Blogserie: WordPress Wartung & Betreuung
Dieser Artikel ist Teil 3 unserer Blogserie zur WordPress Wartung und Betreuung durch WP-Wartung24.
In dieser Serie zeigen wir, welche technischen Prozesse wir im Rahmen unserer WordPress-Wartung durchführen, um betreute WordPress-Websites stabil, sicher und zuverlässig zu betreiben.
Die einzelnen Teile der Serie:
1. WordPress Wartung & Betreuung: Warum Updates allein nicht ausreichen
2. WordPress-Updates richtig durchführen – warum der Prozess entscheidend ist
3. WordPress-Sicherheit im laufenden Betrieb – Überwachung, Schutz und schnelle Reaktion (dieser Artikel)
4. WordPress Monitoring & laufender Betrieb – Stabilität, Performance und Compliance dauerhaft sichern
Dieser Teil 3: WordPress-Sicherheit im laufenden Betrieb: Wir zeigen, welche Sicherheits- und Überwachungsmaßnahmen wir einsetzen, um betreute Websites dauerhaft zu schützen und Angriffe frühzeitig zu erkennen.
WordPress Sicherheit & Wiederherstellbarkeit im Ernstfall
WordPress Sicherheit ist ein zentraler Bestandteil professioneller Wartung und endet nicht bei Updates. Selbst bei sorgfältiger Pflege kann es zu technischen Problemen, Sicherheitsvorfällen oder externen Störungen kommen. Entscheidend ist dann, wie gut die Website abgesichert ist und wie schnell sie sich im Ernstfall wiederherstellen lässt.
In diesem dritten Teil unserer Blogserie zeigen wir, welche Maßnahmen im Rahmen unserer Wartung dazu beitragen, WordPress-Websites dauerhaft abzusichern und im Problemfall handlungsfähig zu bleiben.
Wenn mal was passiert: Backups und Wiederherstellung
Und wenn doch mal was schief geht? Natürlich umfasst unsere Wartung auch ein Backupsystem. Wir erstellen Backups, je nach gewähltem Tarif, wöchentlich oder täglich. Backups sind ein zentraler Baustein für die WordPress Sicherheit, da sie im Ernstfall eine schnelle und kontrollierte Wiederherstellung ermöglichen. Die Sicherung erfolgt auf unseren eigenen Storage-Servern mit Standort Deutschland.
Dabei kommen unterschiedliche Backup-Methoden zum Einsatz – abhängig von Größe, Struktur und Anforderungen der jeweiligen Website. Dazu zählen unter anderem skriptbasierte, inkrementelle Backups für große Installationen ebenso wie pluginbasierte Sicherungen.
Wir speichern alle Backups in kundenspezifischen, getrennten Accounts. Ein übergeordneter Zugriff auf Kundendaten ist dadurch ausgeschlossen. Die Sicherungen erfolgen automatisiert und werden nach Ablauf der definierten Aufbewahrungszeit ebenfalls automatisiert entfernt.
Da Backups je nach Hostingumgebung nicht immer zuverlässig durchlaufen, überwachen wir jede Sicherung zusätzlich. So erkennen wir fehlgeschlagene Backups frühzeitig und können sie kurzfristig nachholen. So stellen wir sicher, dass jederzeit ausreichend aktuelle Sicherungen vorhanden sind.
Die Wiederherstellung eines Backups führen wir bei Bedarf kurzfristig durch. Je nach Situation kann dabei entweder die komplette Website wiederhergestellt oder gezielt auf einzelne Komponenten zugegriffen werden.
Überwachung von Dateiänderungen
Neben Updates sind Sicherheitsmaßnahmen ein zentrales Standbein unserer Wartung. Sicherheitsvorfälle können gravierende Folgen haben – von Website-Ausfällen und Einnahmeverlusten bis hin zu Reputationsschäden und Datenschutzproblemen.
Die Überwachung von Dateiänderungen ist ein wesentlicher Bestandteil der WordPress Sicherheitsüberwachung im laufenden Betrieb. Ein eigenes Client-Plugin erfasst auf jeder betreuten Website täglich sämtliche Änderungen am Dateisystem.
Dazu zählen unter anderem:
- reguläre Änderungen durch Redakteure (z. B. neue Mediendateien),
- Änderungen im Rahmen von Updates,
- automatische Anpassungen durch Plugins (z. B. Konfigurationsänderungen, Caches, etc.),
- sowie unerwünschte Änderungen durch Angriffe, Schadcode oder Manipulationen an Konfigurationsdateien.
Alle erfassten Dateiänderungen werden über Dateiänderungslisten in unserem internen System Momas überwacht . Ergänzend nutzen wir hunderte automatisierte Regeln, um Dateiänderungen zu bewerten und zu klassifizieren. So filtern wir harmlose und gewöhnliche Änderungen zuverlässig heraus. Diese Regeln können bei uns global aber auch spezifisch für einzelne Websites definiert werden, um auf Sonderfälle in einzelnen Installationen eingehen zu können. Am Ende werden auffällige Änderungen in unserem System gemeldet und von uns manuell überprüft, so dass wir für jede Änderung sicherstellen können, dass keine Gefahr von ihr ausgeht.
So erkennen wir verdächtige Dateiänderungen innerhalb weniger Stunden und können zum Schutz der Website sofort reagieren.
Ergänzend dazu laufen die von uns betreuten Websites täglich durch einen automatisierten Malware-Scan, der sicherstellt, dass unsere Dateiüberwachungen keine verdächtigen Aktivitäten übersehen.
Proaktiver Schutz durch Web Application Firewalls für die WordPress Sicherheit
Einen hundertprozentigen Schutz kann es nicht geben – ein Restrisiko bleibt immer bestehen. Ziel unserer Wartung ist es jedoch, dieses Risiko auf allen Ebenen so gering wie möglich zu halten.
Dazu gehört auch die Nutzung einer Web Application Firewall auf jeder der von uns betreuten Websites. Eine Web Application Firewall ist der Applikationsausführung vorgeschaltet und prüft alle eingehenden Anfragen an die Website auf verdächtige Elemente. So filtern wir bekannte Angriffsvektoren gezielt heraus und blockieren sie zuverlässig.
In unseren Basis- und Standard-Tarifen kommt die Ninja Firewall zum Einsatz. In den Plus-Tarifen nutzen wir zusätzlich Patchstack, das mit sogenannten virtuellen Patches Sicherheitslücken absichert, noch bevor entsprechende Updates veröffentlicht werden. Die Firewall-Nutzung ermöglicht einen sicheren Betrieb jeder Website und fängt Angriffe und Botzugriffe zuverlässig ab, bevor diese auf Applikationsebene Schaden anrichten können.
Je nach Hostinganbieter, bei dem eine Website betrieben wird, kann der proaktive Schutz zusätzlich durch Maßnahmen auf Serverebene ergänzt werden. Unabhängig davon stellt unsere Web Application Firewall sicher, dass ein hohes Maß an Sicherheit gewährleistet ist, auf das sich unsere Kunden verlassen können.
Über die Log-Funktionen der eingesetzten Firewalls erhalten wir zudem Zugriff auf detaillierte Angriffsdaten. So können wir Angriffe auf die Website analysieren und bei Bedarf weitere Sicherheitsmaßnahmen ergreifen. Bei einigen Kunden setzen wir ergänzend ein Cloud-basiertes Schutzsystem ein, beispielsweise Cloudflare, über das sich weiterführende und komplexere Sicherheitsregeln definieren lassen.
Sicherheitsüberwachung über SIWECOS
Zusätzlich nutzen wir mit SIWECOS ein Projekt des Bundesministeriums für Wirtschaft und Energie, das grundlegende Sicherheitsmechanismen von Websites überprüft und bewertet.
Alle von uns betreuten Websites werden regelmäßig über SIWECOS überwacht. Der daraus resultierende Sicherheits-Score (0–100) ist Teil unserer internen Kontrolle. Sinkt dieser Wert, leiten wir entsprechende Maßnahmen ein.
Unser Ziel ist ein dauerhafter Sicherheitswert von mindestens 85 Punkten, um ein hohes Sicherheitsniveau dauerhaft sicherzustellen.
Blogserie: WordPress Wartung & Betrieb
Alle Teile der Serie:
1. WordPress Wartung & Betreuung: Warum Updates allein nicht ausreichen
2. WordPress-Updates richtig durchführen – warum der Prozess entscheidend ist
3. WordPress-Sicherheit im laufenden Betrieb – Überwachung, Schutz und schnelle Reaktion (dieser Artikel)
4. WordPress Monitoring & laufender Betrieb – Stabilität, Performance und Compliance dauerhaft sichern
Diese vier Bereiche zeigen exemplarisch, welche technischen Aufgaben wir im Rahmen unserer WordPress-Wartung dauerhaft übernehmen.