Checkliste für die grundlegende Sicherheit Ihres CMS


Um Ihre Website vor unerwünschten Änderungen Dritter zu schützen, ist es wichtig, gewisse Grundsätze zu beachten und sich laufend über Sicherheitslücken zu informieren.



Admin-Berechtigungen nur für versierte Benutzer

Beinahe jede Software Lösung ermöglicht es, Ihren Mitnutzern individuelle Berechtigungen zu erteilen. Admin-Berechtigung ermöglicht den Zugriff auf alle Funktionen bis hin zum Löschen aller Daten. Admin-Rechte sollten Sie daher nur erfahrenen und vertrauenswürdigen Personen erteilen. Hier finden Sie die Berechtigungen der vier Benutzerrollen in WordPress.


Sichere Passwörter vergeben

Dies ist eigentlich jedem klar, richtig umgesetzt wird es aber selten! Im Allgemeinen gilt je länger, desto besser. Die Mindestlänge sollte 12 Zeichen betragen. Das Passwort soll aus einer zufälligen Kombination aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen bestehen. Da solche Passwörter schwer zu merken sind, können Sie einen sogenannten Passwortsafe (z.B.: KeePass) verwenden. Dabei werden alle Ihre Passwörter in einem Programm gespeichert, Sie müssen sich nur ein einziges Masterpasswort merken. Verwenden Sie ein Passwort nie mehrmals. Wenn Sie ein Default Passwort bekommen, z.B. nach einer Neuinstallation, ändern Sie es sofort. Auch ein Passwort, dass Ihnen per Email zugeschickt wird sollten Sie ändern, da Emails mit etwas Aufwand mitgelesen werden können.


CMS aktuell halten

Open-Source-Lösungen wie WordPress & Joomla werden von der Community laufend weiterentwickelt. Sicherheitslücken werden schnell erkannt und noch schneller behoben. Üblicherweise wird eine Warnmeldung auf der Startseite der Administrationsoberfläche angezeigt, welche über ein verfügbares Update informiert. Außerdem müssen Sie bei einem Update darauf achten, dass auch alle Plugins mit der neuen Version kompatibel sind.


Nur seriöse Erweiterungen installieren & aktuell halten

Installieren Sie nach Möglichkeit nur Erweiterungen, die in der Vergangenheit regelmäßig gepflegt wurden. Außerdem sollten Sie bei der Auswahl eines Plugin auf eine seriöse Download Quelle achten. Informieren Sie sich über Plugin-Updates und führen Sie diese gegebenenfalls durch.


Schutz vor Brute-Force-Angriffen

Besonders bei weit verbreiteten Systemen wie WordPress sind Brute-Force-Angriffe sehr häufig. Ein Angreifer versucht dabei, mit einer Software die in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert, Ihr Passwort zu knacken. Anleitung: WordPress gegen Brute-Force-Angriffe schützen.


Nicht benötigte Plugins & Benutzer löschen

Sollten Sie ein Plugin nicht mehr benötigen, deinstallieren Sie dieses so bald wie möglich. Sollte ein Mitnutzer Ihrer Website nicht mehr aktiv mitarbeiten, löschen Sie dessen Account.