Vor gut zwei Jahren standen wir vor der Entscheidung, auf welcher Basis wir unsere Intra- und Internet-Auftritte weiter führen wollen. Das seit mehr als 8 Jahren eingesetzte Typo3 hat sich sowohl im Betrieb als auch im Umgang als zu komplex und unhandlich herausgestellt. Daher fiel die Wahl seinerzeit sehr schnell auf das damals noch als „Blog-System“ gehandelte WordPress. Bis heute hat es sich zu einem ausgewachsenen CMS System mit einem Marktanteil von weltweit 60% entwickelt. In Bezug auf einfache Bedienbarkeit haben wir damit einen großen Schritt nach vorne getan, der sich direkt auf die Akzeptanz des Systems und die Bereitschaft zum Einstellen von Informationen ausgewirkt hat. Aber wie steht es mit dem Betrieb und der Sicherheit der Webseite? Was passieren kann, wenn man sich nicht ausreichend um das Thema gekümmert hat, kann man auf unserem Blog (hier und hier) nachlesen.
Zunächst einmal haben wir uns entschieden, den Server nicht selbst betreiben und absichern zu wollen, sondern auf ein Angebot eines deutschen Hosting-Anbieters gesetzt. Damit entfällt (für uns) zumindest die Pflege und Absicherung des Betriebssystems. Aber insbesondere WordPress sollte nicht vernachlässigt werden. Einige grundlegende Dinge sind unbedingt zu beachten. Hier die wichtigsten Themen, die jeder umsetzen sollte:

Updates

Die Entwickler von WordPress geben kontinuierlich neue Versionen heraus. Manchmal sind es nur Sprachdateien, oft genug sind aber auch Sicherheits-Patches einzuspielen. Mit Version 3.7 wurde die Möglichkeit zum automatischen Update eingeführt. Dies bringt den klaren Vorteil, dass man keine Updates mehr vergessen kann. Man geht damit allerdings das Risiko ein, dass man Probleme mit einem Update nicht sofort nach dem Update mitbekommt. Diese automatischen Updates erledigen leider auch nicht die Aktualisierung von Themes und Plugins. Daher haben wir uns entschieden, Updates regelmäßig manuell durchzuführen und zu überprüfen. Der Aufwand hierfür hält sich in Grenzen und wir sind sicher, dass unser gerade durchgeführtes Update keine negativen Nebeneffekte erzeugt hat.

Datensicherung

Jedes IT-System sollte gesichert werden, das gilt natürlich auch für eine WordPress-Installation. Je nach Größe der Installation bieten sich hier unterschiedliche Varianten an. In unserem Fall ist die Datensicherung von WordPress (Datenbank und Files) zum einen in unseren Regelprozess eingebunden, außerdem führen wir vor Updates ebenfalls eine Sicherung durch. Darüber hinaus legt der Provider über einen Zeitraum von 7 Tagen ein komplettes Backup der Internet-Präsenz an. Diese kann bei Bedarf z.B. bei folgenreichen Fehlkonfigurationen als einfacher Wiederherstellungsmechanismus eingesetzt werden. Als generelle Datensicherungsmethode ist dies aufgrund der kurzen Aufbewahrungszeit aber nicht geeignet.

Plugins

WordPress bringt zwar schon einen großen Funktionsumfang mit – ohne Plugins kommt aber kein Nutzer aus. Ob es sich um eine Anfahrtskarte von Google oder eine schönere Bildergalerie handelt, für nahezu jeden Einsatzzweck gibt es ein oder mehrere Plugins. Hier sind zwei Dinge zu beachten:

  • Jedes Plugin muss regelmäßig aktualisiert werden, da Angriffe auch und gerade über fehlerhafte Plugins erfolgen können. Daher sollte man die Anzahl der eingesetzten Plugins auf das absolut notwendige Minimum reduzieren.
  • Bei der Auswahl von Plugins für eine gewünschte Funktion möglichst weit verbreitete und über einen längeren Zeitraum bereits etablierte Plugins verwenden. Auch dies garantiert nicht, dass ein Plugin „für immer“ eingesetzt werden kann. Die Wahrscheinlichkeit für einen notwendigen Austausch des Plugins wird dadurch aber erheblich reduziert.

Benutzername und Passwörter

Bei der Installation von WordPress wird automatisch ein User „admin“ angelegt, der über Administrationsrechte verfügt. Potenzielle Hacker versuchen einen Angriff erfahrungsgemäß genau über solche leicht zu erratenden Benutzernamen wie „admin“, „Root“ oder „Administrator“. Daher empfiehlt es sich, einen neuen Admin-Account mit einem eigenen und nicht trivialen Benutzernamen anzulegen. Nach Anlegen des neuen Admin-Accounts sollte der Default-Admin unbedingt gelöscht werden. Wie bei allen IT-Systemen spielte auch bei WordPress die Qualität des eigensetzten Passworts eine entscheidende Rolle. Eine Länge von 8-10 Zeichen in Verbindung mit Groß-/Kleinschreibung und Sonderzeichen sind generell empfehlenswert. Die wenigsten werden nur ein einzelnes System betreiben und sich daher viele Passwörter für unterschiedliche Systeme merken müssen. Der Einsatz eines Tools wie „KeePass“ ist sehr zu empfehlen und hat sich bei uns bewährt.

Was haben wir gelernt?

Natürlich gibt es noch eine ganze Reihe weiterer Maßnahmen, die man zur Verbesserung der Sicherheit umsetzen kann. Hierzu gehören z.B. die Absicherung des Administrationsbereichs mit Hilfe der .htaccess. Aber Vorsicht: Nicht jeder dieser Tipps ist sinnvoll, viele führen eher zu Problemen mit der Benutzung oder bei späteren Updates.

Eine einfache kontinuierlich aktualisierte WordPress-Instanz, die regelmäßig gesichert und überprüft wird, ist hier oft mehr wert als komplexe Sicherungsmechanismen.

Wenn Sie Fragen haben oder weitere Informationen wünschen, sind wir gerne für Sie da. Nehmen Sie Kontakt zu uns auf – wir freuen uns auf Sie!