Anmelden


In der Covid-19-Krise wichtiger denn je: eine sichere Wordpress-Seite

Die Covid-19-Krise hat uns geradezu zwangsdigitalisiert: Kollegen, die sich bis dato täglich gesehen haben, sind im Home Office und arbeiten wochenlang ausschließlich virtuell zusammen; der Schlüsseldienst darf seine Dienste zwar anbieten, aber niemanden in seinen Laden lassen; der Vertriebsmitarbeiter darf seine Kunden nicht besuchen, um ihnen die neuesten Produkte seiner Firma vorzustellen.

Kleine und mittelständische Unternehmen sind davon besonders hart getroffen, fehlt es ihnen doch häufig an der technischen Infrastruktur, um all diese Herausforderungen zu meistern. Und selbst wenn die Infrastruktur theoretisch vorhanden ist, muss sie auch erst vernünftig eingesetzt werden – so dass sie nicht nur zuverlässig funktioniert, sondern auch sicher ist.

Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud, hat sich mit einem Thema befasst, das auch viele deutsche Unternehmen betrifft – jetzt vermutlich mehr denn je: die eigene Website. Sie ist gerade in diesen Tagen für viele Unternehmen das einzige „Gesicht“, das der Kunde sieht; vieles, manchmal alles, hängt von ihr ab. Gerade unter kleinen und mittelständischen Unternehmen ist Wordpress extrem beliebt. Das Open-Source Content-Management-System erlaubt dem geübten Laien ohne viel Vorerfahrung, eine absolut professionelle Website für sein Unternehmen aufzubauen.

Die Zahlen sprechen für sich: Mit einem Marktanteil von knapp 62 Prozent ist Wordpress das beliebteste Content-Management-System weltweit. Der nächste Mitbewerber Joomla kann schon nur noch knapp vier Prozent auf sich verzeichnen. Im April 2020 haben Wordpress-Nutzer rund 74,62 Millionen Blog-Posts veröffentlicht, wie Statista meldet.

Aufgrund der starken Nutzung von Plugins bietet WordPress allerdings auch erhebliche Angriffsfläche und ist relativ leicht zu hacken, was den ohnehin schon unter Druck stehenden KMUs weitere unnötige Kopfschmerzen bereitet. Cyberkriminelle könnten die Website für Phising-Angriffe nutzen, um wertvolle Kundendaten oder andere sensible Informationen von Website-Besuchern zu stehlen. Es gibt auch Fälle, bei denen Cyberkriminelle die Webseite zum Schürfen von Kryptowährungen missbrauchen.

Yuriy Yuzifovich rät daher zum Einsatz von Internet-Sicherheitsdiensten wie Alibaba Cloud WAF und Alibaba Cloud CloudMonitor. Darüber hinaus beschreibt er einige Warnsignale, die darauf hinweisen können, dass eine Wordpress-Seite gehackt wurde und hat einige leicht umzusetzende Tipps zum Umgang mit Wordpress.

Warnsignale:

Die Webseite hat sich ohne Zutun verändert. Ein Beispiel: die Startseite sieht komplett anders aus als vorher oder es gibt neue Unterseiten. Aber Achtung: Cyberkriminelle versuchen oft unbemerkt ihre Spuren zu hinterlassen, sodass es nicht immer auf den ersten Blick ersichtlich ist, ob die Webseite Ziel von Cyberkriminellen wurde und ggf. unbemerkt Unterseiten ergänzt wurden.
Der Login funktioniert nicht mehr.
Die Webseite leitet automatisch auf eine andere Seite weiter, häufig zu dubiosen Themengebieten.
Die Besucherzahlen auf der Webseite erhöhen sich rasant. Grund hierfür könnte eine Phising-Attacke sein.  
Beim Aufrufen der Seite über eine Google-Suche, gibt Google eine Warnmeldung aus, dass die Seite gehackt wurde.
Ein Sicherheits-Plugin meldet einen Gefahr oder eine kryptische Warnmeldung.
Der Webhoster hat auf ungewöhnliche Aktivitäten auf der Webseite hingewiesen.
Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden.

Tipps:

Einen professionellen Hoster nutzen
Wordpress aktuell halten und regelmäßige Updates aufspielen.
Starke Passwörter verwenden; Keinesfalls „Admin“ als Nutzername vergeben
Backups erstellen
SSL nutzen
Bearbeitung der Theme-Dateien und des Backends verbieten
Nur so viele Plugins wie nötig nutzen