WordPress Wartung mal richtig
Mit über 30% Webseitenanteil ist WordPress klar ein Spitzenreiter im Web. Doch oft geht vergessen, dass auch das wohl beliebteste Content Management System seine Nachteile hat. Kommt es zum Thema Security, benimmt sich WordPress wie ein kleines Kind.
Nebst Brute-Force-Attacken stellen auch veraltete Plugins ein enormes Risiko dar. Mit diesem Tool kannst du deine Webseite nach veralteten Plugins durchsuchen, die eine Sicherheitslücke haben. Die Lösung für das Problem ist eigentlich recht simpel. Regelmässige Backups, Updates und eine Software-Firewall für deine Seite sichern deine Webseite schon zum grössten Teil ab.
Backups
Ein Backup ist dein Retter in Not, wenn alles Andere nichts mehr hilft. Doch Backups bringen dir nichts, wenn du das letzte vor 2 Jahren gemacht hast.
Deswegen: regelmässige Backups sind das Rückgrat deiner Webseite.
Wie oft, hängt ganz von der Art deiner Webseite ab. Wenn du beispielsweise einen Online-Shop hast mit täglichen Bestellungen, solltest du mindestens wöchentliche, wenn nicht sogar tägliche Backups machen.
Wenn du hingegen eine einfache Firmenwebseite hast und einmal im Monat deine Texte anpasst, dann reicht ein monatliches Backup vollkommen aus.
Updates
Nebst den Backups sind auch Updates extrem wichtig. Dank Plugins kannst du die Kernfunktionalität deiner WordPress-Seite extrem einfach ergänzen. Bei den meisten Plugins werden jedoch regelmässig Sicherheitslücken entdeckt, die dann von den Entwickler:innen repariert werden müssen.
Durch regelmässige Updates verhinderst du, dass Sicherheitslücken durch Hacker:innen ausgenutzt werden können.
Am besten machst du, wenn du sowieso deine Backups machst, im Anschluss auch direkt noch Updates.
Firewall
Mit einer Firewall kannst du noch weitere Sicherheitslücken stopfen, die WordPress von sich mitbringt.
Besonders die Login-Funktionalität von WP bietet eine hervorragende Möglichkeit für Hacker. Standardmässig hat WP nämlich keine Funktion, Bruteforce Attacken abzuwehren. Doch auch hierfür gibt es einige Plugins (die natürlich auch stets Up-To-Date gehalten werden müssen).
Beliebte Plugins hierfür sind:
- NinjaFirewall
- Limit Login Attempts Reloaded
- All In One WP Security
Mit diesen Plugins kannst du die Anzahl der Login-Versuche limitieren. So können nicht automatisiert alle Passswortkombinationen für eine:n Benutzer:in ausprobiert werden.
Bei den meisten dieser Plugins kannst du auch die Login-URL anpassen, was es den Hackern zusätzlich schwer macht, deine Bruteforce Attacke zu starten.
Mit diesen Tools ist deine Webseite bereit für’s Internet.
WordPress-Sicherheit im Abo
Für meine Kund:innen habe ich den WordPress Wartungsservice WAPUS erstellt. Der Service kümmert sich um alle Aspekte der WordPress Sicherheit.
(bas)
Das eigentliche digezz Projekt ist die Entwicklung eines WordPress Wartungsservices und die Gestaltung der Webseite wapus.ch, über die man den Service buchen kann. Der Digezz Beitrag an sich wurde nicht mit dem Fokus auf wapus.ch geschrieben, da die Thematik inhaltlich so mehr hergibt. (Abgesprochen mit Thomas)
Idee
Die Idee entstand eigentlich aus einem Bedürfnis heraus. Ich bin nebst dem Studium noch als Webdesigner tätig. Viele meiner Kunden kümmerten sich nicht um ihre Webseiten. Im letzten Sommer wurden mir dann alle meine WordPress Seiten gehackt, da veraltete Plugins installiert waren. Glücklicherweise hatte ich verfügbare Backups. Es war trotzdem ein riesiger Stress bis alles wieder lief.
Aus diesem Grund entschloss ich mich, meinen Kunden ein Wartungsservice zusammenzustellen. Das Ziel war es, automatisierte Backups, Updates und Security Checks zu machen, damit die Seiten meiner Kund:innen sicher sind und bleiben.
Prozess
Ich begann zuerst mit einer relativ simplen Version des Programms. Da bekam ich wöchentlich eine E-Mail mit allen Seiten, die zu aktualisierende Plugins haben. Dies habe ich als WordPress Plugin entwickelt, das ich dann auf den jeweiligen Seiten meiner Kund:innen installiert habe.
Mit der Zeit entwickelte ich das Plugin immer weiter, sodass ich dann nach ca. 2 Monaten ein Plugin hatte, das verschiedene Checks ausführt.
- Google Viagra Check
- Vergleich mit Sicherheitslücken-Datenbank
- Plugins per Knopfdruck aktualisieren
- Backup auf einen externen Server
Der externe Server für das Speichern der Backups war ein Amazon S3. Die sind relativ günstig und schnell. Einzig der Datenschutz ist ein wenig problematisch, da die Daten ausserhalb der Schweiz gelagert werden. Theoretisch hätte ich sie noch verschlüsseln können / müssen, aber dazu bin ich nicht gekommen.
Fazit / Learnings
Nebst den vielen kleineren Learnings, die ich während der Entwicklung hatte, habe ich etwas enorm wichtiges mitgenommen: Man muss das Rad nicht immer neu erfinden. Einige Wochen, nachdem ich eine einigermassen stabile Version meines Plugins hatte, entdeckte ich ManageWP. ManageWP macht genau das, was mein Plugin machte, einfach besser, günstiger und sicherer.
Mittlerweile benütze ich also mein eigenes Plugin nicht mehr, da es einfach Aufwandtechnisch aus dem Ruder lief.
Meinen Kunden hingegen ist es ja egal, was unter dem Hut läuft. Sie sind froh darüber, dass sie sich nicht um das kümmern müssen und ihre Webseite stets läuft.