„Wie sicher ist WordPress?“, werden wir daher von Kunden oft gefragt. Und: Gibt es andere CMS, die eine geringere Angriffsfläche bieten? Wie kann ich meine Website oder meinen Online-Shop gegen Hacker schützen?
Entwarnung durch das BSI: WordPress nicht gefährdeter als andere CM-Systeme
Bereits 2013 ist das Bundesamt für Sicherheit in der Informationstechnik der Frage nachgegangen, ob bestimmte CM-Systeme gefährdeter sind als andere. Das Resultat der Studie ließ überzeugte WordPressler aufatmen. Denn im Vergleich der fünf beliebtesten CMS ergab sich für WordPress ein grundsätzlich gutes Sicherheitsniveau.
Schwachstellen, die aus der Programmierung des CMS selbst resultieren, fand das BSI dagegen noch bei TYPO3 und Joomla.
Nicht die Software, die Erweiterungen laden Angreifer ein
Mit dieser ersten Entwarnung, ist die Gefahr, bei der Nutzung von WordPress zum Ziel digitaler Gemeinheiten zu werden, allerdings noch nicht gebannt. Denn ein Problem, vor das sich jeder Nutzer eines CM-Systems gestellt sieht, betrifft die Erweiterungen, die Plug-ins.
Auf der einen Seite sind es gerade die Plug-ins, die WordPress so spannend machen und die zu seinem Schutz beitragen. Auf der anderen Seite kann das Herunterladen und Installieren ungesicherter oder falsch programmierter Plug-ins den Angreifern Tür und Tor öffnen. Unser erster und grundlegender Rat an WordPress-User lautet daher generell: Bewahren Sie Augenmaß, auch bei der Installation von Sicherheits-Plug-ins. Nicht viele, sondern die richtigen Erweiterungen und Schutzprogramme helfen Ihnen, Ihr WordPress zu sichern.
WordPress schützen: Diese Standards sollten Sie einhalten
Um WordPress zuverlässig zu schützen, benötigen Sie Sicherheitstools wie beispielsweise Wordfence oder iThemes Security. Eine Sicherheitssoftware sollte Sie alarmieren, falls zahlreiche vergebliche Anmeldeversuche auf eine Brute-Force-Attacke deuten.
Darüber hinaus bietet Ihnen WordPress ausgezeichnete Möglichkeiten, Nutzerrechte differenziert zuzuweisen. So können Sie auch bei mehreren Nutzern festlegen, wer welche Rechte und welche Rolle erhält – vom Admin bis zum einfachen Leser.
Spammer fernhalten: Nofollow-Regel schützt vor digitalem Müll
Je bekannter Ihre Seite wird, desto häufiger werden Sie Nachrichten von Spammern erhalten, die gern einen Backlink in Ihrem Kommentarfeld platzieren möchten. Häufig überschlagen sich diese Spammer in einer höflichen und schmeichelhaften Weise, geben vor, täglich oder wöchentlich in Ihrem Blog mitzulesen, von Ihren Produkten extrem beeindruckt zu sein oder Ihren Rat in einer wichtigen Angelegenheit zu benötigen.
Vor dieser Art von Spam schützen Sie sich weitestgehend, indem Sie alle Kommentare auf „nonfollow“ schalten, was bedeutet, dass keine Backlinksetzung ohne Ihr aktives Zutun erfolgt.
Noch sicherer ist es, wenn Sie als Regel festlegen, dass jeder Kommentar persönlich freigeschaltet werden muss. Allerdings kann dies auf Dauer einen erheblichen Aufwand erfordern. Und es besteht die Gefahr, dass Sie erwünschte Kommentatoren und Gäste verärgern, wenn Sie deren Beiträge nicht sofort freischalten.
Kurz und gut: WordPress selbst bietet gute und hilfreiche Plug-ins und Regeln, mit denen sich das CMS sichern und verwalten lässt. Darüber hinaus setzen wir bei unseren Kunden weitere Maßnahmen ein, die grundsätzlich die Sicherheit von webbasierten Applikationen erhöhen.
Sollten Sie unsicher sein, welche Software zu installieren ist oder wie sich bestimmte Regeln erstellen lassen, sind wir von inspiras Ihnen selbstverständlich mit Tipps oder der praktischen Umsetzung behilflich. Gern übernehmen wir auch die dauerhafte Wartung, denn nichts wäre doch ärgerlicher, als ein sorgsam gepflegtes CMS wegen eines fehlerhaften Plug-ins oder einer kleinen Nachlässigkeit zu verlieren.
