KI macht WordPress sicherer

Mal schnell eine eigene Website bauen. Was so einfach sein soll, hat in der Praxis doch so manche Tücken. Unter anderem haben es Hacker auf Webseiten abgesehen, die ihnen Schwachstellen auf dem Silbertablett präsentieren. Jan Löffler, CTO von WebPros, warnt vor fehlerhaften Updates und gefährlichen Schwachstellen von Plug-ins für die populärste Webseiten-Software WordPress, wie sich Sicherheit einbauen lässt und was KI dazu beiträgt.

Seit vielen Jahren ist WordPress die Nummer Eins für die Webseitenerstellung. Ihr bietet einerseits Software, mit der Webhoster die Websites ihrer Kunden verwalten können, und Tools, mit denen Webseiten sicherer gebaut werden können.

Wir kommen ursprünglich aus dem Bereich Webhosting und Automationssysteme. Viele Webhoster nutzen unsere Software cPanel und Plesk, darunter dogado, HostPress, OVH, GoDaddy oder Bluehost, die ihre Pakete und die gehosteten Webseiten ihrer Kunden damit verwalten. Wir machen also selbst kein Webhosting. Auf dem CloudFest haben wir mit WP Squared und WP Guardian zwei neue Lösungen für WordPress-Nutzer vorgestellt. Hier setzen wir auf KI, einerseits um das Erstellen einer Webseite zu vereinfachen und anderseits die eigene Webseite von vornherein sicherer gegen Hackerangriffe zu machen.

Ein aktuelles Thema ist die fehlende Benutzerfreundlichkeit von Lösungen, mit denen sich Webseiten bauen lassen. Das scheint auch nicht ganz spurlos am Marktführer WordPress vorbeizugehen.

Die Gefahr für WordPress ist durchaus hoch, dass Baukastenanbieter wie Wix oder Shopify für Shop-Lösungen WordPress überholen. Viele Kunden müssen zu WordPress-Experten bzw. Web Agenturen gehen, um tatsächlich gute Webseiten bauen zu können. Daher bieten wir schlüsselfertige WordPress-Produkte, womit WordPress-Nutzer sofort ins Produkt einsteigen und ihre Webseite einfach und selbsterklärend bauen können. Sie müssen sich nur noch um den Inhalt der Website kümmern. Das deckt WP Squared ab, das sich an Webhoster richtet, damit ihre Kunden ihre WordPress-Seiten einfacher erstellen und pflegen können. WP Squared ist also ein schlüsselfertiges Out-of-the-Box-Produkt mit optimierter Benutzerfreundlichkeit und Leistung.

Und für wen eignet sich WP Guardian?

WP Guardian richtet sich an die etwas größeren Webhosting-Unternehmen, die eine eigene Plattform betreiben, also unsere Verwaltungslösungen cPanel und Plesk nicht einsetzen, aber ihr Rechenzentrum mit allen Webseiten absichern wollen, auch wenn sie unsere Lösungen nicht selbst einsetzen. Dazu gehört zum Beispiel IONOS. Einige dieser Hoster haben ein Riesenproblem mit Sicherheit, da es in WordPress und seinen Erweiterungen über 6000 offene Schwachstellen gibt, und über diese Schwachstellen kapern Hacker Webseiten und übernehmen die Kontrolle. Das ist sowohl für Kunden als auch für die Webhoster ein Dilemma. Die Webhoster kämpfen mit höheren Kosten und schlechteren Leistungen. Dieses Problem führt auch zu Diskussionen zwischen Webhoster und Kunden, die sich gegenseitig die Schuld in die Schuhe schieben. Keiner kümmert sich aber so richtig darum, dieses Problem zu lösen. Daher haben wir in ein Toolkit investiert, um Webseiten sicherer zu machen.

Und wo kommt KI ins Spiel?

Es geht darum, wie ich das Bauen einer Website noch einfacher machen kann, so dass es tatsächlich jeder selbst machen kann. Dafür brauche ich erst einmal einen Webbaukasten. Und in diesen Baukasten – Sitejet – haben wir einen KI-Textgenerator eingebaut, der Texte automatisch vorgeneriert. Und zwar zugeschnitten auf die Zielgruppe, sowohl inhaltlich, sprachlich als auch von der Tonalität.

Ist die Website veröffentlicht, kommt die KI wieder ins Spiel. Die Webseite mag jetzt gut aussehen und die Inhalte stimmen, aber es kommen zu wenige Besucher auf meine Webseite. Man kann Traffic, also Webseitenbesucher einkaufen über Suchmaschinen-Werbung. Besser, nachhaltiger und vor allem kostengünstiger ist es aber, wenn Suchmaschinen die Besucher selbst auf meine Webseite dirigieren. Dafür brauche ich Suchmaschinenoptimierung und ein Werkzeug, das mir dabei hilft. Dafür haben wir unser Tool XOVI NOW mit KI angefüttert, um jederzeit geeignete Texte für mehr Besucher auf meiner Webseite zu erstellen.

Wie profitieren die Nutzer konkret davon?

Wir zeigen den Kunden, wie sie die Webseite umgestalten und Texte umschreiben können, welche Schlüsselwörter sie im Text verwenden sollten, um besser abzuschneiden als die direkte Konkurrenz. Dafür bieten wir den KI-Textgenerator, der den Text spezifisch erstellt und so formuliert, dass die Suchmaschinen die Seite möglichst wertvoll finden. Statt Schlüsselwörter selbst zu suchen, sie gezielt und in bestimmter Häufigkeit zu verwenden, alternative Begriffe zu suchen und zu verwenden, macht das die KI. Den Unterschied macht aus, dass unser Tool „XOVI NOW“ die Webseiten aller Wettbewerber kennt. Die KI weiß, welche Suchmaschinen-Positionen die Wettbewerber für welche Schlüsselworte haben. Und die KI kennt die gesamte Historie der Webseite und kann aus der Datenbasis die KI so steuern, dass der richtige Text dabei rauskommt. Richtig heißt: Die Webseite bietet sowohl dem Besucher einen Mehrwert als auch den Suchmaschinen.

Wir bekomme immer häufiger SEO-glattgebügelte Texte auf den Tisch, die zwar Suchmaschinen -optimiert aber inhaltlich schwach sind. Spätestens dann, wenn man über einen Link auf eine Website geführt wird, wird es inhaltlich noch dünner. Unterstützt euer Tool nicht genau diesen Effekt? Gut zu finden, aber ohne Mehrwert.

Der große Unterschied ist: Wir definieren nicht drei Wörter, um daraus einen kompletten Webauftritt zu bauen. Denn dann kommt so ein Nonsens raus. Das KI-Tool ist eine Unterstützung, ersetzt aber nicht das eigene Denken. Die von unserer KI „geschrieben“ Texte sind relativ hochwertig. Trotzdem muss ein Mensch noch drüber lesen, ob das passt und die richtigen Botschaften vermittelt werden – was viel mit dem Prompt Engineering zusammenhängt. Denn die Magie ist es, dass man die KI richtig füttert. Wenn man die KI einseitig füttert, dann ist auch das Ergebnis schlecht.

Dann wäre es vielleicht sinnvoll, einen Text vorzuschreiben, ihn in ein solches KI-Tool zu einzugeben und dann sagt mir die KI, dass man an dieser oder jener Stelle ein anderes Wort einsetzt oder etwas ergänzt

Das ist die ideale Lösung, auch für diejenigen, deren Hauptskill nicht unbedingt das gute Schreiben ist.  Man lässt die KI drüber laufen, fragt sie, wie kann ich das besser machen und dann entscheide ich immer noch selbst, was ich wie nehme. Ich nutze das Werkzeug also nur, um zu einem besseren Ergebnis zu kommen. Der Punkt ist: Es gibt viel mehr Menschen, die gute und leserliche Texte schreiben können, als es Leute gibt, die wirklich gutes SEO-Know-how haben.

Die wenigsten wissen, wie man Texte optimiert, da es ohne Daten nicht funktioniert. Dazu braucht man Tools, die allerdings für Experten gemacht und sehr kompliziert sind. Als Laie kann ich mit den Daten, die mir solche Tools ausspucken wenig anfangen. Unsere KI übernimmt die Interpretation solcher Daten, die wir im Hintergrund in Serverfarmen über Webcrawler sammeln. Wir kennen das Internet, wissen welche Webseiten mit wem in welcher Suchmaschinenposition zu welchen Schlagworten konkurrieren. Das produziert bessere Ergebnisse, aber wir erheben bei weitem nicht den Anspruch, dass das jetzt die besten Texte sind, die man schreiben kann. Aber es ist ein Werkzeug, das sehr viel Arbeit erspart und bessere Ergebnisse erzielt.

Und wie macht eure Lösung eine Webseite sicherer?

Wir machen Security auf ganz verschiedenen Schichten. Erstens empfehlen wir dem Benutzer in unseren Produkten Verbesserungen zum Thema Sicherheit und ermöglichen diesem diese Vorschläge oftmals auch direkt zu aktivieren. So lassen sich bestimmte Schwachstellen von vorne herein vermeiden. Dass vielleicht der Admin-User umbenannt wird, dass man bestimmte Verzeichnisse schützt, dass man zu lockere Dateisystemrechte in WordPress nutzt. Wer das nicht macht, lädt Hacker förmlich dazu ein, über ungeschützte Dateien Backdoors aufzumachen über die sie hinterher vollen Zugriff auf die Website haben. Unser Tool erkennt diese typischen Einfallstore und gibt den Nutzern die Möglichkeit, mit einem Klick alle zu schließen.

Zweiter Einstiegspunkt für Hacker sind schwache Passwörter. Und auch da schauen wir hin. Wie stark ist ein Passwort und nutzt der User die Möglichkeit, zum Beispiel nach der dritten falschen Eingabe die erneute Möglichkeit der Passworteingabe zu pausieren.

WordPress bietet tausende, von Fremdanbietern entwickelte Plug-ins. Was bedeutet das für die Sicherheit? 

Es soll rund 60.000 Plug-ins geben. Erstmal sollten alle Plug-ins aktualisiert sein, damit die neusten Sicherheitslücken geschlossen sind. Die Meisten haben aber Schwachstellen, weil sie seit Jahren nicht mehr gepflegt wurden. Dementsprechend sind sie ein gefundenes Fressen für Hacker. 

Ein anderes Problem sind die Updates selbst, die eine Webseite kaputt machen können. Wenn ich ein Update für meine eigene Website einspiele, bekomme ich ein Problem direkt mit. Wenn aber mein Serviceprovider das für mich erledigt und meine Webseite dann ungewollt nicht mehr funktioniert, erkenne ich das vielleicht nicht direkt. Daher machen Serviceprovider solche Updates nicht gern.

Aber ohne Updates bleiben vielleicht Schwachstellen bestehen?

Wir haben daher eine Lösung entwickelt, mit der sich Updates einspielen lassen, ohne die Webseite kaputt zu machen. Wir erstellen eine Kopie einer Website, die wir auf einer isolierten Testumgebung betreiben. Dort spielen wir die Updates ein und machen einen Vorher-Nachher-Vergleich. Unsere KI-Algorithmen vergleichen die Versionen, schauen, ob alles in Ordnung ist, und dann kann entweder der Admin die Webseite aktualisieren oder wir machen es automatisch. Und diese Funktion ist in unseren Produkten inkludiert.

Was versteckt sich hinter der Lösung Virtual Patches?

Wir arbeiten hier mit der Sicherheitsfirma Patchstack zusammen, die eine Whitehat-Hacker-Community aufgebaut haben. Das sind gutartige Hacker, die Schwachstellen suchen und gegen Bezahlung dem Software-Hersteller melden, so dass dieser die Schwachstellen beheben kann. Die haben bisher rund 7.000 Schwachstellen in den WordPress Plug-ins gefunden. Diese befinden sich meist nicht im WordPress-Kernsystem selbst, denn WordPress ist durch eine aktive Community sehr sicher. Aber uralte Plug-ins, die vor Jahren geschrieben worden sind, enthalten in der Regel Schwachstellen, um die sicher keiner kümmert. Die Virtual-Patches-Lösung macht folgendes: Sie erkennt genau, wo in einem Plug-in eine Schwachstelle ist und wie man sie ausnutzen kann und fügt dann Schutz-Code in die WordPress-Seite ein. Das ist quasi wie wenn man ein Loch im Dach stopft, sodass Regen (Cyber-Attacke) nicht mehr durchkommt. Und dieses Virtual Patching kann man automatisiert für das ganze Rechnungszentrum aktivieren oder für einzelne Webseiten.

Jan Löffler

ist CTO von WebPros.