0173. 312 99 38 s.radke@smart-interactive.de
Eure Angebote sind ehrlich: Man sieht, was alles für das Gesamtprojekt nötig ist. Ihr beschönigt nichts.
Großartig, wie Sie mit Ihrer stillen Konsequenz alles auf einen guten Weg bringen.
Wir haben in der Zeit so viel gelernt. Wir sehen das Thema Online Marketing jetzt mit ganz anderen Augen.
Nicht auszudenken, was ich alles falsch gemacht hätte, wenn ich einfach alleine gestartet wäre!
Sonja P. Radke bietet Beratungen, Vorträge und WorkShops zu benutzerfreundlichem Design, Website-Konzeption und Unternehmenskommunikation. Zudem schreibt sie über den Nutzen von SEO und authentischem Marketing.
Sonja P. Radke
0173. 312 99 38
si-blog Web-Technologie Sicherheit für WordPress-Websites
Auch als Betreiber einer reinen Unternehmens-Präsentations-Website, ohne sensible Kunden- oder Produkt-Daten im Hintergrund, kann man inzwischen das Thema Sicherheit nicht mehr komplett ignorieren. Selbst wenn es nicht um Datenklau geht, weil es nichts zu klauen gibt, und nicht gleich das ganze Kerngeschäft zusammen bricht, wenn die Seite von Hackern geentert wurde, ist das schon ärgerlich. Weil man die Kontrolle über die eigene Präsentation im Web verloren hat oder man sich nicht mehr einloggen kann und da plötzlich Sachen auf der Startseite stehen, die im besten Falle verwirrend, im Worst Case aber sogar geschäftsschädigend sind. Das Thema Sicherheit für WordPress-Websites ist daher auch für Betreiber von reinen „Präsentations-Websites“, wie es Unternehmenswebsites oft sind, relevant.
Was für jeden Rechner-Benutzer gilt, gilt auch für Website-Betreiber: immer aktuell bleiben was Updates angeht, denn fast jedes Update-Paket bringt auch Sicherheits-Patches mit sich. Manchmal wird ein solches Paket vorrangig zwecks Schließung von Sicherheits-Lücken heraus gebracht. Und also sollte man das auch nutzen. Und da keine WordPress-Installation ohne Plugins, als Mini-Softwaren, auskommt, gibt es auch für diese regelmäßige Updates, ebenfalls mit Sicherheits-Patches. WordPress-Updates erscheinen unregelmäßig, je nachdem wie weit die Entwickler mit einer neuen Version sind oder ob genügend Fehler und Sicherheitslücken aufgetaucht sind, die schnell gestopft werden müssen. Das kann alle paar Tage passieren, spätestens nach vier bis sechs Wochen gibt es bei WordPress dann aber was zu aktualisieren.
Theoretisch ist ein Update zur Verbesserung der Sicherheit für WordPress-Websites ziemlich einfach: es gibt da einen Knopf, „Update installieren“, wenn man den drückt, passiert auch genau das. Und bei jedem Plugin gibt es ebenfalls einen solchen Knopf. Allerdings kann es gut sein, dass nachher dann nichts mehr oder zumindest einiges nicht mehr funktioniert. Das kommt daher, dass die Updates sich meist doch nicht so gut mit dem WordPress-Theme vertragen, das evtl. individuellen Anforderungen gemäß eigens programmiert wurde. In diesem Falle wäre es gut gewesen, wenn man als Website-Betreiber nicht selbst den Knopf gedrückt hätte sondern ein Programmierer, am besten der, der auch das Theme entwickelt hat, und am ehesten weiß, an welchen Schrauben nun gedreht werden muss, um alles wieder zum Laufen zu bringen. Es gibt (inzwischen) auch die automatische Update-Funktion von WordPress, die man (als Programmierer) abstellen kann, damit einem das nicht unerwartet passiert.
Die ersten Hausaufgaben haben wir also gemacht, wir sind auf dem aktuellen Stand der Updates, es gibt kein offenes Scheunentor für Hacker. Wir sind also auf einem guten Weg zur Erreichung von mehr Sicherheit für WordPress-Websites.
Als Hacker würde ich als erstes mal antesten, ob ich auf dem „üblichen Weg“ reinkomme. Dieser übliche Weg zum Backend lautet bei WordPress www.meine-webseite.de/wp-login.php, als Username für den Administrator ist immer noch admin beliebt, und wenn das Passwort dann auch noch 123456 ist (beliebtestes Passwort 2015), bin ich schon drin…
Ich würfele mir Passwörter grundsätzlich wild zusammen, eine Kombination aus Zahlen, Buchstaben (groß und klein) und Sonderzeichen, ohne die Idee dabei, sich das merken zu können, das muss dann halt aufgeschrieben werden. Beim Username muss man nicht ganz so streng sein, den darf man sich auch merken können, z.B. der eigene Name, nur eben bitte nicht „admin“.
Ein sehr renommierter Software-Entwickler, der sogar eine Art Pendant zu google News programmiert hat, hatte auch einen simplen aber effektiven Tipp auf Lager: Denken Sie sich als Passwort einen vollständigen Satz oder eine Frage aus. Und das Tolle daran ist, das kann man sich sogar merken :-)
Bis dahin haben wir es Angreifern mit rein menschlicher Logik und den allgemein bekannten zu ergreifenden Maßnahmen erheblich schwerer gemacht. Es gibt in der Tiefe aber weitere Schwachstellen, die sich als Administrator / Redakteur nicht so einfach erkennen und beheben lassen. Eines der offensichtlichsten ist der bereits erwähnte Link zum Backend …bla.de/wp-login.php. Wenn der anders lauten würde, z.B. …bla.de/keinscheunentor, ist von Hackern schon mehr Phantasie gefordert, darauf zu kommen, zumal von englisch- oder russischsprachigen.
Über die Installation eines Sicherheits-Plugins, hier ist vorne an iThemes Security zu nennen, oder die händische Programmierung, vornehmlich über das ModRwriteModul / htaccess, oder eine Kombination aus beiden. iThemes Security macht in der Basis-Installation erstmal nichts, listet aber alles auf, was man tun sollte, mit verschiedenen Gewichtungen, letztendlich muss man selbst entscheiden, welche Priorität man dem Thema Sicherheit zu gestehen will, ob man sich sein Passwort nicht doch merken können will, und nicht von dem Plugin eine besonders sichere Formulierung vorschreiben lassen will. Oder ob man nach dem dritten oder zehnten Login-Fehl-Versuch für drei oder zehn Tage als vermeintlicher Bad Boy (oder Bad Girl) gesperrt wird.
Und nicht jede der vom Plugin vorgeschlagenen Sicherheitseinstellungen ist für die eigene WordPress-Installation passend oder sinnvoll, man versteht als normaler Mensch auch nicht alles (XML-RPC-Funktion deaktivieren, wenn man Plugin xy nicht benutzt…), Programmierer schon.
Nicht unerwähnt bleiben darf beim Thema Sicherheit das Stichwort SSL-Verschlüsselung (Secure Sockets Layer) bzw. mittlerweile eigentlich TLS (Transport Layer Security), in der URL-Zeile am https statt http erkennbar bzw. am geschlossenen Schloss. Es geht um die sichere, weil verschlüsselte Übertragung der Daten vom User-Rechner zum Webserver, z.B. bei der Übertragung von Kredit-Karten-Daten. Das ist natürlich in erster Linie für Online-Shop-Betreiber relevant, um das Vertrauen der Käufer zu gewinnen, aber auch für das Sicherheits-Wohlgefühl von Besuchern von Webseiten mit rein informativem Inhalt. Findet zumindest Google, offiziell seit 2014, damit ist SSL ein Ranking-Faktor.
SSL hat primär nichts mit WordPress zu tun, weist aber darauf hin, dass es auch außerhalb von WordPress noch Faktoren gibt, die zu bedenken sind, und nicht nur mit Sicherheit sondern auch mit SEO / Google-Ranking und User-Bindung zu tun haben. Es macht z.B. auch einen Unterschied, ob man einen eigenen Webserver hat oder seinen Web-Space mit anderen Mietern teilt (Shared-Hosting). Und dann gibt es noch die Mutter aller unter-der-Haube-Einstellungen: PHP, das praktisch unter fast jeder Website liegt, auch unter WordPress.
Auch hier gibt es regelmäßig Updates, nicht so häufig wie bei WordPress, aber auf dem Weg PHP5.2 bis mittlerweile 7.x sind einige Sicherheitslücken geschlossen worden, worauf man von seinem Provider per Email hingewiesen wird, wenn eine alte Version abgestellt wird und auf eine neuere umstellen sollte. Meist geht das mit einem Klick und ohne direkt sichtbaren Auswirkungen, außer evtl. einem Performance-Gewinn, bei PHP7 kann aber aufgrund einiger grundlegender Änderungen eine Anpassung der Scripte notwendig sein, auch bei WordPress, das grundsätzlich in den aktuellen Versionen ab 4.4 aber gut darauf vorbereitet ist.
Das Thema IT-Sicherheit und somit auch Sicherheit für WordPress-Websites sollte nicht komplett ausgeblendet werden, die wichtigsten Maßnahmen lassen sich mit relativ wenig Aufwand umsetzen, die eigene Einstellung („sichere Passwörter“) ist schon mal eine gesunde Basis. Ein regelmäßiger Check mit Updates gehört dazu, bei WordPress empfehlen wir 2x jährlich als grober Richtwert, gut wäre, Sicherheits-Updates direkt bei Erscheinen zu installieren. Wenn man das nicht dauernd im Blick behalten und selber machen will, beauftragt man einen Web-Dienstleister damit, effektiverweise am besten denjenigen, der die WordPress-Website installiert hat.
Ein Viren-verseuchter Rechner, der alle gespeicherten Zugangsdaten frei gibt, kann auch eine sichere WordPress-Seite knacken… Wichtig ist also auch die regelmäßige Wartung Ihres Rechners und der Einsatz einer aktuellen und professionellen Virenschutz-Software.
Justus Siebert setzt seit 1999 Websites um, seit 2002 selbständig und regelmäßig für smart interactive.
Frontend-Entwicklung gehört nach wie vor zu seinem Kerngebiet, neben der Programmierung eigener CMS-Systeme hat er sich ab 2010 auf Wordpress konzentriert. Technische Konzeption ist auch unterschätzt, findet er. Er arbeitet gerne inhaltlich mit, wenn die Kapazitäten es erlauben.
Sie erreichen ihn über:
j.siebert@smart-interactive.de
Menschen erreichen