WordPress-Sicherheit #3 – Kontinuierliche Sicherheit
Veröffentlicht: – 3 Kommentare Letzte Aktualisierung:
Die Installation und erste Konfiguration haben wir hinter uns gelassen. Nun geht es darum, sicherzustellen, dass unser WordPress abgesichert bleibt. Vieles kann man serverseitig bereits machen, hier sind die Hoster in der Pflicht, sofern man selbst nur Webspace mietet. Allerdings kommt man nicht umhin, die Sache selbst proaktiv anzugehen.
Backups
Backups dienen nur indirekt der eigentlichen Sicherheit einer Website. Viel mehr sind sie dann wichtig, wenn im Falle eines Falles etwas irgendwo schief gelaufen ist. Dann kann das unachtsame Löschen eines Administrator-Benutzers sein, allerdings auch die Kompromittierung durch eine Sicherheitslücke. Je nachdem, wie wichtig die Daten sind und wie oft sich diese ändern, gibt es unterschiedliche Sicherungsstrategien. Um diese jedoch alle zu erläutern, ist hier nicht genug Platz.
Es sollten allerdings immer und regelmäßig Backups angelegt werden. Viele Hoster machen das selbst bereits automatisch, dann muss man hier nicht zwingend aktiv werden. Allerdings sollte man abklären, ob diese Backups kostenfrei zur Verfügung gestellt werden, wenn man sie benötigt und wie schnell eine Bereitstellung möglich ist.
Wer hier unabhängiger sein will, kann natürlich selbst Backups anlegen. Wichtig ist zu wissen, dass das gesamte Verzeichnis, in welchem WordPress installiert wurde, genauso gesichert werden muss wie die Datenbank, in welche WordPress seine Daten schreibt. Im Regelfall genügt hier ein wöchentliches Komplett-Backup. Wer eine Website mit vielen neuen Inhalten besitzt bzw. pflegt, der sollte entsprechend öfter Backups anlegen.
Automatische und regelmäßige Updates
Auch wenn sich gemäß unserer ersten Konfiguration der WordPress Core bereits automatisch aktualisiert, so gilt das nicht für Plugins und Themes. Dort müssen aufgrund der größeren Tragweite der Änderungen – genauso wie Major Updates des WordPress Core – sämtliche Updates manuell angestoßen werden. Aus diesem Grunde sollte man mindestens wöchentlich, bestenfalls aber täglich nachsehen, ob es neue Updates in seiner WordPress-Installation gibt. Diese sollten unbedingt so schnell wie möglich vorgenommen werden, denn laut der National Vulnerability Database der NIST kamen lediglich 19 % der Sicherheitslücken Zwischen Januar 2015 und August 2017 direkt im WordPress Core vor. Die übrigen 81 % kamen zu großen Teilen von Plugins und von wenigen Themes.
Plugin-Installationen hinterfragen
Wer kennt es nicht: Man stöbert durch das Plugin-Repository und die Beschreibung vieler Plugins hört sich super an. Dazu sind auch noch die Bewertungen super. Man kommt auf die Idee, dass man das Plugin unbedingt ebenfalls benötigt und dank der einfachen Installationsmöglichkeit hat man das Plugin wenige Augenblicke später auch in der eigenen WordPress-Installation zur Verfügung.
Das Problem daran ist, dass man sich unter Umständen sehr viele Plugins installiert, die man im Grunde genommen nur sehr selten oder auch überhaupt nicht benötigt. Dadurch erhält man auf seiner Website vielen neuen Code, der nicht nur die Performance verschlechtert, sondern insbesondere auch potenziell die Sicherheit. Denn auch hier gilt: Je mehr Code die Website nutzt, desto anfälliger ist sie, da es mehr potenzielle Bereiche gibt, welche eine Sicherheitslücke haben.
Daher ist mein lauter Appell an alle: Überlegt euch, ob ihr ein bestimmtes Plugin wirklich benötigt und installiert nur benötigte.
WordPress Security News verfolgen
Auch wenn sich WordPress gemäß unseren gemachten Einstellungen automatisch mit Sicherheitsupdates versorgt, ist es dennoch ratsam, regelmäßig die WordPress Security News zu verfolgen. Dort wird immer bekannt gegeben, sobald es ein neues Sicherheitsupdate gibt.
Zu finden sind sie hier:
https://wordpress.org/news/category/security/
Fazit
Nun können wir uns zurücklehnen – also nachdem alle Aufgaben von oben gemacht wurden – und uns bereits recht gut entspannen. Schließlich haben wir alles getan, um die Website möglichst sicher zu halten.
Im nächsten Teil der Reihe „WordPress-Sicherheit“ werde ich einige Informationen darüber geben, was man zum Wohle der Sicherheit besser nicht mit seinem WordPress macht. 🚫
Die News betreffen ja nur WordPress-Core, daher empfehle ich noch mehr Quellen zu nutzen (vor allem für aktuelle Plugin-Sicherheitslücken):
https://blog.sucuri.net/category/wordpress-security/
https://www.wordfence.com/blog/category/wordpress-security/
https://wpvulndb.com/
Wer es lieber auf Deutsch hat, der kann auch Marcs Newsletter abonnieren:
https://www.wp-wartung24.de/newsletter/
Danke für die hilfreichen Seiten, habe ich direkt mal abonniert!