Sicheres WordPress Hosting – Worauf es ankommt

Jeder, der eine WordPress Seite betreibt, hat sich sicher schon gefragt, was sicheres WordPress Hosting ausmacht. Worauf muss ich bei einem Anbieter achten? Muss ich auch etwas tun? Oder soll ich einfach den teuersten Anbieter nehmen?

Im Grunde ist das sichere Hosting einer WordPress Website nicht schwer, wenn man ein paar Punkte beachtet.

Ein sicherer WordPress Hosting Anbieter

Natürlich ist der Hostinganbieter eines der wichtigsten Elemente für eine sichere Website. Um einen sicheren und vertrauenswürdigen Anbieter zu finden, dem man seine Daten anvertrauen kann, sollte man auf folgende Punkte achten:

In welchem Land befinden sich die Server?

Sind die Server in Deutschland oder Österreich, ist dies ein erstes gutes Anzeichen, da hier die gesetzlichen Vorgaben strenger sind als in vielen anderen Ländern.

Sind die Server in Europa, sollte der Anbieter zumindest die grundlegenden Vorgaben der Datenschutzgrundverordnung (DSGVo) erfüllen.

Werden die Server außerhalb Europas betrieben oder der Standort nicht genannt, sollte man größte Vorsicht walten lassen. Bei einer Datenverarbeitung außerhalb Europas ist es sehr problematisch, die Vorgaben der DSGVo einzuhalten. Hier können hohe Bußgelder drohen. Und wird der Standort gar nicht erst genannt, kann man nicht einmal mehr erahnen, wie risikoreich das Hosting ist.

An welchem Ort befinden sich die Server?

Eigentlich eine Selbstverständlichkeit, aber ein Server gehört in ein professionelles Rechenzentrum. Dieses muss die nötigen Schutzstandards erfüllen. Darunter fallen eine gesicherte Stromversorgung (mit Batterien und Generatoren), ein Zugangs- bzw. Zugriffsschutz und natürlich redundante Netzwerkuplinks. Idealerweise wird der Standard durch eine entsprechende Zertifizierung – zum Beispiel ISO 27001 – nachgewiesen.

Gibt es ein Backup?

Eine einfache Frage, aber dennoch nicht immer Standard. Der Hoster sollte regelmäßig automatische Backups machen und diese auch auf getrennten Servern speichern. Gibt es im Worst-Case kein aktuelles Backup kann schnell die gesamte Investition in ihre Website verloren sein. Besonders kritisch sind dabei Online-Shops: Mit diesen werden oft die Bestellungen verwaltet. Sind diese verloren und das beste Backup ist einen Monat alt, kann dies ernste wirtschaftliche Folgen haben.

Gibt es eine Web Application Firewall?

Was ist eine Web Application Firewall (kurz WAF)? Ähnlich zur Firewall auf dem lokalen Computer kontrolliert diese den Datenverkehr des Servers. Im Unterschied zu einer normalen (Paketfilter) Firewall konzentriert diese sich nur auf den Datenverkehr der Websites. Dieser wird genau gescannt, um Angriffe und unerwünschten Datenverkehr zu blockieren. Damit erreichen viele Angriffsversuche die WordPress Website gar nicht erst. Das bedeutet, eine gute WAF stellt eine aktive Hürde für einen Angreifer dar.

Im Idealfall erfolgt die Datenverarbeitung am Server und es werden dabei auch keine Daten gesammelt oder gar an Drittanbieter übermittelt. Andernfalls muss man genau prüfen, ob der Einsatz im Sinne der DSGVo zulässig ist.

SSL Verschlüsselung

Im Grunde schon so selbstverständlich, dass es nicht mehr nötig sein sollte, es zu erwähnen. Jede moderne Website braucht ein SSL Zertifikat. Dies ist mittlerweile zum Standard geworden. Viele Browser warnen aktiv bei unverschlüsselten Verbindungen.

Support

Achten Sie auf einen guten Support, der kurzfristig erreichbar ist. Er kann den Unterschied machen, ob eine kompromittierte Seite wiederhergestellt wird, bevor der Angreifer Zeit hatte, viel Schaden anzurichten oder ob eine gehackte Seite noch lange im Netz ist.

Ist ein sicheres WordPress Hosting teuer?

Nein 🙂 Wie so oft kann man auch bei günstigen Angeboten eine gute Qualität finden. Aber auch Anbieter, die ihre günstigen Preise durch Einsparungen bei der Qualität erreichen. Daher sollte man vorab prüfen, ob der Anbieter alle Wünsche erfüllt. Idealerweise bietet der Anbieter einen kostenlosen Testzeitraum, damit man alle Leistungen selbst ausprobieren kann.

Was kann ich tun um meine Seite abzusichern?

Ein sicheres WordPress Hosting ist eine gute Grundlage, aber man sollte auch selbst ein paar Maßnahmen setzen, um seine Seite abzusichern. Damit kann man sehr viel zur Sicherheit beitragen:

Sichere Passwörter

Bitte verwenden Sie immer ausreichend komplexe Passwörter für Ihre Website. Einfache Worte oder Namen sind nicht sicher und können mit Wörterbuch-Attacken in kürzester Zeit überwunden werden. Beim Ändern von Passwörtern generiert WordPress mittlerweile sichere Passwort-Vorschläge. Wir empfehlen dringend, diese zu verwenden. Falls möglich, nutzen Sie auch eine 2-Faktor Authentifizierung. Diese erhöht die Sicherheit deutlich.

Regelmäßige Updates

Nicht (rechtzeitig) gemachte Updates sind einer der größten Angriffsvektoren auf Websites (siehe auch hier). Damit macht man es Angreifern besonders leicht, da sie damit einfach und automatisiert unzählige Seiten im Web übernehmen können. Daher können wir nur unbedingt empfehlen, alle Updates regelmäßig einzuspielen. Sollten Sie sich darum nicht kümmern können oder wollen, empfehlen wir einen WordPress Wartungsvertrag abzuschließen, der Ihnen diese Arbeit abnimmt. Dabei wird Ihre Website 24/7 von Technikern überwacht. Dringende Sicherheitsupdates werden in der Regel zeitnah eingespielt. Reguläre Updates werden laufend eingespielt.

Eigene Backups

Wie oben beschrieben gehören regelmäßige Backups zu einem sicheren WordPress Hosting. Trotzdem empfehlen wir jedem Websitebetreiber regelmäßig ein eigenes zusätzliches Backup der Website zu erstellen und bei sich aufzubewahren. Auch wenn es sehr selten passiert, besteht auch das Restrisiko von katastrophalen Vorfällen. Ein eindrucksvolles Beispiel ist der Großbrand von zwei Rechenzentren auf dem Gelände eines großen Anbieters in Frankreich im Frühjahr 2021. Viele Kunden hatten ein Backup auch gebucht. Teilweise wurden aber auch die Backup-Server vernichtet. Auch wenn man ein Backup hat, muss man bei solchen Ereignissen bedenken, dass sehr viel Infrastruktur zerstört wird und viele Kunden gleichzeitig getroffen werden. Man muss also damit rechnen, dass sein Anbieter das eigene Backup nicht sofort wiederherstellen kann, sondern es einige Tage dauern kann.

In solchen Fällen kann ein unabhängiges Backup die Rettung sein, selbst wenn es nicht tagaktuell ist. Darum ist es, je nach Anwendungsfall meist ausreichend wenn man so ein Backup monatlich, quartalsweise oder ggf. noch seltener anfertigt.

Backup Wiederherstellung testen

Testen, testen und nochmals testen ist das A und O in der IT. Was nicht ausgiebig getestet wurde, funktioniert fast nie. Am wenigsten funktionieren ungetestete Abläufe, wenn es sowieso schon brenzlig ist. Das gilt natürlich auch für Backups. Darum testen Sie: Spielen Sie den Desaster-Fall durch! Verwenden Sie eines Ihrer Backups oder bitten Sie Ihre Hosting Firma eines Ihrer Backups auf einer separaten Sub-Domain wiederherzustellen (zum Beispiel: test.ihre-domain.de). Und dann prüfen Sie, ob alles so funktioniert wie erwartet. Besonders wichtig ist dies bei Shops. Es kann zum Beispiel zu doppelt vergebenen Bestell- und Rechnungsnummern kommen. Testen Sie genau wie sie bei einem echten Vorfall damit umgehen würden. Gibt es hier Probleme bei der Wiederherstellung oder schlägt diese fehl, ist es wichtig, alle Probleme anzugehen und zu beheben. Anschließend muss man den Test wiederholen und erneut überprüfen, ob Wiederherstellung reibungslos funktioniert. Gibt es Probleme bei den Abläufen? Dann optimieren Sie Ihre Vorgehensweise und wiederholen Sie auch in diesem Fall den Test, bis alles ohne große Probleme abläuft. Wichtig: wenn alles gut funktioniert, wiederholen Sie den Test selten aber regelmäßig (zum Beispiel jährlich).

Damit sind Sie selbst auf kritische Situationen gut vorbereitet und können Verluste selbst in kritischen Situationen minimieren.

Zusammenfassung

Sicheres WordPress Hosting ist ganz einfach, wenn man ein paar wichtige Grundregeln beherzigt. Damit dies einfacher gelingt, haben wir alles noch in dieser Infrografik für Sie zusammengefasst. Teilen Sie diese doch mit Ihren Freunden und Kollegen und helfen Sie so, das Web sicherer zu machen!