WordPress.org oder WordPress.com? WordPress- oder Baukasten-Website? Was taugen Squarespace, Jimdo, Wix und Co. als Website-Anbieter für dein Business? Diese Fragen werden immer wieder in meiner Community gestellt.
Ein Vorurteil gegenüber einer selbst gehosteten WordPress-Website (mit WordPress.org) ist dabei, dass diese angeblich hochtechnisch, unsicher und anfällig für Spam und Hacker*innen wäre.
Ich habe Michael Baierl von „Einfach Websites“ zum Interview gebeten, um mit diesem Vorurteil aufzuräumen – und dir ein paar Tipps vom Profi für mehr WordPress-Sicherheit zu geben!
Mehr WordPress-Sicherheit in 8 Schritten
Lilli: Michael, du fokussierst dich als IT-Spezialist und Programmierer auf WordPress. Was gefällt dir an diesem System so gut?
Michael: WordPress ist das am meisten verwendete Content-Management-System und wird auf jeder dritten Website eingesetzt. Und das aus gutem Grund: WordPress ist leicht erweiterbar, flexibel und funktioniert für kleine wie sehr große Websites.
Die Community ist großartig und hilft bei Problemen rasch weiter und entwickelt Lösungen für jedes nur erdenkliche Problem. Dabei ist das Grundsystem selbst kostenlos und kann mit sogenannten Plugins erweitert werden.
Für mich als Web-Entwickler ist besonders wichtig, dass ich jederzeit den Sourcecode sehen und verändern kann. Das erlaubt mir, neue Funktionen einzufügen.
Lilli: Welche Gefahren gibt es, wenn ich „einfach so“ eine Website ins Netz stelle?
Michael: Lass mich das anhand deines Hauses oder deiner Wohnung erklären. Du kannst sie wunderschön einrichten und dekorieren, aber um die Haustechnik und Sicherheit sollte sich besser ein Fachmann kümmern. Denn dir ist vielleicht gar nicht bewusst, dass du dich fachmännisch um die Heizung kümmern solltest, damit sie problemlos funktioniert.
Bei WordPress ist das ähnlich. Eine Website ist mit WordPress und einem Youtube-Video auch von Anfängern in einer halben Stunde erstellt und online. Gerade Anfänger vergessen aber, dass es sich dabei, im Hintergrund, um tausende Zeilen Code handelt und viele der extra verwendeten Plugins für WordPress nicht korrekt programmiert sind und Fehler enthalten.
Diese Fehler werden im Internet leider ständig und automatisiert ausgenutzt. Also auch, wenn du „eh nichts zu verbergen“ hast, kann deine Website automatisch gehackt werden. Dann wird sie für Spam-Versand oder zur Verteilung von Trojanern missbraucht.
Lilli: Was kann man denn tun, um die WordPress-Sicherheit zu erhöhen?
Michael: Ich bleibe wieder beim Beispiel mit dem Haus – hier gibt es auch nicht nur EINE Sicherheitsmaßnahme, um Einbrüche zu verhindern. Du musst dich um die Fenster UND die Türen kümmern, nicht nur eines davon. Denn Gitter vor den Fenstern bringen dir nichts, wenn du die Haustüre offen lässt. Bei einer Website ist es dasselbe. Nur EINE Sicherheitsmaßnahme bringt nichts.
Aber die wichtigste – dein Passwort muss sicher sein. Das sage ich immer und immer wieder, besonders wenn Kunden ihren Vornamen oder das Geburtsdatum als Passwort benutzen. Jede Website braucht ein anderes Passwort, das mindestens 10 Zeichen lang ist. Am besten verwaltest du deine Kennwörter in einem sicheren Passwort-Safe wie zum Beispiel 1Password*.
Lilli: Wie kann man das Login-Feld von WordPress noch schützen?
Michael: Wie schon gesagt, probieren automatische Scripts verschiedene Kennwörter durch. Dabei solltest du sie so gut es geht behindern. Das funktioniert mit einem Captcha-Plugin sehr gut, oder auch Limit Login Attempts Reloaded. Das verhindert, dass ein Script automatisch 100 oder 1000 Passwörter ausprobiert. Und nenne deinen Benutzer nicht „admin“. 😉
Lilli: Was gibt es beim Thema WordPress-Plugins zu beachten?
Michael: Bei den Plugins gilt: weniger ist mehr.
Je weniger Plugins du verwendest, desto größer ist die Sicherheit.
Denn jedes Plugin vergrößert die mögliche Angriffsfläche für „Eindringlinge“.
Um wieder beim Haus zu bleiben – baust du eine Garage und einen Wintergarten dazu, dann musst du auch dort darauf achten, dass alles sicher ist.
Weiters achte auf die Qualität der installierten Plugins. Die Ratings im WordPress-Plugin-Verzeichnis zeigen dir, ob es bei einem Plugin vermehrt zu Problemen kommt.
Und halte alle Plugins immer aktuell. Die Hersteller lösen Probleme und sichern die Plugins ab, wenn ein Fehler entdeckt wird. Daher solltest du Updates regelmäßig einspielen.
Lilli: Was kann man gegen lästige Spam-Nachrichten über das Kontaktformular tun?
Michael: Das ist ein guter Punkt und ein ärgerliches Problem. Die Lösung hängt vom verwendeten Kontaktformular-Plugin ab. Jedes sinnvolle und moderne Plugin bietet dir die Möglichkeit ein Captcha – zum Beispiel 3+8=?, oder „alle Bilder mit Autos anklicken“ – einzubinden. Andere verwenden einen versteckten „Honeypot“, das siehst du als Benutzer gar nicht.
Bietet dein Kontaktformular diese Möglichkeit nicht, dann bleibt dir leider nichts anderes übrig als ein anderes Plugin zu wählen.
Spam in Kommentaren von Blog-Beiträgen ist ein ähnliches Problem, hier habe ich mit dem Plugin Antispam Bee sehr gute Erfahrungen gemacht. Es läuft zuverlässig und unauffällig im Hintergrund und ist DSGVO-konform.
Lilli: Was hältst du von Firewall- und Security-Plugins?
Michael: Ehrlich gesagt nicht sonderlich viel. Diese Plugins täuschen wie Firewalls am PC oft nur Sicherheit vor und zeigen nutzlose Statistiken an.
Wenn die Auswertung zeigt, dass ein Bot automatisch 1.000 Kennwörter durchprobiert, ist das für dich als Website-Besitzer nett zu wissen, aber nicht relevant. Wichtig ist nur, dass die Zugriffe geblockt wurden. Firewalls heischen leider oft um Aufmerksamkeit, bringen aber selbst viel zu viele sinnlose Funktionen mit.
Ich selbst setze bei meinen Kunden erfolgreich eine technische .htaccess-Firewall ein, diese blockiert Zugriffe, bevor sie in WordPress ankommen. Das, oder eine vorgeschaltete Hardware-Firewall, sind der einzig gute Schutz – für die meisten kleinen Websites aber Overkill. Einige meiner Kollegen schwärmen von der NinjaFirewall.
Lilli: Wie erfährt man überhaupt, dass die Website gehackt wurde – und wie sollte man dann reagieren?
Michael: Ohne professionelle Wartung weist einen meist der Provider auf einen Hack hin (wenn es denn ein guter Provider ist) – dieser hat ja ein Interesse daran, dass seine Server möglichst stabil und sicher laufen.
Alternativ melden sich auch Kunden bei dir, dass die Firewall auf ihrem Computer die Seite blockiert hat.
In jedem Fall gilt: Ruhe bewahren.
Und dann: am besten den Profi ranlassen.
Denn blind und ohne weitere Analyse das letzte Backup einzuspielen ist nicht ratsam. Deine Website ist danach mit großer Sicherheit und in kürzester Zeit wieder gehackt.
Wenn beispielsweise das Dach deines Hauses undicht ist und es reinregnet, reicht es ja auch nicht aus, nur die Pfützen aufzuwischen… für eine nachhaltige Lösung des Problems muss schon auch das Loch im Dach repariert werden.
Ein Profi wird die Seite sperren, nach der Sicherheitslücke suchen, alle Updates einspielen und die Security nochmals überprüfen.
Lilli: Magst du noch einmal kurz zusammenfassen, was alles für die WordPress-Sicherheit zu tun ist?
Michael: Sehr gerne. Um deine WordPress-Website sicher zu betreiben, sind die folgenden Punkte wichtig:
- Verwende ein sicheres, eindeutiges und langes Passwort.
- Nutze ein Plugin, um das Login selbst abzusichern, wie zum Beispiel Limit Login Attempts Reloaded.
- Verwende möglichst wenige und qualitativ hochwertige Plugins.
- Aktualisiere alle Plugins, das Theme und WordPress regelmäßig.
- Verwende eine gute Firewall wie die NinjaFirewall.
- Installiere Antispam Bee, um Kommentar-Spam zu vermeiden.
- Verwende ein Captcha oder eine andere Lösung, um Formular-Spam zu verhindern.
- Und als Rettungsanker: habe immer ein aktuelles Backup deiner Website.
Befolgst du diese 8 Punkte, ist deine Website sehr gut abgesichert.
Lilli: Und wenn jemand die Sicherheit und Wartung in professionelle Hände geben will – wie bist du zu erreichen?
Michael: Am einfachsten bin ich über meine Website www.mbaierl.com zu erreichen. Dort findest du auch weitere Informationen über mich.
Sehr gerne kümmere ich mich um die Sicherheit deiner Website, führe alle Updates durch, lege Backups an und überprüfe deine Website auf Sicherheitslücken. Alles, was du dann noch brauchst, ist ein langes Passwort. 🙂
Weiters kümmere ich mich um die Performance von Websites oder entwickle eigene Plugins für spezielle Kundenwünsche.
Vielen Dank für das Interview, Michael!
Über Michael Baierl
Wenn Michael nicht gerade die Welt bereist, dann bloggt er auf seiner Website www.mbaierl.com über WordPress, das Divi-Theme und Website-Technik. Leidenschaftlich hilft er JungunternehmerInnen bei der Erstellung ihrer Website und kümmert sich um die komplette Website-Technik.
EinzelunternehmerInnen können sich so auf ihr Kerngeschäft konzentrieren – denn die Websiteerstellung und alles, was in weiterer Folge dazu gehört, wird durch ihn einfach „einfach“.
Michael Baierl – Einfach Websites
*Affiliate-Link von Michael, an dem er eine Provision verdient, wenn du dich für das Angebot entscheidest.
5 Antworten
I extend my gratitude to Michael Baierl for the informative interview, where he generously shared his expertise on enhancing the security of WordPress websites. The practical tips and strategies discussed are a game-changers, empowering me to fortify my website against potential threats. Thanks!
Ein wirklich informatives Interview. Schön zusammengefasst und mit wertvollen Tipps. Danke dafür.
Schönes Interview. Gerade wenn man mit der Seite wächst, gewinnen manche Dinge plötzlich an Wichtigkeit. Obwohl die Häufigkeit der „Angriffe“ bei englischsprachigen Seiten extrem viel höher ist, schlafe ich doch ruhiger, weil ich hier investiert habe. Hier sollte nicht gespart werden, das zahlt sich aus.
Hallo Marion,
danke für das Lob!
Liebe Grüße in den 6.,
Michael
Wunderbar zusammengefasst, um was es in Sachen WordPress-Wartung tatsächlich geht. Und warum regelmäßge Updates nach dem Website-Launch so wichtig sind. Top auch die Haus-Website-Analogie; besser kann mans nicht beschreiben und seine Kund*innen für dieses „Tech“-Thema sensibilisieren. Danke!