Die regelmäßige Website-Pflege und Einbindung von möglichst hohen Sicherheitsmechanismen ist unabdingbar für jeden Websitebesitzer. Denn nicht nur eventuelle Hackerangriffe stellen eine Gefahr dar, auch im Sinne der DSGVO (EU-Datenschutzverordnung) müssen gewisse Aspekte beachtet und richtig konfiguriert werden. Dank der einfachen und funktionsreichen Einstellungsmöglichkeiten von WordPress können sie die Pflege ihrer Webseite auch einfach selber in die Hand nehmen. Hier zeigen wir ihnen einige aus unserer Sicht essentiellen Grundeinstellungen hinsichtlich der Sicherheit und der WordPress-Pflege.
1. SSL Zertifikat mit der WordPress-Seite verknüpfen
Noch bevor sie ihre WordPress-Internetseite veröffentlichen, sollten sie sicherstellen, dass ein gültiges SSL Zertifikat eingebunden wurde. Ein SSL Zertifikat trägt zur Sicherheit ihrer Webpräsenz bei und ist Pflicht im Sinne der europäischen Datenschutzverordnung. In der Regel beinhaltet ihr Webhosting Tarif ein SSL Zertifikat für die Verknüpfung mit einer Domain. Häufig muss der SSL-Schutz jährlich neu beantragt werden beim Webhoster, daher prüft am besten, wie es bei eurem Hosting Anbieter zeitlich gehandhabt wird. Meist bekommt ihr aber vor Ablauf des Schutzes eine Erinnerungsmail von eurem Anbieter.
Um das Zertifikat zu verknüpfen, loggen sie sich bei ihrem Webhoster ein, sowie auf ihrer WordPress-Seite. Nun müssen sie in den Einstellungen ihres Hosting Anbieters den Unterpunkt „SSL Zertifikate“ auswählen und im Anschluss ein Zertifikat mit ihrer Domain verknüpfen. Bei gängigen Hosting Anbietern wie Strato oder All-inkl. befindet sich die Einstellung in der Regel unter dem Menüoberpunkt „Sicherheit“ bzw. „Domain / SSL Schutz“. Wenn ihr die Einstellung für SSL nicht findet im Kundenbereich eures Webhosters oder Problem habt es zu verknüpfen, haben die Hosting Anbieter in der Hilfe- bzw. FAQ-Sektion häufig einen kleinen Leitfaden dazu. Sonst kann der Support in der Regel aber auch die SSL Verknüpfungseinstellungen übernehmen.
Nach der Zertifikat-Verknüpfung (dies kann ein paar Minuten dauern, ihr könnt den Status einsehen bei eurem Webhoster) müsst ihr nur noch eine kleine Einstellung in eurem WordPress-Dashboard machen. Dazu wählt ihr links im WP-Dashboard den Menüpunkt „Einstellungen“ aus und im Anschluss „Allgemein“. Dort angekommen ergänzen wir ein kleines s in unseren 2 hinterlegten URL’s (WordPress-Adresse (URL) & Website-Adresse (URL)), sodass die URL mit https beginnt anstatt mit http. Nun das Ganze unten speichern und ihr werdet automatisch ausgeloggt aus WordPress. Im Anschluss erscheint in eurem Browser links neben eurer Internetadresse ein kleines Schlosssymbol. Dies bedeutet, dass ihr euer SSL-Zertifikat korrekt verknüpft und aktiviert habt. Solltet ihr trotz korrekter Verknüpfung angezeigt bekommen, dass SSL nicht oder nur bedingt aktiviert wurde, hat es eventuell folgende Gründe:
Hinweis: Achtet unbedingt auf Inhalte auf eurer Website (Links oder Bilder URLs z.B.) welche nicht SSL Verschlüsselt sind. Das heißt, dass wenn ihr Links zu fremden Websites auf eurer Seite habt, achtet immer darauf, dass diese auch mit einem SSL Zertifikat arbeiten. Das selbe gilt für Bild URLs. Ansonsten wird eure Webseite ebenfalls als nicht SSL- bzw. nur bedingt SSL verschlüsselt und unsicher angezeigt.
Daher prüft genau ob alle Unterseiten eurer WordPress-Seite korrekt SSL verschlüsselt sind und konsultiert zur Not euren Webhosting Support oder einen Webdesigner bei Problemen bzw. Fragen.
2. Backup Plugin installieren und WordPress Sicherung erstellen
Für die Sicherung ihres Webauftritts bieten sich mehrere kostenlose Plugins an, welchen einen zuverlässigen Dienst vollrichten. Wir empfehlen die gratis im WordPress-Pluginarchiv erhältlichen Backup-Plugins:
– UpdraftPlus Sicherungen
– WP Staging
Installiert im Anschluss eines der beiden Plugins und erstellt direkt eine Sicherungsdatei eurer kompletten Webseite. Mittels dem Plugin UpdraftPlus Sicherungen erledigt ihr dies indem ihr den Menüpunkt „Einstellungen“ aufruft und im Anschluss „UpdraftPlus Sicherungen“ wählt. Nun wählt ihr „Jetzt sichern“ und wartet bis das Backup fertig ist. Im Anschluss könnt ihr euch die Dateien ebenfalls auf euren PC herunterladen.
Ihr könnt natürlich auch zu anderen Backup Anwendungen greifen, welche z.B. automatische Sicherungen erstellt in gewünschten Zeitintervallen. Je nach dem wie häufig ihr Änderungen an eurer Webseite vornehmt ist zu empfehlen alle 1-2 Wochen oder monatlich ein Seiten-Backup zu erstellen und sich dieses herunterzuladen. Im Ernstfall bei Website-Angriffen oder Updateproblemen, welche erhebliche Website-Fehler auslösen können, sind sie dann auf der sichereren Seite mit einem Backup in der Hinterhand.
3. Wordfence Firewall Plugin für WordPress (zusätzlicher Schutz)
Genau wie auf einem PC-Betriebssystem ist eine Firewall ebenfalls für WordPress-Seiten unabdinglich. In Zeiten wo Malware-Attacken und Hackerangriffe nahezu an der Tagesordnung stehen, sollte man es den ungewünschten Gästen möglichst schwer machen Zugang zu erlangen oder die Website zu beschädigen. Hierfür gibt es ebenfalls eine adäquate und kostenlose Möglichkeit mit dem Firewall- und Sicherheits-Plugin Wordfence.
Wie gewohnt ladet und installiert ihr Wordfence aus dem WordPress-Plugin-Archiv. Anschließend aktiviert ihr das praktische Add-On und wählt im WordPress Dashboard „Wordfence“ in der Navigation aus. Als nächstes wählt ihr den Menüpunkt „Scan“ und wählt einen von 4 Sicherheitsstufen aus. Unter dem Punkt Basic Scan Type Options wählt ihr High Sensitive aus, um den umfangreichen Schutz (der gratis Pluginversion) zu aktivieren. Nun startet ihr einen Scan eurer Webpräsenz. Unter dem Menüpunkt „Firewall“ wird nach 7 Tagen (in der das Plugin Daten sammelt, um eine an euer System angepasste Firewall zu erstellen) die Schutzfunktion komplett aktiviert. Ihr könnt den Zeitraum wie lange das Programm Daten sammeln soll um den Schutz optimal auszurichten auch verkürzen auf einen kürzeren Zeitraum.
Wordfence besitzt eine Vielzahl an Funktionen und Sicherheitsbereiche (wie z.B. limitierte Loginversuche mit IP Sperrung, Malware-Blockierungen und Emailbenachrichtigung bei Angriffen o.ä.). Noch mehr Funktionen und Schutz bietet daneben die kostenpflichtige Pro Version von Wordfence. Diese kostenpflichtige Version empfiehlt sich besonders für Online Shop Besitzer z.B., welche zusätzliche Mechanismen und Schutz erfordern.
4. Website Pflege für WordPress: Was muss ich beachten beim Updaten?
Bestimmt seid ihr über die praktische CMS Funktion „Updates automatisch ausführen“ gestolpert, als ihr in eurer Plugin-Verwaltung wart. Jedoch ist es aus unserer Sicht nur sinnvoll die automatischen WordPress-Updates für ein paar wenige Plugins zu aktivieren. Denn das Problem an automatischen Updates von Plugins (und Themes, sowie den WP-Systemupdates) ist u.a., dass es zu Kompatibilitätsfehlern kommen kann, was ggf. Darstellungs- oder Funktionsfehler hervorruft.
Diese Probleme können entstehen, wenn gewisse Plugins oder CMS-Themes z.B. nicht auf dem selben Updatestand sind vereinfacht ausgedrückt. Auch eine bestimmt Reihenfolge beim Updates durchführen der 3 verschiedenen Update-Arten gilt es zu beachten:
- Backup erstellen
- Plugins updaten
- Theme updaten
- WordPress System updaten
Wie erwähnt fallen regelmäßig neue Versionen für verwendete Plugins, Themes und neue WordPress-Systemversionen an. Ferner empfehlen wir nur Sicherheits-Plugins wie z.B. das genannte Wordfence automatisch Updates aufspielen zu lassen, damit ihr immer den aktuellsten Schutz habt eurer Firewall. Auch bei Online Shop Tools wie z.B. WooCommerce sollten sie sich überlegen die automatischen Updates zu aktivieren, weil auch im Bereich Online Shops diese Updates häufig wichtige Sicherheitsfehler beheben, welche im Ernstfall große Schäden vermeiden können. Jedoch kann theoretisch auch ein harmlos wirkendes Galerieplugin eine Sichergefährdung darstellen.
Viele Hoster bieten neben dem Wordfence-Plugin mittlerweile auch Sicherheitsscans an. Eine gute Alternative dafür ist die Website https://sitecheck.sucuri.net/ , welche ebenfalls kostenlose Sicherheitsprüfungen online anbietet, inklusive Malware-Check.
Hinweis: Wenn sie z.B. einen Online Shop als Website betreiben, sollte das Thema Sicherheit noch sensibler behandelt werden und ggf. einen Fachmann zu Rate gezogen werden mit speziellen Sicherheitskonzepten und auf kostenpflichtige Premium-Firewall Plugins oder Dienste zurückgegriffen werden.
5. weitere Sicherheitsbereiche (2-Faktor-Authentifizierung & unsichere Plugins etc.)
Grundsätzlich birgt jedes Plugin bzw. Theme ebenfalls ein Sicherheitsrisiko für eure WordPress-Webseite. Daher solltet ihr bei der Wahl an Themes und Plugins immer auf die Reputation des Anbieters achten und euch vorher über die Qualität und eventuellen Risiken und Anfälligkeiten der Anwendungen genau informieren. Auch Plugins und Themes, die ihr deaktiviert habt und nicht nutzt sollten gelöscht werden.
Was das sichere Einloggen bzw. den Loginschutz für WordPress angeht, ist es natürlich ein Muss ein möglichst komplexes, langes und aus verschiedenen Zeichen, Zahlen und Buchstaben bestehendes Passwort anzulegen. Daneben könnt ihr aber noch einen Schritt weiter gehen und euch mittels 2-Faktor-Authentifizierung einloggen. Dies ist eines der sichersten Loginschutz Optionen für WordPress und Co. Mehr Infos dazu und wie sie die 2 Faktor Authentifizierung einrichten finden sie hier: https://wordpress.com/de/support/sicherheit/zwei-schritt-authentifizierung/
Zudem schadet es nicht, wenn ihr regelmäßig in eurem WordPress Dashboard im Startbereich nachseht, ob WordPress oder Plugins Fehlermeldungen anzeigen. Daneben gibt es auch den nützlichen Unterpunkt „Website Zustand“ im WP Dashboard (siehe Bild). Dort erfahrt ihr ebenfalls über mögliche Fehlerquellen und Sicherheitslücken (z.B. wenn eure PHP version veraltet ist oder Ähnliches).
Benötigen sie Hilfe bei der Sicherheit, Wartung und Pflege ihrer WordPress Website? Dann kontaktieren sie uns gerne unverbindlich. Wir beraten sie kostenlos!
Grafik- & Gestaltungsschmiede Petersen
Ihre Webdesign und SEO Firma in Dithmarschen und deutschlandweit
