WordPress ist mit großem Abstand das beliebteste CRM. um eine Webseite zu bauen. Diese Popularität führt auf der Schattenseite aber auch dazu, dass WordPress ein beliebtes Ziel für Angriffe aus aller Welt und verschiedener Arten ist. Daher stellt sich die Frage, ob WordPress sicher genug ist, diesen Angriffen standzuhalten.Ändere deine WordPress Login-URL, um Brute-Forcing zu reduzieren.

Zuerst einmal die schlechten Nachrichten: Jedes Jahr werden Hunderttausende von WordPress-Seiten gehackt, sowie E-Commerce-Sites (deshalb haben wir einen ausführlichen Leitfaden zur Betrugsprävention im E-Commerce).

Klingt schlimm oder? Nun ja, nicht wirklich, denn es gibt eine gute Nachricht:

Hacker kommen nicht an die Core-Software von WordPress heran. Stattdessen werden die, meisten Webseiten durch eigentlich vermeidbare Probleme gehackt, wie z.B. das nicht-Aktualisieren von Funktionen oder das Verwenden unsicherer Passwörter.

Um die Frage, ob „WordPress sicher ist“ zu beantworten, muss daher die Frage etwas differenzierter beantwortet werden. Wir werden daher unterschiedliche Aspekte behandeln:

  • Statistiken, wie WordPress-Webseiten tatsächlich gehackt werden
  • Wie das WordPress-Team Sicherheitsprobleme handhabt, damit Sie wissen, wer verantwortlich ist und wofür Sie verantwortlich sind.
  • Ob WordPress sicher ist, wenn Sie die Erfahrungen anderer berücksichtigen.

Wie WordPress-Seiten gehacked werden (Daten)

Ok, also wir wissen, dass sehr viele WordPress- Seiten jedes Jahr gehacked werden. Doch wie passiert das? Ist das auf ein globales Problem zurückzuführen oder sind die Hacker verantwortlich?

Folgende Ursachen haben wir gefunden:

Veraltete Core-Software

Hier ist eine nicht überraschende Korrelation zu sehen vom „Hacked Webseite Report 2017“ von Sucuri. Von allen gehackten WordPress-Seiten, die von Sucuri untersucht wurden, haben 39,3% zum Zeitpunkt des Vorfalls eine veraltete Software installiert gehabt.

Hacked Websites
Hacked Websites (Bildquelle: Sucuri)

Man kann einen engen Zusammenhang zwischen dem Verwenden veralteter Software und einem Hackerangriff den Daten entnehmen. Trotzdem ist dies eine Verbesserung von immerhin 61% gegenüber 2016. 👏

Laut der the WPScan Vulnerability Database, sind 74% der bekanntesten Schwachstellen in der Kernsoftware von WordPress zu finden. Trotzdem ist es wichtig zu sagen, dass die Versionen mit den meisten Schwachstellen bei den WordPress Versionen weit zurück gehen.

WPScan Liste der bekannten Schwachstellen
WPScan Liste der bekannten Schwachstellen

Aber leider haben nur 62% der WordPress-Seiten die neueste Version installiert. Das ist mitunter ein Grund, weshalb viele Internetseiten immer noch unnötigerweise anfällig für derartige Angriffe sind.

Verwendete WordPress Versionen
Verwendete WordPress Versionen (Bildquelle: WordPress.org)

Abschließend können Sie diese Verbindung noch einmal mit der großen „WordPress-REST-API-Schwachstelle“ vom Februar 2017 sehen, bei der Hunderttausende von Webseiten beschädigt wurden.

WordPress 4.7.1 enthielt mehrere Schwachstellen, die von Hackern ausgenutzt wurden um Schaden anzurichten. Aber, Wochen bevor die Sicherheitslücken ausgenutzt wurden, hatte WordPress bereits die neueste Version 4.7.2, die bereits alle Sicherheitslücken geschlossen hatte.

Alle Seitenbetreiber, die automatisch Updates nicht deaktiviert, beziehungsweise sofort die neue 4.7.2 WordPress Variante geladen hatten, waren sicher. Diejenigen, die diese Sicherheitsvorkehrungen nicht getroffen hatten, waren allerdings nicht sicher.

Was kann man daraus lernen? Das WordPress-Team, das für Sicherheit zuständig ist, macht seine Arbeit sehr gut um Probleme in der WordPress Core-Software schnell zu beheben. Werden alle Sicherheitsupdates sofort geladen, ist es sehr unwahrscheinlich, dass es zu Problemen kommt, sollten Sie allerdings nicht immer auf dem aktuellen Stand sein, setzen Sie sich den entsprechenden Gefahren aus.

2. Veraltete Plugins oder Themes

Eine Sache, die die meisten Nutzer von WordPress-Seiten lieben, ist die schier unerschöpfliche Auswahl an verfügbaren Plugins und Themes. Während wir diesen Beitrag schreiben, gibt es bereits über 56.000 bei WordPress und Abertausende mehr in den Weiten des Webs.

While all those options are great for extending your site, each extension is a new potential gateway for a malicious actor. Während all diese Optionen wahrscheinlich eine große Bereicherung für die Webseite sind, stellen diese ebenfalls eine potenzielle Gefahr dar. Während die meisten WordPress- Entwickler die Code-Standards gut befolgen und Updates entsprechend aktualisieren, sobald diese verfügbar sind, gibt es dennoch einige potenzielle Probleme:

  • Ein Plugin oder Theme hat eine Sicherheitslücke und wird dennoch nicht vom Sicherheitsteam von WordPress entdeckt.
  • Der Entwickler hat aufgehört an der Erweiterung seiner Plugins oder Themes zu arbeiten, es wird aber nach wie vor von Betreibern genutzt.
  • – Der Entwickler behebt zwar das Problem, die Nutzer aktualisieren es aber nicht.

Also wie groß ist das Problem?

In einer Umfrage von Wordfence wurden Betreiber von gehackten Webseiten befragt. 60%der Betreiber , die wussten wie der Hacker in die Seite kam, haben es einer Sicherheitslücke in einem Plugin oder Theme zuordnen können.

Wordfence Umfrage zu gehackten Webseiten
Wordfence Umfrage zu gehackten Webseiten (Bildquelle: Wordfence)

Ähnliches Bild bei Sucuris Report aus dem Jahr 2016. Hier sind lediglich drei Plugins für über 15% der gehackten Webseiten verantwortlich.

Gehackte Plugins von Sucuri
Gehackte Plugins von Sucuri

Aber aufgepasst:

Die Schwachstellen in den jeweiligen Plugins waren zu der Zeit längst behoben. Die Webseitenbetreiber hatten diese lediglich nicht aktualisiert und konnten die Seite daher nicht schützen.

Takeaway: WordPress-Themes und Plugins führen einen Platzhalter ein und können deine Seite für böswillige Akteure öffnen. Der Großteil des Risikos kann jedoch durch die Einhaltung der entsprechenden Empfehlungen auf ein Mindestmaß reduziert werden. Halten Sie die entsprechenden Plugins und Themes daher auf dem neuesten Stand und aktualisieren Sie nur dann, wenn Sie dem Entwickler vertrauen.

Wir müssen hier auch die GPL-Clubs erwähnen, die Sie im Internet finden, wo jedes WordPress-Plugin oder – Design nur ein paar Euro kostet. Während WordPress unter der sogenannten GPL Lizenz lizenziert ist, was großartig ist und ein Grund, warum wir es lieben, ist der Kauf solcher Plugins mit Vorsicht zu genießen. Diese werden manchmal auch als nulled Plugins bezeichnet.

Plugins von GPL Clubs zu kaufen, bedeutet aber auch, dass man darauf vertrauen muss, dass diese immer auf dem neuesten Stand aus Entwicklersicht sind. Auch sollte man bedenken, dass man nicht immer Support erhält. . Der sicherste Weg ist daher die direkte Verbindung zum entsprechenden Entwickler. Dabei unterstützt man auch die sehr wichtige und zu schätzende Arbeit der Entwickler.

Kompromittierter Login für WordPress, FTP und Hosting

Ehrlich gesagt ist das natürlich nicht die Schuld von WordPress. Aber ein nicht trivialer Anteil von Hacks stammt von Akteuren, die sich die WordPress-Anmeldeinformationen bzw. die Daten für Hosting bzw. FTP-Konten von Webmastern besorgt haben.

Die gleiche Wordfence-Umfrage kam zu dem Ergebnis, dass brute force-Angriffe ungefähr 16% der gehackten Webseiten ausmachen. Passwortdiebstahl, Phishing, FTP-Zugriffe machen alle einen kleinen, aber zusammen beachtlichen Anteil aus.

Sobald ein Hacker also den „Hausschlüssel“ zu Ihrer Webseite hat, spielt es überhaupt keine Rolle mehr, wie sicher Ihre Seite sonst ist.

WordPress leistet einen großen Beitrag, indem es automatisch sichere Passwörter generiert. Trotzdem bleibt es Aufgabe der Nutzer, diese Passwörter sicher zu verwalten und ebenfalls starke Passwörter für Hosting und FTP-Konten zu verwenden.

Zusammenfassung: Durch die Beachtung der grundlegenden Dinge in Bezug auf eine sichere Kontoführung können Hacker daran gehindert werden, an Passwörter zu gelangen. Verwenden Sie daher sichere Passwörter für alle Ihre WordPress-Konten und beschränken Sie mögliche Anmeldeversuche um „Brute-Force-Angriffe zu verhindern (bei Kinsta Hosting ist das der Standard) 👍).

Verwenden Sie zudem bei Hosting-Konten eine Zwei-Faktor-Authentifizierung, falls dies möglich ist und speichern Sie Ihr FTP-Passwort niemals im Klartext (nicht so wie das einige FTP-Programme tun).

Wenn man die Wahl zwischen FTP und SFTP (SSH File Transfer Protocol) hat, sollte man immer SFTP verwenden (lerne den Unterschied zwischen FTP und SFTP, damit du verstehst, warum). Wenn der Host nur FTP verwendet, empfehlen wir, sich nach der Unterstützung für SFTP zu erkundigen oder zu einem Host zu wechseln, der SFTP unterstützt. Dadurch wird sichergestellt, dass keine Klartext-Passwörter oder Dateidaten übertragen werden. Hier bei Kinsta unterstützen wir nur SFTP für Dateiübertragungen.

4. Supply Chain Attacks

In der letzten Zeit gab es immer wieder Vorfälle, in denen Hacker durch einen Trick der „Supply Chain Angriff“ genannt wird, Zugang zu Webseiten erhielten. Im Wesentlichen taten die Hacker folgendes:

  • Zuvor erwarben Sie ein qualitativ hochwertiges Plugin, der auf WordPress.org zu erwerben ist.
  • Anschließend haben Sie eine „Hintertür“ in das Plugin eingebaut.
  • Schließlich wurde das Plugin aktualisiert und der Eingang zu der WordPress Seite war fertig.

Wordfence hat hierfür eine Erklärung. Obwohl diese Art des Hacks nicht weit verbreitet ist, sind sie dennoch schwieriger zu verhindern, da sie daraus resultieren, dass Sie Ihre Seite aktualisieren, die eigentlich Ihrer Sicherheit dienen sollte.

Das WordPress.org Team erkennt diese Probleme jedoch sehr schnell und entfernt das Plugin schnellstmöglich aus dem Verzeichnis.

Fazit: Da Sie immer Ihre Seite mit den neuesten Updates auf dem aktuellen Stand halten sollten, kann es mitunter schwierig sein, diese Gefahr zu verhindern. Um Ihnen zu helfen, können Sicherheit-Plugins wie Wordfence Sie warnen, wenn ein Plugin von WordPress.org entfernt wurde. Außerdem können regelmäßige Backups Ihre Schäden gegebenenfalls gering halten.

5. Schlechte Hoster und veraltete Technologien

Nicht nur die WordPress-Seite selber, sondern auch der Hoster und die verwendeten Technologien spielen eine sehr wichtige Rolle. Zum Beispiel: obwohl PHP 7 viele Sicherheitsverbesserungen gegenüber PHP 5 bietet, verwenden nur ca. 33% der WordPress Seiten PHP 7 oder höher.

WordPress website PHP usage.
WordPress website PHP usage. (Image source: WordPress.org)

Der Sicherheits-Support für PHP 5.6 läuft offiziell Ende 2018 aus. l Ende 2018 aus. Frühere Versionen von PHP 5 hatten schon seit Jahren keinen Sicherheits-Support mehr.

Das bedeutet, dass die Verwendung einer Hosting-Umgebung mit PHP 5.6 beziehungsweise noch älter Sie gegebenenfalls entsprechenden Sicherheitslücken aussetzen wird.

Trotz dieser Tatsache verwenden immer noch mehr als 28% der WordPress-Webseiten PHP Versionen, die älter als 5.6 sind, was ein großes Problem darstellt, wenn man bedenkt, dass in letzter Zeit sehr viele Schwachstellen bei PHP entdeckt wurden.

Neben der Verwendung von neuesten Technologien, können mit sicherem WordPress-Hosting auch viele andere potenzielle Sicherheitslücken automatisch mit folgenden Maßnahmen reduziert werden.

Fazit: Eine sichere Hosting-Umgebung und aktuelle Versionen wichtiger Technologien wie PHP tragen dazu bei, dass Ihre WordPress-Webseite sicher bleibt.

Wer ist verantwortlich, damit WordPress sicher bleibt?

Jetzt fragen Sie sich vielleicht, wer für die Verhinderung der oben genannten Probleme verantwortlich ist oder?

Offiziell ist das WordPress Sicherheitsteam verantwortlich. (Obwohl einzelne Mitwirkende und Entwickler aus der ganzen Welt eine große Rolle dabei spielen WordPress so sicher wie möglich zu halten).

Das WordPress-Sicherheitsteam besteht aus 50 Expertenincluding , darunter Lead-Entwicklern und Sicherheitsexperten. Etwa die Hälfte dieser Experten arbeiten bei Automattic. Andere arbeiten im Bereich Internet-Sicherheit. Außerdem berät das Team Forscher aus der Branche und Hosting-Unternehmen.

Wenn Sie sich besonders für das WordPress Sicherheitsteam interessieren, können Sie sich den 48-minütigen Vortrag von Aaron Campbells anschauen, der bei WordCamp Europe 2017 gehalten wurde. Aber im Allgemeinen funktioniert das Sicherheitsteam so:

  • Erkennt und korrigiert Fehler und potenzielle Probleme, zum Teil mit Tools wie HackerOne’s bug bounties
  • Berät bei allen neuen WordPress Core-Versionen

WordPress-Sicherheitsteam hat eine Offenlegungspflicht, d.h. sobald der Fehler erfolgreich behoben wurde, wird das Problem veröffentlicht. (Dies ist mitunter auch ein Grund warum so viele Webseiten gehacked wurden. Es wurde sogar, nachdem das Problem veröffentlicht wurde, kein neueres Update heruntergeladen).

Was das Team aber nicht tut, ist alle Themes und Plugins auf WordPress.org zu überprüfen. Diese werden aber von Freiwilligen manuell überprüft. Dies gibt natürlich keine „Garantie“, dass diese keine Sicherheitslücken mehr enthalten.

Ist WordPress also sicher, wenn Sie alle Empfehlungen befolgen?

Wenn Sie sich alle oben genannten Daten und Fakten genauer ansehen, können Sie diesen allgemeinen Trend erkennen:

Obwohl kein Content-Management-System zu 100% sicher ist, verfügt WordPress über ein Qualitätssicherheitssystem für die Kernsoftware und die meisten Hacks sind auf ein direktes Fehlverhalten der Webseitenbetreiber zurückzuführen.

Beachten Sie also in Zukunft bitte folgende Dinge:

  • Halten Sie die Software wie Plugins, und Themes auf dem neuesten Stand.
  • Seien Sie vorsichtig bei der Auswahl Ihrer Plugins und installieren Sie nur Erweiterungen, bei denen Sie auf die Entwickler vertrauen können. Seien Sie daher vorsichtig bei GPL Clubs und nulled Plugins / Themes
  • Wenn Sie zwischen FTP und SFTP wählen können, entscheiden Sie sich immer für SFTP.
  • Verwenden Sie immer sichere Passwörter für WordPress. Das gilt auch für das Hosting sowie SFTP Konten (nach Verfügbarkeit auch eine Zwei-Faktor Authentifizierung).
  • Verwenden Sie nicht „Admin“ als Benutzernamen.
  • Richte eine Firewall vor deiner Seite ein. Alle Kinsta-Seiten sind durch unsere kostenlose Cloudflare-Integration geschützt, die eine Firewall auf Unternehmensniveau mit integriertem DDoS-Schutz beinhaltet. Wenn du nicht auf Kinsta gehostet bist, kann das Hinzufügen von Cloudflare oder Sucuris WAF deine Seite sicherer machen.
  • Achten Sie darauf, dass keine Viren auf Ihrem eigenen Computer sind.
  • Ändere deine WordPress Login-URL, um Brute-Forcing zu reduzieren.
  • Verwenden Sie ein TLS-Zertifikat (HTTPS), damit die gesamte Kommunikation mit Ihrer WordPress Seite (z.B. die Anmeldung im Dashboard verschlüsselt wird). Kinsta bietet kostenlose HTTPS-Zertifikate an!
  • Verwenden Sie SSH-Keys. Diese bieten eine sichere Möglichkeit, sich bei einem Server anzumelden ohne ein Passwort zu verwenden.
  • Wählen Sie einen sicheren Hoster und verwenden Sie immer die neuesten Technologien wie PHP 7+.

Dann ist WordPress sicher und Ihre Seite sollte in Zukunft frei von Hackern bleiben. Wenn Sie ein Kinsta-Kunde sind, müssen Sie sich auch keine Sorgen machen. Sollte Ihre Seite zufällig gehackt worden sein, reparieren wir diese kostenlos für Sie!

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.