Wordpress Security, Hacker und die DSGVO - sunrise designSunrise Design

In letzter Zeit häufen sich die Gespräche, die ich mit Kunden über WordPress Sicherheit und die Datenschutzgrundverordnung (DSGVO) führe.

Es ist so: WordPress ist sicher. Nicht 100% sicher, das ist nicht möglich, aber auf einem sehr hohen Level.
Das Problem liegt – wie bei Windows und Office auch – im hohen Verbreitungsgrad von WordPress: wird Software viel eingesetzt, ist sie ein lohnendes Ziel für Angreifer, denn ein Angriff kann automatisiert mit einem Schlag auf sehr viele Systeme durchgeführt werden.
Wenn also eine neue Sicherheitslücke bekannt wird, dann wird von Black Hat Hackern sofort ein Angriff gestartet. Umgehende Updates sind notwendig, aber manchmal entscheiden da schon wenige Minuten, die das Update braucht.
Ist das Anlass zur Sorge? – Meistens nicht, jedoch häufen sich die Hacks von Webseiten.
Liegt das Web zum Beispiel auf unserem Webspace, oder bei einem anderen Anbieter, der Backups erstellt (das bieten alle an, aber nicht alle Kunden bestellen das dazu – leider, denn es gilt die Goldene Regel: kein Backup, kein Mitleid!), dann ist das Problem schnell aus der Welt: es werden Backups eingespielt, die Seite ist wieder online. Das dauert nach Entdecken des Hacks nur kurze Zeit.

Das größere Problem ist, dass man nicht weiß, was die Hacker in der Zwischenzeit gemacht haben.
Sie könnten zum Beispiel im Namen der Webseite und des Unternehmens Spam versenden. Im Extremfall kommt die Webseite dann auf schwarze Listen und es gibt für das Unternehmen Probleme beim Versand von E-Mails – eine Katastrophe für die Unternehmenskommunikation!
Sie könnten über die Webseite Malware verteilt haben. Das könnte wieder zu Blacklisting führen, diesmal in Antiviren-Programmen, die den Zugriff auf die Webseite verhindern. Außerdem schlägt Google Alarm und nimmt die Webseite sofort vom Index, im Idealfall nur vorübergehend[1].
Eine weitere Möglichkeit wäre, dass die Webseite zum Verbreiten von Pornographie oder illegalen Inhalten genutzt wird. Bei den meisten Unternehmen verträgt sich das nicht gut mit dem Kern ihrer Marke, um es vorsichtig zu formulieren.
Ein weiteres Problem entsteht, wenn Sie persönliche Daten von Personen auf der Webseite speichern, denn dann wären Sie nach Datenschutzgrundverordnung (DSGVO) vermutlich verpflichtet[2], die Betroffenen zu informieren und zu erläutern, wie das passieren konnte. Diese Daten können in Form von Kommentaren oder gespeicherten Kontaktanfragen vorliegen; ob Log-Dateien schon dazugehören müssen Anwälte oder Gerichte entscheiden. Als verantwortungsvoller (und seine Marke schützender) Seitenbetreiber möchte man sich dieser Frage aber gar nicht erst aussetzen.

Was kann man tun?
Zum einen sollte man natürlich Updates regelmäßig und umgehend durchführen. Sind automatische Updates bei Ihrer Webseite eingerichtet? Das sollten Sie sein, es sei denn, dass Sie sehr “fragile” Plugins benutzen, die nicht unbeobachtet aktualisiert werden sollten.
Dann gibt es eine Reihe von Plugins, die sich Sicherheit auf die Fahnen geschrieben haben und einige Maßnahmen zum Schutz der Webseite einsetzen. Andauernde Login-Versuche werden blockiert, Zugriffe auf bereits bekannte Sicherheitslücken großflächig abgewiesen, so dass von diesen Rechnern keine Anfragen mehr angenommen werden, und einiges mehr.
Die Sicherheit Ihrer WordPress-Seite kann so deutlich erhöht werden. Absolute Sicherheit gibt es nicht, aber im Anbetracht der Konsequenzen wenn man nur passiv zuschaut und abwartet, sollte man den Handlungsbedarf erkennen.

Sprechen Sie uns an! – Wir beraten Sie gerne!

[1] Haben Sie für Ihre Webseite einen Eintrag bei der Google Search Console, so dass Sie über solche Möglichkeiten gewarnt werden? Das empfehle ich dringend!

[2] Ich schreibe „vermutlich“, da wir keine Anwälte sind, und keine Rechtsberatung durchführen dürfen.