Expertenbeiträge

WordPress Sicherheit – 8 Tipps für sichere WordPress Seiten

von Marcus Burk

WordPress Sicherheit erhöhen Header
WordPress ist das beliebteste CMS der Welt, mit Millionen von Nutzern. Diese Beliebtheit bringt auch Hacker und andere Cyber-Gefahren mit sich.

Mit ein paar grundlegenden Kenntnissen und vorbeugenden Maßnahmen kann die WordPress-Website in ein virtuelles Fort Knox verwandelt werden.

WordPress wurde am 27. Mai 2003 von den Gründern Matt Mullenweg und Mike Little erstmals veröffentlicht. Ursprünglich war WordPress als Blogging-Plattform konzipiert. Im Laufe der Zeit entwickelte es sich zu einem vollwertigen Content-Management-System (CMS), mit dem sich eine Vielfalt von Websites erstellen lässt, von einfachen Blogs bis hin zu komplexen E-Commerce-Plattformen.

WordPress ist eine Open-Source-Software, die auf PHP und MySQL basiert und somit von jedermann frei genutzt und verändert werden kann. Im Jahr 2021 ist WordPress mit über 60 Millionen Websites das beliebteste CMS der Welt. Das liegt unter anderem an seiner Benutzerfreundlichkeit, Flexibilität, SEO-Freundlichkeit, dem responsiven Design und der großen Community von Entwicklern und Nutzern.

Es mag viele Gründe geben, warum Website-Besitzer den Sicherheitsaspekten ihrer WordPress-Sites keine Aufmerksamkeit schenken. Oft mangelt es an technischem Verständnis für die WordPress-Sicherheitsfunktionen oder man ist sich der Risiken und Konsequenzen einiger Sicherheitslücken nicht bewusst. Bei Inpsyde steht die Sicherheit unserer WordPress-Websites an erster Stelle. Wir erstellen seit über 16 Jahren Websites für große Unternehmen, die erstklassige WordPress-Sicherheitsstandards benötigen und setzen auch unsere eigenen Websites BackWPup, MultilingualPress und Inpsyde.com mit WordPress um.

In diesem Beitrag erklären wir alles zum Thema WordPress-Sicherheit: Mit welchen Taktiken greifen Hacker WordPress-Seiten an? Welche Best Practices sollten angewendet werden, um diesen Angriffen gewachsen zu sein? Und was ist eigentlich das WordPress-Security-Team? Außerdem überblicken und erklären wir die Funktion einiger der wichtigsten und nützlichsten WordPress-Sicherheitsplugins auf dem Markt.

Welche Rolle spielt die Sicherheit für WordPress-Seiten?

Die Sicherheit einer WordPress-Seite ist einer der wichtigsten Faktoren für den Erfolg des ganzen Unternehmens. Kunden erwarten heute von seriösen Unternehmen, dass ihre Webseiten allen Sicherheitsstandards gerecht werden. Negative Schlagzeilen wie gehackte Webseiten können dazu führen, dass das Vertrauen der Kunden sinkt. Auch Google und andere Suchmaschinen legen hohen Wert auf Sicherheit. Googles Algorithmus rankt sichere Seiten generell höher.

Was macht WordPress sicher?

Seit Langem kämpft WordPress mit Vorurteilen bezüglich Cybersecurity. Und tatsächlich: WordPress-Websites sind ein Lieblingsziel von Hackern. Der Großteil der erfolgreich gehackten CMS-basierten Websites laufen auf WordPress. 

Ist WordPress also unsicher? Nein, denn: 37% des gesamten Internets und 64% aller CMS gepowerten Seiten laufen mit WordPress. Die hohe Gesamtzahl an erfolgreich gehackten WordPress-Seiten geht also hauptsächlich auf die vielen existierenden WordPress-Seiten zurück. Ein weiterer Grund: Derzeit laufen etwa 13-mal so viele Seiten auf WordPress wie auf dem zweitbeliebtesten CMS Joomla. Darunter auch zahlreiche volumen- und umsatzstarke Seiten von Großunternehmen. Für Hacker lohnt es sich also am meisten, sich auf mögliche Sicherheitslücken im mit Abstand beliebtesten CMS zu konzentrieren und selbst zum WordPress-Experten zu werden. Um noch mal zur ursprünglichen Frage zurückzukommen:

Ist WordPress sicher?

Von Experten gut und regelmäßig gepflegtes WordPress bietet die perfekte Basis für sichere Webseiten. Das gilt sowohl für kleinere Projekte, als auch für Enterprise Level Seiten mit großem Volumen, viel Umsatz und höchsten Sicherheitsstandards. Essenziell für die Cyber Security von WordPress Websites sind vor allem regelmäßige Core Updates und die Beachtung von Best Practices beim Passwort Management und der Einbettung externer Programme.

Was ist das WordPress-Security-Team?

Die Sicherheit von WordPress-Seiten wird zusätzlich vom WordPress-Security-Team gestärkt. Dieses etwa 50-köpfige Team von Web-Sicherheits-Experten, darunter etwa die Hälfte der Mitarbeiter von Automattic selbst, kümmert sich regelmäßig um aufkommende Sicherheitsfragen. Das Security-Team versucht stets, mögliche Sicherheitslücken im nächsten Update des WordPress-Cores mit Patches zu beheben. Auf besonders dringliche Probleme wird mit “Immediate Security Releases” reagiert. 

Das WP-Security-Team setzt dabei auch auf die Zusammenarbeit mit Sicherheitsteams anderer CMS wie Drupal oder auch externen Experten. Über die Hackerone Plattform wird das Security-Team so von externen Web-Developern regelmäßig auf Sicherheitsrisikos hingewiesen. Automattic und andere WordPress-Stakeholder bezahlen die Hinweisgeber für ihre Tipps. Auf diese Sicherheitsreserve können kaum andere Content-Management-Systeme in ähnlichem Maße zurückgreifen.  

Aus welchen Gründen werden WordPress-Seiten gehackt?

WordPress-Seiten werden aus verschiedenen Gründen zum Ziel von Angriffen. Natürlich geht es in den meisten Fällen ums Geld. So wollen die Hacker beispielsweise direkt an die Kreditkartendaten und sie auf Seiten weiterleiten, auf welchen dann Betrügereien stattfinden. Oft werden auch Daten gestohlen, um sie an Dritte weiterzuverkaufen. Manche Websites werden außerdem aus politischen oder persönlichen Gründen manipuliert und komplett offline genommen. 

Wie werden WordPress-Seiten angegriffen?

Es gibt bestimmte Arten von Hacks, die häufig vorkommen und auf die eure Seite vorbereitet sein sollte: 

  • Brute-Force-Attacken: Hier versuchen Hacker eure Benutzernamen und Passwörter zu erraten, um sich so ins WordPress-Backend einzuloggen. Hier können sie dann auf verschiedene Weisen großen Schaden anrichten. Die Hacker arbeiten hier mit Datenbanken mit besonders oft benutzten Passwörtern. Bots versuchen sich dann mit diesen Zugangsdaten in die Seite einzuloggen. Oft werden auch leistungsstarke Algorithmen angewendet, die versuchen, Passwörter aus einem bestimmten Kontext heraus zu erraten.
  • Code-Injektionen: Einer der ältesten und häufigsten Hacks ist die SQL-Injektion. Über Eingabefelder auf der Website, wie der Suchfunktion oder Formulare, können Hacker durch die Eingabe von SQL-Code an wichtige Informationen kommen, die MySQL Datenbank manipulieren oder die Kontrolle über das WordPress-Backend erlangen.
  • Cross-Site-Scripting: Auch hier injizieren Hacker einen Code auf der Seite. In diesem handelt es sich um JavaScript. Dieser Code wird dann vom Browser der Website-Besucher als legitim angesehen und ausgeführt. Das Problem haben dann in den meisten Fällen eure Website-Besucher. Hacker kommen über XSS-Injections an deren Daten oder übernehmen ihre Accounts.
  • Distributed-Denial-of-Service-Attacken: Ein Server kann nur eine bestimmte Anzahl an Anfragen verarbeiten, bevor es zu viel wird und er crasht. Genau das ist das Ziel von DDoS-Attacken. Hier werden an eine Seite aus mehreren, global verteilten Quellen so viele Anfragen gesendet, bis die Website nicht mehr wie gewünscht funktioniert. Auf diese Weise werden besonders oft Großunternehmen erpresst. Sony, Amazon oder Netflix hat es bereits erwischt.
  • Malware: Über infizierte Plugins oder Themes kann sich bösartiger Code bei einer Website einschleichen. So können Hacker Daten stehlen oder selbst Content auf eine Seite laden. Wenn das Problem nicht schnell behoben wird, kann das vor allem bei großen Seiten erhebliche Probleme verursachen. 2021 waren über 60% aller Webseiten von Malware befallen. Es lohnt sich also auf jeden Fall eine Webseite mit Plugins wie WordFence auf Malware zu scannen.

WordPress Security – Best Practices

Im Folgenden erklären wir, worauf geachtet werden sollte, um die Website so sicher wie möglich zu machen. Mit diesen Best Practices ist man für die meisten der oben genannten Hacker Strategien nicht anfällig:

Sicheres WordPress-Hosting

Einige wichtige Sicherheitsfaktoren können wenig von einem selbst beeinflusst werden, da sie gar nicht auf der Website, sondern serverseitig implementiert werden müssen.

Schon bei der Wahl des Hosters sollte daher Sicherheit priorisiert werden. Idealerweise genießt der Hoster einen vertrauenswürdigen Ruf und ist selbst Experte in Sachen WordPress. Unter Großunternehmen, die auf WordPress setzen, gilt WordPress VIP als die beste Hosting-Option. Ein guter Hosting-Anbieter übernimmt wichtige Funktionen wie Malware-Scans, die SSL-Zertifizierung, die Verschlüsselung mit dem HTTPS-Protokoll oder automatische Backups bereits selbst und garantiert so Sicherheit auf der Server-Ebene. 

Generell sollte auf gemanagtes WordPress-Hosting gesetzt werden, anstatt mit Shared Hosting die Server mit anderen Unternehmen zu teilen. Selbst wenn die eigene Website gar nicht attackiert wurde, kann bei geteiltem Hosting ein Kollateralschaden entstehen, falls der gemeinsame Server gehackt wird. Besseres Hosting wird sich zudem positiv auf die Geschwindigkeit und die Performance der WordPress-Seite auswirken.

Regelmäßige Updates

Sowohl die WordPress-Version, als auch die benutzten Plugins und Themes sollten regelmäßig aktualisiert werden. Das WordPress-Security-Team versucht mit jedem Update des WordPress-Cores neu entstandene Sicherheitslücken zu beheben. WordPress sollte die neuen Releases automatisiert laden.

So kann WordPress aktualisiert werden:

  1. Erstellung eines Backups der Website: Es ist wichtig, die Website zu sichern, bevor Änderungen vorgenommen werden, falls während des Aktualisierungsprozesses etwas schiefgeht.
  2. Aktualisierung aller verfügbaren Plugins oder Themes: Um ein Plugin oder Theme zu aktualisieren, wird auf die Seite “Plugins” oder “Themes” im WordPress-Dashboard geklickt auf den Link “Aktualisieren“.
  3. Prüfung, ob eine neue Version von WordPress verfügbar ist: Ist eine neue Version verfügbar, wird dies im WordPress-Dashboard durch eine Benachrichtigung und einen Link zum Aktualisieren angezeigt.
  4. Aktualisierung WordPress: Um WordPress zu aktualisieren, muss auf die Schaltfläche “Jetzt aktualisieren” geklickt werden auf der Seite “Aktualisierungen“. WordPress lädt das Update herunter und installiert es.
  5. Testung der Website: Nachdem WordPress aktualisiert wurde, sollte die Website getestet werden, um sicherzustellen, dass alles korrekt funktioniert.

Hinweis: Wird ein verwalteter Hosting-Dienst genutzt, kümmert sich dieser möglicherweise direkt um WordPress-Updates. In diesem Fall können die oben genannten Schritte übersprungen werden und beim Hosting-Anbieter nachgefragt werden, ob Updates verfügbar sind.

Eine aktuelle WordPress-Version ist ein wichtiger Schritt in die Richtung einer sicheren Seite. Die meisten erfolgreichen WordPress-Hacks passieren schlecht gepflegten und nicht regelmäßig aktualisierten Seiten

Auch Plugins sollten immer auf dem neuesten Stand sein. Viele WordPress-Nutzer vermeiden bei Plugins die Autoupdate-Funktion, weil sie nicht sicher sind, welcher Code von den Plugins neu geladen wird. 

Generell sollt bei der Auswahl der Plugins darauf geachtet werden, dass diese aktualisiert sind. So kann sichergestellt werden, dass sie mit der neuesten WordPress-Version kompatibel und auf die aktuellen Sicherheitsstandards angepasst sind. Gibt es für ein Plugin ein Update, wird dies im Backend mit einer Benachrichtigung angezeigt. WordPress weist auch darauf hin, wann Plugins zuletzt aktualisiert wurden. Für besonders veraltete Plugins gibt es sogar eine Warnung. 

Unsichtbare WordPress-Versionsnummer

Wie erwähnt, sollte generell versucht werden, mit der jeweils aktuellen WordPress-Version zu arbeiten. Zudem bietet es sich an, potenzielle Hacker erst gar nicht wissen zu lassen, mit welcher Version gearbeitet wird. Viele veraltete WordPress-Versionen haben nämlich bestimmte und bekannte Schwachstellen. Wissen Hacker, welche Version verwendet wird, können sie genau hier angreifen.

Es gibt verschiedene Möglichkeiten, die Versionsnummer von WordPress zu verbergen:

  1. Verwendung eines Plugins: Mehrere WordPress-Plugins helfen dabei, die Versionsnummer zu verbergen. Diese Plugins ermöglichen in der Regel, die Versionsnummer aus dem Quellcode eurer Website und dem WordPress-Dashboard zu entfernen.
  2. Änderung des Themes: Einige Themes enthalten Optionen zum Ausblenden der Versionsnummer. In der Dokumentation des Themes kann nachgeschaut werden, ob es diese Funktion gibt.
  3. Bearbeitung der Datei functions.php: Es können ein paar Codezeilen in eure functions.php-Datei eingefügt werden, um die Versionsnummer aus dem Quellcode der Website zu entfernen. Dazu muss über FTP oderden Hosting-Kontrollpanel auf die functions.php Datei zugegriffen werden.

Das Verbergen der WordPress-Versionsnummer kann zwar die Sicherheit erhöhen, ist aber keine Alternative zur Aktualisierung eurer WordPress-Installation und zur Anwendung anderer Sicherheitsmaßnahmen darstellt. Die WordPress-Software und alle installierten Plugins und Themes sollten also auf dem neuesten Stand gehalten werden, damit die Website so sicher wie möglich ist.

Absicherung durch Backups

Beim Backup geht es darum, alle Daten einer WordPress-Seite an einem sicheren Ort zu speichern. Sollte der Seite etwas passieren, kann sie so schnell wiederhergestellt werden. Backups sollten automatisch und regelmäßig erstellt werden. Große Seiten arbeiten manchmal sogar mit stündlichen Backups, kleinere Unternehmen sichern sich wöchentlich oder monatlich ab. 

Am besten werden Daten dabei extern und nicht auf den eigenen Servern gesichert, falls diese angegriffen werden. Unser eigenes Plugin BackWPup ermöglicht unter anderem genau das und ist eine der besten Lösungen vor allem für Unternehmenswebsites.

Einige der Features von BackWPup

Es ist immer ratsam, im Voraus eine Checkliste zu erstellen, damit man in der Hektik nicht unvorbereitet getroffen wird.

Eine Checkliste für die Wiederherstellung der Website ist wichtig, weil:

  1. Sie hilft, organisiert zu bleiben und stellt sicher, dass an alle wichtigen Schritte gedacht wird. Bei der Wiederherstellung einer Website fallen viele verschiedene Aufgaben und Schritte an. Ohne klaren Plan, kann etwas vergessen werden.
  2. Sie ermöglicht eine schnellere Wiederherstellung der Website.
  3. Sie hilft, Fehler zu vermeiden. Eine Checkliste vermeidet Feher, indem sie sicherstellt, dass Sie keine wichtigen Schritte ausgelassen werden oder etwas vergessen wurde.
  4. Eine Checkliste gibt außerdem mehr Sicherheit bei der Wiederherstellung einer Website.

Sicherer Login-Bereich

Wie oben erklärt, wenden Hacker Brute-Force-Attacken auf Login-Bereiche von WordPress-Seiten an, um so an die Daten im Backend zu kommen. Dabei versuchen sie mithilfe von Programmen die Nutzernamen und Passwörter zu erraten.

Ein sehr simpler und gerne angewandter Trick gegen Brute-Force-Attacken ist es, ein Limit von Login-Versuchen festzulegen. Hier wird beispielsweise der Zugang geblockt, falls ein User 3-mal das falsche Passwort eingegeben hat. Da Hacker allerdings oft die Tricks kennen, diesen Sicherheitsmechanismus zu umgehen, sind bestimmte Best Practices für einen sicheren Login-Bereich essenziell.

Der Login-Bereich ist einer der offensichtlichen Sicherheitsfaktoren, der trotzdem oft übergangen wird. Ein sicheres und schwer zu erratendes Passwort ist Pflicht. Genauso sollte man den Usernamen selbst bestimmen. Viele Webmaster übernehmen das aus Bequemlichkeit oder Unbekümmertheit. Hacker wissen das und attackieren daher besonders gerne Nutzernamen wie “admin”, “administrator” oder den jeweiligen Domainname, wie bei uns “inpsyde”. Auf Seiten mit derart offensichtlichen Benutzernamen müssen die Bots der Hacker bei Brute-Force-Attacken nur noch das Passwort erraten. Mit einem individuellen internen System für die Benennung der Nutzer ist man also sicherer.

Ein weiterer Weg, wie Brute-Force-Hackern der Wind aus den Segeln genommen wird, ist die Umbenennung der Login-URL. Die Login-Bereiche der meisten WordPress-Websites sind einfach erreichbar, indem man wp-login.php oder wp-admin an die Hauptdomain hängt. Das kann geändert werden, indem die Login-URL mithilfe von Plugins wie WPS Hide Login eigenständig bestimmt wird. Jetzt müssen Hacker erst mal an die genaue URL des Login-Bereichs kommen, bevor sie das Passwort und den Nutzernamen angehen.

Es gibt auch die Möglichkeit, die Anmeldeaufforderung auszublenden, wenn die Standard-Anmeldeseite für eine Website oder Anwendung aus verschiedenen Gründen unkenntlich gemacht oder entfernt wird, z. B. um unbefugten Zugriff zu verhindern oder es Angreifern zu erschweren, die Anmeldeseite zu finden und auszunutzen.

Der Login Prompt lässt sich auf verschiedene Weise verbergen:

  • Verwendung eines Plugins: Mehrere WordPress-Plugins helfen, die Anmeldeaufforderung auszublenden. Mit diesen Plugins kann in der Regel die URL der Anmeldeseite angepasst, oder zusätzliche Sicherheitsmaßnahmen wie eine Zwei-Faktor-Authentifizierung hinzufügt werden.
  • Änderung der .htaccess-Datei: Die .htaccess-Datei kann auf dem Webserver verwendet werden, um die Benutzer von der Anmeldeseite wegzuleiten. Dazu muss über FTP oder das Hosting-Kontrollpanel auf der .htaccess-Datei zugegriffen werden.

Wichtig ist darauf zu achten, dass das Ausblenden der Anmeldeaufforderung zwar die Sicherheit erhöht, aber kein Ersatz für die Verwendung starker Passwörter und anderer Sicherheitsmaßnahmen ist. Eine Kombination von Sicherheitsmaßnahmen ist essenziell, um eure Website zu schützen und unbefugten Zugriff zu verhindern.

Sichere Passwörter

Ein Passwort sollte sehr komplex sein. So komplex sogar, dass niemand seine Passwörter jemals überhaupt auswendig wissen sollte. Man solltet immer in der Lage sein, das Passwort zu finden, aber es sollte unmöglich sein, es sich zu merken. Am besten verbindet man eine Geschichte mit einer komplexen und zufälligen Folge von Zahlen, Buchstaben und Symbolen.

Obwohl die Wichtigkeit eines sicheren Passworts mittlerweile jedem bewusst sein sollte, sind “123456” und “password” oder simple Tastenreihenfolgen wie “qwerty” seit Jahren die meist genutzten Passwörter. Bei Unternehmenswebsites mit viel Traffic und signifikanten Umsätzen, deren Verwalter mit solchen Passwörtern arbeiten, ist ein Hack nur eine Frage der Zeit. Hier die Best Practices bei der Wahl eines Passworts:

Ein sicheres Passwort

  • ist mindestens 8 Zeichen lang,
  • hat sowohl Groß- als auch Kleinbuchstaben,
  • beinhaltet Nummern und
  • beinhaltet mindestens ein spezielles Zeichen wie: $!%@ # ?/.

Zudem sollten die Passwörter regelmäßig neu bestimmt werden. Bei jeder Anwendung sollte ein anderes Passwort genommen werden. Um Passwörter zu managen und sie nicht zu verlieren, bieten sich Passwortmanager an. Wir bei Inpsyde arbeiten zum Beispiel mit 1Password.

Die ohne Frage sicherste Methode in Sachen Passwort Festlegung ist die 2-Faktor-Authentifizierung. Hier gelingt der Login erst nach zwei Schritten. Wie diese beiden Schritte aussehen, bestimmt der Verwalter der Seite selbst. Ein Beispiel wäre, dass nach der korrekten Eingabe des Passworts noch ein Code an das Handy des Benutzers gesendet wird, mit dem er sich dann einloggen kann. Für die Umsetzung dieses Sicherheitsmechanismus auf WordPress-Seiten gibt es zahlreiche 2FA Plugins.

Aktuelle PHP-Version

PHP 8.2  ist die derzeit aktuellste PHP-Version. Die Verwendung der jeweils aktuellen PHP-Version ist nicht nur aus Sicherheitsgründen wichtig, sondern wirkt sich auch auf die Geschwindigkeit eurer WordPress-Seite aus. Trotzdem arbeiten derzeit noch über 70% der WordPress-Seiten mit veraltetem PHP. Diesen Fehler sollte vermeiden werden: Mit jedem neuen PHP-Release werden die Sicherheitslücken der alten Versionen ausgebessert. Für alle Versionen, die nicht PHP 8 sind, gibt es keine Sicherheitsupdates mehr, was bedeutet, dass diese nicht mehr unter die aktuelle Sicherheitsrichtlinie fallen. Jede Version von PHP 7 oder, Gott bewahre, PHP 5 erhält keine Sicherheitsupdates mehr von PHP.Hacks sind daher weniger erfolgreich bei aktualisierten PHP-Versionen. 

Übersicht der aktuell unterstützten PHP Versionen von www.php.net/supported-versions.php

Angepasste Nutzerrollen

Im Alltagsgeschäft von Unternehmen haben die verschiedenen Mitarbeiter unterschiedliche Entscheidungsbefugnisse. Auch auf der WordPress-Seite sollte nicht jeder Mitarbeiter die Möglichkeit haben, neue Plugins zu installieren, die Inhalte zu verändern oder gar die ganze Website offline zu schalten. Jeder Beteiligte sollte am besten nur die Befugnisse bekommen, die er für seine eigene Arbeit braucht. WordPress hat 6 Nutzerrollen:

  • Super Administrator
  • Administrator
  • Editor
  • Author
  • Contributor
  • Subscriber

Dabei stehen dem Super Administrator und dem Administrator einer Seite alle Möglichkeiten zur Bearbeitung der Seite offen. Ein Contributor kann beispielsweise nur die von ihm selbst erstellten Posts editieren. Für große Unternehmen mit sehr vielen Entscheidungsebenen kann es sich lohnen, mithilfe von WordPress-Experten oder Plugins eigene “Custom User Roles” zu erstellen. So können jedem Benutzer individuelle Rechte eingeräumt werden.

WordPress-Sicherheit für Großunternehmen

In diesem Beitrag haben wir die üblichsten Angriffsvektoren von WordPress-Seiten erklärt. Mit gutem Hosting, sicheren Login-Bereichen, regelmäßigen Backups, gut gewählten Passwörtern und weiteren Sicherheitsstandards kann eine WordPress-Website gegen solche Hacks geschützt werden. 

Allerdings funktioniert jede Website ein wenig anders. Vor allem die Websites großer Unternehmen sind oft sehr anspruchsvoll und individuell gestaltet. Diese Websites haben auch ein hohes Besucheraufkommen und arbeiten mit besonders großen Datenmengen. Das macht sie für Hacker interessant. Da es keine Plugins gibt, die den Code sorgfältig überprüfen, ist es für diese Unternehmen sinnvoll, mit Experten zusammenzuarbeiten. Eine der wichtigsten Maßnahmen zur Verbesserung der Qualität ist die Codeüberprüfung, die wir bei Inpsyde Zeile für Zeile durchführen.

Da Code normalerweise nicht geschrieben wird, um skalierbar zu sein, vermeidet man Fehler am besten direkt von Anfang an. 

Deshalb sind bei Inpsyde gewisse Leitprinzipien und Code-Richtlinien allgegenwärtig. Wir achten auf Leistung (schnell und effizient), Sicherheit (sicher und widerstandsfähig gegen Angriffe), Skalierbarkeit (für hohen Datenverkehr und hohe Anforderungen), Codequalität (fördert die Verwendung von Code-Standards und Best Practices) und Zusammenarbeit (fördert die Zusammenarbeit und Teamwork).

Wir empfehlen, immer wieder auf diesen Beitrag zurückzukommen und diese Prinzipien und Ideen auf eure Website anzuwenden. Es sollte dabei immer auf den Code auf der Website geachtet werden. Die Angriffsfläche sollte so klein wie möglich gehalten werden. Plugins sind die am schwersten zu kontrollierenden Vektoren auf der Website, arbeitet also mit Experten zusammen, die sich damit auskennen. 

Wenden Sie sich jetzt an unsere WordPress-Sicherheitsexperten, um individuellen Support für Ihre Website zu erhalten und mehr über WordPress-Sicherheitsstandards auf Unternehmensebene zu erfahren.

Einen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert