Wordpress Sicherheit an einen Profi abgeben

Hackern, Spam-ern und einem kaputtem Ruf vorbeugen

Das Ziel der Wordpress Sicherheit bedeutet nicht ALLE Risiken zu eliminieren, aber so viele wie möglich. Es wird immer Organisationen geben, die soviel Zeit und Geld investieren um Möglichkeiten zu entwickeln in Datenbanken von Seiten einzudringen, dass Sie als Multimillionär zu wenig Geld und Zeit haben sich abzusichern. Aber wir können es Ihnen schwerer machen.

Die Kunst ist nicht nur Risiken zu minimieren, sondern auch im Falle eines Falles ausweichen zu können und eine funktionierende Alternative zu haben. Haben Sie einen Plan, was Sie tun werden, wenn Ihre Seite gehackt wurde? Haben Sie einen Plan, wenn Ihr Hoster Sie versehentlich abstellt, weil er Ihre Kundennummer mit einem anderen Kunden vertauscht hatte oder die Seite durch einen Skriptfehler versehentlich löscht? Haben Sie einen Plan, wenn ein Plugin versehentlich alle Ihre Kunden auf andere Webseiten leitet? Wenn Sie dann erst zu mir kommen … ist es in fast allen Fällen zu spät.

Haben Sie z.B. die Domain beim selben Hoster wie das Hosting? Dies birgt auch Gefahren.

Wie lange brauchen Sie, bis Ihre Website nach einem Vorfall wieder reibungslos läuft?

Wieviele Kunden verlieren Sie in der Zwischenzeit … für immer? Wieviel bringt ihnen ein Kunde im Durchschnitt?

Hier ist eine Checkliste, was sie auf alle Fälle machen sollten:

- Ein starkes Passwort in Wordpress benutzen und die eigenen Passwörter schützen

- Nutzern in Wordpress die Berechtigung entziehen oder löschen, wenn sie das Unternehmen verlassen.

- Versicherung abschließen

- Mit einem Spezialisten Pläne für Ausfälle erstellen, Gefahren erkennen und Auswege planen

- Einen Profi dafür kämpfen lassen, dass der Versicherungsfall nie eintritt.

Hier ist, was ein Profi wie Christian Fröhlich für Sie einrichtet und tun kann. Dies wird mit Ihnen individuell gestaltet, je nach Website und Gegebenheiten. Das ist ein Fallbeispiel:

Backup planen, durchführen und testen, gegebenenfalls eine Testinstanz aufbauen um Backups zu testen

Updates einspielen, insbesondere Sicherheitsupdates von Wordpress, dem Server, Plugins, und ggf. Übersetzungen und Themes. Diese sollten im Idealfall danach auch getestet werden, um zu sehen dass die Seite nicht dadurch kaputt ging.

Kontrolle der User und der Berechtigungen, den Standard-Admin usernamen „admin“ austauschen.

Kontrolle und Log-Auswertungen von versendeten Emails von der Webseite

Handhabung des Webhosting

Eine Web-Firewall verwalten und pflegen

Für SSL sorgen

Funktion von Usern z.B. zum editieren der Dateien im Backend von Wordpress entfernen oder zeitweise ausblenden.

In bestimmten Ordnern auf dem Servern das Ausführen von php-Dateien verhindern.

Die Login-Versuche limitieren, um Angreifern nicht unlimitierte Möglichkeiten des Passwort-Erratens zu geben.

Eine Zwei-Faktor-Authentifizierung einrichten und pflegen.

Den WordPress Datenbank Prefix ändern.

Gegebenenfalls einen Password-Schutz über den Adminbereich und das Login legen

Directory Indexing und Browsing unterbinden

XML-RPC in WordPress unterbinden

Benutzer nach einer bestimmten Inaktivitäts-Zeit ausloggen.

Sicherheitsfragen für den Login hinterlegen.

Wordpress täglich nach Malware und Schwachstellen scannen.

Für dem Fall „Website gehackt“ einen Ablauf erstellen, der in Ruhe und Gelassenheit schnell für Abhilfe schafft.

Beispiele:

Hoster hatte den Server des Kunden kostenlos upgegraded. Die Seite lief fehlerfrei für einen kompletten Monat. Dann war sie nicht mehr erreichbar. Was war passiert? Der Hoster hatte vergessen zu erwähnen, dass er eine Kopie der Webseite umgezogen hatte auf eine neue IP und die derzeitige Website gelöscht wird. Die Domain hat weiterhin auf die alte Seite gezeigt. Die Backups vom Hoster wurden so gemacht, dass Sie die neue Seite gesichert haben, die nicht verwendet wurde. Die maximale Zeit um zurückzugehen in den Backups betrug 30 Tage. Damit hatte der Kunde kein Backup seiner verwendeten Seite.

Der Hoster hat sich entschuldigt und nach vielen Monaten die monatliche Hostinggebühr erstattet. Er konnte kein Backup liefern, noch die Seite wieder online bringen. Jedem Kunden wäre hier die einzige Möglichkeit geblieben, die Seite neu aufzubauen und zwar nachdem der Hoster wochenlang den Kunden hingehalten hat.

So aber nicht mit Kunden, die ich betreue. Nach ca 48 Stunden war der Kunde mit seinen Webseiten wieder auf einem neuen Server online mit dem überraschenden Kommentar „Das ist ja der aktuelle Stand, da fehlt nichts!“. Diese Vorgehensweise habe ich seit dem in vielen Punkten überarbeitet, so dass meine schnellste Zeit, um eine Seite wieder online zu bringen in Zukunft noch wesentlich schneller ist.

Besprechen wir, welche Sicherheitsmaßnahmen für Sie angebracht sind. Es gibt Websites, die auch mal ein paar Stunden offline sein können, aber andere sind auf eine Erreichbarkeit angewiesen, so dass wir sogar Loadbalancing brauchen und mehrere Server, so dass eine Hochverfügbarkeit garantiert ist. Für normale Webseiten ist dies aber aus Kostengründen gar nicht möglich. Schauen wir gemeinsam, was für Sie ratsam sein könnte!