WordPress ist beliebt. Laut dem Statista Research Department hat WordPress unter den Content-Management-Systemen (CMS) einen Marktanteil von 62,8 Prozent inne und liegt damit weitab der Konkurrenz (Stand März 2024). Den zweiten Platz belegt Shopify mit 6,2 Prozent. Einbezogen wurden die Top 10 Millionen Websites nach Alexa-Ranking.
Die weite Verbreitung und hohen Nutzerzahlen machen WordPress jedoch auch zu einem beliebten Angriffsziel unter Hackern. Während keine vollständigen Zahlen zu Angriffen auf WordPress-Seiten veröffentlicht werden, lässt jedoch der „Wordfence 2023 State of WordPress Security Report“ des gleichnamigen Security-Pluginanbieters Rückschlüsse auf das Ausmaß an Angriffen zu. Über 100 Milliarden Brute-Force-Angriffe allein wurden 2023 erfasst. Auch das Crawlen von Websiten zum erkennen von Sicherheitslücken ist mit über 42 Milliarden Angriffen innerhalb von 12 Monaten weit verbreitet. Zu beachten ist, dass diese Zahlen sich lediglich auf Angriffe, die von dem Wordfence-Plugin registriert wurden beziehen.
Weit verbreitete WordPress Sicherheitslücken und Lösungsmaßnahmen
veraltete WordPress Core, Plugin und Theme Versionen
Generell sollte alles immer auf dem neusten Stand gehalten werden, um die Gefahr durch Sicherheitslücken zu minimieren.
Maßnahmen
Wenn keine Auto-Updates aktiviert sind, sollte mindestens einmal im Monat auf ausstehende Aktualisierungen geprüft werden.
Drittanbieter Plugins & Themes
Bei einer Umfrage von Wordfence aus dem Jahr 2016 wurden 1.032 Websitenbetreiber gefragt, wie sich Hacker Zugang verschafft haben. Über die Hälfte gelangten über Plugins in die Seite, dicht gefolgt von WordPress Core Dateien und über das Theme.
Maßnahmen
Bevor die Entscheidung für ein Theme oder Plugin fällt, sollte im Vorfeld die Glaubwürdigkeit des Anbieters geprüft werden. Ein hilfreicher Indikator sind meist die Zahl der aktiven Installationen, Bewertungen sowie die Angabe zum letzten Update. Liegt dieses länger als sechs Monate zurück, ist die Wahrscheinlichkeit groß, dass eventuelle Sicherheitslücken nicht mehr behoben werden. Mittels Security-Scan Plugins wie Wordfence können Plugins, die keine Updates mehr bekommen, ausfindig gemacht werden.
Fehlende Login-Sicherung
Brute Force Angriffe machen einen Großteil der Sicherheitsgefährdungen aus. Hierbei wird versucht, Passwort sowie Benutzername automatisiert durch Probieren herauszufinden und sich so Zugang zu verschaffen.
Maßnahmen
Diese Sicherheitslücke kann relativ einfach behoben werden. Mit individuellen Nutzernamen abseits von „admin“ und langen Passwörtern mit Sonderzeichen kann bereits viel erreicht werden. Zusätzlich ist die 2FA (Zwei-Faktor-Authentifizierung) eine weitere gute Möglichkeit Brute Force Angriffen entgegen zu wirken. Auch die Beschränkung der Login-Versuche kann Abhilfe schaffen.
Gefahren im Hosting
Shared Hostings bringen die Gefahr mit sich, dass der Hack einer infizierten Seite auf alle ausbreitet. Liegen mehrere Websites auf einem Server, können sich Hacks so verbreiten. So sollten alle Instanzen voneinander abgegrenzt liegen.
Maßnahmen
Das Nutzen eines Dedicated Servers (Dediziertes Hosting) ist die sicherste Variante. Außerdem sollte auf die Verwendung von Sicherheitsprotokolle geachtet werden und die Seite mit einem SSL (Secure Socket Layer) Zertifikat versehen werden. Auch der Serverzugang sollte stets per sFTP erfolgen – sprich, verschlüsselt.
Weitere Sicherheitsmaßnahmen
Da es immer passieren kann, dass sich Dritte Zugang zu einer Seite verschaffen, sollten Seite und Datenbank regelmäßig gesichert werden. Teilweise bieten Hoster automatisiert erstellte Backups an, die für eine gewisse Zeit zur Verfügung stehen. Alternativ gibt es zudem die Möglichkeit Seite sowie Datenbank über Plugins zu sichern. Das Duplicator Plugin ist hier ein gutes Beispiel.
Auch helfen Plugins wie Wordfence, Gefahren mittels Security Scan frühzeitig zu erkennen und Angriffe abzuwehren.
Quellen
https://de.statista.com/statistik/daten/studie/320670
https://www.wordfence.com/2024/02/2024-State-of-WordPress-Security-Report.pdf
https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/
