WordPress – ein freies Content-Management-System – erfreut sich nun bereits seit über 13 Jahren immer größerer Beliebtheit. Rund ein Viertel aller Webseiten weltweit laufen mit WordPress. Doch wie ist es mit der Sicherheit bestellt? Immer wieder tauchen Meldungen um Schwachstellen im WordPress-Code oder in Erweiterungen auf.

Eigentlich nicht verwunderlich, dass dieses System allein aufgrund der Beliebtheit ein interessantes Ziel von Hackern ist. Doch ist das schon Grund genug, auf die Vorteile eines populären Systems zu verzichten?

Bekannte Schwachstellen

Vor kurzem erhob ein Distributor einer beliebten Sicherheitserweiterung für WordPress eine Umfrage unter Seitenbetreibern von gehackten WordPress-Seiten. Das Ergebnis der 1032 Teilnehmer zählenden Umfrage: 61,5% wussten nicht, wie Hacker in Ihre Webseite eindringen konnten. Blöd nur, denn durchaus möglich, dass die Sicherheitslücke weiterhin besteht.

Die restlichen gaben an, dass Schwachstellen in Plugins ausgenutzt wurden und schon abgeschlagen an zweiter Stelle die Brute-Force-Attacke. WordPress Core, Theme, Webhosting, etc machen dagegen einen kleineren Teil aus.

Gründe für Kompromittierung bei WordPress

Wie wurden WordPress Seiten kompromittiert? (c) www.wordfence.com

Plugins sind mit Abstand größtes Risiko

Die riesige Anzahl an verfügbaren Plugins (Stand heute 44,503) bedeutet natürlich sehr gute Erweiterungsmöglichkeiten und ist ein Treiber für die Popularität von WordPress. Nicht jedes Plugin ist aber qualitativ hochwertig bzw. nach aktuellen Sicherheitsrichtlinien entwickelt und bietet somit ein Einfallstor für Eindringlinge.

Auf was sollten Sie bei Plugins achten?

  1. Stets aktuell halten
  2. Keine veralteten Plugins verwenden
  3. Von vertrauenswürdigen Seiten installieren

Heiteres Passwortraten

Bei Brute-Force-Attacken handelt es sich um einen Angriff, bei dem Benutzername und Passwort herausgefunden werden soll. Benutzernamen lassen sich bei vielen WordPress-Seiten einfach auslesen, auch wenn keine Standard-Benutzernamen, wie „admin“ oder „Administrator“ benutzt werden. So fehlt nur mehr das Passwort. Keinesfalls Wörter verwenden, die in einem Wörterbuch zu finden sind.

Was tun gegen Eindringlinge?

Halbherzige Maßnahmen oder gar keine Schutzmechanismen laden Hacker geradezu ein, die Webseite zu kompromittieren und für eigene Zwecke zu missbrauchen. Man ist Ihnen aber keinesfalls ausgeliefert. Es gibt effektive Methoden, eine WordPress-Seite zu schützen. Unerlässlich ist eine regelmäßige Aktualisierung der Plugins, Themes und des WordPress-Cores. Darauf aufbauend gibt es einige Tools, die ungenutzte Features deaktivieren und gezielt Brute-Force-Attacken verhindern. Ebenso kann eine Web-Firewall am letzten Stand Angriffe erkennen und abwehren.

Soll ich nun auf WordPress und dessen Vorteile verzichten?

Die Antwort ist Nein, ausgenommen es handelt sich um hochkritische Anwendungen wie Finanztransaktionssoftware, Software in Atomkraftwerken, etc. Aber da ist Anwendungssicherheit doch nur ein Teil des Sicherheitskonzepts, sollte man meinen.