So schützen Sie Ihre WordPress-Website
Sicherheit ist keine einmalige Sache oder ein Schalter, den man irgendwo umlegt – und fertig. Einmal ist wie keinmal: Es reicht schliesslich auch nicht aus, wenn Sie Ihre Bürotür nur einmal im Jahr abschliessen.
Der Schutz einer Website umfasst mehrere Ansatzpunkte – die meisten davon müssen regelmässig kontrolliert und ausgeführt werden. Folgende sieben Tipps bilden dabei die Grundlage für eine sichere Website.
Die 7 wichtigsten Tipps
Keine Software kommt fehlerfrei auf den Markt, so auch Content Management Systeme (CMS) nicht. Woran wir uns am PC oder beim Handy mehr oder weniger gewöhnt haben, wird bei Websites oft vergessen: Updates durchführen, um das System auf dem neusten Stand zu halten.
Unser Tipp: WordPress regelmässig updaten, updaten, updaten. Der beste Weg, Sicherheitslücken zu schliessen, sind zeitnahe Updates von System, Themes, Plugins und Scripten.
Stellen Sie sich vor, Sie hätten nur einen einzigen Schlüssel für alles: Büro, Haus, Auto, Ferienwohnung, Bankschliessfach. Und diesen Schlüssel teilen Sie mit anderen, damit diese in Ihr Haus kommen. Was sich für Sie zuerst bequem anhört, kann schnell zum Risiko werden. Bei Websites haben aber oftmals alle Nutzer unnötigerweise Zugriff auf alle Rechte.
Unser Tipp: Richten Sie keine allgemeinen Admin-Konten ein. Geben Sie jedem Nutzer einen eigenen Zugang und nur so viel Rechte, wie er für seine Aufgaben auch wirklich benötigt.
Soll ich ungenutzte Plugins aktualisieren? Können alte Themes gelöscht werden? Viele Websites sind mit einer Unmenge Datenmüll unterwegs und bieten Hackerattacken eine riesige Angriffsfläche.
Unser Tipp: Entfernen Sie alle ungenutzten Erweiterungen. Sicherheitslücken können auch bei deaktivierten Themes, Plugins und Scripts für Angriffe missbraucht werden. Prüfen und wiederholen Sie diesen Vorgang regelmässig.
Vergewissern Sie sich, dass Sie nur über sichere Netzwerkverbindungen aufs Internet zugreifen, um Ihre Website zu bearbeiten. In öffentlichen WLAN-Netzen ist die Gefahr gross, dass ihre Zugangsdaten ausgespäht werden.
Unser Tipp: Wenn es sich nicht vermeiden lässt, über ein öffentliches WLAN Ihre Website zu bearbeiten, benutzen Sie nur einen Zugang mit beschränkten Rechten.
Der ganze Schutz der Website ist gefährdet, wenn Sie zur Bearbeitung der Website einen infizierten Computer benutzen, der Ihre Passwörter ausspioniert.
Unser Tipp: Benutzen Sie nur «saubere», virenfreie Computer, deren Betriebssysteme ebenfalls auf dem neuesten Stand sind (darum kümmert sich in der Regel Ihre IT).
Dass eine Attacke trotz allen Vorkehrungen zum Ziel führt, kann nicht 100-prozentig ausgeschlossen werden. Darum braucht es regelmässige Backups für den Notfall.
Unser Tipp: Legen Sie wöchentlich Backups an. Ein «sauberes» Backup ist der einfachste und oft der einzige Weg, eine infizierte Website wiederherzustellen.
Unwissenheit schützt vor Schaden nicht. Es ist wichtig, dass Sie sich laufend über Sicherheitslücken und Updates informieren.
Unser Tipp: Halten Sie sich zum Thema WordPress-Sicherheit auf dem Laufenden.
Nichts tun, ist keine Option
Wenn man sich mit der «Pflege» und den Sicherheitsvorkehrungen bei WordPress nicht oder nicht besonders gut auskennt, ist nichts tun keine Alternative. Im Angesicht der möglichen Folgen sogar fahrlässig. Hier erfahren Sie mehr über die Gefahren. Obwohl viele Kunden das Risiko «irgendwie» kennen, rechnen Sie nicht mit den Folgen einer Hackerattacke.
Muhammad Ali erklärte auf einem Linienflug von sich: «Superman braucht keinen Sicherheitsgurt!» Die Stewardess zögerte und erwiderte: Superman braucht auch kein Flugzeug.» Der Boxer schloss seinen Sicherheitsgurt.
Sichere Passwörter: ein Dauerbrenner
Eines der grössten Probleme sind unsichere Passwörter. Sie sind wie Einladungskarten und öffnen Hackerattacken Tür und Tor. «admin» als Benutzer und «1234» als Passwort kommen zwar nicht mehr so häufig vor, aber «beat_meier», «cd», «24.03.1984» oder «habe-ich-vergessen» sind ebenso weitverbreitet wie unsicher.
Wie sieht ein sicheres Passwort aus?
- Mindestens 11 Zeichen
- Enthält Grossbuchstaben
- Enthält Kleinbuchstaben
- Enthält Zahlen
- Enthält Sonderzeichen: +@*%&/()=?!$
- Passwort wird nicht mehrfach eingesetzt
- Beispiel: jA6Qwi$nCol
Sichere Passwörter generieren
- Online: LastPass Password Generator
- Chrome: Strong Password Generator oder 1Password Chrome Extension
- Firefox: Secure Password Generator
Wir empfehlen einen Passwort-Manager
Hat man sich dafür entschieden, sichere Passwörter einzusetzen, steht man gleich vor der nächsten Herausforderung: Wie merke ich mir all die Passwörter? Die Lösung: mit Hilfe eines Passwort-Managers. Damit können auch die schwierigsten Zeichenfolgen einfach verwaltet werden. Und zwar Geräte übergreifend.