Um die Sicherheit von WordPress ranken sich hartnäckig allerlei Gerüchte und Vermutungen. Das Thema Sicherheit ist zweifelsohne essenziell, doch wie steht es eigentlich wirklich um die Sicherheit einer Webseite, die mit dem CMS WordPress betrieben wird? Gibt es etwas zu befürchten? So viel schon einmal vorab: Schlaflose Nächte muss mit WordPress niemand haben — im Gegenteil.
Die Sicherheit einer Webseite ist ein immer wichtiger werdendes Thema. Gerade dann, wenn ein Content-Management-System eingesetzt wird, entstehen natürlich mögliche Angriffsflächen, die bei statischen Webseiten in dieser Form nicht existieren. Das ist zwar kein Grund, auf die vielen Vorteile eines CMS zu verzichten und weiterhin im Quellcode statischer Webseiten zu verweilen, dennoch sollte man die Sicherheit nicht außer Acht lassen. Mit zusätzlichen Absicherungen kann meist schnell eine hohe Sicherheit erreicht werden, die zumindest weniger kritischen oder automatisierten Angriffen ohne Probleme den Garaus macht.
Inhaltsverzeichnis
WordPress Sicherheit: Gerüchte & Mythen
Nicht selten bekommt man aus verschiedenen Richtung zu hören, WordPress sei keine gute Wahl, da es schließlich nicht sicher sei. Doch woher kommt dieser Mythos?
WordPress ist mit über 60 Prozent Marktanteil das meist verbreitetste Content Management System der Welt. Und das ist auch einer der Gründe, warum WordPress gerne zur Zielscheibe für kriminelle Angriffe wird. Aus Sicht eines Angreifers dürften die Beweggründe schnell deutlich werden: So macht es mehr Sinn, eine Sicherheitslücke eines Systems mit hoher Verbreitung aufzudecken, als ein CMS zu knacken, das nur für einige wenige Webseiten eingesetzt wird.
Ein vergleichbares Beispiel hierfür sind die beiden Betriebssysteme Microsoft Windows und Apple Mac OS. Entscheidet sich ein Angreifer dafür, einen Virus zu entwickeln, wird dieser in der Regel für Windows umgesetzt, da aufgrund der höheren Verbreitung deutlich mehr Computer infiziert werden können. Das bedeutet jedoch nicht, dass Nutzer eines anderen, weniger verbreiteten Systems, ein geringeres Risiko tragen — im Gegenteil.
Ist WordPress unsicher?
Auf den ersten Blick scheint die hohe Verbreitung von WordPress ein Nachteil — zumindest in Bezug auf die Sicherheit. Ganz korrekt ist das jedoch nicht. Mit der hohen Verbreitung und der stetig wachsenden Beliebtheit geht nämlich auch eine große Entwicklercommunity einher, die sich stets um die Weiterentwicklung von WordPress und dessen Sicherheit kümmert. Werden etwaige Sicherheitsprobleme bekannt, schließt das WordPress-Team diese meist innerhalb weniger Stunden und liefert ein entsprechendes Update dafür aus. Zum Vergleich: Content-Management-Systeme mit geringer Verbreitung und einem kleinen Entwickler-Team weisen oftmals über Wochen und Monate Sicherheitslücken auf, bis diese geschlossen werden — sofern die Probleme überhaupt (zeitnah) entdeckt werden, was bei einer geringen Nutzerzahl nicht immer selbstverständlich ist. WordPress selbst ist somit nicht unsicher — im Gegenteil. Das hatte auch eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik, kurz BSI, ergeben.
Lesenswert: 10 bekannte Unternehmen, die auf WordPress setzen
So entstehen Sicherheitsprobleme
Wenn WordPress wirklich so sicher ist, warum hört man dann dennoch gelegentlich von kompromittierten Webseiten auf WP-Basis? Plugins und Themes, lautet die Antwort auf diese Frage kurz und knapp. Die schnelle und einfache Möglichkeit, den Funktionsumfang von WordPress mittels Plugins aufzubohren oder mit einem Theme die Webseite in ein neues Gewand zu hüllen, birgt natürlich auch seine Nachteile. Zumindest, wenn man auf minderwertige Konsorten zurückgreift. Viele Nutzer wissen oftmals nicht, dass es sich bei frei erhältlichen Themes und Plugins im offiziellen WordPress-Pool oder etwaigen Marktplätzen nicht um offizielle Erweiterungen von WordPress handelt, sondern um Erzeugnisse von Dritt-Entwicklern. Die Qualitätsunterschiede sind dementsprechend groß.
Daher können wir als WordPress-Agentur nur empfehlen, bei der Wahl etwaiger Plugins genauestens hinzuschauen und darüber hinaus so wenige Plugins, wie nur möglich, zu verwenden. Das kommt nicht nur der Sicherheit zugute, sondern auch der Fehleranfälligkeit sowie der Wartungsintensität der Webseite.
WordPress Sicherheit verbessern
Das Thema WordPress Sicherheit und Absicherung kann unter Umständen schnell zu einem „Fass ohne Boden“ werden. Je nach Webseite reichen aber auch schon einige wenige Maßnahmen völlig aus, um die Sicherheit deutlich zu erhöhen. Folgende Tipps sollten für eine grundlegende Sicherheit beachtet werden.
- Regelmäßige Updates von WordPress selbst, den Plugins sowie dem Theme
- Regelmäßige Backups der gesamten Webseite für den Fall der Fälle
- Sichere Passwörter, bestehend aus Zahlen, Buchstaben und Sonderzeichen ohne Zusammenhang
- Korrekte Verzeichnisberechtigungen auf dem Server
Fazit
Wenn WordPress wirklich so unsicher wäre, wie fälschlicherweise behauptet wird, würde sich das CMS mit Sicherheit nicht mit einem Marktanteil von über 60 Prozent schmücken können. Letztlich ist der Nutzer selbst für die Sicherheit seiner Webseite verantwortlich und beeinflusst diese durch sein Handeln. Das betrifft nicht nur den Einsatz von Themes und Plugins, sondern vor allen Dingen auch, ob regelmäßig (Sicherheits-)Updates eingespielt und sichere Passwörter verwendet werden.