Tatort WordPress „ …Chancen und Risiken beim Einsatz von WordPress für die Unternehmenswebsite.“
Chancen und Ihre risikoreichen Schattenseiten
Vorteile des CMS aus Sicht von Nutzern
Inhaltsverzeichnis
Der Wert der Community


Potenzielle Sicherheitsrisiken von WordPress
Pluginauswahl
- Installiere nur Plugins, die genau das können, was du brauchst. Nicht mehr und nicht weniger.
- Beachte die Anzahl der Websites, die dieses Plugin aktiv in Verwendung haben – sie kann als Vertrauensindikator betrachtet werden. Je mehr Installationen, desto besser.
- Ließ die Beschreibung des Plugins genau durch.
- Wähle ein Plugin, dessen Quelle Du vertraust.
- Versuch herauszufinden, wie aktuell das Plugin ist und ob es weiterentwickelt wird. Plugins, für die es keine Updates mehr gibt, sind potenzielle Angriffsziele.
Wem Du vertrauen kannst und solls
Kenne Deinen Updateprozess…
… und Deine Serverumgebung
Hackangriffe
Warum ausgerechnet Deine Website?
Arten von Angriffen
- Vermeide Unsicherheiten im Hosting (Server, Nachbarn, FTP-Zugangsdaten)
- Wähle ein sicheres Passwort, um dich vor Brute-Force Attacken zu schützen
- Verwende nie dieselben Benutzerdaten für mehrere Anwendungen und speichere Passwörter nie in deinem Mailaccount ab. Wenn dieser gehackt wird, freut sich der Angreifer nicht nur über Deine Mails
- Logge dich nie in unverschlüsselten fremden WLANs ein
- Halte Deine Website am aktuellsten Stand, führe Updates durch und date Dein Theme regelmäßig up
- Weniger ist mehr – Installiere Themes und Plugins gezielt nach Anforderung und Vertrauenswürdigkeit




Ursachen und Schutzmaßnahmen
Checklist zur Risikominimierung
Stell Dir diese Fragen und setze dann Maßnahmen für die Sicherheit Deiner Website!
- Welches Hosting hast Du im Einsatz?
- Wer kümmert sich um die Sicherheit des Servers?
- Wer kümmert sich um die Sicherheit Deines CMS?
- Gibt es eine Update-Routine?
- Gibt es ein Backup und wie lange braucht eine Wiederherstellung?
- Hast Du Passwörter in Deinem Mailaccount gespeichert?
- Nutzt Du dasselbe Passwort für mehrere Systeme?
- Nutzt Du bereits die Zwei-Faktoren-Authentifizierung?
1. Kenne deinen Updateprozess
Wer ist für Updates verantwortlich und was wird wann gemacht?
Teste nach dem Update alle Funktionen der Website und ließ Update-Beschreibungen!
Wie sieht Dein Backup- und Restore-Prozess aus, gibt es ein Staging oder Autoupdates?
2. Nutze Child-Themes
Durch die Nutzung von Child Themes machst Du Deine Site individualisierbarer und hältst sie gleichzeitig updatebar. Außerdem erkennst Du schneller, welche Anpassungen gemacht wurden. Achtung: Wenn Du ein gekauftes Template verwenden willst, finde heraus, ob es Child-Themes nutzt.
/*
Theme Name: Mein Templatename
Theme URI: https://www.domain.com/templatename
Description: Beischreibung des Templates
Author: Name
Author URI: https://www.domain.com
Template: Theme_Name_des_Basistemplates
Version: 1.0.0
*/
3. Setze Plugins wohlüberlegt ein
Installiere nur dann ein Plugin, wenn du es unbedingt brauchst, vermeide unnötigen Overhead und setze nur ein Plugin für eine Funktion ein. Überprüfe regelmäßig die Aktualität Deiner Plugins.
4. Deaktiviere unnötige Funktionen
Blende Anzeigename und Usernamen aus, achte auf die Autoren-Seite, URL Rewrites & deaktiviere die REST API, wenn Du sie nicht nutzt.
add_filter( 'rest_authentication_errors', function( $access ) {
if( ! is_user_logged_in() ) {
return new WP_Error( 'rest_API_cannot_access', __( 'Only authenticated users can
access the REST API.', 'disable-json-api' ), array( 'status' =>
rest_authorization_required_code() ) );
}
return $access;
});
5. Kenne deine Nachbarn (nicht)
Stelle sicher, dass Deine Site nicht lesbar für andere Nutzer in Deiner Serverumgebung ist. Dies ist am besten über einen vHost, einen Container, einer Virtualisierung oder einen Root sichergestellt. Wie steht es um die SQL-Erreichbarkeit Deines Servers und wer hält die Schreibrechte für den Code (www/FTP/PHP)?
6. Mache https zum Standard
https verschlüsselt Deine Daten zusätzlich und macht die Website langfristig durch Unterstützung von HTTP/2 over SSL sogar schneller. Dadurch sind Deine Logindaten sicher. Https ist kostenlos via „Let`s Encrypt“ verfügbar und über Cloudflare als Proxy nutzbar.