Heute kam eine E-Mail, in der ein Website-Betreiber berichtete, seine WordPress-Website sei nicht mehr erreichbar. Es brauchte nicht lange um zu ermitteln, dass die Website gehackt worden war. Grund: mehrere veraltete Plugins mit Sicherheitslücken liefen da noch.
Zudem wurde das schöne, lange Wochenende untermalt von Sicherheitswarnungen bei zwei Plugins: DuplicatorPro und UpdraftPlus (free und pro). Klar, dass wir da nicht alle Fünfe grade sein lassen konnten, und sofort Updates durchführten (was wir üblicherweise auch dann regelmäßig tun, wenn wir frei haben, wenn’s kritisch ist, schauen wir auch mal mehrmals am Tag).
Updates durchzuführen ist nicht die einzige, doch wichtigste Maßnahme um seine WordPress-Website sicher zu halten. Denn sobald eine Sicherheitslücke bekannt ist, suchen Hackerbots bereits nach dieser Lücke. Dabei gehen sie ähnlich einer Suchmaschine von Website zu Website und rufen Dateien auf, die ihnen Informationen über die Version einer nicht mehr sicherer Komponente geben soll. Ist so eine Lücke gefunden, wird versucht, die Kontrolle über die Website zu übernehmen. Wer auf seine Website nicht aufpasst, verliert sie irgendwann, verliert gar Vertrauen, wenn sie Schaden anrichtet, indem sie Besucher auf Fake-Shops leitet, die Geld abkassieren und nicht liefern, oder Malware verbreitet.
Wie prüft man in WordPress nach Updates?
Du meldest dich über die Loginseite an, klickst auf Dashboard und wählst „Aktualisierungen“. Hier erhältst Du einen Überblick, welche Plugins und ggf. auch Themes auf die neueste Version warten. Manchmal bekommt auch WordPress ein Update. Standardverhalten ist, dass Sicherheits- und Service-Updates automatisch eingespielt werden, während Versionsupdates manuell durchgeführt werden. Da macht es nichts, wenn man sich ein paar Tage lang Zeit lässt.
Updates von Plugins werden auch direkt unter dem Punkt „Plugins“ ersichtlich, die von Themes unter „Design“, falls du lieber jedes einzelne updaten möchtest. Die Prüfung auf neue Versionen erfolgt regelmäßig (mit der Einschränkung, dass die Website dafür auch regelmäßig besucht sein muss, um auf Termin gelegte Aufgaben ausführen zu können) und läuft (meistens) über Repository-Server von WordPress.org, oder aber Server von „Premium“-Plugin- oder Theme-Anbieter. Dafür ist dann ein gültiger Lizenzschlüssel erforderlich.
Die Tücke bei dieser Vorgehensweise ist: keine fälligen Updates zu sehen heißt nicht, dass alle Plugins up to date sind. Es kommt vor, dass einst installierte Plugins nicht mehr weiterentwickelt werden, damit veralten, und zum Risiko werden, vor allem, wenn sie nicht (mehr) sicher sind. Manche Plugins verschwinden auch aus dem Angebot. Ein Grund dafür können Sicherheitsrisiken sein. Da sie in der Liste installierter Plugins nicht weiter auffallen, kann hier leicht mal ein Sicherheitsproblem übersehen werden. Abhilfe schaffen können diverse Sicherheitsplugins, oder der Outdated Plugin Notifier, wenn man’s einfacher möchte. Ich hab’s nicht getestet, da mein Remote-Wartungssystem die Aktualität von Plugins und Themes überwacht.
Halte deine Website aktuell. Falls du es dir nicht zutraust, oder keine Zeit hast, lass es von jemandem machen, der sich auskennt. Wir machen das gerne für dich. Selbstverständlich stehen wir auch bei, wenn die Website bereits gehackt wurde. Hat einen Google erstmal aus den Sucherergebnislisten verbannt, weil die Website dafür missbraucht wird, andere zu übervorteilen, ist der Schaden höher, als die Zeit oder die Kosten für die regelmäßige Pflege.
Schreibe einen Kommentar