Sicherheit Ihrer Vereinshomepage

Sicherheit ist beim Betrieb einer Homepage ein wichtiges Thema. Denn nichts ist schlimmer, wenn die Homepage gehakt und sensible Daten gestohlen wurden.

Es gibt viele Schwachpunkte, die Angreifer nutzen können und die Sie schließen sollten.

Sichere Benutzernamen und Passwörter


Angreifer versuchen durch automatisiertes Ausprobieren von Logins an Zugangsdaten zu kommen. Je einfacher Benutzername und Passwort vergeben wurden, desto unsicherer sind diese.

Wenn Sie z.B. Standardbezeichnungen wie “admin” oder öffentlich sichtbare Autorenname verwenden, machen Sie es Angreifern wesentlich einfacher.

Regelmäßige Updates


Eine weiteres Sicherheitsrisiko besteht in der Nutzung von veralteten Versionen von WordPress, den genutzten Themes und Plugins. Daher sollten Sie regelmäßige Updates durchführen. WordPress zeigt verfügbare Updates im Dashboard an, eine Aktualisierung ist dadurch relativ einfach.



Dashboard->Aktualisierungen



Plugins

WordPress weißt Sie auf neue Updates hin, in dem es in den Bereichen “Dashboard->Aktualisierungen”, “Plugins” und “Themes” im linken Menü einen roten Punkt setzt mit der Anzahl der verfügbaren Updates. Wenn Sie einen solchen Hinweis sehen, klicken Sie in den entsprechenden Bereich, um die Updates zu installieren.

Sie sollten vorher aber ein Backup Ihrer Vereinshomepage erstellen, denn es ist nicht immer ausgeschlossen, das ein Update fehlerfrei installiert wird.

Backups erstellen


Regelmäßige Backups schützen vor einem Verlust von wichtigen Daten, wenn Ihre Vereinshomepage z.B. einem Hackerangriff zum Opfer gefallen ist oder bei einem Update ein Fehler passiert ist. Daher sollten Sie in regelmäßigen Abständen ein Backup erstellen, je nach dem, wie häufig sich Inhalte Ihrer Seite ändern.

Es gibt einige zum Teil kostenfreie Plugins, die Ihre Vereinshomepage sichern können, eines davon ist “Duplicator”.

https://wordpress.org/plugins/duplicator/

Mit diesem Plugin können Sie in der kostenfreien Version, es gibt auch eine Pro-Version mit erweitertem Funktionsumfang, ein komplettes Backup Ihrer Homepage erstellen. Dabei erstellt Duplicator ein installierbares Abbild Ihrer Homepage, welches Sie im Falle eines Datenverlustes einfach wieder installieren können und die komplette Homepage wieder herstellt. Mit Hilfe dieses Tool können Sie Ihre Homepage auch einfach von einer Domain zu einer anderen umziehen.



Die Installation des Plugins erfolgt, wie bereits beschrieben, über den Bereich “Plugins” des Dashboards. Installieren und Aktivieren Sie das Plugin. Anschließend können Sie “Duplicator” starten, in dem Sie im linken Menü auf “Duplicator” klicken.



Um ein neues Backup zu erstellen, klicken Sie auf “Neues erstellen” rechts oben. Danach startet der Update-Prozess, dem Sie Schritt für Schritt folgen.

Zuerst wird die Homepage analysiert und der Speicherbedarf bestimmt. Hier können Sie festlegen, welche Bereiche nicht gesichert werden sollen, wenn diese z.B. zu viel Speicherplatz benötigen (Bilder, Dokumente).

Nach erfolgreichem Scan können Sie das Backup-Archiv erstellen. Wenn dies ebenfalls erfolgreich war, laden Sie die Archiv-Datei und das Installer-Skript auf Ihren lokalen Computer als Sicherung.



Sollte es nötig sein, dass Sie Ihre Vereinshomepage wieder herstellen müssen, kopieren Sie die beiden soeben gesicherten Dateien in das Hauptverzeichnis Ihres Webspaces, auf das Ihre Domain zeigt, und rufen über den Browser /installer.php auf. Sie müssen nun ähnlich der WordPress-Installation einige Einstellungen vornehmen, z.B. die Datenbank-Verbindungsdaten angeben. Folgen Sie Schritt für Schritt dem Installations-Prozeß, bis Ihre Homepage wieder hergestellt ist.

Schutz vor gefährlichen Zugriffen – die Firewall


Eine Bedrohung entsteht auch durch den Befall durch Schadsoftware. Durch veraltete Software gelangt diese sogenannte Malware in das System und kann sowohl die Homepage, aber auch Ihre Nutzer schädigen.

Um solche Attacken zu verhindern sollten Sie auf Ihrer Homepage eine Firewall installieren. Ein sehr beliebtes Plugin ist die Erweiterung “Wordfence Security” mit über 2 Millionen Installationen.

https://wordpress.org/plugins/wordfence/

Installieren und Aktivieren Sie dieses Plugin über den Bereich “Plugins”. Sie sollten dann folgenden Bildschirm sehen:



Sie müssen nun die ersten Einstellungen vornehmen. Tragen Sie Ihre E-Mail -Adresse ein, an die Fehlermeldungen gesandt werden sollen und bestätigen Sie die Nutzungsbedingungen. Danach gelangen Sie wieder in das Plugins-Hauptmenü. Rufen Sie nun Wordfence auf durch Klicken auf “Wordfence” im linken Menü:



Sie gelangen in den Startbildschirm der Firewall. Oberhalb erscheint die Frage, ob Sie das Plugin automatisch updaten lassen wollen, dies sollten Sie mit “Ja” beantworten.

Danach Klicken Sie auf “Click hiere to configure”, damit Wordfence noch einige weitere Einstellungen vornehmen kann. Folgen Sie auch hier den Anweisungen.

Die Firewall benötigt nun noch einige Zeit, um sich auf Ihre Homepage einzustellen, sie lernt quasi. Nach einer Woche schaltet sie dann in den normalen Modus um. Sie sollten in dieser Zeit möglichst viel im Backend arbeiten, damit die Firewall sich optimal einstellen kann.