Wie sicher ist WordPress?

WordPress ist das meistgenutzte Content-Management-System der Welt. Große Unternehmens-Websites setzen es ebenso ein wie Privatpersonen. Und dennoch hält sich hartnäckig das Gerücht, WordPress sei unsicher. Was genau ist also dran an der Behauptung und worauf sollten auch Betreiberinnen und Betreiber kleinerer Websites achten?

Auf die Größe kommt es nicht an

Gleich zu Beginn kann ich ein anderes Gerücht aus der Welt schaffen: Eine Website ist nicht weniger in Gefahr für einen Angriff, nur weil sie klein ist. Das Argument „für meine Website interessiert sich sowieso niemand“ zieht hier nicht. Die allerwenigsten Angriffe auf Websites werden dieser Tage manuell von Bösewichten in dunklen Hoodies durchgeführt.

Es sind viel mehr automatische Systeme, die ganz ohne menschliches Zutun Attacken auf allerlei Websites durchführen, ganz ungeachtet deren Größe oder Popularität. Und wenn es sich bei der angegriffenen Website zufällig um eine Website mit der entsprechend anvisierten Schwachstelle handelt, haben im Zweifelsfall die Seitenbetreiber das Nachsehen.

Wie also stehen die Chancen für WordPress-Websites?

Der WordPress-Core

Der sogenannte WordPress-Core, also WordPress ganz für sich alleine ohne Erweiterungen oder Anpassungen, ist ziemlich sicher. Automatische Wartungs- und Sicherheitsupdates sorgen in der Regel sogar bei weniger intensiv betreuten Websites dafür, dass Sicherheitslücken zeitnah geschlossen werden.

Ab sofort lassen sich sogar größere WordPress-Updates mit einem Klick auf automatische Aktualisierung umstellen, was den Wartungsaufwand für Anwenderinnen und Anwender weiter reduzieren dürfte.

Es dürfte aber kaum WordPress-Websites geben, die ganz ohne die Hilfe von Plugins auskommen.

Themes und Plugins

Wer nach der Sicherheit von WordPress fragt, sollte eigentlich nach der Sicherheit des WordPress-Ökosystems fragen. Eine Umfrage von den Entwicklern des Sicherheits-Plugins Wordfence unter Betreibern gehackter Websites ergab, dass 60% der Betreiber, die wussten, wie ihre Website gehackt wurde, eine Sicherheitslücke in einem Theme oder Plugin als Grund nennen konnten.

Wir halten also fest: auch Themes und Plugins wollen mit Bedacht und in Maßen ausgewählt und eingesetzt werden. Theoretisch stellt jedes zusätzliche Theme oder Plugin ein potentielles Einfallstor für Angreifer dar.

Böse Absichten von Seiten der Entwicklerinnen und Entwickler dürfte dabei in den seltensten Fällen die Ursache sein. Vielmehr sind Fehler in der Entwicklung praktisch vorprogrammiert und entpuppen sich später gelegentlich als mögliches Sicherheitsproblem.

Wenn die Entwickler eines Plugins oder das Plugin-Team auf WordPress.org über solche Sicherheitslücken informiert werden, lassen entsprechende Sicherheits-Updates in der Regel nicht lange auf sich warten.

Dann ist es einmal mehr an Website-Betreiberinnen und -Betreibern, die diese Sicherheits-Updates in der Folge auch noch installieren müssen. Viele Plugins, die über längere Zeit nicht auf dem neuesten Stand gehalten werden, sind fast schon ein Garant für Sicherheitsprobleme. Seit WordPress 5.5 können Plugins im Übrigen optional auch automatisch aktualisiert werden. Je nach Komplexität des eigenen Setups ist das eine mehr oder weniger gute Idee.

Gelegentlich werden Plugins oder Themes aber auch nicht mehr gepflegt und Sicherheitslücken bleiben offen. Für Endanwender ist das tatsächlich ein problematischer Fall. Hier hilft lediglich der gelegentliche prüfende Blick in die Liste der eingesetzten Plugins und Themes. Wurde ein Plugin zum Beispiel auf WordPress.org seit längerer Zeit nicht mehr aktualisiert, wird automatisch eine Warnung angezeigt. Nun ist es vielleicht Zeit über einen Plugin-Wechseln nachzudenken.

Menschliche Fehler

Die Erfahrung zeigt dennoch, dass das Problem in vielen Fällen vor dem Bildschirm sitzt. Denn für Angreifer aller Art sind sogenannte Brute-Force-Attacken noch immer eine beliebte Strategie. Bei diesen Attacken versuchen die angreifenden Bots Benutzernamen und Passwörter durch mehrfaches Ausprobieren zu erraten. Ein zusätzlicher Schutz, durch Plugins wie Limit Login Attempts Reloaded oder 2-Faktor-Authentifizierung gehört für viele Anwenderinnen und Anwender noch immer nicht zum Standard.

Und in diesen Fällen rächt es sich häufig, dass wir Menschen nun mal faul sind und noch immer das Passwort für alles benutzen, das 2001 schon für unser erstes E-Mail-Postfach funktioniert hat.

Als erste Maßnahme zur Erhöhung der Sicherheit einer WordPress-Installation empfehle ich daher grundsätzlich den Einsatz eines sicheren Passworts und wenn möglich von 2-Faktor-Authentifizierung.

Fazit

In falscher Sicherheit sollte sich kein Website-Betreiber wiegen, ganz unabhängig von der System-Wahl. Tatsächlich ist WordPress aber mit wenig Aufwand dauerhaft als relativ sichere Lösung nutzbar.

Wichtig dabei ist, dass Anwenderinnen und Anwender ein offenes Auge bei der Benutzung haben und regelmäßige Updates (und natürlich Backups) durchführen.

Veröffentlicht in Core

8 Kommentare

  1. Das Limitierten von Loginversuchen hilft gegen manuelle Versuche, in den Blog-Adminbereich einzudringen. Automatisierte Angriffe per Skripten und via Botnetzen rotieren beliebig viele IP-Adressen, so dass ein Plugin wie Limit Login Attempts (Reloaded) eher wirkungslos ist.

    1. Ich würde dir zustimmen, wenn ich aus der Praxis nicht berichten könnte: auf meinen verschiedenen Websites scheitern jeden Tag tausende Anmeldeversuche an Limit Login Attempts.

Reposts

  • Mark Howells-Mead
  • Torsten Landsiedel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.