Erst vor kurzem hatte Steffen Peschel beim 38. Unternehmerstammtisch Leipziger Westen die Sicherheit von Unternehmenswebsites in Bezug auf das allseits beliebte WordPress thematisiert. In den vergangenen Tagen haben wir selbst einige Veränderungen an unserer Website vorgenommen. Hauptsächlich betrifft dies die Umstellung aller Verbindungen unseres Webservers zu Ihnen, die jetzt SSL-verschlüsselt sind. Das hat uns Zeit und Nerven gekostet, doch es gab gute Gründe. Wir nehmen es zum Anlass, aus eigener Sicht von unseren Überlegungen zu berichten.
Server-Shutdown durch Spamschleuder
Grund dafür, die technischen Sicherheitsvorkehrungen zu überarbeiten, waren einige Meldungen seitens unseres Webhosters von Spam-Mails, die scheinbar von unserem Server ausgingen. WordPress ist nicht zuletzt deswegen ein beliebtes Angriffsziel, weil es so weit verbreitet ist. Website, die nicht regelmäßig gepflegt werden, können so leicht als Spamschleuder missbraucht werden. Daraufhin haben wir das System eingehend geprüft und festgestellt, dass es keine Sicherheitslücke auf unserem Server war. Allerdings konnte eine externe Lücke in einem Plugin genutzt werden, sodass es zunächst nach einem gehackten Server aussah. Tatsächlich war unsere Webseite für kurze Zeit zur Sicherheit abgeschaltet.
WordPress und Sicherheit vor Hacker-Angriffen
Zwei Dinge haben wir in Angriff genommen, nachdem unsere Seite wieder erreichbar war: Zum einen haben wir für zusätzliche Abschirmung vor Hacker-Angriffen auf unsere Webserver gesorgt. Sind diese einmal mit Schadsoftware kompromittiert, kann die Abhilfe deutlich mehr Zeit kosten, inklusive Sperrung des Accounts und damit einhergehend Verlust des Suchmaschinenrankings. Zum zweiten haben wir die gesamte Seite auf SSL umgestellt, erkennbar am https:// in der Adresszeile des Browsers. Das sorgt für eine Verschlüsselung Ihrer Daten, sobald sie mit uns in Verbindung treten. Nicht zuletzt empfiehlt auch Google mittlerweile allen Betreibern, gesicherte Verbindungen anzubieten.
Fazit
Aus unserer Sicht ist es fahrlässig, das eigene System nicht regelmäßig zu aktualisieren. Zusätzlich kann man auch mit wenigen Handgriffen wie der Installation von Security-Software vorsorgen, nicht allzu leicht zum Ziel von Schadsoftware zu werden. Seine Webseite kann man mit Scannern wie Sucuri oder Virustotal auch auf Schadsoftware prüfen. Will man darüber hinaus auch die Verbindung zu seinen Kunden verschlüsseln und für Google optimieren, kann schon das kostenfreie SSL-Zertifikat Let’s encrypt ausreichend sein.
