Letztes Jahr war das Thema Sicherheit, gerade in Bezug auf WordPress, ein ziemlich großes Ding. Immer mehr Security Plugins entsprangen dem offiziellen Verzeichnis und kommunizierten den normalen Anwendern, dass WordPress unsicher ist und ihr unbedingt gewisse Regeln einhalten solltet, nein einhalten müsst.
Nach der Panikmache der Entwickler solcher Plugins, kam dann das wirkliche Wissen und inzwischen ist klar, dass Sicherheit durchaus ein großes Thema ist, die Sache allgemein jedoch auch etwas übertrieben dargestellt wurde und immer noch wird.
Zeit sich das Ganze mal etwas genauer und mit etwas Abstand anzusehen. Braucht der kleine Blogger im Web nun wirklich eine Firewall für WordPress, oder ist das Ganze überdimensioniert und unnötig?
WordPress ist sicher
Von Haus aus ist WordPress ziemlich sicher und solide programmiert. So schnell passiert da nichts, auch wenn es inzwischen tatsächlich unzählige automatisierte Angriffe gibt. Das liegt zum Großteil einfach daran, dass WordPress ein weit verbreitetes Content Management System ist und, sollte eine Sicherheitslücke entdeckt werden, auch alle anderen Blogs potenzielle Schwachstellen aufweisen, also gehackt werden können.
Da sich außerdem recht schnell feststellen lässt, ob eine Website WordPress nutzt, lassen sich auch sehr schnell und automatisiert mehrere Blogs angreifen. Demnach geschieht dies auch auf gut Glück, man könnte ja einen erwischen der sich nicht abgesichert hat.
Trotzdem gilt am Ende: Von Haus aus ist WordPress ziemlich sicher und wer kein Schabernack treibt, braucht zunächst einmal auch keine übertriebene Angst vor Hacks und Malware zu haben.
Plugin und Themes sind das Problem
Das Problem bei WordPress sind meist die verwendeten Plugins und Themes. Fast 50 Prozent der kostenlosen Erweiterungen im Plugin-Verzeichnis sind veraltet, viele andere unsicher oder nicht sauber programmiert.
Gleiches gilt auch für die Themes. Immer mehr Features werden von den Nutzern verlangt, immer mehr Schnittstellen und Möglichkeiten, doch jede neue Funktion kann auch eine potenzielle Sicherheitslücke enthalten, was von den Nutzern oft vergessen wird.
Bei einem Hack oder der Unterbringung von Malware, sind also meistens Plugin und Themes die Ursache. Oft reicht schon eine einzige kleine Sicherheitslücke innerhalb eines Plugins aus, um Schadcode einzufügen und sich Zugriff auf sensible Daten zu verschaffen.
Grundlegende Sicherheit
Im Umkehrschluss zählt also das, was bei WordPress nie verkehrt ist. Weniger ist mehr. Nutzt nicht einfach blind ein neues Plugin, nur weil ihr nach einer Funktion sucht. Recherchiert nach dem besten, nach einem, welches aktuell ist und regelmäßig gepflegt bzw. aktualisiert wird.



Bei Themes solltet ihr dagegen darauf achten, dass diese nicht alles auf einmal können. Ein gutes Theme ist spezialisiert und fokussiert auf eine Funktion bzw. ein Thema. Portfolio, Blog und Firmenseite zugleich, das geht einfach nicht und auch Frameworks sind durch ihre Struktur oft anfällig für Sicherheitslücken, die bei bekanntwerden sehr schnell massiv ausgenutzt werden können.
Wer darauf bedacht ist und nicht blind immer wieder neues installiert, der hält seine WordPress-Installation auch grundlegend sauber und lebt allgemein einfach sicherer. Wer ständig Erweiterungen ausprobiert und neue Themes installiert, hat dagegen schnell mal ein unsicheres mit an Board.
Vor allem Updates sollten auch immer gleich aufgespielt werden. Häufig wird, nachdem Sicherheitslücken bekannt sind, noch einmal eine automatisierte Angriffswelle gestartet, um Blogs herauszufischen, die mit dem Update noch warten. Um hier nicht attackiert zu werden, hilft nur ein zeitnahes Update auf die aktuellste Version.
Security Plugins
Natürlich gibt es dann noch eine weitere Stufe Sicherheit. Firewalls sind gerade sehr im Trend, vor allem als einfache Erweiterung die dafür sorgt, dass gefährliche Angriffe oder URL-Parameter einfach komplett geblockt werden. Allerdings ist auch das nicht ganz ungefährlich, weil auch solche Plugins schon das ein oder andere mal Sicherheitslücken beinhalteten und so selbst zum Sicherheitsrisiko wurden.
Sicher ist also immer relativ. Dennoch ist ein WordPress Security Plugin in der heutigen Zeit keine schlechte Entscheidung, gerade wenn ihr selbst nicht immer wisst was genau ihr da eigentlich macht und gerne mal eine ganze Reihe an Plugins aktiv habt. Anfänger sind daher oft gut beraten, ein Security Plugin zu installieren, um zumindest die normalen Angriffe effektiv und automatisiert abzuwehren.
Das richtige Plugin für mehr Sicherheit
Die Top 3 Security Plugins für WordPress auf WordPress.org sind schnell gefunden. Wordfence Security ist ganz vorne mit dabei, genau wie Sucuri und iThemes Security. Alles durchaus lohnenswerte Erweiterungen, die aber erst im Premium-Zustand bzw. in ihrer bezahlten Version wirklich viel Wirkung entfalten.
Das schöne an Sucuri ist zum Beispiel, dass sich das Team für einen monatlichen Betrag auch relativ schnell um die Beseitigung von Schadcode kümmert, sollte die eigene Firewall mal versagen. So seid ihr mit der monatlichen Gebühr auf der sicheren Seite, selbst wenn doch mal etwas durch die Firewall in euren Blog gelangt.
Wer es sich etwas kostengünstiger wünscht, sollte sich mal das WordPress Plugin NinjaFirewall genauer ansehen. Im Grunde ein Geheimtipp, der sich mittlerweile herumgesprochen hat. Die Firewall blockt schädliche Anfragen ab und reduziert so oft auch die Last des Servers. Als kostenlose Version, sowie auf Wunsch als umfangreichere Premium-Variante. Letzteres ist für Anfänger aber gar nicht unbedingt nötig. So oder so ist NinjaFirewall eine kostengünstige und äußerst empfehlenswerte Alternative zu den großen und teuren Anbietern.
Türen schließen
Am Ende ist die Sicherheit in WordPress trotzdem eine Sache für sich, denn nichts ist zu 100 Prozent sicher. Gerade in unseren fortschrittlichen Zeiten, in denen selbst perfekt geschützte Datenbanken geknackt werden, braucht sich keiner der Illusion hingeben, sein kleiner Blog wäre Fort Knox und uneinnehmbar, nur weil er eine kleine Firewall installiert oder gewisse Regeln beachtet.
Wichtig ist daher am Ende einfach, die Türen nicht offen stehen zu lassen, um es den Angreifern nicht so leicht zu machen und den Möchtegern-Hackern keine Plattform zu bieten. Eine Firewall blockt willkürliche Angriffe, aktuell gehaltene Erweiterungen schließen eventuell auftauchende Sicherheitslücken so schnell es geht. Wenn ihr solche kleinen Sachen beachtet, habt ihr alles getan was ihr als Blogger tun könnt, um für Sicherheit auf euren Blog zu sorgen.
Zum richtigen Security Plugin kann ich diese Artikelserie nur empfehlen:
http://fastwp.de/3538/
Danke für den guten Artikel, das ist ein Thema mit dem ich mich seit kurzem auch näher beschäftige (n muss). Ich nutze WordPress ja noch nicht allzu lange, aber ab einer gewissen Bekanntheit beginnt es ja schon damit, dass man sich gegen die laufenden Loginversuche wehren muss. In weiterer Folge sind dann natürlich Security Plugins wie die von dir vorgestellten ein Thema. Ich werde mir nach deinem Tipp Wordfence mal näher ansehen, danke!
Welche Plugins bevorzugt ihr denn zur Sicherung eurer Blogs?
Ich persönlich habe für den Admin-Bereich meiner Blogs eine simple http-Authentifizierung geschaltet. Das filtert schon unzählige Angriffe aus.
Hallo David,
danke für den ausführlichen Artikel mit aktuellen Tipps. Hast du auch einen generellen Tipp zur Anzahl von Plug-ins, die man auf einem Blog nutzen sollte/darf, damit er nicht langsamer wird? Wie kann man das überprüfen?
Thanks,
Kathrin
Ich habe für meine wichtigen Webprojekte Sitelock geschaltet, das reicht für die Script Kiddies und für die Vollprofis bin ich nicht wirklich ein Angriffsziel ^^
https://www.hosteurope.de/SiteLock/Protect/
also ich habe den Eindruck das die Hackeranfaelligkeit auch in den Bereich Auswahl der Hoster liegt. So habe ich zwei deutsche Hoster wo WordPress immer wieder gehackt wird, und dann die Hoster anbieten doch fuer schoenes Geld fuer die Sicherheit zu sorgen. Dann habe ich noch andere Hoster, auch WordPress, gleiche Behandlung bei Updates, gleiche Plugins, und dort ist seit Jahren nicht einmal gehackt worden, eigenartig oder?