Was in Sachen Sicherheit bei Wordpress-Webseiten zu beachten ist [Agentur-Tipps]

Anton Jungwirth lacht in die Kamera. Er ist Entwickler und Programmierer der St. Pöltner Online-Agentur Q2E.
Anton Jungwirth, Entwickler und Programmierer der St. Pöltner Online-Agentur Q2E: Experte für CMS EDWIN und CMS Wordpress. Zoom
24. April 2019 | Anton Jungwirth

Als Entwickler liegt mir am Herzen, dass unsere Kundinnen und Kunden nur sichere Webseiten verwenden. Wir schwören auf unser hauseigenes sicheres CMS EDWIN, setzen aber auch Wordpress-Webseiten um – ganz klar!

Aus diesem Grund reiche ich hier einige wichtige sicherheitsrelevante Informationen für Wordpress-Seiten an die Hand – machen Sie sich ein Bild und sprechen Sie mit mir, wenn weitere Fragen bestehen.




Wordpress ist ein vielfach genutztes und weit verbreitetes CMS für die Erstellung verschiedener Websites (Blogs, Unternehmens-Webseiten, Veranstaltungs-Websites, etc.) und Shops.

Wie bei jeder anderen Webseite ist es auch bei Wordpress zentral, laufende Updates des Systems und der Plugins zu machen.

Warum?

Weil Wordpress ein begehrtes Hacker/Scriptkiddie-Ziel ist, kurz: Wordpress-Systeme werden aufgrund ihrer Häufigkeit leider relativ gerne als Zielscheibe für Angriffe genutzt.

Deshalb ist eine regelmäßige Prüfung aller Plugins sehr empfehlenswert: Sind diese noch aktuell und geschützt oder müssen Updates erfolgen ... ?

Aber alles der Reihe nach… lassen Sie uns zunächst klären, wie Wordpress mit Sicherheit umgeht:

Wie steht es um Wordpress-Webseiten? 



Wordpress nimmt Sicherheit ernst, immerhin ist das System die Basis für Millionen von Webseiten. Doch das alleine reicht nicht aus. Denn für die Schweiz attestierte die Melde- und Analysestelle Informationssicherung des Bundes vor wenigen Jahren: die große Mehrheit der Schweizer Wordpress-Seiten sei nicht ausreichend geschützt [Quelle: MELANI).

Das heißt: Auf Wordpress-basierende Websites zeigen Sicherheitslücken, die eigentlich rasch zu beheben wären. Doch die bereitstehenden Plugins werden nicht genutzt.

Warum eigentlich?

Weil den Webseiten-BetreiberInnen nur unzureichend bewusst ist, dass Websites und Online-Shops auch serviciert werden müssen – wie Autos. Regelmäßig und in kurzen Intervallen.


Bisherige Zusammenfassung für Eilige Eigentlich stünde einer konstant sicheren und geschützten Wordpress-Website nichts im Wege, doch in vielen Fällen fehlt das Bewusstsein über die regelmäßige Wartung der Seite, entsprechende Plug-Ins werden nicht genutzt oder Sicherheitsthemen stehen allgemein nicht auf der Prioritätenliste.

Was passiert, wenn eine Wordpress-Sicherheitslücke bekannt wird?



Wird eine Sicherheitslücke bei Wordpress bekannt, wird diese »geschlossen« und daraufhin eine neue Version veröffentlicht (Übersicht). Hier ist entscheidend, die Updates auch bei der eigenen Webseite einzuspielen.

(Ältere Wordpress-Versionen sind noch anfälliger für die Fehler, gerade weil die geschlossenen Sicherheitslücken öffentlich bekannt werden.)

Unserer Erfahrung nach: Hintergrund-Updates laufen lassen


Aktuell stehen wir bei Wordpress-Version 5.1.1 [24.04.2019]. Wordpress hat seit der Version 3.7 automatische Updates eingespielt, sogenannte „Hintergrund-Updates“. Ziel war, die Sicherheit der Webseiten zu erhöhen und Updates möglichst schnell automatisiert zu verteilen.

Diese automatischen Hintergrund-Updates sind sehr empfehlenswert:
  • Core-Updates für das Wordpress Grundsystem. Hier werden standardmäßig nur Sicherheits-Updates eingespielt.
Wichtig zu beachten: Ein größerer Versionssprung sollte weiterhin manuell ausgeführt werden, weil es hier zu tiefgreifenden Änderungen kommen kann: Ohne vorherige Prüfung und Sicherstellung der Kompatibilität aller Plugins und individuellen Funktionen könnte das System unbrauchbar werden. Im schlimmsten Fall könnten Daten verloren gehen.

Updates mit Vorsicht genießen: Am besten nicht alle aktivieren.


Hier aber der etwas komplizierte Teil: Wenngleich Sicherheitsupdates und manche Hintergrund-Updates eine gute Sache sind (wie oben beschrieben), raten wir aber gleichzeitig dringend davon ab, alle Updates zu automatisieren.

Wenn einzelne Webseite-Funktionen einem automatischen Update unterzogen werden, kann es sein, dass quasi „über Nacht“ Funktionen lahmgelegt werden. Bei »unbeobachteten« automatischen Updates kann es vorkommen, dass anstelle Ihrer Webseite beispielsweise eine weiße Seite erscheint. Aus Marketing-Sicht ist dies – zumindest – ziemlich unangenehm.

Ein prominentes Beispiel ist hier das WooCommerce Shop Plugin, welches einerseits auf Grund seiner umfangreichen Funktionalitäten bei Updates gerne Komplikationen aufweist. Andererseits: Wer möchte bei seinem Online-Shop mögliche Bestellungen auf Grund von Updateproblemen verlieren oder potentielle Kundinnen und Kunden abschrecken?

Sonstige Updates, die nicht unbedingt automatisiert werden sollen:
  • Plugin-Updates und Theme-Updates für die Funktionen und das Gestaltungsschema (Theme) sowie
  • Sprachdatei-Updates für aktuelle Übersetzungen, da ansonsten die gesamte Website in englischer Sprache erscheinen würde.

Updates manuell eingespielen, um Sicherheit zu gewähren?


Standardmäßig werden die Sicherheitsupdates im Hintergrund automatisch eingespielt. Und das ist gut so, denn: Mit diesen Updates werden bereits viele Sicherheitslücken gedeckt. Doch ganz sicher ist das noch nicht – einige Updates sollten auch manuell (d.h. vom Programmierer) umgesetzt werden:

  • Manuell einzuspielen sind in jedem Fall die Major Updates (Versionswechsel von Wordpress). Der Wordpress-Profi entscheidet aufgrund seiner Expertise, wann ein Versionswechsel notwendig ist. Erledigt ein Programmierer das Major Update, ist sichergestellt, dass die verwendeten Plugins und verwendeten "Themes" beim Update kontrolliert werden.

Zusammenfassung

Wann immer Sicherheitslücken bekannt werden, veröffentlicht Wordpress eine neue Version. Wichtig ist, dieses Update auch bei der eigenen Website einzuspielen oder agenturseitig einspielen zu lassen.

Automatische Sicherheitsupdates und automatische Hintergrund-Updates erhöhen die Sicherheit der Wordpress-Website, reichen aber noch nicht 100% aus.

Manche Updates sind manuell einzuspielen: So beispielsweise 1) die Major Updates (Versionswechsel von Wordpress) oder 2) das Updaten spezifischer Funktionen wie beispielsweise WooCommerce. Von automatischen Updates aller Funktionen durch Wordpress raten wir eher ab.

Allgemein ist empfehlenswert, zumindest 2-3 Mal jährlich einen Blick auf das Wordpress-System zu werfen und hier nachzusehen, ob Update-Arbeit ansteht.

Einige Entwickler-Tipps aus unserer Erfahrung


Häufig sind viele verschiedene Plugins im Einsatz, wenn die Website online geht. Das ist gut so, denn damit werden viele spezifische Funktionen der Website ermöglicht.

Im Laufe eines Webseite-Lebens ist es wahrscheinlich, dass neue Funktionen gewünscht werden – das geht Hand in Hand mit der Installation neuer Plugins.

Was hier oft vergessen wird ist, inaktive Plugins zu löschen. Diese stellen ein Sicherheitsrisiko dar.

Wer sich einmal pro Jahr (beispielsweise zum Jahreswechsel) etwas Zeit und hier Sicherheitsthemen ins Visier nimmt ist gut beraten.


10 konkrete Tipps zum Schluss (für EntwicklerInnen und Wordpress-BetreuuerInnen):

Bei Sicherheitsthemen legen wir beispielsweise auch Wert darauf, über die unmittelbaren Sicherheits-Updates hinausgehend das System abzusichern, soweit es möglich ist:

  • Login absichern: Anzahl möglicher Loginversuche limitieren und protokollieren. Bei Bedarf zusätzlich mit Captcha Code oder Htaccess schützen.
  • Wordpress-Schnittstellen zu anderen Systemen deaktivieren, wenn diese nicht verwendet werden. Diese Schnittstellen werden leider häufig auch für Angriffe genutzt.
  • Verschleiern der Wordpress-Version, damit Angreifer es schwieriger haben, für eine konkrete Wordpress-Version Sicherheitslücken zu finden.
  • Inaktive Benutzer entfernen und Autorenseiten deaktivieren, wenn diese nicht benötigt werden.
  • Benutzerrollen und -berechtigungen definieren und ggf. anpassen.
  • Schreibzugriff auf Theme- und Plugin-Dateien über das Backend verhindern.
  • Bei Zugriff immer HTTPS erzwingen. Somit kann die Website ausschließlich mit gültigen SSL-Zertifikaten erreicht werden bzw. würde im Fehlerfall der Browser einen Hinweis anzeigen.
  • XML-RPC Schnittstelle deaktivieren, weil diese im Normalfall nicht in Verwendung ist und viele BenutzerInnen von Wordpress gar nicht wissen, dass diese Schnittstelle standardmäßig aktiv ist.
  • Wordpress-Metadaten aus dem <HEAD> Bereich im HTML-Quellcode entfernen, weil diese Aufschluss über das eingesetzte Wordpress-System für diverse Spambots geben.
  • Kommentare deaktivieren, wenn diese nicht verwendet werden oder ansonsten speziell gegen Spam absichern.

Gut aufgehoben: Agentur-Betreuung für Wordpress


Wer die Aufgabe der laufenden Updates und Betreuung gerne abgibt, wendet sich am besten an die betreuende Agentur, die die Wordpress-Website ursprünglich erstellt hat. Die Agentur bietet in den meisten Fällen Wartungsverträge oder Formen laufender Betreuung.

Wir übernehmen aber auch anderweitig erstellte Wordpress-Systeme und beraten zu Sicherheitsthemen.

Nicht selten erstellen wir bei unseren Recherchen eine ganze Liste an To-Do’s, die nötig sind um ein Wordpress-System wieder zukunftsfit zu machen. Es zahlt sich in jedem Fall aus – ein Updaten der Sicherheitsthemen im Wordpress ist keine Raketenwissenschaft. Aber dennoch wichtig.

Wordpress ist hier – im Vergleich zum CMS EDWIN beispielsweise – eher service- und wartungsintensiv, hat aber bei bestehenden Webseiten auch Vorteile.


Zum Weiterlesen, Stöbern und als Inspiration perfekt ...

News und Online-Trends

EU-DSGVO

Ab 01/2019: Keine Sicherheitsupdates für PHP 5.6

12. Dezember 2018 | Das bedeutet für Webseiten und Webshops (mit dieser Version) ein erhöhtes Sicherheitsrisiko. Schnell umzusteigen auf neuere Versionen empfiehlt sich daher dringend.
HTTPS-Webseiten werden mit grünem Schloss symbolisiert. Nicht-sichere Webseiten werden rot dargestellt mit dem Schriftzug "not secure".
Sicherheit

Verstärkte Warnungen für unverschlüsselte HTTP-Webseiten in Google Chrome ab Herbst 2018

27. August 2018 | Der Webbrowser Google Chrome wird unverschlüsselte HTTP-Webseiten deutlicher als »unsicher« markieren. SSL-Zertifikate sind deshalb das A und O.
schwarz gezeichnete Umschläge auf weißem Hintergrund symbolosieren eine Flut an E-Mails
Sicherheit

Wie lässt sich verhindern, dass erwünschte Mails im Spam-Ordner landen?

31. Juli 2018 | Erwünschte E-Mails im Spam-Ordner? Wie ärgerlich! Wir geben Ihnen hier deshalb einige Tipps, was Sie dagegen unternehmen können.
EU-DSGVO

Der 13-Punkte-Sicherheits-Check für Webseite und Webshop

9. April 2018 | Weil eine sichere Webseite bzw. ein sicherer Webshop aus Marketing-Sicht so enorm zentral ist, reichen wir Ihnen Übersicht an die Hand, die Sie von Zeit zu Zeit gemeinsam mit Ihrem Hoster bzw. Ihrer Agentur durchgehen und überprüfen.
Sicherheit

Formular-Spam oder Spam-Kommentare vermeiden

2. Februar 2018 | Ohne Schutzfunktion kommen zuverlässig Spam-Kommentare, die stören und nerven. Wie schützen Sie sich am besten gegen Spam-Kommentare auf der eigenen Webseite?
EU-DSGVO

Warum ich die neueste PHP-Version verwenden sollte

2. Februar 2018 | Wenn Sie eine Webseite haben, spricht Sie Ihre Agentur oder Ihr Hoster gelegentlich darauf an, ein PHP-Update zu machen. Warum eine aktuelle PHP-Version aus Marketing-Sicht ein Muss ist, erklären wir hier.