Absolute Sicherheit ist eine Illusion

Veröffentlicht am von

100%-ige Sicherheit wird es am Computer nie geben. Sei es der Laptop zu Hause, das Smartphone oder der Webserver auf dem die eigene Website liegt.

Wordpress SicherheitInternet-Sicherheit gegen Hackerangriffe

Gerade populäre und weit verbreitete Software wie Windows oder WordPress ist anfällig für Hackerangriffe. Nicht weil sie schlechter wäre, sondern weil es doch durchaus mehr Sinn ergibt mit einer Schadsoftware sehr viele potentielle Ziele zu erreichen.

Für WordPress (wie für Betriebssysteme) gilt, regelmäßige Updates machen das System stabiler, sicherer und in der Regel anwenderfreundlicher. Gleiches gilt für die verwendeten Plugins.

Oft liegt es aber nicht an der Software. Das schwächste Glied in der Sicherheitskette ist manchmal der Nutzer selbst. Wenn meine WordPress-ID Franz (oder wie auch immer) und mein Passwort ebenfalls Franz lautet, ist es für einen Brute-Force-Angriff in der Regel nicht schwer einzudringen und das System zu infizieren. Also um ein Mindestmaß an Sicherheit zu gewährleisten am besten sichere Passwörter wählen, die Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen wie Tilde, Klammeraffe, Prozent o. dgl. enthalten.

Während früher Systeme durch Schadsoftware oft zum Absturz gebracht oder Daten gelöscht wurden, ist es heute wohl zielführender Software (oder Codezeilen) zu installieren, die unbemerkt Spam-Mails verschicken oder Links zu dubiosen Seiten setzen, um im Suchmaschinen-Ranking nach vorne zu kommen (Black-Hat-SEO-Spam).

Den Hackerangriff in WordPress erkennen

Am einfachsten ist der Hackerangriff zu erkennen, wenn er so stümperhaft ausgeführt wurde, dass die Seitenanzeige nicht mehr oder nur mehr eingeschränkt funktioniert. Spätestens dann kann man davon ausgehen, dass die Sicherheit der Seite nicht mehr gegeben ist.

WordPress Plugins (z. B. Sucuri Security), die der Sicherheit dienen sollen und die eigene WordPress-Installation scannen, beschränken sich z. T. nur auf die Core-Dateien und nicht auf die Themes. Schadsoftware, die sich im Child-Theme eingenistet hat, wird auch nicht durch ein Update des Themes überschrieben.

Da helfen sogenannte Remote Malware Scanner, wobei es durchaus sinnvoll erscheint zur Sicherheit verschiedene Scanner die Überprüfung durchführen zu lassen. Schadsoftware ist nämlich in der Lage die IP oder den IP-Bereich des anfragenden Servers zu erkennen um das Spamming z. B. nur zu liefern, wenn der Google-Bot vorbeikommt oder eben nicht, wenn ein Malware-Scanner die Seite abruft.

Wordpress Sicherheit durch SiteGuardingSiteGuarding

Dieser kostenlose Malware-Scanner erkennt die Spam-Links, zeigt sie aber nicht extra an.

Wordpress Sicherheit durch WebsicherheitWebsicherheit

Dieser ebenfalls gratis verfügbare Scanner für Schadsoftware erkennt die Spam Links und zeigt zusätzlich eine Zusammenfassung aller ausgehender Links.

Wordpress Sicherheit durch SucuriSucuri SiteCheck

Der kostenlose Malware und Sicherheitsscanner erkennt die Spam Links ebenfalls. Wie bei SiteGuarding werden sie aber nicht extra aufgelistet.

Wordpress Sicherheit durch Google Search ConsoleGoogles Search Console

In der Search Console von Google kann man unter Suchanfragen den Punkt Suchanalyse wählen. Dort ist es möglich die Suchanfragen nach Schlüsselwort zu filtern. Wenn z. B. "Viagra" Treffer liefert, man selbst aber kein Pharmaunternehmen ist, sollte einen das zu denken geben.