WordPress Security bleibt wichtig
WordPress Security ist ein großes und wichtiges Thema geworden und das liegt vor allem daran, dass WordPress inzwischen fast 30 Prozent aller Websites und Blogs antreibt. Selbst große Portale nutzen WordPress häufig im Hintergrund und so ist es kein Wunder, dass das CMS über die Jahre zum Angriffsziel Nummer eins geworden ist. Die große Verbreitung bringt für Hacker klare Vorteile, denn zum einen lässt sich WordPress relativ einfach automatisiert angreifen, zum anderen sind gefundene Sicherheitslücken nicht einmalig, sodass noch Millionen von anderen Blogs angegriffen werden können, sobald eine Lücke gefunden wurde. Frei nach dem Motto: Bei irgendeinem kommen wir schon rein. Doch wie soll man sich da noch schützen? Zeit sich mal wieder dem Thema Sicherheit zu widmen.
Die Schwachstellen in WordPress
Zunächst einmal stellt sich die Frage, wo potenzielle Angreifer eigentlich ansetzten. Diese Frage ist sehr einfach zu beantworten, denn meistens sind es Plugins, die eine Sicherheitslücke mitbringen. Das ist ziemlich paradox, denn selbst sogenannte Security Plugins, die eigentlich für mehr Sicherheit sorgen sollen, fielen in der Vergangenheit immer mal wieder durch Schwachstellen negativ auf. Sicherheitslücken in Plugins sind also allgemein schwer zu vermeiden und so wird jede Erweiterung automatisch auch zur potenziellen Schwachstelle, sodass am Ende jedes Plugin eine ernsthafte Gefahr darstellt. Doch schauen wir uns mal die Top 5 der Angriffe auf WordPress an, die Sicherheitsfirmen in der Vergangenheit immer wieder veröffentlicht haben. Aus den Zahlen ergeben sich die folgenden Top 5 Schwachstellen in WordPress.
Plugins bleiben das größte Sicherheitsrisiko
Ganz oben auf der Liste stehen die Plugins. Das erzähle ich seit meinen Anfangszeiten, aber verstanden haben es die Leute trotzdem noch nicht. Fakt ist: Unfassbar viele Plugins im offiziellen Verzeichnis sind veraltet, fast die Hälfte, um genau zu sein. Dazu kommt dann noch, dass rund 10 Prozent der populärsten Erweiterungen Sicherheitslücken oder Schwachstellen aufweisen, damit also auch die Erweiterungen, die am meisten gepflegt werden. Davon abgesehen, kann quasi jeder Anfänger ein WordPress Plugin veröffentlichen und so sind viele der Plugins auch nicht sauber und sicher geschrieben, sondern eher so löchrig wie ein Schweizer Käse. Die Plugins machen rund 55 Prozent aus, denn hier gibt es die meisten Hacks und durch Plugins etc. gelingt es immer wieder, WordPress selbst zu attackieren. Die Erweiterungen dienen quasi als Eingangstür.
Danach folgen die simplen Brute-Force-Attacken. Wer sein Admin beispielsweise nicht mit einer .htpasswd sichert, der wird permanent angegriffen. Das sieht dann so aus, dass automatisch versucht wird sich mit typischen Benutzernamen einzuloggen. “Admin” zum Beispiel, aber auch Namen von Autoren, die über WordPress relativ schnell herausgefunden werden können. Auch WordPress selbst ist mit 10 Prozent hin und wieder unsicher, allerdings ist WordPress hier eher ein kleines Problem und wer keine alten Versionen nutzt, läuft bei den häufigen Updates auch wenig Gefahr gehackt zu werden. Themes und falsch programmierte Server sind dagegen nur selten der Grund für einen Hack, wobei gerade überladene Themes trotzdem ein großes Sicherheitsrisiko darstellen, da sie Funktionen ähnlich wie Plugins integrieren. Trotzdem sind Themes überraschenderweise eher selten die Schwachstelle.
Sicherheit ist ein Zusammenspiel vieler Faktoren
Alles in allem sollte man die Werte zwar nicht zu ernst nehmen, sie geben aber einen ungefähren Überblick über die typischen Problemzonen von WordPress. All das basiert auf veröffentlichten Statistiken der großen Sicherheitsfirmen, die immer mal wieder Zahlen und Fakten preisgeben und aufzeigen, wo genau die Schwachstellen von WordPress liegen. Sie zeigen aber auch, das Plugins, wie immer wieder erwähnt, große Probleme mit sich bringen können und machen noch einmal deutlich, dass das absolute Ziel sein sollte, so wenige Plugins wie nur irgendwie möglich zu verwenden. Nicht nur wegen der Performance, sondern vor allem wegen dem großen Thema WordPress Security. Und vergesst nicht: Auch Security Plugins für WordPress können zur Sicherheitslücke werden und es wäre nicht das erste mal, dass so etwas passiert. Sicherheit ist am Ende ein Zusammenspiel vieler Faktoren.
