Checkliste für die grundlegende Sicherheit Ihres CMS


Um Ihre Website vor unerwünschten Änderungen Dritter zu schützen, ist es wichtig, gewisse Grundsätze zu beachten und sich laufend über Sicherheitslücken zu informieren.



Admin-Berechtigungen nur für versierte Benutzer

Beinahe jede Software Lösung ermöglicht es, Ihren Mitnutzern individuelle Berechtigungen zu erteilen. Admin-Berechtigung ermöglicht den Zugriff auf alle Funktionen bis hin zum Löschen aller Daten. Admin-Rechte sollten Sie daher nur erfahrenen und vertrauenswürdigen Personen erteilen. Hier finden Sie die Berechtigungen der vier Benutzerrollen in WordPress.


Sichere Passwörter vergeben

Dies ist eigentlich jedem klar, richtig umgesetzt wird es aber selten! Im Allgemeinen gilt je länger, desto besser. Die Mindestlänge sollte 12 Zeichen betragen. Das Passwort soll aus einer zufälligen Kombination aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen bestehen. Da solche Passwörter schwer zu merken sind, können Sie einen sogenannten Passwortsafe (z.B.: KeePass) verwenden. Dabei werden alle Ihre Passwörter in einem Programm gespeichert, Sie müssen sich nur ein einziges Masterpasswort merken. Verwenden Sie ein Passwort nie mehrmals. Wenn Sie ein Default Passwort bekommen, z.B. nach einer Neuinstallation, ändern Sie es sofort. Auch ein Passwort, dass Ihnen per Email zugeschickt wird sollten Sie ändern, da Emails mit etwas Aufwand mitgelesen werden können.


CMS aktuell halten

Open-Source-Lösungen wie WordPress & Joomla werden von der Community laufend weiterentwickelt. Sicherheitslücken werden schnell erkannt und noch schneller behoben. Üblicherweise wird eine Warnmeldung auf der Startseite der Administrationsoberfläche angezeigt, welche über ein verfügbares Update informiert. Außerdem müssen Sie bei einem Update darauf achten, dass auch alle Plugins mit der neuen Version kompatibel sind.


Infrastruktur aktuell halten

Ebenso wichtig wie ein gewartetes CMS ist es, aktuelle Versionen von PHP, MySQL und anderen Diensten zu verwenden. Daher sollten Sie regelmäßig die technischen Anforderungen Ihres Content Management Systems überprüfen. Meist gibt es minimale und empfohlene Anforderungen für PHP und MySQL. Verwenden Sie wenn möglich immer die empfohlenen Einstellungen. Unter "Domaintechnik Software Versionen" finden Sie eine Liste der PHP und MySQL Versionen inklusive Informationen über den Wartungsstatus.
Für ein PHP-Update in WordPress können Sie unserer Anleitung folgen.


Nur seriöse Erweiterungen installieren & aktuell halten

Installieren Sie nach Möglichkeit nur Erweiterungen, die in der Vergangenheit regelmäßig gepflegt wurden. Außerdem sollten Sie bei der Auswahl eines Plugin auf eine seriöse Download Quelle achten. Informieren Sie sich über Plugin-Updates und führen Sie diese gegebenenfalls durch.


Schutz vor Brute-Force-Angriffen

Besonders bei weit verbreiteten Systemen wie WordPress sind Brute-Force-Angriffe sehr häufig. Ein Angreifer versucht dabei, mit einer Software, die in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert, Ihr Passwort zu knacken. Mehr zu diesem Thema erfahren Sie in unserem Guide zu WordPress Sicherheit.


Nicht benötigte Plugins & Benutzer löschen

Sollten Sie ein Plugin nicht mehr benötigen, deinstallieren Sie dieses so bald wie möglich. Sollte ein Mitnutzer Ihrer Website nicht mehr aktiv mitarbeiten, löschen Sie dessen Account.