Sichere Websites mit WordPress

Wie Sie sich als kleines oder mittelständisches Unternehmen vor Hackern schützen können –
Der umfassende Leitfaden (Update 10-2020)

Es gibt keine 100-prozentige Sicherheit für eine Website, auch und gerade nicht, wenn sie mit WordPress betrieben wird. Man kann es aber einem Hacker so schwer wie möglich machen. Der Aufwand und das notwendige Wissen für einen erfolgreichen Hack werden damit so hoch, dass es schlichtweg nicht mehr lohnt, eine Website zu hacken.

Ein Großteil der Hacker (vor allem die sog. “Script-Kiddies”) suchen sich einfache Ziele und verfügen auch gar nicht über das notwendige Spezialwissen, um eine gut abgesicherte Website zu kompromittieren. Wenn es bei Ihrer Website nicht klappt, so zieht die Karawane weiter und sucht sich andere, einfachere Beute. In diesem Artikel lernen Sie, wie Sie mit Ihrer Unternehmens-Website nicht mehr zu diesen Opfern gehören.

Sie erfahren, wie Sie ihre WordPress-Website bestmöglich absichern gegen die Angriffe von Hackern. Wie Sie einen tiefen Burggraben um Ihre Website ziehen und damit mühelos ungezielte, automatisierte Hacker-Angriffe abwehren, die auf WordPress-Installation abzielen. Wenn Sie die nachstehenden Tipps umsetzen, haben Sie Ihr Risiko deutlich minimiert.

Was bedeutet “Hacken” überhaupt?

Sofern Ihr Unternehmen nicht unbedingt Milliarden-Umsätze vorzuweisen hat oder sicherheitsrelevante Informationen enthält, stellt sich die Frage: Warum sollte jemand meine die Website meines kleinen Unternehmens hacken? Was haben gewisse Personen davon, die Website z.B. eines kleinen Handwerks-Betriebs zu übernehmen?

Zunächst einmal: Das “Hacken” an sich erfolgt selten manuell. Man sollte sich diese Tätigkeit also nicht unbedingt so vorstellen, wie in fast jedem Krimi mit dieser Thematik dargestellt wird: Eine dunkle Gestalt in einem Kapuzenpulli sitzt in einem abgedunkelten Raum vor mehreren Bildschirmen, auf denen Codezeilen hin- und herhuschen, während die Gestalt wie verrückt auf der Tastatur herumtippt.

Die Mehrzahl der heutigen Hacks erfolgt automatisiert, es handelt sich damit um “Gelegenheits-Hacks” und keine gezielten Angriffe nur auf eine Website. Kleine Programme (“Bots”) durchsuchen selbstständig das Internet nach Websites mit WordPress und versuchen durch das Testen auf bekannte Sicherheitslücken oder von oft verwendeten Zugangsdaten, eine Tür in eine WordPress-Website zu öffnen. Sie werden nicht glauben, wie häufig immer noch einfach “admin” und das Passwort “12345” verwendet wird.

Mit “Hacker-Romantik” hat das nichts zu tun. Die Bots können einsatzfähig und vorkonfiguriert gekauft werden, da gibt es mittlerweile einen großen Markt im sogenannten Darknet. Um diese Programme einzusetzen reichen IT-Grundkenntnisse aus. Die Spezialisten, die diese Bots programmieren können, dass sind die eigentlichen (gefährlichen) Hacker. Aber die interessieren sich normalerweise nicht für Ihre kleine Website. An anderer Stelle lässt sich viel mehr Geld verdienen, z.B. in dem man den “Script Kiddies” o.g. Bots verkauft oder die lohnenswerten, großen Ziele angreift (Banken, Konzerne, Bundesministerien etc.).

Warum machen Hacker das?

Was haben nun diese Hacker davon, eine Website eines kleinen Unternehmens zu kompromittieren? Haben diese Leute nichts anderen zu tun?

Das kann verschiedene Gründe haben:

  • Der Spass an der Herausforderung und der Technik (vor allem “White Hat”-Hacker, die keinen Schaden anrichten wollen und nur ihre Fähigkeiten testen).
  • Einem Konkurrenten oder einer unliebsamen Website Schaden zufügen: Eine infizierte Website wird von Google aus dem Index entfernt und schon ist man einen Wettbewerber auf die schnell und sehr fiese Art los.
  • Das Stehlen von Daten (Bankdaten, Kreditkarten etc.).
  • Das Einschleusen von Malware, um die Geräte der Besucher der Website zu infizieren: Die Besucher rechnen nicht mit bösartigem Code auf der normalen Website eines Unternehmens und sind daher arglos, wenn auch Ihnen Schadcode “untergejubelt” wird.
  • Die Nutzung der infizierten Website als SPAM-Schleuder und/oder als Teil eines Bot-Netzwerks,um z.B. Attacken gegen ein größeres Ziel zu fahren.
  • Der Versand von gefälschten Emails über die gehackte Domain (Verschleierung der Identität).
  • Aus SEO-Gründen (im sogenannten “Black Hat SEO”) werden gehackte Websites u.a. für das Setzen von Backlinks genutzt.

Es gibt also tatsächlich zahlreiche Gründe, warum sich jemand Zugang zu Ihrer Website verschaffen möchte. Häufig wird dann diese Website als Sprungbrett für weitere Angriffe missbraucht. Oft ist aber auch einfach nur Langeweile, die Jugendliche mit überdurchschnittlichen PC-Kenntnissen dazu treibt, Bots durch das Internet zu schicken (das sind die sog. “Script-Kiddies”).

Egal aus welchem Grund sich jemand an Ihrem Internetauftritt versucht – keiner dieser Personengruppen möchte man die Möglichkeit geben, eine Hintertür zu nutzen. Gerade kleine und mittelständische Unternehmen haben jedoch selten das Know-How und die Zeit, um sich richtig abzusichern. Wir haben daher hier die wichtigsten Tipps zusammengestellt, so dass Sie sich zur Wehr setzen können, ohne einen Master-Abschluss in IT-Kung-Fu zu besitzen.

Die größten Schwachstellen bei WordPress

Wenn Sie Ihre Wohnung oder Ihr Eigenheim schützen möchten, wissen Sie direkt, wo die offensichtlichen und möglichen Schwachstellen für einen Einbruch liegen: Fenster, Haustür, Balkontür, Kellertür, vielleicht noch der Zaun um das Haus. Ein Erkennen der Schwachstellen ermöglicht dann entsprechende Gegenmaßnahmen.

Bei einer Website, die mit WordPress betrieben wird, ist das nicht ganz so einfach zu erkennen. Aber mindestens genauso wichtig wie bei Ihrer Wohnung! Daher ist Wissen der erste Schritt der Lösung. Automatische Bots suchen genau nach diesen Schwachstellen und sind dabei deutlich schneller, effizienter und erfolgreicher als Einbrecher. Eine kleine Schwäche in der Verteidigung genügt, um großen Schaden anrichten zu können.

Die wichtigsten Angriffspunkte sind (in dieser Reihenfolge):

  • Installierte Plugins
  • Unsichere Zugangsdaten bzw. Passwörter
  • Sicherheitslücken in WordPress
  • Installierte Themes
  • Mangelnde Sicherheit des Hosting-Servers

Dazu ergänzende Erläuterungen zu den einzelnen Angriffspunkten:

A. Installierte Plugins

Bei einem Blick in das Plugin-Verzeichnis von WordPress fühlt man wie ein kleines Kind in einem Süßwaren- oder Spielzeugladen. So viele Dinge, die man ausprobieren möchte! Zu fast jedem Problem gibt es ein Dutzend Plugins. Die offizielle Website wordpress.org/plugins verzeichnet im Moment sage und schreibe 57.599 Plugins (Stand: 05.10.20).

Diese enorme Anzahl hat natürlich nicht nur Vorteile. Niemand kann hier den Überblick behalten und tatsächlich ist das Bewertungssystem der Plugins die einzige Möglichkeit, gute von schlechten Plugins zu unterscheiden.

Schlampig programmierte oder veraltete Plugins sind tatsächlich das häufigste Einfallstor für Hacker. Ein einziges Plugin dieser Kategorie können Ihr ansonsten gut abgesichertes WordPress-System massiv gefährden!

Generell sollten Sie für den Einsatz von Plugins unbedingt folgende Goldene Regeln berücksichtigen:

  1. Installieren Sie so wenig Plugins wie möglich. Weniger Plugins gleich weniger Angriffsfläche.
  2. Nutzen Sie Plugins grundsätzlich nur aus vertrauenswürdigen Quellen, dazu zählt u.a. das offizielle Plugin-Verzeichnis von WordPress (wordpress.org/plugins).
  3. Die Plugins immer aktuell halten. Ein mindestens wöchentlicher Check auf Updates und die regelmäßige Aktualisierung ist Pflicht.
  4. Neue, unbekannte Plugins möglichst nur auf einem Test-System (“Staging-System”) aufspielen und dort zunächst ausprobieren.
  5. Nicht mehr benötigte Plugins immer löschen. Das Deaktivieren reicht nicht!
  6. Vor der Installation einen Check im WP-Plugin-Verzeichnis durchführen:
    1. Wann wurde das Plugin zuletzt aktualisiert (“Last Updated”)? Mehr als 6 Monate sind nur in Ausnahmefällen akzeptabel!
    2. Wie sind die Bewertungen? Nicht nur die vergebenen Sterne prüfen, sondern unter “Reviews” auch einzelne Bewertungen nachlesen.
    3. Wie häufig wurde das Plugin installiert (“Active Installations”)? 

Allgemein gilt, vor allem beim Prüfen des Plugins: Setzen Sie Ihren gesunden Menschenverstand ein. Ein Plugin, dass nur 100 Installationen vorweist und seit einem Jahr nicht aktualisiert wurde, wird nur selten die richtige Wahl sein.

Plugins sind die größte Gefahr für Ihre WordPress-Sicherheit. Während WordPress selbst (und auch die offiziellen Updates zu WordPress) von einem sehr großen Team programmiert wird, ist bei einem Plugin vielleicht nur ein Programmierer am Werk. Das muss generell nicht schlecht sein, viele Augen sehen jedoch mehr, gerade in Hinsicht auf eventuell vorhandene Sicherheitslücken. Und sobald sich die Lebensumstände oder der berufliche Hintergrund eines Ein-Mann-Teams ändert, wird das Plugin nicht mehr aktualisiert und Sie haben mittelfristig ein Problem. 

B. Unsichere Zugangsdaten bzw. Passwörter

Einer der häufigsten Fehler sind immer noch sehr einfach zu erratende Passwörter. Sie werden nicht glauben, was wir schon alles bei unseren Kunden entdeckt haben – gegen die Bequemlichkeit der Menschen und damit verbundene Passwörter wie “12345” oder “passwort” kommt man kaum an. Jedem Hobby-Hacker wird damit freundlich die Haustür geöffnet.

Was ist ein sicheres Passwort?
Hacker nutzen für das Ausprobieren von Logjn-Daten einen sogenannten Brute Force-Angriff. Dabei werden automatisch und sehr schnell Passwörter über ein Wörterbuch oder Passwortlisten ausprobiert.

Aus diesem Grund sollten niemals persönliche Informationen verwendet werden, wie z.B. die Namen von Frau, Freund oder Hund. Auch die Kombination mit einem Geburtsdatum reicht nicht aus. Verwenden Sie ein möglichst langes Passwort mit mindestens 18 Zeichen, dass eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthält.

Unsere Tipps:

  1. Verwenden Sie niemals “admin” oder “Administrator” als Benutzernamen. Ansonsten hat ein Angreifer an dieser Stelle schon 50% Ihrer Zugangsdaten erraten!
  2. Stoppen Sie Brute-Force-Angriffe (Ausprobieren von Passwörtern) durch ein geeignetes Plugin. Das Plugin beschränkt den Zugriff nach einer bestimmten Anzahl von Login-Versuchen.
  3. Geben Sie Ihre Zugangsdaten niemals weiter. Nur Sie oder eine absolut vertrauenswürdige und kompetente Person sollte Admin-Zugang für Ihre Website haben.
  4. Vergeben Sie an Mitarbeiter nur einen beschränkten Zugriff als z.B. Redakteur. So hält sich der Schaden in Grenzen, wenn hier ein Login kompromittiert wird.
  5. Nutzen Sie die deutschen Umlaute (ä, ü, ö) im Passwort. Ein Großteil der Hacker kommt sicherlich nicht aus dem deutschsprachigen Raum. In der restlichen Welt gelten die Umlaute als Sonderzeichen und sind daher deutlich schwerer zu erraten. Darauf verlassen kann man sich allerdings nicht, da auch deutsche Wörterbuch beim Ausprobieren zum Einsatz kommen.
  6. Falls Sie sich – verständlicherweise – eine beliebige Zeichenkombination schlecht merken können: Hängen Sie mindestens drei voneinander unabhängige Wörter hintereinander und setzen jeweils zwischen den Wörtern ein Sonderzeichen, z.B. Besser!schützen+WordPress. Das können Sie beliebig ergänzen, um die Sicherheit weiter zu erhöhen.

So prüfen Sie Ihr Passwort!

Sie sollten sich immer Informieren, ob Ihr gewähltes Passwort schon in Passwortlisten auftaucht. Wenn dies so sein sollte: Verwenden Sie ein anderes Passwort!

Nutzen Sie zur Prüfung die Website Have I been pwned?, die Ihnen direkt anzeigt, ob eine “pwnage” vorliegt.

Die Begriffe “pwnage” und “pwned” sind Abkürzungen bzw. Hacker-Sprache für “pawnage” und “pawned”, was man umgangssprachlich mit “erwischt worden” oder noch moderner mit “owned” übersetzen kann.

Lassen Sie sich also nicht erwischen und nutzen Sie ein sicheres Passwort!

C. Sicherheitslücken in WordPress

WordPress ist das mit Abstand am häufigsten verwendete CMS weltweit. Nach Angaben von Statista hat WordPress unter den TOP 10 der Content Management Systeme einen Marktanteil von 63,5 Prozent (Stand: Oktober 2020).

Die hohe Verbreitung hat den Vorteil, dass WordPress von vielen Personen stetig weiterentwickelt wird und Ihre Investitionen als Unternehmen geschützt sind. Sie müssen also nicht befürchten, dass WordPress in naher Zukunft keine Aktualisierungen mehr erhält und Sie mit Ihrer Website im Regen stehen. Es ist sehr ärgerlich, wenn Sie auf das falsche Pferd gesetzt haben und wieder komplett neu anfangen müssen. Ebenso sind zügige Updates bei Sicherheitsproblemen garantiert. Dies ist auch einer der Gründe, warum wir WordPress für unsere Kunden und eigene Projekte nutzen.

Die häufige Verwendung von WordPress hat allerdings auch Nachteile. Oft genutzte Software ist ein lohnenswertes Ziel für Hacker – das ist durchaus mit Microsoft Windows vergleichbar. Je häufiger eine Software verbreitet ist, desto öfter finden sich auch ungeschützte bzw. schlecht gewartete Systeme, die gehackt werden können. Ahnungslose oder schlecht ausgebildete Administratoren, die eine WordPress-Installation der Marke Eigenbau oder die “Ich klick mir WordPress bei einem Hoster zusammen”-Variante nutzen, sind leichte Beute für Kriminelle.

Nur weil etwas einfach zu installieren ist, heißt das noch lange nicht, dass auch der sachgerechte Schutz und die Wartung einfach bzw. für Laien ohne besondere Kenntnisse möglich sind. Gerne nutzen kleine Unternehmen den Enkel, einen Freund oder Bekannten für Ihre WordPress-Installation – die Folgen sehen wir fast täglich, wenn uns diese Unternehmen dann um Hilfe bitten, weil sie gehackt worden sind!

Wenn Sie sich nicht mit dem Thema Sicherheit beschäftigen wollen: Lassen Sie die Finger von WordPress oder beauftragen Sie Experten mit dem Schutz und der Wartung Ihrer WordPress-Website. Sofern Sie Zeit investieren und Wissen aufbauen möchten (und das ist immer gut!), so hilft Ihnen dieser Artikel weiter.

Die Macher hinter WordPress versorgen das System absolut vorbildlich und sehr kurzfristig mit regelmäßigen Updates, ganz im Gegenteil zu vielen Plugins, die von Ein-Mann-Teams gewartet werden (siehe dazu auch Punkt a.). Es werden ständig neue Funktionen eingebaut und auch kritische Sicherheitslücken geschlossen.

Unsere Tipps:

  1. Bevor Sie ein Update für WordPress auf einer Live-Seite einspielen: Machen Sie immer immer immer ein Backup, sowohl der Datenbank als auch des Systems.
  2. Wöchentliche oder – besser! – tägliche Updates Ihres WordPress-Systems sind Pflicht! Sollten Sie dazu “keine Zeit haben”: Beauftragen Sie jemand damit.
  3. Kleine WordPress-Updates, die Sie an der Stelle nach dem Komma der Version erkennen können (z.B. ein Update von v5.71 auf v5.72) werden mittlerweile von WordPress automatisch eingespielt. Überprüfen Sie nach einer Neuinstallation, dass diese Funktion aktiviert ist. Damit auch hier nichts schief gehen kann, sind wöchentliche oder – je nach Nutzung der Website – auch tägliche Backups ein Muss.
  4. Große Backups müssen immer manuell eingespielt werden, da sich hier viele grundlegende Dinge ändern können. Wir empfehlen das vorherige Einspielen auf einem Test-System. Auch hier gilt natürlich: Niemals ohne Backup. Prüfen Sie vor und nach dem Einspielen alle grundlegenden Funktionen der Website und auch die Plugins.
  5. Halten Sie auch die PHP-Version auf dem Webserver auf dem aktuellen Stand. WordPress setzt in neuen Versionen auch gelegentlich eine neue PHP-Version voraus. Veraltete PHP-Versionen sind ebenfalls ein Einfallstor für Hacker.

D. Installierte Themes

Ein weiteres, dauerhaftes Problem-Thema bei unserem internen “Wo gibt es die häufigsten Hacks bei Kunden”-Ranking sind die installierten Themes, also die verwendete Design- und Layout-Vorlage für die WordPress-Website.

Die Themes sind eines der wichtigsten Features von WordPress und sicherlich der hauptsächliche Grund, warum das System weltweit so beliebt ist. Mit nur einem Mausklick lässt sich ein vollständiges Design einspielen, ohne das man auch nur eine Zeile Code programmieren (können) muss. In unserem Gründungsjahr als Web-Agentur 1997 schien so etwas undenkbar. Auch heute noch träumen andere CMS von so einer Luxus-Funktionalität.

Ohne die Themes wäre der kometenhafte Aufstieg von WordPress nicht möglich gewesen – Websites für Alle, ohne jegliche Programmierkenntnisse, dass hat WordPress mit den Themes erst ermöglicht.

Das Verbergen der Komplexität einer Website durch ein CMS wie WordPress birgt natürlich auch die gleiche Gefahr, wie bereit in c. Sicherheitslücken in WordPress erwähnt: Viele Nutzer unterschätzen den Aufwand für eine sichere Website mit WordPress (“es läuft ja alles”) und wissen nichts von den Risiken. Gerade auch mit der Einführung der DSGVO im Mai 2018 sind Unternehmen verpflichtet, die Daten Ihrer Nutzer bestmöglich zu sichern. Unwissenheit schützt vor Strafe nicht!

Unsere Tipps:

  1. Verwenden Sie niemals ein kostenloses Theme für Ihre Unternehmens-Website. Einzige Ausnahme: Die mitgelieferten Standard-Themes wie Twenty Nineteen oder Twenty Twenty, diese werden durch das WordPress-Team betreut und regelmäßig aktualisiert. Sie wissen nicht, wie oft ein kostenloses Theme aktualisiert und gewartet wird und es ist logisch, dass viele kleinere oder “Ein-Mann-Teams” aufgrund fehlender Monetarisierung oft das Interesse an einer Weiterentwicklung verlieren. Damit haben Sie dann ein akutes Sicherheitsproblem. Für das Hobby vielleicht noch ok, aber im professionellen Umfeld für ein kleines oder mittelständisches Unternehmen hat “kostenlos” nichts zu suchen.
  2. Kaufen Sie ein professionelles Theme von einem etablierten Entwickler. Wir können z.B. Divi, Thrive Themes und die Themes vom deutschen Entwickler Elmastudio empfehlen.
  3. Auch bei Themes sollten die Updates immer sehr kurzfristig eingespielt werden, mindestens einmal pro Woche, besser täglich auf Updates checken.
  4. Prüfen Sie bei größeren WordPress-Updates immer vorab, ob Ihr Theme bereits eine angepasste, neue Version zur Verfügung stellt. Themes nehmen häufig tief greifende Veränderungen am WordPress-System vor und sobald dort größere Änderungen eingespielt werden (z.B. der Gutenberg-Editor ab Version 5.0), können und werden Inkompatibilitäten auftreten. Nutzen Sie zunächst ein Test- System, um Ihr Live-System nicht zu gefährden. Lesen Sie immer auch die aktuellen Forenbeiträge des Themes!
  5. Erstellen Sie sich eine Checkliste für die wichtigsten Funktionen Ihrer Website, die über das Theme geändert werden. Prüfen Sie nach jedem Update, ob alles einwandfrei funktioniert.
  6. Überprüfen Sie vor dem Kauf eines Themes, wann das Theme zuletzt aktualisiert wurde. Mehr als drei Monate sind nicht akzeptabel, idealerweise sollte es immer sehr kurzfristig nach einem WordPress-Update aktualisiert werden.

Sicherheit für Eilige – WordPress schnell absichern mit Security-Plugins

Bei Eingabe des Begriffs “Security” im Plugin-Verzeichnis von WordPress hat man die Qual der Wahl. Dutzende von Sicherheits-Plugins buhlen hier um die Gunst der sicherheitsbewußten Nutzer. Welches ist nun das Richtige? Welchem Plugin kann ich vertrauen? Welches Plugin ist einfach und sicher zu konfigurieren?

Kurze Anmerkung: Die hier aufgeführten Plugins machen alle ihren Job und können bedenkenlos eingesetzt werden. Im Folgenden schauen wir im direkten Vergleich auf die Vor- und Nachteile, um Ihnen die Entscheidung bei der Auswahl des für Sie richtigen Plugins zu erleichtern.

Eine Übersicht der wichtigsten Security-Plugins:

  • Wordfence Security
  • All in One WP Security & Firewall 
  • Limit Login Attempts Reloaded
  • WP Cerber Security

Unsere Leistungen für Ihre sichere Unternehmens-Website mit WordPress

Eine sichere Website ist keine einmalige Aufgabe, die man dann zu den Akten legt und vergisst. Eine kontinuierliche Wartung und Überwachung des Servers, der WordPress-Version sowie der eingesetzten Plugins ist unbedingt erforderlich.

Sie möchten die Sicherheit und Wartung Ihrer WordPress-Website nicht selbst die Hand nehmen? Ihnen fehlt die Zeit und das Know-How?

Sie erhalten bei uns maßgeschneiderte Sicherheitspakete für kleine und mittelständische Unternehmen sowie Selbstständige und Freiberufler.

Sprechen Sie uns an – Sie kümmern sich um Ihr Tagesgeschäft, wir uns um Ihre Website.

Hosting

Ihre Website wird auf unseren deutschen Servern gehostet. 

Wartung

Kontinuierliche Betreuung und Überwachung Ihrer Website.

Sicherheit

WordPress als Bulletproof-Version – gut abgesichert, um automatische Malware-Bots draußen zu lassen. Wartung und regelmäßiges Einspielen von Updates, sowie Check der vorhandenen Plugins auf Sicherheitslücken.

Online Marketing

Die Erhöhung der Reichweite für Ihre Website durch hochwertigen Content und die richtige Online Marketing-Strategie. Direkte Ansprache der Zielgruppe und deren Problem. Die schönste Website ist sinnlos, wenn sie niemand findet. 

DSGVO & Datenschutz

Websites, automatisch angepasst an die aktuelle Rechtslage, über unsere Partner eRecht24 und easyrechtssicher.de.

Backup

Tägliche (auf Wunsch: stündliche) Backups des Systems. Schnelle Wiederherstellung von Daten.