7 WordPress-Sicherheitsmythen: Völlig entlarvt und entlarvt
Veröffentlicht: 2023-10-21Obwohl es sich um das beliebteste Content-Management-System der Welt handelt, kursieren weiterhin Mythen über die Sicherheit der WordPress-Plattform. Aufgrund seines Open-Source-Charakters könnten unerfahrene Benutzer es für weniger sicher halten als ein kommerzielles Produkt. Außerdem könnten sie durch Meldungen über WordPress-Sicherheitsprobleme in den Nachrichten verunsichert sein.
Mythos Nr. 1: Sicherheit ist die Aufgabe Ihres Hosting-Providers
Als Anfänger oder Erstbesitzer einer Website denken Sie vielleicht, dass die Sicherheit Ihrer Website Sache der Leute ist, die Sie dafür bezahlen, sie online zu halten. Und das stimmt in gewisser Weise; Ihr Webhosting-Anbieter ist in der Tat die erste Verteidigungslinie. Ihre Aufgabe ist es, sicherzustellen, dass Ihr Webserver nicht leicht zugänglich ist, und die physische Einheit zu schützen, auf der sich Ihre Website befindet. Wenn nicht, sind sie einfach ein schlechter Gastgeber.
Die Sicherheit der Website liegt hauptsächlich in Ihrer Verantwortung
Abgesehen davon hängt es jedoch von Ihrem Plan ab, wie stark Ihr Hosting-Anbieter mit der Sicherheit Ihrer WordPress-Website befasst ist. Auf einem Shared Host, VPS Host oder sogar einem dedizierten Server mieten Sie grundsätzlich nur den Serverplatz. Was Sie damit machen, bleibt Ihnen überlassen.
Das bedeutet, dass der Hosting-Anbieter Sie in keiner Weise dabei unterstützt, Ihre WordPress-Website zu schützen. Das ist dein Job.
Natürlich bieten einige Anbieter zusätzliche Sicherheitsfunktionen wie eine Firewall oder ein CDN an. Sie überwachen ihre Server auch auf Malware, Viren usw. und ergreifen Maßnahmen, wenn sie etwas auf Ihrer Website entdecken. Allerdings bedeutet das oft auch, dass Ihre Website deaktiviert wird und Sie aufgefordert werden, das Problem zu beheben. Keine ideale Lösung, insbesondere wenn Sie Anfänger sind.
Managed Hosting kann helfen
Wenn Sie möchten, dass Ihr Hosting-Anbieter eine aktivere Rolle bei der Sicherheit Ihrer WordPress-Website übernimmt, müssen Sie sich für Managed Hosting entscheiden. Der Name wird so genannt, weil ein Managed-Hosting-Anbieter neben der Bereitstellung von Serverplatz auch einige der alltäglichen Aufgaben übernimmt, die mit dem Betrieb einer Website einhergehen. Sicherheit gehört dazu, ebenso wie Geschwindigkeitsoptimierung, Website-Updates und fachkundiger Support.
Natürlich kostet diese Art von Service extra, aber oft lohnt es sich, abhängig von Ihrem Vertrauen in Ihr eigenes Kompetenzniveau, Ihre Website zu sichern. Es kann viel Seelenfrieden geben.
Lassen Sie uns jedoch im Großen und Ganzen mit diesem WordPress-Sicherheitsmythos ein für alle Mal aufräumen: Sofern es nicht Teil des von Ihnen gebuchten Dienstes ist, ist Ihr Hosting-Anbieter nicht für die Sicherheit Ihrer Website und dafür verantwortlich, dass diese vor Angriffen und Hackerangriffen geschützt wird. Diese Verantwortung liegt bei Ihnen.
Mythos Nr. 2: WordPress selbst ist ein Sicherheitsrisiko
Jetzt denken Sie vielleicht: „Okay, wenn der Hosting-Anbieter das nicht für mich erledigt, ist es dann nicht riskant, sich auf eine kostenlose Software zu verlassen?“ Wie gut kann etwas sein, das ein paar Freiwillige in ihrer Freizeit machen? Außerdem sehe ich diese Wix-Leute im Fernsehen, die mir sagen, dass WordPress auch nicht sicher ist.“
Okay, lass uns das als nächstes angehen.
Das erste, was Sie verstehen müssen, ist, dass nichts, was mit dem Internet verbunden ist, völlig sicher ist. Täglich werden Tausende Websites gehackt, von der größten bis zur kleinsten. Es ist wie im Leben, am Ende gibt es nur unterschiedliche Grade der Unsicherheit und man muss sicherstellen, dass es so unwahrscheinlich wie möglich ist, dass etwas Schlimmes passiert.
WordPress verfügt über umfangreiche Sicherheitsmaßnahmen
Hier schneidet WordPress nicht schlechter ab als andere. Tatsächlich hat die Plattform im Laufe der Jahre ein robustes System zur Erkennung und Behebung von Sicherheitsbedenken im Kernprodukt implementiert.
Es gibt ein engagiertes Sicherheitsteam, das aus etwa 50 Experten besteht, darunter leitende Entwickler, Sicherheitsforscher und andere Web-Sicherheitsexperten. Viele von ihnen arbeiten für WordPress.com, ein Unternehmen, das ein großes Interesse daran hat, die Software, auf der sein gesamtes Geschäft basiert, ausfallsicher zu machen.
Darüber hinaus berät sich das Team mit Sicherheitsteams anderer Hosting-Unternehmen und sogar mit Content-Management-Systemen.
Ihre Aufgabe besteht darin, WordPress aktiv auf Schwachstellen zu überwachen und schnell auf alles zu reagieren, was auftaucht. Wenn etwas, das gemeldet wird, schwerwiegend genug ist, haben sie die Möglichkeit, einen sofortigen Patch zu erstellen und zu versenden. Dies wird automatisch auf jeder WordPress-Website installiert, die höher als Version 3.7 ist, es sei denn, Sie deaktivieren diese Funktion ausdrücklich.
Darüber hinaus wird WordPress im Allgemeinen häufig aktualisiert, etwa zwei bis drei neue Hauptversionen pro Jahr mit dazwischen liegenden Neben-, Wartungs- und Sicherheitsupdates. Jedes enthält Korrekturen für potenzielle Sicherheitsprobleme und einen umfassenden Testprozess.
Seine Gemeinschaft ist sein wichtigstes Kapital
Darüber hinaus haben Sie möglicherweise ein falsches Bild davon, wie diese „Gruppe von Freiwilligen“ wirklich aussieht. Viele von ihnen sind Mitarbeiter von Millionenunternehmen, die WordPress für ihr Unternehmen nutzen. Darüber hinaus sind sie alle daran beteiligt, die Software, mit der sie ihren Lebensunterhalt bestreiten, sicher zu halten.
Im Allgemeinen ist der Open-Source-Charakter von WordPress einer seiner Stärken. Der Quellcode ist frei verfügbar und kann von jedem eingesehen sowie Sicherheitslücken gefunden und gemeldet werden. Und viele Leute tun es. Ich meine, schauen Sie sich einfach die Anzahl der Mitwirkenden für WordPress 6.3 an.
Schließlich gibt es viele spezialisierte Hosting-Anbieter und Sicherheits-Plugins, um die Sicherheit von WordPress-Websites weiter zu verbessern. Ganz zu schweigen von den Tausenden von Blogbeiträgen und Tutorials, die Benutzern auch bei der Umsetzung von Sicherheitsmaßnahmen helfen.
Was sagen wir also zu diesem WordPress-Sicherheitsmythos? Es ist nicht wahr. Die vorhandenen Systeme zur Gewährleistung der Sicherheit und Uneinnehmbarkeit des WordPress-Kernprodukts entsprechen denen kommerzieller Unternehmen oder übertreffen diese sogar.
Mythos Nr. 3: WordPress ist die am häufigsten gehackte Plattform
Etwas, das zu Ihrem Unbehagen bei der Verwendung von WordPress beitragen könnte, sind Statistiken, die besagen, dass es sich um das am häufigsten gehackte CMS auf dem Markt handelt. Und es stimmt, die Plattform war in der Vergangenheit wegen einiger schwerwiegender Sicherheitsprobleme in den Schlagzeilen. Ich meine, schauen Sie sich nur diese Grafik an. Sind Sie nicht skeptisch, WordPress jemals für etwas Ernsthaftes zu verwenden?
Berücksichtigen Sie die Größe von WordPress
An dieser Stelle müssen wir auf eines der ersten Dinge zurückkommen, die wir in der Einleitung gesagt haben. WordPress ist das beliebteste Content-Management-System auf dem Markt.
Wie beliebt ist es?
Laut W3techs betreibt es mehr als 43 % aller Websites im Internet.
In absoluten Zahlen sind das über 470 Millionen Seiten. Das sind viele Websites. Und wie Sie der Grafik oben entnehmen können, kommt kein anderes System auch nur annähernd an diese Werte heran.
Warum ist WordPress die am häufigsten gehackte Plattform? Weil es noch viel mehr WordPress-Websites zu hacken gibt.
Denken Sie darüber nach: Wenn Sie jemand wären, der beruflich in die Websites anderer Leute eindringt, welches System würden Sie ins Visier nehmen? Diejenige mit einem endlosen Vorrat an potenziellen Opfern und der größeren Wahrscheinlichkeit, dass jemand eine Seitentür offen lässt, oder diejenige, bei der die Ziele weit auseinander liegen? Sie kennen wahrscheinlich die Antwort.
WordPress Core ist nicht das Problem
Wenn man schließlich tiefer in die Statistiken eintaucht, stellt man schnell fest, dass nur ein sehr kleiner Prozentsatz erfolgreicher WordPress-Hacks auf WordPress selbst zurückzuführen ist. Und selbst in diesen Fällen liegt es häufig daran, dass auf der Website eine veraltete Version ausgeführt wird.
Der Großteil der Schwachstellen entsteht durch WordPress-Erweiterungen, insbesondere Plugins.
Also, ja, WordPress ist in der Tat die am häufigsten gehackte Plattform, so dass ein Großteil dieses Sicherheitsmythos wahr ist. Der Grund dafür ist jedoch viel nuancierter.
Mythos Nr. 4: Dann sind WordPress-Plugins nicht sicher
Einem aufmerksamen Beobachter (was Sie sicherlich sind) ist vielleicht aufgefallen, dass wir dort oben einfach unsere gesamte Argumentation hinter uns gelassen haben. Anscheinend haben wir zugegeben, dass WordPress-Plugins ein großes Sicherheitsproblem darstellen.
Da sie ein zentraler Bestandteil des WordPress-Ökosystems und der WordPress-Erfahrung sind (weil jeder sie verwendet, um Websites weitere Funktionen hinzuzufügen), bedeutet das, dass Sie keine andere Wahl haben, als unsichere Websites mit WordPress zu erstellen.
Oh nein, kaputt!
Das Problem mit Plugins
Natürlich muss man auch hier differenzierter vorgehen.
Ja, offensichtlich gibt es ein Problem mit WordPress-Plugins. Sie sind ein häufiger Einstiegspunkt in Websites.
Um dies jedoch ins rechte Licht zu rücken, muss man sich zunächst die schiere Anzahl der existierenden Plugins ansehen. Allein das WordPress-Repository umfasst rund 60.000. Darüber hinaus sind noch viele weitere Produkte in anderen Geschäften im Internet erhältlich.
Was jedoch ein Vorteil des WordPress-Ökosystems ist, kann auch eine Belastung sein. Die Autoren dieser Plugins verfügen über unterschiedliche Qualifikationsniveaus und nicht alle Plugins werden aktiv gepflegt und aktualisiert. Daher können sie unterschiedliche Ebenen der Codequalität und -sicherheit aufweisen.
Die WordPress-Community ist sich dessen bewusst und tut ihr Bestes, um auf dieses Problem zu reagieren. Es gab Fälle, in denen Plugins mit bekannten Problemen aus dem Plugin-Verzeichnis entfernt wurden. Darüber hinaus arbeiten Mitarbeiter an einem Plugin-Checker, der dem Theme-Check-Plugin ähnelt, um die Gesamtqualität der WordPress-Plugins zu verbessern.
Die erste Regel, um diesem Sicherheitsrisiko vorzubeugen, besteht also darin, sicherzustellen, dass Sie Plugins verwenden, die a) aus seriösen Quellen stammen und b) aktiven Support und Wartung erhalten.
Es geht nicht nur um die Plugins, sondern auch darum, wie Sie sie verwenden
Allerdings sind die Plugins selbst nur ein Teil der Gleichung. In vielen Fällen liegt das Problem ebenso in der Art und Weise, wie Menschen sie auf ihren Websites verwenden. Im oben erwähnten Bericht heißt es auch, dass 36 % der gehackten Websites ein veraltetes Plugin enthielten.
Genau wie beim WordPress-Kern ist es also nicht unbedingt die Software, die das Problem ist, denn Sicherheitsprobleme werden tatsächlich behoben, sondern es liegt daran, dass Benutzer diese Korrekturen nicht anwenden.
Darüber hinaus besteht häufig ein Problem mit der Anzahl der Plugins. Wie aus dem oben Gesagten deutlich wird, bergen Erweiterungen ein gewisses Risiko. Je mehr davon Sie also haben, desto mehr potenzielle Seitentüren können Sie auf Ihrer Website einführen.
Die Lösung: Installieren Sie nur so viele Plugins, wie Sie für die Arbeit benötigen. Wenn Sie ein Plugin nicht aktiv nutzen, löschen Sie es. Lassen Sie es nicht auf Ihrer Website verweilen, wo es nichts anderes tut, als zu altern und möglicherweise ein Sicherheitsrisiko darstellt.
Mythos Nr. 5: Ihre Website ist kein Ziel, niemand kümmert sich darum
Dies ist ein Klassiker unter den Website-Sicherheitsmythen, auch außerhalb von WordPress. Viele Leute, vor allem diejenigen, die Hobby- oder kleine Websites betreiben, glauben nicht, dass sie ein ausreichend profitables Ziel für einen Hacker darstellen, um sich für einen Angriff darauf zu interessieren. Ich meine, wenn Sie nur Bilder Ihres Haustierhamsters veröffentlichen, was könnte dann jemand davon haben, gegen Ihre Website zu verstoßen?
Hacking ist nicht persönlich
Hier gibt es zwei Dinge, die Sie verstehen müssen. Zum einen ist Website-Hacking nicht mit dem zu vergleichen, was man in den Filmen sieht. Es gibt niemanden in einem Kapuzenpullover, der vor einem Laptop sitzt, Ihre Website manuell auswählt und dann seine Zeit damit verbringt, manuell nach Wegen zu suchen, um darauf zuzugreifen.
Nein, die allermeisten Angriffe erfolgen automatisch. Es gibt eine Armee automatisierter Bots, die das Web ständig nach bekannten Schwachstellen in Websites durchsuchen und diese, wenn sie eine finden, ausnutzen. Meistens ist man einfach ein Opfer einer Gelegenheit.
Die Übernahme Ihrer Website ist nicht wirklich das Ziel
Zweitens geht es beim Hacken einer Website oft nicht darum, Finanzdaten oder andere sensible Informationen zu stehlen. In den meisten Fällen versuchen Hacker lediglich, Teile Ihrer Website zu übernehmen, um sie für ihren eigenen Vorteil auszunutzen:
- Rekrutieren Sie es als Teil eines Botnetzes, um es beispielsweise für DDoS-Angriffe einzusetzen
- Versenden Sie Spam von Ihrem Mailserver
- Verbreiten Sie Malware auf den Computern Ihrer Besucher
- Veröffentlichen Sie auf Ihrer Website Links zu betrügerischen Websites
Manche Leute tun es auch einfach, um Ihre Website zu verunstalten und ihr Können unter Beweis zu stellen.
Denken Sie also daran. Hier geht es nicht um dich. Es geht einfach darum, ein Ziel zu sein, das ausgenutzt werden kann, und Sie sollten Ihr Bestes tun, um dies zu vermeiden.
Mythos Nr. 6: Die Verwendung sicherer Passwörter schützt Ihre Website
Die Verwendung sicherer Anmeldeinformationen ist definitiv ein Teil der WordPress-Sicherheit, das ist kein Mythos. Es gibt viele Möglichkeiten, wie schwache Passwörter und Benutzernamen Ihnen schaden können:
- Brute-Force-Angriffe – bedeutet, dass ein Programm nach dem Zufallsprinzip verschiedene Kombinationen aus Benutzername und Passwort ausprobiert, bis etwas klappt.
- Credential Stuffing – Dies ähnelt Brute-Force-Angriffen, ist jedoch gezielter. In diesem Fall verwendet ein Hacker Zugangsdaten, die bereits kompromittiert wurden, z. B. bei einem anderen Cyberangriff. Dieser Angriff basiert auf der Tatsache, dass viele Menschen ihre Benutzernamen und Passwörter wiederverwenden.
Wenn Sie nicht glauben, dass das so schlimm sein kann, finden Sie hier eine Infografik, die Ihnen zeigt, wie schnell Hacker Ihr Passwort aufgrund seiner Komplexität im Durchschnitt knacken können.
Starke Passwörter tragen also zum Schutz Ihrer Website bei. Warum taucht dieser Punkt dann in einer Liste von WordPress-Sicherheitsmythen auf?
Denn sichere Passwörter allein reichen nicht aus. Website-Sicherheit ist ein Puzzle, von dem sie nur ein Teil ist. Wenn Sie den Rest vernachlässigen, lassen Sie Angreifern immer noch wichtige Wege offen, um in Ihre Website einzudringen.
Darüber hinaus sind Passwörter nur der Anfang. Um Ihre Anmeldeseite wirklich zu sperren, ist es am besten, die Anmeldeversuche zu begrenzen, eine Multi-Faktor-Authentifizierung zu verwenden und eine Firewall in Betracht zu ziehen. Darüber hinaus sind starke Anmeldeinformationen nicht nur für die Website selbst wichtig, sondern auch für alles, was damit zusammenhängt, wie z. B. Ihre Hosting- und FTP-Konten.
Mythos Nr. 7: Einfach ein Sicherheits-Plugin installieren, fertig
Viele Anfänger, die nicht viel über WordPress-Sicherheit wissen, verlassen sich auf Plugins, um ihre Website zu schützen. Und WordPress-Sicherheits-Plugins wie WordFence, MalCare oder Sucuri sind dafür ein Glücksfall. Sie sind sehr hilfreich, wenn es darum geht, unerfahrenen Benutzern dabei zu helfen, ihre Website mit nur wenigen Klicks gegen Angreifer abzusichern.
Allerdings ist dies kein todsicherer Weg, um die Sicherheit Ihrer Website zu gewährleisten. Der Einflussbereich dieser Plugins hat seine Grenzen, sie können eigentlich nur die Site selbst sperren, haben aber keinen Einfluss auf die größere Umgebung.
Wenn sich Ihre Site auf einem ungesicherten Server befindet oder Ihr Hosting-Konto durch ein schwaches Passwort gehackt wird, ist Ihr Sicherheits-Plugin nicht in der Lage, Ihre Site dagegen zu schützen. Also noch einmal: WordPress-Sicherheits-Plugins selbst sind kein Mythos, sie können ihre Aufgabe nur alleine nicht erfüllen.
Letzter Mythos: WordPress-Sicherheit ist kompliziert
Die Vorstellung, dass es schwierig sei, die Sicherheit Ihrer WordPress-Website zu gewährleisten, ist ein weiterer Mythos, der Menschen davon abhält, eine eigene Website zu starten. Das ist zwar ein wichtiges Thema, aber auch kein Hexenwerk. Letztendlich besteht der Großteil der Website-Sicherheit darin, ein paar Best Practices zu befolgen:
- Nutzen Sie einen geeigneten Hosting-Anbieter und entscheiden Sie sich für Managed Hosting, wenn Sie Unterstützung bei der Sicherheit benötigen
- Halten Sie WordPress und alle Plugins und Themes auf dem neuesten Stand
- Beschränken Sie Ihre Website auf das Nötigste an Erweiterungen, deaktivieren und löschen Sie alles, was Sie nicht aktiv nutzen, und stellen Sie sicher, dass die Inhalte auf Ihrer Website gut gepflegt sind
- Stellen Sie sicher, dass Ihre Anmeldeinformationen sicher sind und bewahren Sie sie sicher auf. Verbessern Sie die Sicherheit, indem Sie Anmeldeversuche begrenzen und eine Multi-Faktor-Authentifizierung verwenden
- Sichern Sie Ihre Website regelmäßig, um ein Rollback auf eine frühere Version durchführen zu können
- Nutzen Sie WordPress-Sicherheits-Plugins zur Unterstützung, aber berücksichtigen Sie auch die Teile, über die sie keine Kontrolle haben
Wenn diese vorhanden sind, sollte die Wahrscheinlichkeit, dass Ihrer Website etwas zustößt, erheblich verringert werden, auch wenn sie niemals Null sein kann.
Von welchem WordPress-Sicherheitsmythos hören Sie regelmäßig oder haben Sie ihn abonniert? Lass es uns in den Kommentaren wissen!