Was die große Verbreitung von WordPress für Dich bedeutet und wie du dein WordPress sicher machst

Im zweiten Teil meiner Artikelserie „Warum du WordPress für deine Business-Website nutzen solltest“ erfährst du, was es für Vorteile hat, mit einem weit verbreiteten System zu arbeiten und wie sicher der Einsatz von WordPress ist.

Mit WordPress laufen über 25 % aller Websites weltweit

Vor kurzem habe ich bereits darüber geschrieben, wie WordPress entstanden ist und wie gigantisch groß der Anteil von WordPress am gesamten World Wide Web ist. Man mag es kaum glauben, aber inzwischen werden mehr als 25 % aller Websites weltweit mit WordPress betrieben. Der CMS (Content Management System) Anteil liegt bei beherrschenden 59,4 % (Stand Mai 2016). Und der Marktanteil in Deutschland ist noch größer, 38,9 % aller Websites mit .DE Domain nutzen WordPress. Aber was bedeutet das für dich und deine Business-Website?

Konstante Weiterentwicklung, immer Up-to-date

Wenn du WordPress nutzt, dann hast du ein modernes CMS im Einsatz, dass dir zeitgemässe, leistungsfähige und vielfältige Funktionen an die Hand gibt. Die Open Source Community von WordPress entwickelt das System ständig weiter. Es gibt eine öffentliche Releaseplanung, die Roadmap sieht eine neue Version alle 3-4 Monate vor. Hier kannst du auch mitmachen: Was in das neue Release aufgenommen wird, entscheiden die Benutzer per Abstimmung! Im Bug Tracker kannst du zudem mitverfolgen, was im kommenden Release geplant ist.

WordPress_Ideas

Die nächste Version 4.6 von WordPress ist übrigens für August 2016, die Version 4.7 dann für Dezember 2016 geplant.

WordPress Know-how findest du überall

Durch die sehr große Verbreitung ist WordPress nicht nur bei Software-Entwicklern sehr beliebt. Du findest auch für alle Tätigkeiten Dienstleister und Freelancer, die dich bei der Umsetzung deiner Business-Website mit WordPress unterstützen können. Du brauchst Hilfe bei der Installation und Einrichtung deiner neuen WordPress-Umgebung? Du suchst jemanden, der dir bei der Anpassung deines Themes hilft? Oder möchtest du den laufenden Betrieb, die Überwachung deines Systems und die Aktualisierung deiner eingesetzten Plugins outsourcen? Dann findest du nach kurzer Suche im Web dutzende von Angeboten. Große und kleine Agenturen, freiberufliche Software-Entwickler, (Frontend-)Designer und Quereinsteiger bieten dir gerne ihre Dienste an.

Allerdings gilt hier – wie überall anders auch – Augen auf. Nicht jeder hat die Fähigkeiten und die notwendige Wissenstiefe, um dich kompetent und zuverlässig beraten zu können. Oft kannst du aber in einem persönlichen Gespräch (ob per Skype oder im realen Leben) schnell herausfinden, ob dein Gegenüber ein Schiffschaukelbremser oder ein Profi auf seinem Gebiet ist. Lass dir auch Arbeitsbeispiele und Referenzen zeigen, schaue auf seine Qualifikationen und bisherigen Erfahrungen. So findest du bestimmt schnell eine zuverlässige Hilfe für deine Business-Website.

WordPress ist sicher (wenn du es sicher machst)

Du kannst WordPress sehr einfach und schnell selbst installieren. Dazu benötigst du 5 Minuten Zeit, einen Webserver oder eine Webspace, die WordPress Installationsdateien in der neuesten Version und Zugang zu Deiner MySQL Datenbank sowie eine (S)FTP-Verbindung. Dann noch einen Text-Editor und schon kann es losgehen – fast.

Ganz so einfach, wie es uns immer dargestellt wird, ist es dann auch nicht. Und das macht die ganze Sache gefährlich. Es gibt neben der eigentlichen Installation doch einige Dinge zu beachten, damit deine neue WordPress Installation nicht gleich Ziel eines automatisierten Hacker-Angriffs wird und dein WordPress als Zombie-Server z. B. Spam-Mails verschickt. Kann passieren, kannst du aber auch verhindern. Denn WordPress ist nicht nur bei Entwicklern und Anwendern beliebt, sondern auch bei Spammern, Hackern und anderen kriminellen Elementen auf dieser Welt.

Von Anfang an die richtigen Sicherheits-Einstellungen

Ein paar grundsätzliche Sicherheits-Vorkehrungen habe ich dir hier zusammengestellt:

  • Achte darauf, dass dein Webserver mit aktuellen Versionen der Komponenten läuft (Apache, MySQL, PHP, …). Am besten, du überlässt die Server-Administration deinem Provider und mietest dir ein Managed-Hosting Paket.
  • Verwende sichere, einzigartige Passwörter. Richte deine Zugänge (SFTP, SSH, E-Mail, WordPress-Login, Admin-Umgebung deines Webhosters etc.) so ein, dass du für jeden Zugang ein eigenständiges Passwort verwendest, dass min. 18 Zeichen lang ist und Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen enthält. Weitere Informationen zu sicheren Passwörtern gibt es z. B. beim Bundesamt für Sicherheit in der Informationstechnik. Am besten, du verwendest einen Passwort-Manager wie 1Password oder LastPass.
  • Verwende nicht „admin“ oder andere leicht zu erratende Namen als Benutzer-Login in WordPress.
  • Verwende nicht den Standard-Tabellen-Prefix „wp für deine MySQL Datenbank.
  • Sichere dein Backend-Login mit htaccess ab. So wehrst du am effektivsten Brute-Force-Angriffe auf dein WordPress von vornherein ab.

Wichtige Sicherheitseinstellungen in WordPress

Diese Infografik einbinden

Einfach Code-Schnipsel kopieren und auf eigener Seite einbinden.

Erhöhtes Sicherheitsrisiko durch den Einsatz von Plugins und Themes

So angenehm es auch ist, dass du WordPress ganz einfach für deine Anwendungen erweitern kannst. Jedes eingesetzte Plugin (egal ob Open Source oder kostenpflichtiges Premium-Plugin) und jedes Theme stellt zunächst ein potentielles Sicherheitsrisiko dar. Je komplexer deine WordPress-Installation, desto fehleranfällig wird sie auch.

Die Suche nach dem richtigen Plugin

Indikatoren fuer WordPress Plugin-AuswahlDaher ist eine gewissenhafte Auswahl der einzusetzenden Plugins und Themes absolut notwendig. Für jeden Anwendungsfall gibt es im WordPress Repository dutzende Plugins. Stell dir bei der Suche nach dem passenden Plugin folgende Fragen: Wieviele aktive Installationen gibt es? Wann wurde das Plugin zuletzt aktualisiert? Ist das Plugin zu meiner (aktuellen) WordPress Version kompatibel? Wer steckt als Entwickler dahinter?

Erhöhte Vorsicht ist geboten, wenn du ein Plugin nicht aus dem offiziellen Repository sondern aus einer anderen, z. B. kommerziellen Quelle herunterladen willst.

Einfacher gesagt – die Theme-Auswahl

Gleiches gilt auch bei der Auswahl deines Themes. Es gibt tausende freier und kostenpflichtiger Themes. Aber egal ob kostenlos oder Premium-Theme – wichtig ist, dass das Theme auch künftig weiterentwickelt wird, eventuell auftretende Sicherheitslücken schnell geschlossen werden und dass du das Theme auch noch übermorgen mit der aktuellen WordPress-Version einsetzen kannst. Ist das nicht der Fall, lieber die Finger weg lassen. Sonst kann es dir schnell passieren, dass du deine Website auf ein neues Theme umstellen musst. Und das ist immer mit einiger Arbeit verbunden.

Aber auch die Komplexität der Themes nimmt immer mehr zu. Überladen mit Funktionen, angedickt mit zusätzlichen Plugins, die für den Betrieb des Themes notwendig sind. Das alles bremst deine Website unnötig aus und erhöht die Angreifbarkeit deiner WordPress-Installation.

Ein Beispiel ist das Plugin „Revolution Slider“. Dieses Plugin ist sehr beliebt und in vielen Themes mit integriert. Allerdings führte eine Sicherheitslücke in einer bestimmten Version dazu, dass Angreifer über diesen Exploit ganz einfach die wp-config.php auslesen konnten und damit Zugriff auf die Datenbank-Zugangsdaten haben. Prominentestes Beispiel für einen Hack auf Basis dieser Sicherheitslücke ist angeblich Mossack Fonseca.

Mache regelmäßig Updates und Backups

Was für deinen Rechner im Büro gilt, ist bei deiner WordPress Installation auch angebracht. Mache regelmäßig Datensicherungen! Jeden Tag die Datenbank und mindestens einmal pro Woche das komplette Filesystem zu sichern, sollte für dich selbstverständlich sein. Natürlich sollte das Backup nicht auf dem gleichen Server sondern z. B. lokal oder in einer Cloudspace verschlüsselt abgelegt werden. Nur so hast du die Chance, bei einem Datenverlust oder falls deine Installation doch gehackt wurde, deine Website wiederherzustellen.

Backups_verwalten WordPress

Und spiele immer zeitnah die Patches, Updates und Aktualisierungen des WordPress Core-Systems, deiner eingesetzten Plugins und deines Themes ein. Das ist nicht immer einfach und auch mit einem gewissen Zeitaufwand verbunden, da du im Idealfall zunächst auf einer Staging-Umgebung (Test-Umgebung) testet, ob die neue Version von WordPress zum Beispiel auch mit den eingesetzten Plugins und Theme harmonieren. Nicht selten gibt es hier Wechselwirkungen, die unvorhergesehene Effekte im Frontend haben oder dein ganzes System abschiessen können.

Alles ganz einfach, oder?

Wie du siehst, gibt es doch einiges zu beachten, um WordPress sicher und dauerhaft einsetzen zu können. Keine Rocketscience, jedoch auch nicht trivial. Und wie bei einem Auto hast du an deiner WordPress Website nur dann lange Freude, wenn du sie regelmäßig wartest, pflegst und auch hin und wieder entrümpelst und alles aufräumst. Wenn du dir das alles zutraust, dann steht deiner WordPress-basierten Website nichts im Wege. Falls nicht, dann hole dir kompetente Hilfe (du kannst mir gerne eine E-Mail schicken). Aber ohne Wartung und Absicherung dein WordPress laufen zu lassen und zu hoffen, dass nichts passiert, ist sicher keine Lösung.

Titelbild: Padlock, © Moyan Brenn (CC BY-SA 2.0)

Was die große Verbreitung von WordPress für Dich bedeutet und wie du dein WordPress sicher machst
4.5 (89.57%) 23 votes

0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Kommentar verfassen