WordPress Sicherheit: Was kann ich tun? Gibt es Plugins?
In den letzten Monaten wurde immer wieder suggeriert, dass WordPress nicht sicher sein. Hierbei handelt es sich sowohl um Panikmache als auch um einen Hinweis die „Blogtüren“ nicht weit offen stehen zu lassen.
Generell ist WordPress sicher
WordPress weist eine grundsolide und sichere Programmierung auf. Einfach haben es Hacker daher nicht, auch wenn es nicht von der Hand zu weisen ist, dass es mittlerweile unzählige automatisierte Angriffe gibt. Der Grund ist hierfür hauptsächlich im weit verbreiteten Content Management System zu finden. Existiert doch mal eine Sicherheitslücke, sind auch gleich alle anderen Blogs potentielle Opfer.
Plugins & Themes stellen Sicherheitslücken dar
Viele der verwenden Themes und Plugins sind veraltet, unsicher oder weisen keine saubere Programmierung auf. Betroffen sind fast 50% der kostenlosen Angebote. Auch das Verlangen der Nutzer nach immer mehr Funktionen, Schnittstellen und Möglichkeiten bieten Angriffsflächen, denn jedes neue Feature kann auch eine potentielle Sicherheitslücke darstellen. Selbst die kleinste Lücke reicht dann oftmals für einen Hacker-Angriff aus.
Was kann der Nutzer tun?
Selbstverständlich existieren entsprechende Plugins, die für Sicherheit sorgen sollen. Vor allem sind momentan Firewalls sehr gefragt, die sowohl URL-Parameter als auch Angriffe blocken sollen. Es ist aber zu bedenken, dass diese Plugins auch selber Sicherheitslücken aufweisen können. Dennoch ist die Installation eines Security Plugin prinzipiell empfehlenswert. Zu den besten Security Plugins zählen u.a. Wordfence Security, Sucuri und iThemes Security. Allerdings können diese erst in der Premium-Version ihre ganze Wirkungsweise entfalten. Sucuri bietet beispielsweise gegen eine monatliche Gebühr den zusätzlichen Service an, dass das Team Schadcodes entfernt, sollte die Firewall mal ihren Dienst versagt haben. Als kostengünstigere Alternative bietet sich noch NinjaFirewall an. Diese Firewall blockt schädliche Anfragen ab und ist schon bereits als kostenlose Variante empfehlenswert. Neben der Installation von Security Plugins kann der Nutzer aber noch mehr tun.
Installation
In erster Linie sollten nicht blindlings irgendwelche Plugins installiert werden. Hier ist oftmals weniger mehr. Das Plugin sollte vor der Installation genauestens in Augenschein genommen werden. Wie aktuell ist die Anwendung? Wird sie regelmäßig gepflegt? Im Bereich der Themes sollte nicht zu einem Allrounder gegriffen werden, welches alles auf einmal kann. Gute und sichere Themes sind auf eine Funktion bzw. ein Blog, ein Portfolio oder ein Thema fokussiert und spezialisiert. Alles auf einmal schafft ein Theme ohne Sicherheitslücken nicht. Des Weiteren sollten Nutzer Updates möglichst zeitnah durchführen um Sicherheitslücken zu schließen. Wer wartet kann schnell doch noch zum Opfer werden. Ebenso sollte man nicht ständig mit Themes „herumspielen“ und Plugins wahllos integrieren. Jede dieser Maßnahmen kann eine Sicherheitslücke mit sich bringen. Letztendlich gibt es aber keine 100%ige Sicherheitsgarantie. Der Fortschritt ist nicht aufzuhalten. Hacker und Spammer finden immer wieder neue Wege und Plugin-Entwickler müssen darauf reagieren.