WordPress Wartung

Zuletzt aktualisiert am 23. Juli 2022 von Lars

Warum dein WordPress Wartung benötigt und wie diese aussehen sollte, erfährst du in diesem Beitrag.

Warum deine WordPress Website interessant für Cyberkrimelle und Hacker ist

Laut statista.com hat das CMS WordPress derzeit knapp 65% Marktanteil. Das macht es zu einem beliebten Ziel für Cyberkriminelle und Hacker. Aber was wollen diese Gauner mit genau deiner Website?

Fremde Websites sind ein beliebtes Ziel, um darauf Phishing-Websites (also zum Beispiel Websites, die die Login-Seiten von bekannten Banken imitieren) aufzubauen oder diese für den Spamversand zu nutzen.

WordPress braucht Wartung

WordPress ist ein Stück Software wie dein Betriebssystem auf deinem Rechner auch. Wie dieses muss auch WordPress regelmässig aktualisiert werden, um bekannte Sicherheitslücken in der Software zu schliessen.

Du denkst, deine Website wird schon nicht interessant genug dafür sein, betroffen zu werden? Weit gefehlt. Angriffe auf Websites laufen heutzutage weitgehend automatisiert. Das heisst Seiten werden automatisch auf Sicherheitslücken gescannt und infiziert, sobald eine bekannte Lücke gefunden wird.

Die meisten Webhoster führen automatische Scans nach Malware durch. Finden Sie eine solche Malware, wird deine Website meist gesperrt. Das passiert zum Einen zum Schutz der eigenen Infrastruktur, aber auch, damit deine Website nicht einem Delisting bei Suchmaschinen unterzogen wird. Stellt zum Beispiel Google fest, dass auf deinem Webhosting Malware gefunden wurde, wird das in den Suchergebnissen entsprechend angezeigt und irgendwann ganz aus den Suchergebnissen entfernt. Es sollte also nie soweit kommen.

Aber auch abseits dem Thema Sicherheit sind Wartungsarbeiten nötig. Zum Beispiel sollten Artikel aktualisiert werden, um noch relevant für die Suchmaschinen zu erscheinen, die Besucherzahlen sollten im Auge behalten werden und auch neue Artikel ergänzt werden. Suchmaschinen wie Google "lieben" aktuelle und möglichst vollständige Informationen.

Dein WordPress braucht also Wartung. Hast du selber keine Kapazitäten dafür, kannst du einen externen Dienstleister beauftragen, wie zum Beispiel den "Quantenfrosch" mit seiner WordPress Wartung.

Wie du einiges davon selber machen kannst, findest du in diesem Artikel. Ich konzentriere mich hier aber auf das Thema Sicherheit.

Halte dein WordPress aktuell

Halte WordPress stets aktuell. So bist du eher vor neu auftretenden Sicherheitslücken geschützt. Du  kannst das in WordPress so konfigurieren, dass die Aktualisierungen automatisch ausgeführt werden.

Man kann nicht zu 100% ausschliessen, dass eine Website auch mal durch ein Update "zerschossen" wird. Bei meinen eigenen Websites ist mir das aber noch nie passiert. Nach meiner bisherigen Praxis passiert das manchmal bei selbstgeschriebenen Plugins, die länger nicht gewartet wurden. Du solltest aber in jedem Fall auch ein Backup (siehe im Artikel weiter unten) anlegen und überhaupt alle Tipps in diesem Artikel befolgen, wenn du die Wartung nicht extern gibst.

WordPress automatisch aktualisieren

Die automatische Aktualisierung des WordPress-Basissystems kannst du unter "Dashboard" > "Aktualisierungen" einstellen.

Hier kannst du mit dem entsprechenden Link aktivieren, dass alle verfügbaren Updates installiert werden sollen.

wordpress core automatisch aktualisieren

Plugins automatisch aktualisieren

Die Plugins kannst du automatisch aktualisieren lassen, indem du pro Plugin die entsprechende Option unter "Automatische Aktualisierungen" wählst. Dazu kannst du auch die Mehrfachaktionen im Plugin-Dialog verwenden.

wordpress-plugin-automatische-aktualisiesierung

Themes automatisch aktualisieren

Auch Themes können Sicherheitslücken enthalten und sollten aktualisiert werden.

Unter "Design" > "Themes" und Klick auf das aktive Theme kannst du wieder mit einem Link die Automatische Aktualisierung aktiveren.

wordpress-theme-automatisch-aktualisieren

Aktualität der Plugins beachten

Regelmässige Updates sind eins. Was aber, wenn es kein Update gibt? Beim WordPress-Basissystem kannst du dich auf regelmässige Updates verlassen, da ist das Entwicklerteam gross genug. Viele Plugins werden aber manchmal nur von einer Entwicklerin oder einem Entwickler programmiert und erfahren keine regelmässigen Updates. Auch dann können Sicherheitslücken entstehen.

Bevor du aber alle Plugins einzeln regelmässig prüfst, kannst du mit dem Plugin Plugins Condition diese Aufgabe automatisieren.

Es zeigt die schon in der Plugin-Übersicht zusätzliche Informationen zu dem Plugin an und markiert alles rot, was man beachten sollte. Zusätzlich lässt sich in den Einstellungen ein Bericht per E-Mail definieren.

plugins-condition

Wenn du feststellst, dass ein Plugin mehrere Monate nicht mehr aktualisiert wurde, dann solltest du das nach Möglichkeit durch ein aktuelles Plugin mit der gleichen Funktion ersetzen.

Führe regelmässige Backups deiner WordPress-Website durch

Auch beim Updaten kann mal was schief gehen. Oder generell, wenn bei der Wartung deiner Website etwas schiefgeht. Dann bist du froh, wenn du auf ein Backup, also eine Datensicherung deiner WordPress-Website, zurückgreifen kannst.

Es gibt eine ganze Reihe von Backup-Plugins für WordPress. Ich selber nutze UpdraftPlus, da man damit auch in der Gratisversion Backups auch ausserhalb des jeweiligen Webhostings ablegen kann. Und das ganze auch automatisiert.

Ich bin da vielleicht etwas paranoid. Aber auch ein Webhoster kann Pleite gehen. Vor kurzem ist auch ein grösser Cloud-Anbieter komplett abgebrannt. Und in einem solchen Fall ist man sicher froh, noch eine Datensicherung bei einem anderen Anbieter zu haben.

Zum Thema Backup und auch zu UpdraftPlus könnte man ansonsten noch viel schreiben. Falls du Interesse hast, lasse es mich unten in den Kommentaren wissen.

Sichere dein WordPress ab

Update und Backup ist nicht alles. Man kann auch die typischen "Angriffsvektoren" besonders absichern.

Nutze sichere Passwörter

Einer der beliebtesten Angriffe ist auf das WordPress-Backend, in das man sich mit Benutzername und Passwort einloggen muss. Auf ein derartiges Login, dass ja frei verfügbar im Internet ist, kann man sehr leicht automatisierte Angriffe laufen lassen.

Dabei probieren die Gauner entweder einfach alle möglichen Kombinationen durch oder kombinieren das noch mit einer sogenannten Dictionary Attacke, also einer grossen Liste mit bekannten Wörtern bzw. Passwörtern, die durchgetestet werden.

Du kannst dir vorstellen, dass ein Login mit Benutzername "admin" und Passwort "Waldi001" so schnell geknackt wird.

Nutze daher sichere Passwörter und vor allem für jedes System ein anderes. Klar bedeutet das Aufwand, aber wenn du für alle möglichen Dienste, die du im Internet nutzt, das gleiche Passwort verwendest, dann ist es vorbei mit der Sicherheit, wenn bei einem der Dienste die Nutzerdaten gehackt wurden.

Es gibt Passwortdatenbanken, wie zum Beispiel KeePass oder 1Password, die das Handling mit den vielen Passwörtern stark vereinfachen.

Denk dabei nicht nur an das WordPress Backend, sondern auch deine E-Mail-Passwörter, FTP oder das Passwort deiner Datenbank.

Nutze Security-Plugins

Mit Security-Plugins kannst du die Sicherheit deiner WordPress-Installation zusätzlich erhöhen.

Ein sehr bekanntes ist Wordfence Security – Firewall & Malware Scan. Ich nutze bei meinen Websites aber WP Cerber Security, Anti-spam & Malware Scan.

Man muss sich hier in der Regel etwas mit der Thematik beschäftigen, wobei aber in der Standardkonfiguration Cerber schon einen guten Job macht.

Irritierend waren für mich anfangs die vielen Warnmeldungen. Es ist aber ganz "normal," dass relativ schnell nach Erstveröffentlichung Angriffsversuche auf das Backend von WordPress passieren, von denen man sonst gar nicht viel mitbekommt. Dabei wird der Angriff oft aus einem Botnet, also einem Netz mit global verteilten versuchten Rechnern gemacht, so dass die IPs wechseln. Cerber und sicher auch die anderen Firewall Plugins stellt sowas ganz gut fest und sperrt die IPs dann, generiert aber auch die entsprechende Menge an Warnungen.

Schliesse auch die letzten Türen deiner WordPress Installation

Wenn du in der Suchmaschine deiner Wahl nach "WordPress absichern" suchst, wirst du noch viele weitere Tipps finden, die den Rahmen dieses Artikel sprengen würden. Das ist zum Teil dann "Handarbeit", die den Einsteiger auch mal überfordern kann.

Kommst du hier nicht weiter, lohnt sich für dich eventuell die Buchung eines externen Services.

 

Sponsored Artikel.

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.