Genauer – Ist WordPress ein sicheres CMS-System oder nicht?
Gleich vorweg – Ja!
WordPress ist in der Kern-Version nicht anfällig für Hackerangriffe. Die jeweiligen aktuellen Versionen werden von der WordPress-Foundation unter sehr strengen Kontrollen freigegeben. Hacker kommen an die WordPress-Kernsoftware nicht oder nur schwer ran. Und sicher im Sinne von ’stabil‘ ist es ohnehin.
Trotdem werden laut immer wieder zu lesenden Meldungen jedes Jahr Hunderttausende von (WordPress-) Webseiten gehackt. Das klingt furchtbar – oder? Nach dem Eingangs-Statement umso mehr.
Bei den meisten bleibt bei den entsprechenden Medienbeiträgen erst einmal nur die Zahl der gehackten Webseiten hängen und der Umstand, das die Mehrzahl davon mit WordPress betriebene Seiten sind.
Die Marktsituation
Um den vermeintlichen Widerspruch aufzulösen und die „katastrophalen“ Zahlen zu relativieren muss man erst mal an einer anderen Stelle anfangen:
Zum Zeitpunkt dieses Beitrags beträgt der Anteil von WordPress unter den meistgenutzten Content-Management-Systemen weltweit rund 63%. Das nächstbeliebteste CMS ist Shopify mit rund 6% (Kein Tippfehler!). Die mit WordPress am ehesten vergleichbaren CMS folgen unter ferner liefen – Joomla mit 2,5%, Drupal mit 1,5% und Typo3 mit nur 0,6%.
Damit erreicht WordPress unter allen Webseiten weltweit (also auch die ohne CMS) insgesamt immer noch einen Marktanteil von rund 44%. Und das bei zum selben Zeitpunkt insgesamt fast zwei Miliarden (lt. Statista) bestehenden Webseiten insgesamt.
Da relativiert sich die eingangs genannte grobe Zahl an gehackten WordPress-Seiten dann auch schlagartig. Oder? Und wenn man die Marktverteilung betrachtet, dann ist es irgendwie auch nicht gerade ein Wunder, dass WordPress als das meistgehackte System weltweit erscheint. Es wird alleine anhand der Verbreitung am meisten angegriffen. Irgendwie logisch. Die selbe Thematik könnte man auch auf Microsoft übertragen, da sieht es ähnlich aus. Weit verbreitet ist eben zunächst mal attraktiver – zumindest für Hacker.
Die (Un-) Sicherheitsfaktoren
Der große Vorteil (und die Beliebtheit) von WordPress liegt in seiner vergleichsweise einfachen Bedienbarkeit und dem schier unerschöpflichen Reservoir an Erweiterungs- und Anbindungs-möglichkeiten. Und in Letzterem liegt dann auch gleich mit die größte Gefahrenquelle des Systems.
Für WordPress gibt es alleine im WordPress-eigenen Verzeichnis aktuell fast 60.000 mögliche Erweiterungen (Plugins). Das da nicht alle davon von ausgesuchter Qualität sind und nur den höchsten Ansprüchen genügen, versteht sich fast von selbst. Die größte Hürde besteht also hier schon mal darin, diejenigen zu finden die sowohl einwandfrei programmiert sind und dann auch noch genauso gepflegt werden – sprich: stets auf dem aktuellen Stand sind, was technische Anforderungen und vor allem Sicherheit angeht.
Selbes gilt entsprechend auch für die zur Verfügung stehenden ‚Themes‘ (derzeit rund 7.500 Stück), die vereinfacht gesagt das grundlegende Design (und auch Funktionen) zur Verfügung stellen.
Da hier der Anwender frei wählen kann was er verwendet, liegt die Verantwortung letztlich auch bei Selbigem. Es gilt also weise zu wählen.
Die weiteren Gefahrenquellen liegen (wie bei allen anderen Systemen) dann ausserhalb des Systems selbst – als da wären: Verwendung unsicherer Passwörter, Wahl eines ungeeigneten Hosters, veraltete PHP-Version (Scriptsprache) auf dem Server, falsche Vergabe von Benutzerrechten für System sowie Server- und Dateizugriffe.
Man kann (wie überall) also eine Menge falsch machen.
Und das hat einfach nichts mit der Sicherheit von WordPress an sich zu tun.
Der Weg zur wirklich sicheren WorPress-Seite
… ist relativ einfach:
Sichere Erweiterungen und Themes verwenden – Nur Solche Themes und Plugins verwenden die vertrauenswürdig sind und gut gepflegt werden. Die Auswahl via WordPress Repository* ist ein guter Anfang, denn dort kann man sich schon anhand von vorhandenen Bewertungen und einer Entwicklungs-Zeitleiste ein ganz gutes Bild machen. Bei ‚Drittanbietern‘ beziehungsweise anderen Quellen ist man da prinzipiell schon mal unsicherer unterwegs.
Hier hilft dann zweifelsfrei auch Erfahrung und Kenntnis deas Systems.
Sichere Passwörter verwenden – Und das meint wirklich sicher! Definitiv nichts àla „1234“ oder „Hallo“! Das bedeutet mindestens 12 bis16 Zeichen bunt gemixt aus Gross- und Kleinschreibung, Zahlen und Sonderzeichen (Also solche Passwörter über die Benutzer so gerne stöhnen und bemängeln, dass man die sich ja „überhaupt nicht merken kann“… Das muss so!). Das würde mit der verfügbaren Rechenleistung hier schon mal Jahre dauern um das per reinem Ausprobieren herauszufinden – bei 24 Zeichen bereits Jahrhunderte. Also ziemlich sicher. Eine optionale Zwei-Faktor-Authentifizierung bringt das Risiko vollends gegen Null.
Ein gutes Hosting verwenden – Am besten eines, das sich speziell auf WordPress eingeschossen hat und diverse Absicherungen bereits serverseitig mitbringt und auf gar keinen Fall das erst beste ‚Billigangebot‘. Meine persönliche Empfehlung lautet hier aktuell ganz klar RAIDBOXES.
Das System aktuell halten – Regelmässige Wartung und Udates des gesamten Systems. Wer seine Website immer schön aktuell hält, verringert auch damit eventuelle Sicherheitsrisiken immens.
Backups – Regelmässige Sicherungen sind komplett unverzichtbar. Wenn denn je einmal irgend etwas schieflaufen sollte – und das muss nicht nur ein Hackerangriff sein – hat man so immer die Möglichkeit zunindest relativ schnell wieder online zu sein.
Und wenn man jetzt noch ein paar Kniffe kennt wie man die letzten Unsauberkeiten zu 99,99 Prozent ausbügeln kann, dann hat man ein extrem sicheres WordPress-System, das praktisch nicht zu knacken ist.
Natürlich bedeutet das alles etwas Aufwand und Sorgfalt und damit Aufwand. Aber eine gehackte Website ist noch bedeutend unangenehmer und wesentlich teurer.
Fazit
WordPress ist sicher. Und wenn man jetzt noch sorgsam damit umgeht bzw. das System ordentlich aufsetzt und pflegt, dann ist das sogar sehr – um nicht zu sagen äusserst – sicher. Also keinerlei Grund zur geringsten Unruhe.
Wie (fast) überall beruht die vermeintliche Unsicherheit des Systems WordPress in der Regel auf Benutzerfehlern oder Nachlässigkeit.
Persönlich habe ich jedenfalls in den vergangenen über zwölf Jahren noch nicht eine einzige gehackte WordPress-Seite zu verzeichnen gehabt.
Sollten Sie sich das alles nicht selbst zutrauen, dann ist es eine gute Idee, die Aufgabe jemandem zu überlassen der sich damit bestens auskennt (siehe auch: „Warum man einen Webdesigner beauftragen sollte„) – Ich kenne da jemanden, den Sie jederzeit gerne kontaktieren können :).
–
* Kennen Sie (schon) den Unterschied zwischen wordpress. com und wordpress.org?