Sicherheit für WordPress-Seiten

Eines vorweg: 100%ige Sicherheit im Internet gibt es nicht. Das Internet ist ein Zusammenspiel von Rechnern, Datenleitungen, Energieversorgung, Software und menschlichem Einsatz. Festplatten können kaputt gehen, die Stromversorgung kann unterbrochen werden, Menschen können Fehler machen.

Trotzdem kann man was tun, um den Webauftritt möglichst gut abzusichern. Basierend auf meine Erfahrung empfehle ich meinen KundInnen folgendes Vorgehen:

1. Up to Date sein:

Was für Laien als unnötig empfunden werden kann, ist ein Update. Vor allem dann mag das so empfunden werden, wenn äusserlich alles genau so aussieht, wie zuvor. Die meisten Aktualisierungen basieren jedoch darauf, dass eine Sicherheitslücke geschlossen wurde.

Niemand mag auf Dauer täglich händisch Updates aktivieren. Deshalb empfehle und verwende ich ein Plugin, welches einmal täglich kontrolliert, ob Updates anstehen. Im Fall des Falles werden die Aktualisierungen automatisch aktiviert und ein Report per E-Mail verschickt.

Es empfiehlt sich, nach Erhalt dieses Reports zu kontrollieren, ob die Homepage wie gewohnt funktioniert. In sehr seltenen Fällen kann es nämlich vorkommen, dass ein Update schief geht. Dann ist händisch nachzuarbeiten.

2. Gewaltsame Login-Versuche abwehren:

Der englische Begriff dafür ist Brute Force, wörtlich übersetzt, rohe Gewalt. Dabei wird auf eine Login-Seite ein gezielter Angriff durchgeführt, in dem Computer dafür eingesetzt werden, in sehr rascher Abfolge mit wechselnden Passworten Zugriff zu erhalten. Entweder, es ist das passende Passwort dabei, oder der angegriffene Server versagt unter der geforderten Rechenlast und ermöglicht so den Zugriff.

Diese Angriffe können mit zusätzlichen, bei jedem Login-Versuch neu generierten Zugangscodes erschwert werden.

3. Firewall, Zugriffsrechte, etc.

Mit einem Sicherheits-PlugIn können technisch weitere Sicherheitsmassnahmen ergriffen werden, die an die individuellen Anforderungen angepasst werden können. Details dazu können von Interessierten direkt bei den Einstellungen des Plugins nachgelesen werden.

4. Backup für den WorstCase:

Regelmässige Backups garantieren, dass auf möglichst aktuelle Daten zurückgegriffen werden kann, wenn eine Seite durch ein fehlerhaftes Update oder einen unerlaubten Zugriff zerstört wurde. Provider stellen in den meisten Fällen Updates zur Verfügung, je nach Service zu unterschiedlichen Tarifen. Ich empfehle ein kostenfreies Backup, das für viele Situationen ausreichend ist. Und es bleibt das gute Gefühl, dass dieses Backup noch ein weiteres Backup beim Provider hat.

Oft wird unterschätzt, wieviele Daten/wieviel Zeitaufwand in einer aktuellen Webseite steckt und in den seltensten Fällen sind sämtliche Bild-/Textdaten auch am lokalen Rechner abgesichert.

Und ausserdem …

Ein weiterer, wichtiger Punkt ist einer, den ich nicht beeinflussen kann: Wie gehen Sie mit ihren Passworten um? Wie sicher ist ihr Arbeitsrechner? Wie sicher sind die Arbeitsrechner Ihrer MitarbeiterInnen?
Alle Jahre wieder werden die am häufigst verwendeten Passworte ermittelt und diese Passworte sind erschütternd einfach zu knacken.
Ebenfalls nicht zu unterschätzen ist soziale Manipulation, sogenanntes Social Engineering. Ein oft verwendetes Beispiel ist der Anruf des vermeintlichen Servicetechnikers, dem vertrauensvoll die Passworte aufgesagt werden. Aber auch Mitbewohner, die sich großzügig anbieten, den Rechner technisch zu betreuen, können ein potentielles Sicherheitsrisiko darstellen. Im Zweifelsfall Passworte zu ändern, kann nie verkehrt sein.

Mehr zum Thema Passwort ist hier nachzulesen.

Kommentare sind geschlossen.