WordCamp Köln 2016: WordPress sicherer machen

Morgensession beim WordCamp Köln 2016 mit den Organisatoren Thomas Reeh und Thomas Brühl
Morgensession beim WordCamp Köln 2016 mit den Organisatoren Thomas Reeh und Thomas Brühl

Knapp anderthalb Jahre ist es her, da die Kölner WordPress Community zuletzt ein WordCamp veranstaltete. War das Ganze 2015 recht groß angelegt, begingen wir die Unkonferenz der WordPress-Schaffenden dieses Jahr im weit kleineren Rahmen. Und folgten dabei auch den traditionellen Regeln: Wenn die Teilnehmenden erst sich selbst mittels drei Hashtags und dann ihre Sessionvorschläge vorstellen, entspricht dies dem Konzept des Barcamps. Statt zwei Tage kamen wir diesmal nur für einen Tag zusammen. Wegen der Location im Mediapark konnten auch bei Weitem nicht so viele Interessenten teilnehmen. Umso ärgerlicher, wenn dann ein Viertel der Angemeldeten nicht erscheint und die Tickets auch nicht weitergibt. Aber mit dieser Unart müssen Barcamp-Veranstalter wohl leben.

Meine Sessions beim #wccgn

Das Sessionangebot konnte sich mit insgesamt sieben Slots à vier Themen durchaus sehen lassen: SessionplanWordPress Sicherheit spielte eine große Rolle, eine noch größere allerdings Fragestellungen rund um Recht, Steuern und Vertragsangelegenheiten. Aber natürlich gab es auch Sessions zu Schwerpunktthemen wie Entwicklung, Administration und Suchmaschinenoptimierung. Entsprechend meine Sessionauswahl: Ein bisschen Steuern, ein bisschen Vertrags- und ein bisschen Urheberrecht, etwas SEO, aber auch Administration.

Bemerkenswert erschien mir aber vor allem die Session von Mit-Organisator Thomas Reeh: Wie können wir unerfahrenen Nutzern helfen, ihr WordPress sicherer zu machen?

Session von Thomas Reeh: WordPress sicherer machen
Session von Thomas Reeh: WordPress sicherer machen

WordPress sicherer machen – ein sensibles Thema

Der Aspekt der Sicherheit wird von allzu vielen WordPress Nutzern doch eher stiefmütterlich behandelt. Gerade bei WordPress Einsteigern stehen ganz andere Themen im Vordergrund, allen voran inhaltliche, spätestens an zweiter Stelle aber auch gestalterische Aspekte. Informativ und schön soll die neue Website oder das Blog sein, bestenfalls auch gut auffindbar. Aber Sicherheit? »Ich bin doch nur ein kleiner Fisch im großen Meer der Websites«, mag sich so mancher denken. »Ich veröffentliche keine Kundendaten, was will ein Hacker da bei mir?«

Nur geht diese Haltung vollends an der bitteren Realität vorbei. Der eigene Content und auch die vielleicht überschaubaren Zugriffszahlen spielen in diesem Zusammenhang meist gar keine Rolle. Meist geht es der kriminellen Energie doch nur darum, eine weitere Ausgangsstation für bösartige Attacken nutzen zu können. Wer also nichts in die Sicherheit der eigenen WordPress Installation investiert, läuft Gefahr, mit zu der Erweiterung solcher sogenannter Botnetzwerke beizutragen. So zumindest stellte Journalist und Blogger Thomas uns die ungünstige Ausgangslage dar. In seiner Session rief er zu einer Blogparade auf, um damit mehr Aufmerksamkeit für das so wichtige, aber auch sensible Thema der WordPress Sicherheit zu schaffen: Jeder einzelne Website-Betreiber trägt Verantwortung, für die Nutzer und für andere Betreiber!

WordPress zumindest weniger unsicher machen

Hundertprozentige Sicherheit, das wissen wir alle, gibt es nicht. Entsprechend gibt es auch nicht die eine, alles umfassende und in jedem Kontext passende Maßnahme, die Blog oder Website für alle Zeiten absichert. Auch wenn das wünschenswert wäre und entsprechend in der Session so oder ähnlich diskutiert wurde. In meinen Augen erscheint es schon schwierig, überhaupt die eigene Filterblase zu durchbrechen. Wir wissen, warum wir uns Sorgen machen. Nur wissen es auch diejenigen, die wir eigentlich erreichen wollen? Nehmen wir die Blogparade: Da schreiben nun also eine Reihe von Teilnehmern (und vielleicht auch ein paar Blogger, die über das Bloggen bloggen) auf ihrem Blog kluge Beiträge zu diesem Thema. Doch wer liest das? Bestenfalls sind es Menschen, die bereits ein Bewusstsein für die Aufgabenstellung entwickelt haben. All jene jedoch, die die Information am dringendsten nötig hätten, kommen gar nicht auf die Idee, danach zu suchen.

Dennoch mache ich hier nun bei der Blogparade mit. Genauso wie wir hier auf unserem Blog von Anfang an auch immer wieder Beiträge zur WordPress Sicherheit veröffentlichen. Über gute Passwörter haben wir hier schon geschrieben, über das Ändern und Verschleiern von Benutzernamen oder über die Nutzung des Plugins Login Lockdown, das vor Brute Force Attacken schützen soll. Unseren Kunden sagen wir, dass sie die WordPress Software und alle Komponenten immer aktualisieren müssen, um mögliche Sicherheitslücken zeitnah zu schließen. Doch erreichen wir damit tatsächlich bei jedem, dass das dann auch passiert? Wie oft habe ich schon in entsetze Augen geschaut, wenn ich davon sprach, wie ein gutes Passwort aussieht. Und dass man natürlich nicht ein Passwort für alle Gelegenheiten nutzen darf. Dabei wäre das doch schon mal ein Anfang, WordPress weniger unsicher zu machen!

3 Schritte zum Start – Machen Sie jetzt Ihre Website sicherer

Sie lesen schon hier, dann haben Sie auch jetzt noch die Zeit für diese drei ersten Maßnahmen, mit denen Sie unser aller WordPress sicherer machen:

  1. Aktualisieren Sie jetzt Ihre WordPress Software, Ihr Theme und alle Plugins. Und wenn Sie schon dabei sind, löschen Sie alle inaktiven Themes und Plugins.
    Bemerke: Sollten keine aktuelle Sicherung Ihrer Installation und der Datenbank vorliegen, erstellen Sie eine. In unserem Beitrag WordPress sichern erfahren Sie, wie das geht.
  2. Erneuern Sie Ihr Passwort. Wie ein gutes Passwort aussieht, erfahren Sie in unserem Beitrag über sichere Passwörter.
  3. Installieren Sie das Plugin Login Lockdown. Fortan sorgt es dafür, dass nach drei fehlgeschlagenen Anmeldeversuchen erst einmal keine Anmeldung mehr möglich ist.

Und wenn Sie dann noch Lust haben, sich in das Thema des WordPress sicherer Machen zu vertiefen: Das Netz ist voll von hilfreichen Anleitungen, Sie müssen nur danach suchen.

 


Beitragsbilder: Britta Kretschmer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.