Geschäftsführer, Webdesigner & Web-Entwickler, staatlich geprüfter Mediengestalter
Um die Sicherheit von WordPress ranken sich hartnäckig allerlei Gerüchte und Vermutungen. Das Thema Sicherheit ist zweifelsohne essenziell, doch wie steht es eigentlich wirklich um die Sicherheit einer Webseite, die mit dem CMS WordPress betrieben wird? Gibt es etwas zu befürchten? So viel schon einmal vorab: Schlaflose Nächte muss mit WordPress niemand haben — im Gegenteil.
Die Sicherheit einer Webseite ist ein immer wichtiger werdendes Thema. Gerade dann, wenn ein Content-Management-System eingesetzt wird, entstehen natürlich mögliche Angriffsflächen, die bei statischen Webseiten in dieser Form nicht existieren. Das ist zwar kein Grund, auf die vielen Vorteile eines CMS zu verzichten und weiterhin im Quellcode statischer Webseiten zu verweilen, dennoch sollte man die Sicherheit nicht außer Acht lassen. Mit zusätzlichen Absicherungen kann meist schnell eine hohe Sicherheit erreicht werden, die zumindest weniger kritischen oder automatisierten Angriffen ohne Probleme den Garaus macht.
Inhaltsverzeichnis
Nicht selten bekommt man aus verschiedenen Richtung zu hören, WordPress sei keine gute Wahl, da es schließlich nicht sicher sei. Doch woher kommt dieser Mythos?
WordPress ist mit über 60 Prozent Marktanteil das meist verbreitetste Content Management System der Welt. Und das ist auch einer der Gründe, warum WordPress gerne zur Zielscheibe für kriminelle Angriffe wird. Aus Sicht eines Angreifers dürften die Beweggründe schnell deutlich werden: So macht es mehr Sinn, eine Sicherheitslücke eines Systems mit hoher Verbreitung aufzudecken, als ein CMS zu knacken, das nur für einige wenige Webseiten eingesetzt wird.
Ein vergleichbares Beispiel hierfür sind die beiden Betriebssysteme Microsoft Windows und Apple Mac OS. Entscheidet sich ein Angreifer dafür, einen Virus zu entwickeln, wird dieser in der Regel für Windows umgesetzt, da aufgrund der höheren Verbreitung deutlich mehr Computer infiziert werden können. Das bedeutet jedoch nicht, dass Nutzer eines anderen, weniger verbreiteten Systems, ein geringeres Risiko tragen — im Gegenteil.
Auf den ersten Blick scheint die hohe Verbreitung von WordPress ein Nachteil — zumindest in Bezug auf die Sicherheit. Ganz korrekt ist das jedoch nicht. Mit der hohen Verbreitung und der stetig wachsenden Beliebtheit geht nämlich auch eine große Entwicklercommunity einher, die sich stets um die Weiterentwicklung von WordPress und dessen Sicherheit kümmert. Werden etwaige Sicherheitsprobleme bekannt, schließt das WordPress-Team diese meist innerhalb weniger Stunden und liefert ein entsprechendes Update dafür aus. Zum Vergleich: Content-Management-Systeme mit geringer Verbreitung und einem kleinen Entwickler-Team weisen oftmals über Wochen und Monate Sicherheitslücken auf, bis diese geschlossen werden — sofern die Probleme überhaupt (zeitnah) entdeckt werden, was bei einer geringen Nutzerzahl nicht immer selbstverständlich ist. WordPress selbst ist somit nicht unsicher — im Gegenteil. Das hatte auch eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI, ergeben.
Lesenswert: 10 bekannte Unternehmen, die auf WordPress setzen
Wenn WordPress wirklich so sicher ist, warum hört man dann dennoch gelegentlich von kompromittierten Webseiten auf WP-Basis? Plugins und Themes, lautet die Antwort auf diese Frage kurz und knapp. Die schnelle und einfache Möglichkeit, den Funktionsumfang von WordPress mittels Plugins aufzubohren oder mit einem Theme die Webseite in ein neues Gewand zu hüllen, birgt natürlich auch seine Nachteile. Zumindest, wenn man auf minderwertige Konsorten zurückgreift. Viele Nutzer wissen oftmals nicht, dass es sich bei frei erhältlichen Themes und Plugins im offiziellen WordPress-Pool oder etwaigen Marktplätzen nicht um offizielle Erweiterungen von WordPress handelt, sondern um Erzeugnisse von Dritt-Entwicklern. Die Qualitätsunterschiede sind dementsprechend groß.
Daher können wir als WordPress-Agentur nur empfehlen, bei der Wahl etwaiger Plugins genauestens hinzuschauen und darüber hinaus so wenige Plugins, wie nur möglich, zu verwenden. Das kommt nicht nur der Sicherheit zugute, sondern auch der Fehleranfälligkeit sowie der Wartungsintensität der Webseite.
Das Thema WordPress Sicherheit und Absicherung kann unter Umständen schnell zu einem „Fass ohne Boden“ werden. Je nach Webseite reichen aber auch schon einige wenige Maßnahmen völlig aus, um die Sicherheit deutlich zu erhöhen. Folgende Tipps sollten für eine grundlegende Sicherheit beachtet werden.
Wenn WordPress wirklich so unsicher wäre, wie fälschlicherweise behauptet wird, würde sich das CMS mit Sicherheit nicht mit einem Marktanteil von über 60 Prozent schmücken können. Letztlich ist der Nutzer selbst für die Sicherheit seiner Webseite verantwortlich und beeinflusst diese durch sein Handeln. Das betrifft nicht nur den Einsatz von Themes und Plugins, sondern vor allen Dingen auch, ob regelmäßig (Sicherheits-)Updates eingespielt und sichere Passwörter verwendet werden.
Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.
In der Welt des Webhosting sind Begriffe wie FTP und SFTP gängig, doch nicht jede:r weiß direkt, wobei es sich hierbei handelt – geschweige...
mehr lesen
Angriffe auf IT-Systeme sind keine Phänomene der letzten Jahre, in der die Digitalisierung Rekord-artig anstieg. Schon seit den frühen 1990er Jahren lässt sich diese...
mehr lesen
HTTPS ist inzwischen Standard im Internet. Das gilt natürlich auch für Webseiten auf WordPress Basis. In diesem Artikel zeigen wir daher, wie man WordPress...
mehr lesen
Die Sicherheit eines Content Management Systems ist äußerst wichtig. Das gilt natürlich auch für WordPress. Eine Möglichkeit zur Optimierung der Sicherheit ist eine Zwei-Faktor-Authentifizierung,...
mehr lesen
Was bedeutet UI? Beim Kürzel UI handelt es sich grundsätzlich um ein User Interface. Die Buchstaben U für User und…
Was ist ein Eyecatcher? Unter einem Eyecatcher versteht man eine Art Störer, sodass der Blick des Betrachters auf genau diesen…
Was bedeutet JSP? Bei der Bezeichnung JSP handelt es sich um eine Abkürzung für Java Server Page. Hierbei handelt es…