"WordPress? Viel zu unsicher!" Das hört man immer öfter über die weit verbreitete Blogging-Lösung. Tatsächlich: Wer sich nicht um die Sicherheit kümmert, wird früher oder später schlechte Erfahrungen mit WordPress machen. Angreifer aus dem Netz versuchen, WordPress zu knacken – die Macher nutzen dann meist Ihre Reichweite für eigene Zwecke. Das schadet mindestens Ihrer Reputation. Damit Sie sich effektiv schützen können, haben wir mit zwei Experten aus IT und Online-Marketing gesprochen, die Ihnen wertvolle Tipps geben.

Sebastian Jankord ist CTO bei der Firma Pure Host – und mit Computern und Servern praktisch aufgewachsen. Den ersten Rechner bediente er, ganz zum Leidwesen seiner Eltern, bereits mit sieben Jahren. Zu seinen Schwerpunkten zählen heute Linux, Clustersysteme für Hosting und Sicherheitslösungen. 

Kai Spriestersbach gehört mit mehr als zwölf Jahren Erfahrung wohl zu den erfahrensten Suchmaschinen-Marketern in Deutschland. Er setzt WordPress bereits seit Version 1.0 aus dem Jahre 2004 für Website-Projekte ein und hat zahlreiche eigene WordPress-Plug-ins und -Themes entwickelt. Plug-ins und WordPress-Themes stellt er regelmäßig in seinem Blog vor.

Was sind aktuell die größten WordPress-Risiken für Seitenbetreiber?

Sebastian Jankord: Die größte Gefahr geht von sogenannten Bots aus. Oft wird hier mittels Bruteforce versucht, über den XML-RPC Bug in das WordPress einzugreifen. Haben die Angreifer dann erst einmal den Admin-Zugang geknackt, haben sie vollständigen Zugriff auf die Seite und in der Regel auch auf den Webspace. Außerdem werden häufig automatisiert bekannte Bugs und Sicherheitslücken in veralteten oder unsauber programmierten Plug-ins ausgenutzt. 

Welcher Schaden kann dabei entstehen?

Kai Spriestersbach: Wird eine WordPress-Instanz erstmal kompromittiert, ist jedes Szenario denkbar. In der Regel verfolgen Angreifer wirtschaftliche Interessen. Viele automatisierte Bot-Angriffe leiten daher einfach den vorhandenen Traffic der Webseite auf irgendwelche Werbeseiten weiter. Speziellere Bots setzen auch gezielt Backlinks auf andere Seiten zur Manipulation von Suchergebnissen oder tauschen Werbebanner und Affiliate-Links aus, um dem Hacker Einnahmen zu bescheren.

Häufig geschieht aber erst mal gar nichts mit der Webseite selbst, sondern der infizierte Webspace wird quasi zu einem schlafenden Zombie, der später für DDoS-Attacken oder den Versand von Spam-Mails missbraucht werden kann. Im schlimmsten Falle (für den Seitenbetreiber) wird die Webseite gelöscht, die Domain bei Google gesperrt und der Webserver taucht auf den Blacklists für Spam-Versender auf. Daher kann es sehr aufwändig sein, eine Webseite nach einem Angriff wieder komplett zu säubern. 

 

Welche Standards sind wichtig für eine sichere WordPress-Seite?

Sebastian Jankord: Generell muss man an die gesamte IT-Infrastruktur denken und darf sich nicht nur auf WordPress als CMS konzentrieren. Häufig gelangen Eindringlinge auch über FTP-Zugänge oder Schwachstellen in Betriebssystem oder Software des Servers ein, um sich anschließend über die darauf gehosteten Webseiten her zu machen.

Daher sollte man immer an folgende Punkte denken:

  • Generell: Immer sichere Kennwörter verwenden
  • Webserver und Betriebsystem auf aktuellem Stand halten
  • PHP & Datenbank (z.B. MySQL) immer aktuell halten
  • WordPress auf aktuellem Stand halten
  • Keine unsicheren Plug-ins installieren (z.B. auf regelmäßige Aktualisierungen der Hersteller achten)
  • Keine unsicheren Themes verwenden (weit verbreitete, professionelle Lösungen im Zweifel vorziehen oder einen Experten befragen)
  • FTP-Zugang mit guten Kennwörtern absichern, besser SFTP verwenden
  • Die XML-RPC Schnittstelle deaktivieren, falls nicht benötigt

 

„WordPress? Besser nicht, das wird leicht gehackt.“ – Ist WordPress im Vergleich zu anderen Systemen wirklich so unsicher?

Sebastian Jankord: WordPress im Kern gehört zu den sichersten CMS und Blogsystemen überhaupt. Allein durch den sehr hohen Verbreitungsgrad und die damit entsprechend große Community werden Bugs sehr schnell gefunden und dann auch gelöst. Dass man immer wieder von gehackten WordPress-Seiten hört, hängt einfach damit zusammen, dass WordPress mittlerweile auf einem Viertel aller Webseiten im Internet zum Einsatz kommt. 

Kai Spriestersbach: Es ist also daher nicht besonders verwunderlich, wenn WordPress ein attraktives Ziel für Angreifer darstellt, die einfach auf massenhafte, automatisierte Hacks setzen. Gerade die Einfachheit von WordPress zieht auch Seitenbetreiber an, die sehr wenig Ahnung von Sicherheit haben und auch noch nicht genügend sensibilisiert wurden, um wirklich regelmäßige Updates einzuspielen.

 

Was kann man am Webserver tun, um für maximale Sicherheit zu sorgen?

Sebastian Jankord: Auch hier gilt wieder: Updates, Updates und noch einmal Updates. Alle entsprechenden Komponenten sollten auf einem aktuellen Stand sein. Bei Ubuntu bietet sich hier zum Beispiel die sogenannte LTS-Version (Long Term Support) an. Wie der Name schon sagt, wird so eine Version sehr lange mit Sicherheitsupdates versorgt.

Ein Hinweis für technisch versierte Leser: PHP sollte nicht als Apache-Modul laufen sondern das jeweilige WordPress immer als eigenständigen User behandeln. Sollte dann doch mal in eine WordPress-Installation eingebrochen werden, muss man nicht gleich den ganzen Server neu installieren. Empfehlenswert sind hier Nginx mit PHP-FPM oder Apache mit PHP-FPM. Es gibt noch viele Alternativen, zum Beispiel ist HHVM gerade stark im Kommen.

Der Server sollte mindestens rudimentär durch eine Firewall abgesichert sein. Am besten ist hier natürlich eine Hardware-Firewall direkt vor dem Server. Oft reicht dafür aber das Budget nicht.

Eine sehr gute Alternative dazu bietet Cloudflare. Cloudflare filtert den Traffic zur WordPress-Seite. Ab der Cloudflare Pro Version gibt es dann sogar eine richtige WAF (Web Application Firewall). Man kann mittels einfachem ‘Klick’ dann extra angepasste Regeln für WordPress in die WAF laden. Die Cloudflare-Firewall filtert dann viele bekannte Angriffe etwa auf den XML-RPC Bug schon sehr gut aus.

Diese Lösungen ersetzen aber nie einen fähigen Administrator. Entweder man kann einen Server administrieren, oder man kann es nicht. Sollte man es nicht können, greift man lieber zu einem "Full Managed Server" oder arbeitet mit einem Experten zusammen.

 

Was empfehlen Sie für den Umgang mit WordPress-Plug-ins?

Sebastian Jankord: Niemals Plug-ins von unbekannten oder unseriösen Webseiten downloaden und installieren. Weniger ist hier zudem oft mehr: Plug-ins sollten immer sparsam verwendet werden. Allgemein gilt die Faustregel: “Je mehr Plug-ins, desto langsamer die Seite.„ Sollte das letzte Update schon Jahre zurück liegen, lieber ein anderes Plug-in mit ähnlicher Funktion suchen. Das ist sicherer.

Kai Spriestersbach: Ich achte darauf, dass die Plug-ins regelmäßig gepflegt und von vielen Nutzern eingesetzt werden. Im Zweifel setze ich dann lieber auf ein kostenpflichtiges Premium-Plug-in, das Updates und Support garantiert. Gerade bei kostenlosen Plug-ins, aber auch kostenlosen Themes besteht immer die Gefahr, dass sich darin Sicherheitslücken verstecken, die nicht mehr gefixt werden.

 

Empfehlen Sie ein Plug-in, um die Nutzer- und Rechteverwaltung noch detaillierter gestalten zu können?

Kai Spriestersbach: Zunächst verwende ich das Plug-in WPS Hide Login, das den Pfad für das Login-Formular verändert. Dadurch “finden” viele Angreifer die Login-Maske erst gar nicht und können keine Angriffe starten. Für eine kontrollierte Nutzer- und Rechteverwaltung setze ich das “Capability Manager Enhanced”-Plug-in ein. Damit kann man eigene Rollen für unterschiedliche Nutzer erstellen und die einzelnen Rechte für jede Rolle flexibel einstellen.

 

Was empfehlen Sie für regelmäßige WordPress-Backups?

Sebastian Jankord: Backup-Methoden gibt es wie Sand am Meer. Man kann keine pauschale Aussage treffen, welche die beste Lösung ist. Es hängt immer stark von den Gegebenheiten ab. Wichtig ist, dass ein Backup im Notfall vorhanden ist. In der Realität bringt es meistens wenig, wenn ein Backup manuell angestoßen werden muss. Es wird einfach zu oft vergessen. Es gibt diverse Plug-ins, welche den Backup-Job sehr gut übernehmen. Alternativ kann man auch Backup-Lösungen wie BackupPC einsetzen. Damit kann dann mehrmals täglich der ganze Server gesichert werden.

Ich selbst nutze auch BackupPC durch einen externen Anbieter. Meine Webseiten lasse ich so zweimal täglich sichern. Vor jedem ‘Run’ wird automatisch ein Export aller Datenbanken aus dem MySQL angestoßen.

 

Thema Datenschutz: Ist WordPress sicher genug, um damit Kontakt- und Nutzerdaten zu sammeln? Wie schützt man personenbezogene Daten dabei am besten?

Kai Spriestersbach: Als Standard-Installation ist WordPress erstmal relativ unbedenklich. Einzig bei der Abgabe eines Kommentars wird die IP-Adresse des Nutzers gespeichert. Darauf sollte man in seinen Datenschutzbedingungen hinweisen, oder die Speicherung deaktivieren. Um die neue Richtlinie zur Einholung der Zustimmung der Endnutzer in der EU einzuhalten, setze ich auf sämtlichen Seiten das Plug-in WF Cookie Consent ein.

Problematisch wird es allerdings, wenn man zum Beispiel die WordPress-Statistiken über das beliebte JetPack-Plug-in einsetzt. Hier gelten ähnliche Grundsätze wie beim Einsatz von Web-Analyse-Software wie Google Analytics, allerdings kann man die WordPress-Statistiken leider nicht anonymisieren. Generell rate ich ohnehin vom Einsatz der JetPack-Statistiken ab, denn diese verschlechtern die Ladezeit der Seite enorm. Wie schon erwähnt, können aber auch Antispam-Plug-ins, die Benutzerdaten an andere Server weiterleiten, rechtliche Probleme verursachen. Im Zweifel sollte man sich besser bei einem Anwalt beraten lassen.

 

Fazit

Webseiten brauchen viel Pflege. Je mehr Traffic, desto intensiver der Pflegeaufwand – auch in puncto Sicherheit. Hat man selbst keine Zeit dafür, sollte ein entsprechender Dienstleister mit der Wartung der Seite beauftragt werden. Wartungskosten sind vergleichsweise klein im Gegensatz zum Schaden, der durch eine gehackte Seite entstehen kann: Wie etwa Reputationsverlust oder Ranking-Sturz bei Google. WordPress ist so weit verbreitet, dass es ein lukratives Ziel für automatisierte Angriffe ist. Mit den Empfehlungen und Schritten aus diesem Artikel sind Sie gut geschützt.

New Call-to-action

Ursprünglich veröffentlicht am 9. August 2016, aktualisiert am Mai 24 2018