8 Schritte, um deinen WordPress Mitgliederbereich sicher zu halten

Membership Site Sicherhalten: Bildausschnitt Frau schreibt am aufgeklappten Laptop, Sicherheitsschlösser
Jessica Ferhaoui graues Oberteil

Geschrieben von Jessica Ferhaoui

Als Online Business Managerin habe ich mich auf die Bereiche Podcast und Membership Management spezialisiert. Für meine Kunden bin ich das unsichtbare, technische Rückgrat für ihr Business und übernehme all die technischen Aufgaben hinter den Kulissen. Ich habe es mir zur Aufgabe gemacht, meinen Kundinnen zu helfen, ihre Message in die Welt zu tragen.

30. August 2022

Hast du ausreichende Sicherheitsmaßnahmen auf deiner Membership Site?

Stell dir vor, du hast einen gut laufenden Mitgliederbereich und plötzlich liegt alles lahm. Du kommst nicht mehr ins Backend, all deine Daten sind weg, die Daten deiner Mitglieder sind in fremden, unbekannten Händen.

Puh, ich bekomme bei diesem Gedanken Herzrasen und mir wird schwindelig. Wie geht’s dir damit?

Ein Angriff auf deine Membership Site lähmt dein gesamtes Membership Geschäft. Daher ist es wichtig, wachsam zu sein und sicherzustellen, dass angemessene Schritte unternommen werden, um die Site deines Mitgliederbereiches sicher zu halten.

Ich gebe dir acht Tipps, damit deine WordPress Membership Site sicher ist.

Doch zuerst möchte ich dir eine Antwort auf die nachfolgende Frage geben.

Hat WordPress ein Sicherheitsproblem?

WordPress ist ein beliebtes Content-Management-System, das von Millionen von Websites verwendet wird. WordPress betreibt mehr als 40 % aller Websites der Welt (einschließlich meiner). Das ist eine ganze Menge.

WordPress ist eine super Plattform für einen Membership Bereich. Aufgrund der Popularität aber ein beliebtes Ziel für Hacker und böswillige Angriffe. Das bedeutet nicht, dass es ein wenig sicheres Tool bzw. eine Plattform ist, sondern man hört nur viel, weil es so beliebt und weit verbreitet ist.

Wie bei jeder anderen Website ist es wichtig, deinen Mitgliederbereich zu schützen.

Die große Popularität bedeutet aber auch, dass es eine große Community gibt und der Support sehr gut ist. Hinter WordPress steht ein riesiges Netzwerk an Entwicklern, die jeden Tag ihr Bestes geben, damit die Plattform sicher und auf dem aktuellen Stand ist. Tauchen Probleme auf, sind die Entwickler schnell, diese zu beheben.

Es stehen dir eine Vielzahl von Plugins und Diensten zur Verfügung, um die Sicherheit deiner Website zu erhöhen. Auf einen Großteil der Sicherheit hast du selbst Einfluss.

WordPress an sich ist relativ sicher. Die Probleme kommen eher von außen

Nun gebe ich dir Tipps, wie du unternehmen kannst, um deine WordPress Website proaktiv zu sichern.

1. Halte WordPress, die Plugins und Themes auf dem neuesten Stand

Warum erhalten Programme, Tools etc. regelmäßig Updates? Nicht nur, um die Benutzerfreundlichkeit und Optik zu verbessern, sondern auch um Sicherheitslücken zu schließen und auf dem neuesten technischen Stand zu sein.

Regelmäßige Updates wehren Angriffe auf deine Website ab, da die Updates dem neuesten Sicherheitsstand entsprechen. Sorge dafür, dass du WordPress selbst, die installierten Plugins auf der Website und das verwendete Theme immer auf dem aktuellen Stand sind.

Führe die Updates automatisch oder manuell durch. Ich rate dir zu manuellen Updates. Warum?

Starten wir mit dem automatischen Update von WordPress.

WordPress spielt automatisch das neue Update ein. Die Entwickler der Themes und Plugins benötigen allerdings etwas Zeit, um die Plugins und Themes an das Update von WordPress anzupassen. WordPress ist dann zwar auf dem aktuellsten Stand, der Rest nicht. Und das bedeutet eine große Sicherheitslücke. Ähnlich verhält es sich mit den automatischen Updates für das Theme.

Gib den Entwicklern etwas Zeit, um alles an das neue Update anzupassen. Sie sind meist sehr schnell, sodass du nach etwa zwei Wochen die Updates manuell durchführen kannst.

Weiter geht’s mit den Plugins.

Stell dir vor, du hast zehn verschiedene Plugins installiert. Aufgrund des WordPress Updates möchten alle zehn Plugins aktualisiert werden. Du lässt die Updates automatisch und alle gleichzeitig laufen. Anschließend stellst du fest, dass sich die Mitglieder nicht mehr einloggen können, dass bestimmte Funktionen und Buttons nicht mehr ausführbar sind etc. Woher weißt du, welches Plugin dafür verantwortlich ist?

Du hast keine Chance, den „Übeltäter“ zu finden.

Na ja, okay, mit viel Aufwand lässt sich der „Übeltäter“ finden. Aber das bedeutet, alle aktualisieren Plugins zu deaktivieren und nach einander wieder zu aktivieren. Zwischendurch kontrollieren, ob alles funktioniert.

Aktualisiere die Plugins nach einander und prüfe nach jedem aktualisierten Plugin, ob alles funktioniert, wie es soll. Wenn nach einer Aktualisierung etwas nicht mehr funktioniert, weißt du direkt, welches Update dafür verantwortlich ist und kannst diese Information an den Support weitergeben.

Achtung!

Erstelle vor jedem Update ein Backup deiner Site. So kannst du sie notfalls wiederherstellen und auf das nächste Update warten, mit dem hoffentlich die Probleme beseitigt werden. Achte auf die richtige Reihenfolge der Aktualisierungen: Erst die Plugins, dann das Theme und zum Schluss WordPress. 

2. Verwende ein Sicherheits-Plugin

Sicherheits-Plugins treffen gleich mehrere Vorkehrungen auf deiner Website. Sie warnen dich bei verdächtigen Aktivitäten, wie bspw. fehlgeschlagenen Anmeldeversuchen oder geänderten Dateien.

Einige Plugins bieten bereits ist der kostenlosen Variante ausreichend Schutz. Prüfe vor der Installation, ob du wirklich ein Sicherheits-Plugin benötigst oder ob die Sicherheitsmaßnahmen deines Hosters ausreichen. Denn jedes Plugin stellt wiederum eine Sicherheitslücke und ein Angriffsziel dar.

3. Stelle sicher, dass dein Webhoster über ausreichende Sicherheitsmaßnahmen verfügt

Das Gerüst ist nur so sicher, wie der Grund, auf dem es steht.

Bevor du dich für einen Hoster für deine Website entscheidest, setze dich mit dem Thema Sicherheit auseinander.

Einige Hoster haben Sicherheitstools aktiv. Je nach Hostingpaket unterscheiden sich diese. Umso mehr Sicherheitsmaßnahmen dein Hoster ergreift, desto weniger Lücken musst du anschließend manuell füllen und desto weniger Angriffsfläche bietest du.

4. Regelmäßige Backups

Du wirst durch regelmäßige Backups in der Lage sein, bei einem vollzogenen Angriff auf deine Website, diese auf eine frühere Version zurückzusetzen. Das ist dein Lebensretter bei einem Angriff.

Erkundige dich bei deinem Hoster, ob es eine Möglichkeit gibt, regelmäßige Backups automatisch erstellen zu lassen.

Gibt es diese Möglichkeit nicht, empfehle ich dir das Plugin UpdraftPlus. Es ist ein kostenloses Plugin, welches absolut ausreicht und einfach zu bedienen ist.

5. Nutze starke Passwörter

Dass „Hallo1234“ nicht das sicherste Passwort ist, ist hoffentlich jedem bewusst.

Verwende starke Passwörter für deine Website und deinen Admin Login. Hast du mehrere Websites, verwende für jede ein eigenes Passwort.

Du kannst dir nicht alle Passwörter merken? Wer kann das in der heutigen Zeit schon!

Ich selbst verwende für das Generieren und Speichern meiner Passwörter den Passwort Manager LastPass. Du musst dir lediglich das Masterpasswort merken, den Rest übernimmt LastPass. Es generiert sichere Passwörter und speichert diese direkt im Manager.

Neben einem starken Passwort hilft die Zwei-Faktor-Authentifizierung, den Schutz deiner Website zu erhöhen. Für eine WordPress Website ist das mit Plugins wie Two Factor Authentication oder Google Authenticator möglich. 

6. Sparsam mit den Admin Zugriffen umgehen

Jeder der einen Admin Zugriff auf deinen Mitgliederbereich hat, sollte ebenso starke Passwörter und die Zwei-Faktor-Authentifizierung umsetzen. Dabei geht es nicht darum, dass du diesen Menschen nicht vertraust. Wenn das Konto von demjenigen angegriffen wird, der Zugriff auf deine Website hat, landen die Angreifer vielleicht auch auf deiner Website.

Gebe nur den Menschen Zugriff auf deine Website, die ihn unbedingt benötigen.

7. Sparsam und vernünftig mit Plugins umgehen

Jedes Mal, wenn ich an Plugins denke, denke ich automatisch an eine von mir sehr geschätzte Kollegin und es hallen ihre Worte in meinen Ohren: „So viele wie nötig, so wenige wie möglich. Sei geizig mit den Plugins.“

Begrenze die Anzahl der installierten Plugins auf deiner Website und installiere nur die, die du tatsächlich benötigst. Das Risiko, dass ein Plugin fehlerhaft oder schlecht codiert ist, ist nicht zu unterschätzen. Jedes Plugin stellt eine Sicherheitslücke im System dar. Daher auch der Hinweis bei dem Sicherheits-Plugin, zu prüfen, ob du es wirklich benötigst.

Installiere nur Plugins vom ursprünglichen Entwickler und prüfe vorab, ob sie mit deiner installierten WordPress Version kompatibel ist und wie viele Downloads es gibt.

Wie sehen die Bewertungen des Plugins aus?

Hast du bereits ein Plugin installiert, welches dieselbe Funktion hat oder diese mit abdeckt?

Brauchst du das Plugin unbedingt?

Wann war das letzte Update?

Stelle dir diese Fragen vor der Installation.

8. Mitglieder dürfen keine Inhalte hochladen

Ermöglichst du deinen Mitgliedern Dateien in deinen Mitgliederbereich hochzuladen, öffnest du eine Tür für Eindringlinge, die es nicht gut mit dir meinen. Auch hier hat das nichts mit Vertrauen zu tun.

Es stellt schlicht und ergreifend eine Sicherheitslücke dar.

Eine Datei, die mit Malware, einem Virus etc. behaftet ist, kann unter Umständen alles tun. Von der Offenlegung deiner Datenbank bis hin zum Löschen der gesamten Membership Site.

Autsch. Diesen Schmerz wollen wir vermeiden.

Was tun, wenn das Schlimmste passiert ist?

Es kann uns alle treffen und immer mal passieren, dass wir von einem Hacker oder einem Schadprogramm getroffen werden. In einem solchen Fall gilt es Ruhe zu bewahren, tief durchzuatmen und Hilfe zu holen. Damit meine ich nicht die 110 oder 112.

Wenn du die oben genannten Tipps befolgst und wachsam in Bezug auf die Sicherheit deines Membership Bereiches oder deiner Website bist, bist du gut gegen Angriffe geschützt.

Das interessiert dich vielleicht auch…

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert