Anzeige
Anzeige
Lead Wolf Sichere Seiten Rgb 1600X900
Grafik: LEAD
How to Kolumne Wordpress

How to: Sicherheit für WordPress

Das Thema Sicherheit von Inhalten und digitalen Plattformen wird oft unterschätzt. Deswegen widmet sich das heutige "How to" in einer Art Spezialausgabe der Frage, wie du wenigstens grundlegende Überprüfungen und Einrichtungen der Sicherheit deiner Inhalte gewährleisten kannst.

Anzeige
Anzeige

Vorweg: Wenn es um Themen der "Cyber Security", dann gibt es nie die endgültige Lösung und die garantierte Sicherheit. Stattdessen ist das Netz eben immer auch ein Rattenrennen. Zwischen denen, die ihre Sachen behalten und denen, die an ebendiese Sachen heranwollen. Kaum hat man ein Problem (vermeintlich) gelöst, steht auch schon das nächste vor der Tür. Das gehört zu den unumstößlichen Grundlagen des Webs.

Ebenso dazu gehört, dass irgendjemand versuchen wird, deine Seite für irgendwas zu missbrauchen. Das kann zum einen der direkte Angriff sein, weil jemand sich für deine Daten, Passwörter oder andere Dinge interessiert. Mindestens genauso unangenehm ist es aber, wenn jemand seine Seite als Transportmittel, als Plattform missbrauchen will. Um wiederum Nutzern deiner Seite wahlweise etwas unterzujubeln oder zu klauen. Was auch immer die Motivation ist: Es handelt sich nie um eine gute Sache.

Zur Erklärung noch etwas: WordPress ist zum weltweit größten und wichtigsten CMS geworden. Entsprechend beliebt ist es als Angriffsziel. Vieles in diesem "How to" bezieht sich zwar auf WordPress, hat aber grundsätzlich für andere Content-Management-Systeme genauso Gültigkeit.

Anzeige

Auch interessant: WordPress 5: So geht es 2019 weiter

Warum ausgerechnet ich?

Wieso sucht sich ein Hacker ausgerechnet meine Seite für einen Angriff aus? Gute Frage. Was viele aber gar nicht wissen: Möglicherweise hatten es die Angreifer gar nicht speziell auf dich abgesehen. Stattdessen versuchen sie, mit ein paar unschönen Tools, massenweise Webseiten zu infizieren. Dabei gehen sie so vor, dass sie automatisch Webseiten angreifen, die bestimmte Sicherheitslücken nicht gestopft haben. Ist die Seite dann infiziert, verteilt sie beispielsweise Malware (Schadsoftware wie Viren oder Trojaner) an die Besucher der Webseite oder wird für SPAM-Versand missbraucht.

Speziell ein Programm wie WordPress mit seinem dominierenden Marktanteil ist ein beliebtes Ziel von Hackerangriffen. Und da wiederum Plug-Ins. Weswegen du vorsichtig sein solltest bei der Installation von allem Zusätzlichem. Themes und Plug-Ins sollten nur so viele installiert sein, dass der tägliche Betrieb gesichert ist. Anfällig ist auch der Kommentarbereich. WordPress lässt zwar nur wenige HTML-Befehle in den Kommentaren zu. Das aber hat Hackern in der Vergangenheit immer wieder ausgereicht, um Seiten attackieren zu können.

Teste deine Seite!

Einen Hacker-Angriff erkennst du nicht zwingend sofort. Ein gutes Frühwarnsystem sind Seiten, die deine URL checken. Da viele einen solchen Check mit dem Angebot verknüpfen, für dich tätig zu werden, gebe ich hier keine explizite Empfehlung an. Aber wenn du nach den entsprechenden Begriffen suchst, wirst du jede Menge solcher Seiten finden. Es ist ein bisschen wie die Vorsorge-Untersuchung beim Arzt. Im Normalfall passiert nichts Beunruhigendes.

Welche Folgen hat es, wenn ich gehacked wurde?

Das ist von Fall zu Fall unterschiedlich. Sicher ist nur: Du hast eine Menge Ärger am Hals. Vor allem auch, weil die Außenwirkung fatal ist. Wenn man vor seiner Seite plötzlich dubiose Werbung hat oder – noch schlimmer – deine Seite dazu verwendet wird, andere mit Schadsoftware zu infizieren, ist das mindestens sehr unangenehm. Deinem Ruf zuträglich ist es auch nicht.

Ein bisschen Off-Topic, trotzdem eine Mischung aus bizarr und lustig: Hier siehst du, was eigentlich hinter Scam-Werbung steckt. Wenn du das gesehen hast, solltest du schon alleine deswegen ein Interesse haben, dass sowas nicht in deinem Umfeld passiert.

Noch schlimmer wird es, wenn du auf Blacklists landest. Sollte das beispielsweise bei Google der Fall sein, fliegst du mit deiner Seite aus allen Suchergebnissen. Was das bedeutet, kannst du dir leicht selber ausrechnen. Zwar kannst du nach einer erfolgreichen Bereinigung deiner Seite bei Google beantragen, dass du wieder aufgenommen wirst. Aber selbst wenn das klappen sollte, ist nicht gesagt, dass du dein altes Ranking wieder zurückbekommst.

Weitere mögliche Folgen: Datendiebstahl oder Unbenutzbarkeit der Seite.

Gibt es Schutz?

Security-Plug-Ins sind für Wordpress-User eine grundsätzlich gute Sache. Sie versprechen Schutz vor Hacker-Angriffen, die mittlerweile über die unterschiedlichsten Einfallstore passieren können. Trotzdem: Eine Garantie geben sie nicht. Idealerweise also lässt du so etwas manuell machen, wahlweise von jemanden im Unternehmen, der das kann – oder über externe Anbieter, von denen es inzwischen eine ganze Reihe gibt. Die sind natürlich nicht kostenfrei. Aber siehe oben: Die Folge-Kosten eines Hacker-Angriffs können deutlich höher sein.

Das könnte dich auch interessieren:
Der Tag, an dem mein Instagram-Account gehackt wurde

Lead 4 Cta 1200X1200 V3 July 008

Philipp Kalweit ist der begehrteste Hacker Deutschlands – und gerade deshalb mit 18 Jahren bereits auf der Forbes „30 under 30“-Liste. Warum wir nach dem Interview direkt unsere Passwort-Cloud gekündigt haben, liest du im aktuellen LEAD Bookazine 2/2019!

Anzeige
Verlagsangebot
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote
Anzeige