Allgemein, Benutzer

Sicherheit

Die Sicherheit deiner Website und deiner persönlichen Daten hat immer Priorität.  Auf dieser Seite erfährst du, wie wir deine Website und deine persönlichen Daten schützen und welche zusätzlichen Schritte wir dir hierzu empfehlen.  

Inhaltsverzeichnis

So schützen wir deine Website und Daten
Standardmäßige Verschlüsselung
Firewalls
Überwachung verdächtiger Aktivitäten
Sicherheitstests
Backup und Wiederherstellung von Daten
Unser Sicherheitsteam

Wie du deine Website und Daten schützen kannst
Halte deine Geheimnisse geheim
Wähle ein sicheres Passwort
Melde dich bei deinem Konto ab
Kontrolliere den Websitezugriff
Zwei-Schritt-Authentifizierung

Auswählen eines starken Passworts
Herkömmliche Passwörter sind nicht mehr sicher
Moderne Methoden
Die beste Methode: Passwort-Manager
Eine gute Methode: Passphrasen
Zusätzliche Tipps für beide Passwortmethoden


So schützen wir deine Website und Daten

Standardmäßige Verschlüsselung

Eine gute Verschlüsselung ist entscheidend, um den Schutz und die Sicherheit deiner Daten zu gewährleisten. Wir verschlüsseln (mit SSL) alle WordPress.com-Websites inklusive individueller Domains, die auf WordPress.com gehostet werden. Eine sichere Verschlüsselung ist uns so wichtig, dass wir keine Option zur Deaktivierung anbieten, da dies die Sicherheit deiner WordPress.com-Website gefährden würde. Außerdem werden alle unsicheren HTTP-Anfragen per 301-Weiterleitung auf die sichere HTTPS-Version umgeleitet. Erhalte weitere Informationen zu HTTPS und SSL für deine Website.

Wir installieren für deine Website automatisch ein SSL-Zertifikat. Es kann sehr selten vorkommen, dass die spezifische Konfiguration einer Website eine ordnungsgemäße Funktionsweise des SSL-Zertifikats verhindert. Solltest du ein Problem mit deinem SSL-Zertifikat haben, wende dich bitte an uns.


↑ Inhaltsverzeichnis ↑

Firewalls

Wir betreiben Firewalls und verfügen über Prozesse, die uns über unberechtigte Zugriffsversuche auf WordPress.com-Konten benachrichtigen.


↑ Inhaltsverzeichnis ↑

Überwachung verdächtiger Aktivitäten

Wir beobachten kontinuierlich den Web-Traffic und überwachen verdächtige Aktivitäten. Darüber hinaus verfügen wir über Sicherheitsmaßnahmen zum Schutz vor Distributed Denial-of-Service-Angriffen (DDoS).


↑ Inhaltsverzeichnis ↑

Sicherheitstests

Wir überprüfen regelmäßig die Sicherheit unserer Dienste und suchen nach potenziellen Schwachstellen. Darüber hinaus betreiben wir ein Fehlersuche-Prämienprogramm über HackerOne, um Personen zu belohnen, die Fehler finden und uns dabei helfen, die Sicherheit unserer Dienste zu verbessern.


↑ Inhaltsverzeichnis ↑

Backup und Wiederherstellung von Daten

Unsere Systeme führen regelmäßig Backups deiner WordPress.com-Daten durch, damit wir sie bei einem Vorfall, der zu Datenverlusten führt (wie Stromausfall oder Naturkatastrophen), wiederherstellen können.


↑ Inhaltsverzeichnis ↑

Unser Sicherheitsteam

Bei uns kümmert sich ein spezielles Sicherheitsteam um den Schutz deiner Daten. Es arbeitet direkt mit unseren Produktteams zusammen, um potenzielle Sicherheitsrisiken zu beheben und unser intensives Engagement, deine Daten sicher aufzubewahren, aufrechtzuerhalten.

Keine Methode der Übermittlung von Daten im Internet und keine Art der elektronischen Speicherung ist vollkommen sicher. Wir können keine Garantie für die absolute Sicherheit deiner Website oder deines Kontos geben – das kann niemand.  Aber es ist uns enorm wichtig deine Website und persönlichen Daten so gut wie möglich zu schützen.


So kannst du deine Website und Daten schützen

Du selbst kannst ebenfalls einiges tun, um deine Daten zu schützen (lies weiter!).

↑ Inhaltsverzeichnis ↑

Halte deine Geheimnisse geheim

Die größte Sicherheitsschwachstelle bei allen Online-Aktivitäten ist dein Passwort. Es ist der Schlüssel zu deinem Blog, deiner E-Mail, deinen Konten der sozialen Netzwerke und allen anderen Online-Diensten, die du nutzt. Wenn dein Passwort leicht zu erraten ist, ist deine Online-Identität gefährdet.

Es muss nur jemand das Passwort erraten und schon kann er alle deine jemals veröffentlichten Beiträge löschen. Er könnte deine Website verunstalten. Er könnte deine E-Mails lesen oder deine Adresse kapern und sich als du ausgeben. Er könnte alles ruinieren, was du dir zeitaufwendig aufgebaut hast.


↑ Inhaltsverzeichnis ↑

Wähle ein sicheres Passwort

Alle deine Passwörter müssen für dich leicht zu merken und für andere schwer zu erraten sein. Eine zufällige Ziffern- und Zeichenfolge ist schwer zu erraten, aber ebenso schwer zu merken. Das Geburtsdatum oder den Namen deines ersten Haustiers wirst du dagegen sicher nicht vergessen, dies ist aber trotzdem als Passwort äußerst ungeeignet, da es recht einfach zu erraten oder herauszufinden ist.

In WordPress.com kannst du sehr lange Passwörter mit einer beliebigen Kombination von Buchstaben, Zahlen und Sonderzeichen verwenden, sodass die Sicherheit deines Passworts – und im weiteren Sinne deines Blogs – ganz in deinen Händen liegt. Wir haben ein paar Tipps zur Erstellung sicherer Passwörter zusammengestellt.


↑ Inhaltsverzeichnis ↑

Melde dich bei deinem Konto ab

Du kannst dein Konto schützen, indem du dich nach getaner Arbeit stets wieder abmeldest. Dies ist besonders wichtig, wenn du an einem gemeinsam genutzten oder öffentlichen Computer arbeitest. Wenn du dich nicht abmeldest, kann eine andere Person einfach über den Browser-Verlauf deines Computers und das Aufrufen deines WordPress.com-Dashboards auf dein Konto zugreifen.

Du kannst dein Konto schützen, indem du dich nach getaner Arbeit stets wieder abmeldest.

Klicke dazu oben rechts auf deinen Gravatar. Anschließend klickst du unter deinem Gravatar auf Abmelden.


↑ Inhaltsverzeichnis ↑

Kontrolliere den Websitezugriff

WordPress.com bietet eine umfangreiche Mehrbenutzerplattform. Auch wenn jede Website nur einen Eigentümer hat, können sich beliebig viele Benutzer daran beteiligen – dies ist ideal für Gruppenblogs mit mehreren Autoren, für Websites im Magazinstil mit einem redaktionellen Workflow oder für sonstige große Websites, bei denen du dir die administrative Arbeit mit anderen Personen teilen möchtest.

Das Teilen der Arbeitslast ist jedoch auch gleichbedeutend mit dem Teilen von Verantwortung. Deshalb kannst du in WordPress.com verschiedene Rollen für jeden deiner Website hinzugefügten Benutzer festlegen. Die Rollen bestimmen die Zugriffsebene des jeweiligen Benutzers.

  • Mitarbeiter: die eingeschränkteste Rolle, kann nur Beitragsentwürfe erstellen, sie aber nicht veröffentlichen.
  • Autor: Kann Beiträge veröffentlichen und Bilder hochladen, haben aber keinen Zugriff auf die Beiträge anderer Benutzer.
  • Editoren: können nicht nur die Beiträge aller Benutzer veröffentlichen, sondern auch Kommentare moderieren sowie Kategorien und Schlagwörter verwalten.
  • Administratoren: haben die volle Kontrolle über die Website – sie können sie sogar löschen.

Versuche beim Hinzufügen von Benutzern die Rolle zu finden, die am besten zu ihren Aufgaben auf deiner Website passt. Wenn du ein Konto für einen Benutzer einrichtest, der nur ein paar Beiträge verfassen möchte, dann machst du ihn zum Mitarbeiter. Behalte die Rollen des Autors und Redakteurs vertrauenswürdigen Benutzern vor, die sich langfristig auf deiner Website engagieren.

Besonders geizig solltest du mit der Administratorenrolle umgehen. Wenn du einen anderen Benutzer zum Administrator deiner Website machst, erschaffst du buchstäblich ein separates Schlüsselset für deine Website und übergibst dieses an eine andere Person. Der Administrator kann mit deiner Website machen, was er will,  und ein zusätzliches Schlüsselset steigert das Risiko erheblich, dass deine Website gekapert wird.

Eigentlich solltest du die Administratorenrolle komplett meiden. In fast allen Fällen ist die Rolle des Redakteurs die bessere Wahl.

Weitere Informationen hierzu findest du auf den Support-Seiten zum Hinzufügen von Benutzern und zu den Benutzerrollen.


↑ Inhaltsverzeichnis ↑

Zwei-Schritt-Authentifizierung

Für die Zwei-Schritt-Authentifizierung kannst du jedes iOS-, Android-, Blackberry- oder SMS-fähige Mobilgerät als eindeutigen Schlüssel für deinen Blog verwenden. Nachdem du dich beim Dienst registriert hast, musst du bei jeder Anmeldung bei deinem Blog einen speziell generierten temporären Code eingeben. Auf diese Weise kann jemand, der an dein Passwort gerät, sich trotzdem nicht anmelden, wenn er nicht auch über dein Mobilgerät verfügt.

Weitere Informationen zu diesem Dienst erhältst du auf unserer Support-Seite zur Zwei-Schritt-Authentifizierung.


Auswählen eines starken Passworts

Der schwächste Punkt der Sicherheit deiner Online-Konten ist meist dein Passwort. Bei WordPress.com betreiben wir großen Aufwand, damit deine Inhalte sicher und geschützt sind und niemand außer dir darauf zugreifen kann.

Aber wenn eine andere Person dein Passwort erraten oder auf andere Weise daran gelangen konnte, kann sie damit jede Sicherheitsmaßnahme überwinden, da WordPress.com diese Person für dich hält. Sie kann beliebige Änderungen an deinem WordPress.com-Blog oder -Konto vornehmen, beispielsweise deine Inhalte löschen.

Um das zu verhindern, zeigt dir dieser Leitfaden, wie du starke Passwörter erstellen kannst, die sich nur schwer erraten oder knacken lassen. Lies dir die folgenden Tipps durch und überprüfe dein eigenes Passwort. Wenn du der Meinung bist, dass dein Passwort unsicher ist, empfehlen wir dringend, es zu ändern.


↑ Inhaltsverzeichnis ↑

Herkömmliche Passwörter sind nicht mehr sicher

Techniken zum Knacken von Passwörtern wurden in den letzten Jahren schnell erheblich weiterentwickelt, die Methoden zum Erstellen von Passwörtern konnten damit jedoch nicht Schritt halten. Deshalb gelten die häufigsten Ratschläge zum Erstellen starker Passwörter heute als veraltet und unpraktisch.

Ein nach diesen Prinzipien erstelltes Passwort wie jal43#Koo%a, ist für einen Computer sehr leicht zu knacken und für Menschen sehr schwer zu merken und zu tippen.

Die neuesten und effektivsten Passwortangriffe schaffen bis zu 350 Milliarden Versuche pro Sekunde, und diese Zahl wird in den nächsten Jahren mit Sicherheit noch erheblich steigen.

Zum Erstellen eines starken Passworts sind heute moderne Techniken nötig, von denen wir dir im nächsten Absatz zwei vorstellen.


↑ Inhaltsverzeichnis ↑

Moderne Methoden

Für das Generieren eines starken Passworts gibt es viele verschiedene Ansätze, aber Passwort-Manager und Passphrasen gehören zu den besten. Wähle die Methode, die für dich am besten funktioniert, und lies dir im entsprechenden Abschnitt dieses Artikels die nächsten Schritte durch.


↑ Inhaltsverzeichnis ↑

Die beste Methode: Passwort-Manager

Ein Passwort-Manager ist eine Software-Anwendung für deinen Computer oder dein Mobilgerät, die sehr starke Passwörter generiert und sie in einer sicheren Datenbank speichert. Auf diese Datenbank greifst du mit einer einzigen Passphrase zu und anschließend kann der Passwort-Manager deinen Benutzernamen und dein Passwort automatisch in Website-Formularen eingeben. Wenn du dir nur ein Passwort merken musst, kannst du dieses so zufällig und schwierig zu erraten gestalten, wie du möchtest.

Deshalb musst du dir nie wieder Gedanken über das Erstellen, Merken oder Eingeben eines guten Passworts machen. Das ist die einfachste und sicherste heute verfügbare Methode, die wir dringend empfehlen.

Verwendung eines Passwort-Managers

Es werden viele verschiedene Passwort-Manager-Anwendungen angeboten, sodass du dich für eine entscheiden und sie auf deinem Computer installieren solltest. Dies sind allgemeine Schritte, deshalb solltest du für weitere Einzelheiten in der Dokumentation deiner jeweiligen Anwendung nachschlagen.

  1. Wähle einen Passwort-Manager aus. Folgende werden häufig verwendet:
    • 1Password (Closed Source, kommerziell)
    • LastPass (Closed Source, kostenlos/kommerziell)
    • Dashlane (Closed Source, kostenlos/kommerziell)
    • KeePass (Open Source, kostenlos)
    • RoboForm (Closed Source, kommerziell)
    • Mit der Suchmaschine deiner Wahl findest du noch mehr Vorschläge.
  2. Installiere die Anwendung auf deinem Computer.
  3. Installiere alle Erweiterungen oder Plugins für die Webbrowser, die du nutzt.
  4. Erstelle ein starkes Master-Passwort zum Öffnen der Passwort-Datenbank. Im Abschnitt Erstellen einer Passphrase in diesem Artikel findest du entsprechende Hinweise.
  5. (Optional): Notiere das Master-Passwort und bewahre es an einem sicheren Ort auf, beispielsweise in einem Schließfach oder einem gesicherten Safe. Es ist wichtig, darauf zurückgreifen zu können, falls du einmal das Master-Passwort vergisst.
  6. (Optional) Mit den integrierten Tools der Anwendung oder über einen Dienst wie SpiderOak kannst du deine Passwortdatenbank auf mehreren Geräten verwenden. Wenn du einen externen Dienst verwendest, achte darauf, dafür ein starkes Passwort zu verwenden, und aktiviere für das Konto (falls möglich) eine zweistufige Authentifizierung.

Nachdem du nun deinen Passwort-Manager eingerichtet hast, kannst du damit beginnen, damit starke Passwörter zu generieren. Suche das integrierte Tool zur Generierung von Passwörtern in deinem Manager und konfiguriere es so, dass es 30 bis 50 zufällige Zeichen erstellt, mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen.

Password-Generator

Das Ergebnis sollte in etwa so aussehen: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

Das wirkt wahrscheinlich abschreckend, aber du solltest berücksichtigen, dass du dir dieses Passwort niemals merken oder eingeben musst – der Passwort-Manager übernimmt das für dich.


↑ Inhaltsverzeichnis ↑

Eine gute Methode: Passphrasen

Eine Passphrase funktioniert ähnlich wie ein Passwort, nutzt jedoch eine zufällige Wörterkombination statt eines einzigen Begriffs, beispielsweise kopie hinweis falle hell.

Da die Länge eines Passworts einer der wichtigsten Faktoren für seine Stärke ist, sind Passphrasen erheblich sicherer als herkömmliche Passwörter. Gleichzeitig lassen sie sich auch viel leichter merken und eingeben.

Sie sind nicht so sicher wie die Arten von Passwörtern, die von Passwort-Managern generiert werden, aber sie sind trotzdem eine gute Option, wenn du keinen Passwort-Manager verwenden möchtest. Sie eignen sich auch am besten dazu, das Master-Passwort für einen Passwort-Manager oder dein Betriebssystemkonto zu generieren, da dieses nicht automatisch vom Passwort-Manager ausgefüllt werden kann.

Erstellen einer Passphrase

Eine Passphrase wird genauso erstellt wie ein herkömmliches Passwort, sie muss jedoch nicht so komplex sein, da die Länge der Phrase genug Sicherheit bietet, um die fehlende Komplexität auszugleichen.

  1. Wähle vier zufällige Wörter aus. Du kannst natürlich auch den xkcd Passphrase Generator verwenden, aber es ist besser,  wenn du dir selbst eines ausdenkst.
  2. Wenn du möchtest, kannst du Leerzeichen zwischen den Wörtern hinzufügen.

Nun hast du beispielsweise eine solche Phrase: kopie hinweis falle hell

Du kannst dich damit begnügen oder mit den folgenden Schritten die Stärke weiter erhöhen:

  1. Schreibe einige der Buchstaben groß.
  2. Füge einige Ziffern und Symbole ein.

Nach Anwendung dieser Regeln sieht sie in etwas folgendermaßen aus: Kopie hinweis 48 Falle (#) hell

Das solltest du vermeiden:

  • Die Wörter sollten nicht nach einem vorhersagbaren Muster angeordnet sein oder einen vollständigen Satz bilden, da die Passphrase dadurch leichter zu erraten ist.
  • Verwende keine Liedtexte, Zitate oder anderweitige Veröffentlichungen. Angreifer besitzen riesige Datenbanken veröffentlichter Inhalte, aus denen Passwörter gebildet werden können.
  • Verwende keine personenbezogenen Informationen. Selbst wenn diese mit Zahlen und Buchstaben kombiniert werden, kann jemand, der dich kennt oder dich online recherchiert, anhand dieser Informationen problemlos ein Passwort erraten.

↑ Inhaltsverzeichnis ↑

Zusätzliche Tipps für beide Passwortmethoden

Auch abseits deines WordPress.com-Kontos solltest du beim Erstellen von Passwörtern einige Dinge beachten, damit deine Informationen sicher geschützt bleiben.

  • Nutze nie zweimal das gleiche Passwort. Viele beliebte Websites sichern dein Passwort nicht ausreichend in ihren Systemen, und Hacker brechen regelmäßig in diese Systeme ein und kompromittieren hunderte Millionen Konten. Wenn du Passwörter für mehrere Websites verwendest, kann der erfolgreiche Hacker einer Website sich mit deinen Anmeldedaten bei anderen Websites anmelden. Du solltest zumindest einmalige Passwörter für alle Websites nutzen, die finanzielle oder vertrauliche Daten speichern oder die deinen Ruf schädigen könnten.
  • Achte darauf, dass auch dein E-Mail-Kennwort sicher ist. Bei vielen Onlinediensten wie WordPress.com dient deine E-Mail-Adresse deiner Identifizierung. Wenn sich ein böswilliger Benutzer Zugang zu deinen E-Mails verschafft, kann er leicht deine Passwörter zurücksetzen und sich bei deinem Konto anmelden.
  • Gib deine Passwörter niemals weiter. Selbst wenn du der Person vertraust, kann ein Angreifer sich in die Übergabe einschalten oder sie belauschen bzw. in den Computer dieser Person eindringen. Wenn du den Verdacht hast, dass jemand außer dir dein Passwort kennt, solltest du es sofort ändern.
  • Versende dein Passwort nie per E-Mail. E-Mails sind selten verschlüsselt, was es Angreifern ziemlich einfach macht, sie zu lesen. Mitarbeiter von WordPress.com werden dich niemals nach deinem Passwort fragen. Wenn du ein Passwort teilen musst, nutze eine sichere Übermittlungsmethode wie pwpush.com und lege fest, dass der Link nach dem ersten Anzeigen verfällt.
  • Speichere deine Passwörter niemals in einem Webbrowser. Da sie die Passwörter häufig nicht sicher speichern können, solltest du stattdessen einen Passwort-Manager verwenden. Weitere Informationen findest du oben im Abschnitt zu den Passwort-Managern.
  • Speichere auf einem öffentlichen Computer niemals Passwörter und nutze dort auch nie die „Angemeldet bleiben“-Funktion. Ansonsten kann nämlich dann die nächste Person, die den Computer verwendet, auf dein Konto zugreifen. Achte außerdem darauf, dich abzumelden und deinen Browser zu schließen, wenn du fertig bist.
  • Schreibe dein Passwort nicht auf. Wenn du es notiert hast und jemand diese Notiz findet, ist das Passwort nicht mehr sicher. Speichere Passwörter stattdessen in einem Passwort-Manager, wo sie verschlüsselt werden. Weitere Informationen findest du oben im Abschnitt zu den Passwort-Managern. Eine Ausnahme dieser Regel ist die sichere Aufbewahrung nicht wiederherstellbarer Passwörter (z. B. das Master-Passwort für einen Passwort-Manager oder für dein Betriebssystem-Konto). Eine gute Methode zur Absicherung ist die Aufbewahrung in einem Schließfach oder einem gesicherten Safe.
  • Ändere deine Passwörter nur, wenn sie kompromittiert sein könnten. So lange du ein starkes Passwort verwendest, wie es in diesem Artikel empfohlen wird, wird das Kompromittierungsrisiko durch häufige Passwortwechsel nicht verringert. Da die Änderung aufwendig sein kann, schleichen sich leicht schlechte Angewohnheiten ein, um sich die Arbeit zu erleichtern – was wiederum die Anfälligkeit für Angriffe steigert. Wenn du jedoch den Verdacht hast, dass jemand Zugriff auf dein Konto hat, ist ein Passwortwechsel stets eine gute Vorsichtsmaßnahme.
Still confused?

Contact support.