Ist WordPress sicher? Erfahrungen, Gefahren und 5 Tipps zum Schützen der WordPress-Website

Ist WordPress sicher? Erfahrungen, Gefahren und 5 Tipps zum Schützen der WordPress-WebsiteDurch die große Popularität kommt gerade von Einsteigern immer wieder die Frage: Ist WordPress sicher?

Eine hunderprozentige Sicherheit gibt es nicht, auch nicht im Internet. Und so ist es nicht verwunderlich, dass jedes Content Management System schon mal Sicherheitslücken hatte und es leider viele gehackte Websites gibt, auch WordPress-Websites. In letzter Zeit wachsen die Berichte über Sicherheitsprobleme gerade bei WordPress.

In diesem Artikel gehe ich darauf ein, wie sicher WordPress wirklich ist, wo die Gefahren liegen und was man machen kann, um die eigenen WordPress-Website zu schützen.

Ist WordPress sicher?

WordPress gibt es seit 2003 und in dieser Zeit hat es sich zum dominierenden CMS entwickelt.

Viele Blogger, aber auch Website-Betreiber, Affiliates, Shop-Inhaber und andere nutzen WordPress, da es sehr leistungsfähig und dennoch recht einfach zu nutzen ist. Dank unzähliger Themes (Layout-Vorlagen) und kostenlosen Plugins (und auch vielen kostenpflichtigen) kann man fast alles umsetzen, was man möchte. Zudem programmieren viele eigene Funktionen, wie ich z.B. bei meinem Brettspiel-Blog.

Doch dieser Erfolg bringt auch den Nachteil mit sich, dass WordPress immer stärker in den Fokus von Hackern rückt. Laut Statistiken ist WordPress mittlerweile das beliebteste Ziel von Angreifern.

Und so überrascht es nicht, dass es immer wieder Berichte über tausende gehackte Websites gibt. Doch ist WordPress wirklich so unsicher, wie manch einer behauptet?

Gefahren bei WordPress

Im Grunde kann man die Gefahren bei WordPress in 5 Kategorien unterteilen:

  • WordPress selbst

    Das CMS selbst ist natürlich nicht vor Sicherheitslücken gefeit, wie jede andere Software auch.

    Allerdings sind die Entwickler sehr aktiv und bringen zeitnah Sicherheitsupdates heraus, so dass aus meiner Erfahrung von WordPress an sich die geringste Gefahr ausgeht.

    Deshalb habe ich die automatischen Updates der kleineren WordPress-Versionen aktiviert, während ich bei großen Versionssprüngen lieber etwas warte, ob es Probleme gibt oder nicht.

  • Plugins

    Anders sieht es da schon bei den Plugins aus, die WordPress um viele interessante Funktionen erweitern. Mittlerweile gibt es rund 60.000 kostenlose Plugins (und noch viele kostenpflichtige), die wirklich sehr viele schöne Zusatzfeatures anbieten, zum Beispiel Business Plugins für WordPress zu erzielen.

    Allerdings werden diese nicht alle von Profis entwickelt und oft werden diese nicht zeitnah aktualisiert oder überhaupt noch gepflegt.

    Das führt dazu, dass es leider immer wieder Berichte über Sicherheitslücken bei einzelnen Plugins gibt, die von Angreifern ausgenutzt werden, um den Blog zu hacken. Leider habe ich auch schon mal diese Erfahrung machen müssen.

    Deshalb habe ich teilweise die automatischen Plugin-Updates in WordPress aktiviert.

    WordPpress - Automatische Plugin Updates

  • Themes

    Bei den Themes, also den Layouts für WordPress-Websites, sieht das nicht ganz so dramatisch aus. Dennoch gibt es auch hier immer wieder Berichte über unsichere Themes und immer mal wieder müssen Theme-Entwickler kurzfristig mit Sicherheitsupdates reagieren.

    Die Standard-Themes von WordPress gehören noch zu den sichersten und auch bei Premium-Theme-Anbietern, wie etwa GeneratePress, bekommt man oft mehr Sicherheit und mehr Support.

    Auch hier sollte man Sicherheits-Updates zeitnah installieren.

    Nutzt du ein kostenloses oder kostenpflichtiges WordPress-Theme?

    Ergebnis anschauen

  • Eigenes Verhalten

    Nicht umsonst sagt man, dass das größte Computer-Problem meist 60 Zentimeter vor dem Bildschirm sitzt. Ein weiterer Grund für gehackte Blogs ist oft der Website-Betreiber selbst.

    Unsichere Passwörter, fehlende Updates, Nutzung von öffentlichen und unverschlüsselten Netzen und andere Dinge können es Angreifern sehr einfach machen einen Blog zu hacken.

    Deshalb ist es wichtig, dass man sich mit den Sicherheits-Maßnahmen beschäftigt und sensibel für dieses Thema wird.

  • Sonstiges

    Darüber hinaus kann es weitere Gefahrenstellen geben. So wird z.B. oft der FTP-Zugang angegriffen, was aber nichts direkt mit WordPress zu hat. Oder der Angreifer bekommt Zugriff auf die Datenbank.

    Manchmal gibt es einen Trojaner auf dem PC des Website-Betreibers, der Zugangsdaten ausliest, oder man fällt auf eine Phishing-Mail rein. Auch das ist kein WordPress-spezifisches Problem, bedroht aber dennoch die eigene WordPress-Website.

Wurde deine Website schon mal gehackt?

Ergebnis anschauen

5 Tipps zum Schützen der WordPress-Website

Wie man sieht, gibt es eine Vielzahl von möglichen Gefahren, die am Ende für eine gehackte WordPress-Website verantwortlich sein können.

Allerdings kann man bei den meisten Gefahren das Risiko minimieren, wenn man als Betreiber auf ein paar grundsätzliche Tipps achtet:

  1. Generell sollte man alle Updates immer zeitnah einspielen, was bei WordPress mittlerweile sehr einfach ist. Das gilt für WordPress selbst, aber auch für Plugins und Themes. Das kann man sogar automatisieren.
  2. Es viele Möglichkeiten den eigenen WordPress-Blog besser abzusichern. Ein paar meiner Top 20 der besten WordPress-Plugins für Selbstständige im Netz habe ich da schon vorgestellt, andere Maßnahmen ebenfalls.
  3. Die eigenen Zugangsdaten sollten sehr sicher ausgewählt und niemals an Dritte gegeben werden. Auch die Nutzung in öffentlichen Netzwerken sollte mit Vorsicht und nur verschlüsselt vorgenommen werden.
  4. Weniger ist mehr gilt vor allem für die Plugins. Hier sollte man nur die nutzen, die man wirklich braucht. Zudem sollte man sicher gehen, dass die Plugins aktiv gepflegt werden. Bei Premium-Plugins ist oft die Qualität und die Betreuung besser. Zudem sind diese meist nicht so im Fokus der Angreifer, weil diese von nicht so vielen Nutzern eingesetzt werden.
  5. Man kann sich Hilfe bzw. Informationen bzgl. aktuellen Sicherheitslücken holen. So gibt es z.B. ein Plugin, welches darauf hinweist, wenn ein verwendetes Plugin eine Sicherheitslücke hat. Die Website wpscan.com listet alle bekannten Sicherheitslücken bei WordPress, Plugins und Themes auf. Das sollte man im Auge behalten.

So machst du WordPress sicher

WordPress ist in den letzten Jahren schon unsicherer geworden, das kann man nicht bestreiten. Allerdings kann man mit einigen grundlegenden Maßnahmen das Risiko stark senken und damit auch in Zukunft sehr gut und sicher mit WordPress im Netz erfolgreiche sein.

Legt man dann noch regelmäßig Backups der Dateien und der Datenbank an, dann kann man bei einem evtl. mal stattfindenden Hack schnell wieder den Ursprungszustand herstellen.

Ich nutze übrigens den Service von Sucuri zur Überwachung meiner Blogs und Websites, um über einen möglichen Hack sofort informiert zu werden.

Welche Erfahrungen habt ihr mit WordPress bzgl. der Sicherheit gemacht? Wurde eure Website schon mal gehackt?

Peer Wandiger

Schreibe einen Kommentar