Alles sieht zur Zufriedenheit aus und funktioniert. Kann die Website dann nicht einfach bleiben wie sie ist?
Seit Monaten lese ich in ansteigender Zahl Meldungen über gehackte WordPress-Websites.
Das Sicherheitsrisiko gehackt zu werden liegt jedoch nicht explizit nur bei WordPress (es ist nur das am häufigsten verwendete System), sondern dass „Hackerbots“ heute so selbstverständlich nach Sicherheitslücken suchend im Web unterwegs sind wie Suchmaschinen- oder andere Bots. Betroffen sind auch andere CMS, die mit Erweiterung ihrer Funktionalität potentiell immer wieder neue Sicherheitslücken aufweisen können.
Die Folgeschäden einer Infektion durch eine Sicherheitslücke beschränken sich nicht auf den Zeit-(Kosten-)aufwand infizierte Websites zu säubern und / oder neu aufzusetzen, sondern entstehen auch durch den Effekt, dass Google infizierte Sites blockt. Manche Webistebetreiber merken erst dadurch (sinkende Besucherzahlen), dass sie von einem Befall betroffen sind.
Neu erkannte Sicherheitslücken werden von den WordPress-Entwicklern zeitnah behoben und ein Sicherheitsupgrade bereitgestellt. Um nicht selbst Opfer einer noch nicht bekannten Sicherheitslücke zu werden, kann man außerdem Vorkehrungen treffen (z.B. komplexen Usernamen und Passwort festlegen, wp-login.php schützen). Doch eine der wichtigsten Maßnahmen sein System zu schützen ist, Updates regelmäßig durchzuführen, um bereits bekannte Sicherheitslücken nicht über Wochen, Monate oder gar Jahre stehen zu lassen.
Bei Plugins oder einem Theme aus fremden Quellen kann man sich einer zeitnahen Behebung nicht in allen Fällen sicher sein. Was man von der WordPress-Plattform geholt hat, wird dort entfernt, wenn eine Sicherheitslücke bekannt und nicht zeitnah behoben wird, um durch unfällige Neuinstallationen keinen weiteren Websites zu gefährden.
Zwar werden im WordPress-Dashboard verfügbare Updates angezeigt und sind per Knopfdruck durchführbar. Was dabei leicht zu übersehen ist, sind jene Komponenten die keine Updates (mehr) bekommen. Wurde ein Plugin oder Theme über einen längeren Zeitraum nicht upgedated sollte der Sache nachgegangen und über einen Ersatz nachgedacht werden, der noch gepflegt wird.
Auf Dauer genügt es also nicht alleine, regelmäßig sämtliche Updates durchzuführen. Glückerweise sind Sicherheitsplugins üblicherweise auch mit dem Feature ausgestattet, veraltete Komponenten zu erkennen und darauf hinzuweisen.
Schreibe einen Kommentar