WordPress-Sicherheit: Ein kleiner Überblick

Paul Lewis, Advokat im Google Chrome Developer Relations Team, hat 2014 in seinem Artikel „Web Components and the Three Unsexy Pillars“ die drei ungeliebten Säulen der Webentwicklung definiert: Accessibility, Performance und Sicherheit. Unscheinbar, wenig glamourös, wenn überhaupt findet man sie bei Website Projekte meist am Ende von Pflichtenheften, es sei denn Auftraggeber*innen sind technisch versiert und wissen um deren Bedeutung. Für den Erfolg sind aber alle drei unabdingbar. Geht die Seite online und es fehlt eine der drei Säulen bekommt man über kurz oder lang Probleme, gleiches gilt für den nachträglichen Einbau einer der drei. Man merkt schnell, wie sehr sie voneinander abhängen und sich gegenseitig bedingen.
Das Feld der Accessibility findet leider meist nur Beachtung wenn man selbst betroffen ist oder jemanden im direkten Bekanntenkreis mit Einschränkungen kennt. Ansonsten wird man sich dessen erste bewusst wenn die erste Abmahnung ins Haus flattert. Ein Szenario welches mit den kommenden EU-Richtlinien künftig auch im öffentlichen Sektor in Deutschland häufiger der Fall sein könnte.
Performance wird in der westeuropäischen Filterblase mit ihren potenten Smartphones und schnellen Netzen eher unbedarft abgetan. Aber mit jeder weiteren Sekunde Ladezeit einer Seite steigt die Zahl der abspringenden Besucher exponentiell.
Die Sicherheit ist der wohl offensichtlichste Punkt der drei, den jedoch die Meisten mit einem lapidaren „Wer soll mich denn hacken wollen? Bei mir gibt es doch nichts zu holen, ich hab doch nur einen kleinen Blog?!“ abwiegeln. Sobald jedoch dieser kleine unbedeutende eigene Blog das erste Mal gehackt wurde, dämmert es den Betroffenen so langsam, dass sie wohl einem Trugschluss aufsaßen und sie erkennen erst die ganze Tragweite.
Um solchen Schreckensszenarien einen Riegel vorzuschieben ist im Mai Frank Schmittlein ein weiteres Mal als Referent zu Gast. Nach der Einführung zu DDEV im letzen Monat hat er sich bereit erklärt dieses Mal einen kleinen Überblick über das weite Feld der WordPress-Sicherheit zu bieten. Im ersten Schritt wird er erklären was Sicherheit überhaupt bedeutet und weswegen man den ganzen Aufwand eigentlich betreiben sollte. Er zeigt mittels welcher Tools man seine Seite schnell auf die gängigsten Sicherheitslücken überprüfen kann, um im Anschluss Schrittweise durch die Maßnahmen zu gehen, die man ergreifen kann, um Server und WordPress Installation gegen ungebetene Gäste abzusichern. Abschließend demonstriert er noch wie man fortlaufend ein Auge auf seine Installation haben kann, um Einbruchsversuche frühzeitig zu erkennen. Wir sehen uns am 16. Mai!