten verschlüsselt übertragen. Somit können die Daten von Nutzern nicht abgefangen werden.
Viele Hoster bieten SSL Zertifikate zusätzlich zum Hosting an. Weit verbreitet ist mittlerweile auch die kostenlose Lösung „LetsEncrypt“, die für die meisten Webseiten auch völlig ausreicht. LetsEncrypt wurde übrigens von Google und anderen großen Internetfirmen gegründet – um das Netz sicherer zu machen.
10. Hoster
Auch die Sicherheit des Servers, auf dem Ihre Webseite liegt, spielt eine große Rolle. Achten Sie bei Ihrer Auswahl auf Sicherheitszertifikate und auf die Qualität und den Support des Anbieters.
Warum ist WordPress sicherer als selbstprogrammierte CMS-Systeme?
Hinter einem CMS wie WordPress steht eine riesige Armee von Entwicklern. Außerdem beschäftigen sich zahllose Sicherheitsfirmen mit der Sicherheit von WordPress und anderen namhaften CMS-Anbietern. Diese Sicherheit kann ein Entwickler von einem kleinen, eigenentwickelten CMS nicht leisten.
Nun gibt es natürlich mehr Interessenten im Internet, die Sicherheitslücken in WordPress finden möchten als in der kleinen Individuallösung. Dennoch ist ein gezielter Angriff auf ein eigenentwickeltes CMS viel leichter als auf eine WordPress-Seite.
Wir persönlich raten unseren Kunden von diesen „kleinen“ CMS-Lösungen übrigens ab. Warum? In unseren Augen erlangen unsere Kunden damit keinen Vorteil. Im Gegenteil: Sie binden sich langfristig an einen Anbieter und begeben sich damit in Abhängigkeit.
Fazit
WordPress ist sehr sicher, wenn Sie sich nur an die oben genannten Regeln halten.
Mit ein paar Handgriffen, regelmäßigen Updates und der richtigen Auswahl von Plugins, Themes und Passwörtern machen Sie Ihre Webseite sicher.
Abschließend noch etwas Persönliches: Sowohl Sascha Woll als auch Lina Christmann von Christmann & Woll arbeiten seit mehr als zehn Jahren mit WordPress und haben beide noch nie eine Webseite „verloren“.
Wir sind deshalb überzeugt: Für die meisten kleinen und mittelständischen Unternehmen ist WordPress das beste System – und auch ein sicheres System!