WordPress Websites sicher betreiben

von | Web & Social Media

WordPress ist das beliebteste Content Management System der Welt. Kein Wunder: Wer auf WordPress setzt, ist schneller, flexibler und reicher an Schnittstellen als die Nutzer anderer Publishing-Systeme.

Veraltetes Webdesign gehört der Vergangenheit an. Ändern sich die Trends, dann ändern WordPress-Seitenbetreiber das Erscheinungsbild im Handumdrehen.

Dank der riesigen Auswahl an kostenloser Zusatzsoftware, man spricht von Plugins, erfüllen WordPress-Websites nahezu jede denkbare Anforderung.

Wir haben für einen Kunden im Bereich Personalvermittlung / Zeitarbeit beispielsweise eine Reihe von Websites samt Jobbörse an den Start gebracht. Etliche Geschäftsstellen buchen bundesweit jährlich Hunderte Stellenangebote ein das System ein. Bewerber finden ihre Wunschpositionen und nehmen dank automatischer Verteilmechanismen direkt Kontakt zum richtigen Ansprechpartner in der Personalagentur auf.

Andere Kunden nutzen WordPress als technische Basis für ihr Corporate Blog – oder auch für die komplette Corporate Website einschließlich eines Onlinemagazins.

 

Die Gefahren werden unterschätzt.

 

Prozent der Mittelständler

… wurden 2014 laut PwC Opfer von Cyber-Angriffen. Für die Untersuchung wurden im Mai/Juli 2015 insgesamt 400 mittelständische Unternehmen mit bis zu 1000 Mitarbeitern befragt.

Euro

… betrug dabei der durchschnittliche Schaden. Im Vorjahr wurde dieser Betrag noch mit 10.000 EUR angegeben. In Einzelfällen lag die Höhe des Schadens über 500.000 EUR.

Ein Fall aus der Praxis

Ein authentischer Fall aus der Praxis, der alarmierend ist: Hacker hatten sich Zugang zum Webserver eines WordPress-basierten Blogs verschafft und dort Inhalte hochgeladen. Man spricht in einem solchen Fall auch von „parasitärem Hosting“, da die Angreifer einen fremdem Webserver dazu nutzen, ihre Inhalte im Internet zu verbreiten und diesen durch gegenseitige Verlinkung Reichweite zu verschaffen.

Besonders schlimm waren in dem konkreten Fall mehrere Aspekte:

  • Erstens erkannte Google die missbräuchliche Nutzung des betroffenen Webservers und markierte den gesamten Unternehmensauftritt als „möglicherweise manipuliert“ – einsehbar für jeden Google-Nutzer.
  • Zudem wurde die Website in den Suchergebnissen abgestraft und war praktisch nicht mehr auffindbar.
  • Außerdem hatten die Hacker lizenzpflichtiges Bildmaterial auf ihren parasitär gehosteten Seiten platziert. Hätte der Anbieter des Bildmaterials dies registriert, so wäre mit hoher Wahrscheinlichkeit eine saftige Schadenersatzforderung auf den Inhaber der Website zugekommen.

Glücklicherweise gelang es dem betroffenen Unternehmen, die infizierte Website wieder zu säubern und von Google wieder freischalten zu lassen. Dennoch war ein Schaden entstanden, allein schon deshalb, weil die Unternehmenswebsite über mehrere Wochen hinweg de facto aus den Google-Suchergebnissen verschwunden war.

Checkliste: Sicheres WordPress Hosting
  • Nutzer „Admin“ eliminieren: Der Administrator-Nutzer eines Blogs muss nicht „Admin“ oder „Administrator“ heißen.
  • Finden Sie mit einem Security Scanner mögliche Schwachstellen.
  • Google Search Console nutzen. So werden Sie sofort informiert, falls Google Sicherheitswarnungen bezüglich Ihrer Website hat.
  • Zugang zum Admin-Bereich schützen: Sperren Sie den Zugriff zum Adminbereich mit einem Verzeichnisschutz.
  • Nutzerrechte einschränken: Vergeben Sie die Benutzerrechte so restriktiv wie nur möglich.
  • Plugins im Rahmen halten: Installieren Sie nur die Plugins (Funktionserweiterungen), die Sie tatsächlich benötigen.
  • Zahl der Login-Versuche beschränken: Angreifer, die mit automatischen Skripten die Passwörter Ihrer WordPress-Nutzer knacken wollen, haben es somit schwerer.
  • Das Allerwichtigste: regelmäßige Backups und Updates – diese Aufgabe können wir Ihnen auch abnehmen.
  • Den Zugriff auf Dateien blockieren, die zuviel über Ihre Installation verraten.
  • Kritische User Agents und kritische URL Pattern aussperren – etwa via .htaccess.
  • Den Datenverkehr von und zur Website kontinuierlich überwachen, auswerten und limitieren.
Wordpress Infektion: Schadcode

Aktuelle Angriffe auf WordPress Websites

Derzeit läuft wieder eine große Angriffswelle gegen WordPress Websites. Der Security-Anbieter Sucuri berichtet auf seiner Website Details zu der Infektionswelle, die Schadcode in die Javascript-Dateien von WordPress-Installationen einfügt. Die Malware installiert sogenannte Backdoors (Hintertüren) auf den betroffenen Webservern, damit sie ihren Schadcode kontinuierlich updaten kann.

Schloss Vorhängeschloss

Schützen Sie sich!

Ihre WordPress Website ist potentiell zahlreichen Angriffen ausgesetzt. Da WordPress sehr verbreitet ist, versuchen Hacker weltweit, mit automatischen Scripten Kontrolle über WordPress Websites zu erlangen und diese zu manipulieren.

Die Folgen sind schwerwiegend: Ist Ihre Website infiziert, werden Ihre organischen Google-Suchergebnisse darunter leiden, da Google Ihre WordPress Site als “manipuliert” kennzeichnet und in den Suchergebnissen entsprechend abstraft. Zudem riskieren Sie, dass Besucher Ihrer Website mit Malware infiziert werden und dass auf Ihrem Webserver illegale, beispielsweise urheberrechtlich geschützte, Inhalte gehosted werden.

Im schlimmsten Fall drohen neben Reputations- auch erhebliche Vermögensschäden durch Schadenersatzansprüche und Abmahnungen.

Gegen solche Risiken können sich Unternehmen übrigens auch versichern – fragen Sie uns, wir helfen auch hier weiter.

Aktuelle Angebote im Bereich Hosting & Security

Angebot nur für Gewerbekunden mit USt.-ID bzw. VAT ID. Wir beliefern Endverbraucher nicht. Alle Preise zuzgl. USt. Es gelten die AGB der Lots of Ways GmbH.

Unsere Wissensdatenbank rund um Websites und Online Marketing

Web & Technik

SSL

SSL-Zertifikat von Let's Encrypt trotz 301-Umleitung automatisch erneuern - es geht doch.

DNSSEC

Was ist DNSSEC und wozu dient es?

WordPress Themes

Wie finde ich das richtige WordPress Theme?

Spam-Kommentare

Wie vermeide ich Kommentar-Spam in Blogs?

Mehrsprachige Websites

Mehrsprachige Websites: Wie groß ist der Aufwand?

Marketing

Corporate Blogs

Was ist ein Corporate Blog und wozu dient es?

WordPress

Warum sollte ich WordPress installieren?

Google Maps

Warum wird mein Unternehmen auf Google Maps nicht richtig gefunden?

Twitter

Wie funktioniert Twitter für Unternehmen?

Facebook Ads

Wie kann ich meine Facebook Ads optimieren?

Reputation Management

Guter Ruf online

Wie kann ich meinen guten Ruf online verteidigen?

Online-Krisen

Wie kann ich mich durch ein Training auf eine Online-Kritikwelle vorbereiten?

Shitstorms

Wie kann ich mich auf einen Shitstorm vorbereiten?

Spam bei Google

Meine Website wurde gehackt. Wir kriege ich den Spam wieder aus den Google-Suchergebnissen?