18. Februar 2025

Ist WordPress sicher? Ja, ist es!

Im heutigen digitalen Zeitalter ist es nahezu unmöglich, hundertprozentige Sicherheit im Internet zu gewährleisten. Jede Website, egal mit welchem System sie erstellt wurde, ist potenziell angreifbar. Egal ob Joomla, Contao, Typo3, Drupal, Magento, Shopware, Oxid oder andere Content Management Systeme (CMS) – auch die teuersten und professionellsten Systeme sind nicht unangreifbar. Wenn diese nicht auch professionell abgesichert werden, sind auch diese genauso angreifbar wie WordPress ohne Sicherheitseinrichtungen. Am sichersten ist es immer noch, eine rein statische HTML-Website mit CSS zu erstellen. Selbst JavaScript sollte hier mit Vorsicht eingesetzt werden.

Warum wird WordPress dann so oft als eines der unsichersten Systeme bezeichnet? Ein Vergleich mit Windows und macOS hilft uns, dies zu verstehen. Windows ist weltweit deutlich häufiger installiert und wird daher auch häufiger angegriffen. macOS hingegen ist weniger verbreitet und wird daher auch seltener angegriffen. Obwohl macOS als sicher gilt, gibt es mittlerweile viele Möglichkeiten, auch dieses Betriebssystem anzugreifen. Ein ähnliches Bild zeigt sich bei WordPress. Trotz seiner weiten Verbreitung und der Annahme, es sei unsicher, kann auch WordPress sehr sicher gemacht werden – allerdings nie zu 100 Prozent.

Woher kommt also der schlechte Ruf von WordPress? Liegt es daran, dass es Open Source ist und jeder daran arbeiten kann? Oder daran, dass es im Vergleich zu kostenpflichtigen Systemen, die über 1000 Euro im Monat kosten können, kostenlos ist? Leider liegt der wahre Grund ganz woanders. WordPress ist ein Open Source System und viele Agenturen wollen oft nur schnell Geld verdienen. Sie erstellen Websites mit WordPress, ohne dabei auf Sicherheit, Performance, Datenschutz, Barrierefreiheit und Suchmaschinenoptimierung zu achten. Oft liegt das Problem aber nicht nur bei den Agenturen, sondern auch bei den Kunden, die nicht bereit sind, zusätzliches Geld für Sicherheit und andere Optimierungen auszugeben.

Ein weiterer Punkt ist, dass viele Unternehmer ihre Webseiten selbst erstellen oder jemanden aus der Familie oder dem Freundeskreis damit beauftragen. Da WordPress als einfach zu bedienen gilt, wird es oft schnell und ohne viel Fachwissen eingesetzt. Leider haben die meisten keine Ahnung von Sicherheit, Optimierung, Datenschutz, Performance oder Suchmaschinenoptimierung. Wirklich professionelle WordPress-Websites werden jedoch von Profis mit jahrelanger Erfahrung erstellt. Eine professionell erstellte WordPress-Website kann genauso sicher sein wie eine Website, die mit einem teuren Bezahlsystem erstellt wurde.

Die weite Verbreitung von WordPress macht es zu einem attraktiven Ziel für Hacker. Da es das am weitesten verbreitete CMS ist, gibt es viele Angriffsflächen, die ausgenutzt werden können. Sicherheitslücken in Plugins und Themes sind häufige Probleme, die oft durch veraltete Versionen oder unsichere Passwörter verschärft werden. Auch Brute-Force-Angriffe, bei denen Hacker wiederholt versuchen, sich in die Website einzuloggen, stellen ein großes Risiko dar. Trotz dieser Herausforderungen kann WordPress durch sorgfältige Maßnahmen sehr sicher gemacht werden.

Mit folgenden Maßnahmen lässt sich WordPress zu 99% absichern:

Regelmäßige Updates von WordPress, Themes und Core-Dateien

  • Halte alle Komponenten stets auf dem neuesten Stand, um Sicherheitslücken zu schließen.

Starke Passwörter verwenden

  • Nutze Passwörter mit mindestens 16 Zeichen aus Groß- und Kleinbuchstaben, Ziffern und Zeichen und ohne echte Wörter.

2-Faktor-Authentifizierung (2FA)

  • Ergänze die Anmeldung um eine zweite Sicherheitsebene, z.B. durch eine Authentifizierungs-App.

Unnötige Benutzer und Rechte entfernen

  • Lösche nicht benötigte Benutzerkonten und reduziere Benutzerrechte auf das notwendige Minimum.

Dateien und Verzeichnisse mit korrekten Berechtigungen versehen

  • Stelle sicher, dass sensible Dateien und Verzeichnisse nur für autorisierte Benutzer zugänglich sind.

Zugriff auf Admin-Bereich einschränken

  • Begrenze den Zugriff auf das Admin-Panel z.B. durch IP-Adressbeschränkungen.

SSL-Zertifikat für verschlüsselte Datenübertragung einsetzen

  • Verwende HTTPS, um die Datenübertragung zwischen dem Server und den Besuchern zu verschlüsseln.

Manuelle Überprüfung von Dateien auf schädlichen Code

  • Überprüfe regelmäßig die Dateien auf verdächtigen oder schädlichen Code.

Datenbank-Präfix ändern

  • Ändere das Standard-Präfix der Datenbanktabellen, um SQL-Injection-Angriffe zu erschweren.

Verzeichnisschutz durch .htaccess-Datei nutzen

  • Nutze .htaccess-Dateien, um Verzeichnisse vor unbefugtem Zugriff zu schützen.

Standard-Admin-Benutzernamen ändern

  • Verwende nicht „admin“ oder „administrator“ als Benutzernamen.

Schutz der wp-config.php-Datei

  • Sichere diese Datei, indem du den Zugriff darauf beschränkst und sie außerhalb des root-Verzeichnisses platzierst.

Sicherungskopien (Backups) regelmäßig erstellen und außerhalb des Servers speichern

  • Erstelle regelmäßig Backups und speichere sie an einem sicheren, externen Ort.

Regelmäßige Überwachung der Website-Aktivitäten und -Protokolle

  • Überwache die Website auf ungewöhnliche Aktivitäten und überprüfe die Protokolle regelmäßig.

Sichere Server- und Hosting-Einstellungen verwenden

  • Stelle sicher, dass der Server und die Hosting-Einstellungen den höchsten Sicherheitsstandards entsprechen.

Verbindungen zu Drittanbieter-Diensten absichern

  • Stelle sicher, dass alle Verbindungen zu externen Diensten sicher und verschlüsselt sind.

Vermeidung von unsicheren oder verdächtigen Themes und Skripten

  • Nutze nur vertrauenswürdige und gut geprüfte Themes und Skripte.

Reduzierung der Anzahl von HTTP-Anfragen

  • Optimiere die Ladezeiten und reduziere mögliche Angriffsflächen durch weniger HTTP-Anfragen.

Content Security Policy (CSP) nutzen

  • Implementiere eine CSP, um schädliche Inhalte zu blockieren und die Integrität der Website zu wahren.

Eingaben und Uploads auf schädliche Inhalte überprüfen

  • Überprüfe alle Benutzereingaben und Datei-Uploads auf schädliche Inhalte.

Eingeschränkte Benutzerrollen und Rechtevergabe

  • Definiere klar abgegrenzte Benutzerrollen und weise nur notwendige Rechte zu.

Einrichtung eines HTTP-Passworts (htpasswd)

  • Schütze den Admin-Bereich zusätzlich durch ein HTTP-Passwort.

Einrichten einer serverseitigen Firewall

  • Nutze eine Firewall auf Server-Ebene, um unerwünschte Zugriffe zu blockieren.

Nur hochwertige Plugins von vertrauenswürdigen Anbietern verwenden

  • Installiere nur Plugins, die von vertrauenswürdigen Entwicklern stammen und gut gewartet werden.

Name des Login-Verzeichnisses ändern

  • Ändere den Namen des Login-Verzeichnisses, um es Hackern schwerer zu machen.

Anzahl der Login-Versuche begrenzen

  • Beschränke die Anzahl der erlaubten Login-Versuche, um Brute-Force-Angriffe zu verhindern.

Kommentare vollständig deaktivieren

  • Deaktiviere die Kommentarfunktion, wenn sie nicht benötigt wird, um Spam und schädliche Links zu vermeiden.

Mailversand über SMTP und nicht über PHP-Mailer

  • Nutze SMTP für den E-Mail-Versand, um die Sicherheit und Zustellbarkeit zu erhöhen.

Deaktivierte Plugins löschen

  • Entferne deaktivierte Plugins, um potenzielle Sicherheitslücken zu schließen.

„Administrator“ oder „admin“ als Benutzernamen vermeiden

  • Verwende individuelle Benutzernamen, um es Angreifern schwerer zu machen.

Aktuellste PHP-Version verwenden

  • Stelle sicher, dass immer die neueste PHP-Version verwendet wird, um Sicherheitslücken zu vermeiden.

CDN (Content Delivery Network) nutzen

  • Nutze ein CDN, um DDoS-Angriffe zu erschweren und die Ausfallsicherheit zu erhöhen. Viele CDN-Anbieter bieten auch zusätzliche Sicherheitsfunktionen wie Web Application Firewalls (WAF) und Bot-Schutz an.

Plugins auf ein Minimum reduzieren

  • Installiere nur unbedingt notwendige Plugins, um potenzielle Angriffsflächen zu minimieren.

Wartungsvertrag nutzen

  • Schließe einen Wartungsvertrag ab, um die regelmäßige Pflege und Sicherheit der Website sicherzustellen.

Plugins und Pagebuilder nutzen, die sauberen Code schreiben

  • Verwende nur Plugins und Pagebuilder, die gut dokumentiert sind und sauberen, sicheren Code produzieren.

Zusammenfassend lässt sich sagen, dass es keine absolut sichere Website gibt – jedes System, sei es WordPress, Joomla, Contao oder ein anderes CMS, ist angreifbar. Selbst teuere Bezahl-Content-Management-Systeme können gehackt werden. Die weit verbreitete Nutzung von WordPress macht es zu einem attraktiven Ziel für Hacker, aber das bedeutet nicht, dass es unsicherer ist als andere Systeme. Mit den richtigen Maßnahmen kann auch eine WordPress-Website sehr sicher gemacht werden.

Wichtig ist, sich der potenziellen Risiken bewusst zu sein und kontinuierlich an der Verbesserung der Sicherheit der Website zu arbeiten. Dazu gehört nicht nur die technische Absicherung, sondern auch die Sensibilisierung von Nutzern und Betreibern für sicherheitsrelevante Themen. Ein gut informierter und proaktiv handelnder Website-Betreiber kann viele potenzielle Angriffe bereits im Vorfeld abwehren.

Die genannten Maßnahmen tragen wesentlich zur Sicherheit bei. Genauso wichtig ist es jedoch, sich nicht ausschließlich auf die Technik zu verlassen. Regelmäßige Schulungen und die Sensibilisierung der Nutzer für Sicherheitsfragen, die ständige Anpassung der Sicherheitsstrategien an neue Bedrohungen sowie der bewusste Umgang mit digitalen Ressourcen sind unverzichtbare Bestandteile einer umfassenden Sicherheitsstrategie.

Erwähnenswert ist auch, dass WordPress von zahlreichen großen Unternehmen und Institutionen genutzt wird, die höchsten Wert auf Sicherheit legen. Zu den bekannten Nutzern gehören Sony Music, Stanford University, Euronics Blog, SAP News, The Walt Disney Company, Microsoft News Center, Time Magazine, Katy Perry, The White House und viele mehr. Diese Beispiele zeigen, dass WordPress eine zuverlässige Plattform sein kann, wenn es richtig konfiguriert und gewartet wird.

WordPress kann bei professioneller Pflege und entsprechenden Sicherheitsvorkehrungen eine ebenso sichere Basis für Websites sein wie teure Bezahlsysteme.

Letztendlich ist Sicherheit ein kontinuierlicher Prozess, der ständige Aufmerksamkeit und Anpassung erfordert. Durch die Kombination von Best Practices und einer proaktiven Sicherheitsstrategie kannst du deine WordPress-Website vor vielen Bedrohungen schützen und ihre Integrität bewahren.