Heute ist der Tag der Computersicherheit, auf englisch „Computer Security Day“ (CSD). Seit 1988 soll dieser Tag dabei helfen, das Thema Computer- und Informationssicherheit ins Bewusstsein zu bringen. Mit jedem Jahr wird es auch wichtiger, das Thema im Auge zu behalten. Immer mehr unserer persönlichen und persönlichsten Daten landen auf immer kleineren Computern, die wir in der Tasche oder am Handgelenk tragen. Oftmals vertrauen wir diese Daten dabei aber Unternehmen an, ohne uns darüber wirklich Gedanken zu machen. Was für eine schlechte Idee das oft ist, zeigen die regelmäßigen Datenleaks…
WordPress genießt einen recht schlechten Ruf, wenn es um die Sicherheit geht. Diesen Ruf hat das CMS aus verschiedenen Gründen. Zu Beginn war der Core von WordPress, also das CMS selbst recht löchrig. In schöner Regelmäßigkeit tauchten neue Lücken auf. Inzwischen werden aber immer seltener Lücken im Core gefunden – und das liegt mit Sicherheit nicht daran, dass weniger intensiv gesucht würde.
Aber kaum jemand betreibt ein „nacktes“ WordPress: Plugins und Themes erlauben es, ein WordPress mit neuen Funktionen auszustatten und das Layout den eigenen Wünschen anzupassen. Jedes einzelne Plugin, jedes Theme bringt potentiell aber neue Sicherheitslücken mit und sorgt dafür, dass die Liste der Sicherheitslücken rund um WordPress immer weiter wächst. Ob das zu einem Problem für die eigene Site wird, ist von verschiedenen Faktoren abhängig:
Wann und wie wurde die Lücke entdeckt?
Wurde die Lücke gefunden bevor jemand sie ausgenutzt hat, oder wurde sie erst öffentlich, nachdem schon begonnen wurde die Lücke auszunutzen? Im ersten Fall ist die Wahrscheinlichkeit hoch, dass es ein Update gibt, bevor die neue Lücke ausgenutzt wird. Mit regelmäßigen Updates der eigenen Site ist man gegen solche Lücken also schon recht gut geschützt.
Es kommt aber eben auch vor, dass eine Lücke erst dadurch entdeckt wird, dass sie in größerem Umfang aktiv ausgenutzt wird. Sobald man von einer solchen Lücke erfährt, gilt es schnell zu sein: Meist werden direkt Sofortmaßnahmen empfohlen, die Site abzusichern, manchmal ist es ein Patch, eine Regel in der .htaccess oder eben das Deaktivieren und Löschen des Plugins. Anschließend muss man prüfen, ob die eigene Site von einem erfolgreichen Angriff auf diese Lücke betroffen ist. Sollte dies der Fall sein, hat man hoffentlich ein Backup, die entsprechenden Kenntnisse, um die eigene Site zu bereinigen oder man kennt jemanden für solche Notfälle.
Security-Plugins und Firewalls
Wir lassen die Frage mal beiseite, ob eine Software, die als Teil von WordPress läuft überhaupt die Bezeichnung „Firewall“ verdient (würde ich gefragt werden, dann würde ich diese Frage klar verneinen). Tatsache ist aber, es gibt unzählige Plugins, die versprechen eine WordPress-Installation abzusichern und noch viel mehr Seiten im Netz, die Tipps geben, wie man WordPress durch bestimmte Konfigurationen sicherer machen kann. Welche Tipps befolgt man nun am besten und welches Security-Plugin ist für die eigene Site am besten geeignet? Die Antwort ist wie so oft: Es hängt davon ab, es gibt keine Lösung, die in jedem Fall passt. Was es in keinem Fall gibt: Eine Lösung, bei der man nur ein Plugin aktiviert und dann nie wieder etwas tun muss.
Faktor Mensch
Die häufigste Ursache für Einbrüche in WordPress-Websites ist und bleibt der Mensch. Als Betreiber:in einer Website mit einem CMS muss man immer die entsprechenden Security-Meldungen im Blick behalten, regelmäßig Backups und Updates machen, die Website nicht nur auf Verfügbarkeit, sondern auch auf unerwünschte Änderungen überwachen – das alles kostet Zeit. Zeit, die vielleicht nicht jede:r investieren kann oder will. Praktisch, wenn es Menschen gibt, die dir diese Arbeit abnehmen.
Leider auch nicht selten sind Einbrüche über unsichere Passwörter. Natürlich kann man sich Passwörter wie „123qwertz“ sehr einfach merken – sicher sind sie nicht. Ob nun zufällige Zeichenfolgen oder aus mehreren Wörtern zusammengesetzte Passwörter, wichtig ist, dass die Passwörter lang und nicht einfach zu erraten sind. Eine Hilfe dabei sind Passwortmanager, von denen es viele gibt – dann muss man sich nur noch ein Passwort merken. Sehr viele Passwort-Manager bringen auch Browser-Extensions mit, die nicht nur Login-Formulare ausfüllen, sondern auch neue Passwörter generieren und automatisch speichern können. Sichere Passwörter ohne darüber nachdenken zu müssen.
Angebot zum Tag der Computersicherheit: Kostenloser WP-Check
Um einen kleinen Beitrag zu mehr Computersicherheit allgemein und zu sichereren WordPress-Websites im speziellen zu leisten, haben wir unsere Gratis-Aktion zum WP-Check noch einmal aufgestockt und verlängert: Statt 100 vergeben wir 200 kostenlose Checks und die Frist haben wir bis Freitag, den 03.12.2021 verlängert. Lass uns deine WordPress-Website checken – ganz ohne Haken, aber kostenlos und unverbindlich!
Beitragsbild von Werner Moser auf Pixabay
