Wie sicher ist WordPress

WordPress: Seine größte Stärke ist auch seine größte Schwäche

Zuletzt aktualisiert am

Wie sicher ist WordPress? Nicht besonders, denn es kommt mit einer Reihe gravierender Schwachstellen daher. Und weil derzeit mehr als 28 Prozent des Internets mit WordPress laufen, ist es ein beliebtes Angriffsziel. Die gute Nachricht: Die wichtigsten Schwachstellen lassen sich sehr leicht ausmerzen.

Das Schöne an WordPress ist, dass es wirklich jeder nutzen kann. Eigentlich braucht man nur einen Internetanschluss und man kann loslegen. Ganz anders sieht es da bei der WordPress-Sicherheit aus. Vielleicht auch gerade wegen der einfachen Handhabung setzen sich nicht alle Nutzer damit auseinander, wie sicher WordPress eigentlich von Haus aus ist.

Auf jeden Fall aber wegen seiner großen Stärken – dem unglaublichen Funktionsumfang und den vielfältigen Designs – ist WordPress tendenziell sehr unsicher. Der modulare Aufbau bietet massig Angriffspunkte. Und die werden von Hackern natürlich auch ausgenutzt. Und zwar automatisiert, rund um die Uhr, 365 Tage im Jahr.

Aber keine Sorge: Diese eingebauten Schwächen von WordPress lassen sich sehr leicht ausmerzen. Und zwar erst einmal komplett ohne zusätzliches Sicherheits-Plugin.

Damit will ich dir dein Sicherheitsplugin natürlich nicht ausreden. Es macht unter Umständen sogar sehr viel Sinn. Aber das Absichern deiner WordPress-Seite ist mit seiner Installation eben nicht abgeschlossen. Und bevor du dich in Schattenboxkämpfe mit Pseudo-Bedrohungen zu verwickeln drohst, macht es mehr Sinn erst einmal die grundlegenden Schwächen von WordPress zu kompensieren.

Im Einzelnen geht es heute um

“Aber meine Seite ist doch gar nicht interessant für Hacker”

Täusche dich nicht: Diese Annahme ist schlicht falsch. Jede WordPress-Seite ist für Angreifer wertvoll. Beispielsweise als Spamschleuder, Teil eines Botnets oder Werbeplattform für Phishing-Seiten.

Und dem Angreifer ist es im Zweifelsfall vollkommen egal wie klein, neu oder wenig besucht deine Seite ist. Denn die Leidtragenden sind am Ende ohnehin du und dein Geschäft. So kann es passieren, dass dein Newsletter als Spam eingestuft wird, die Nutzer vor dem Besuch deiner Seite gewarnt werden und dein Google-Ranking leidet, weil deine Seite auf einer Blacklist steht.

Was ich damit sagen will: Allein wegen der Beliebtheit und Verbreitung von WordPress sind WordPress-Seiten ein dankbares Angriffsziel. Und zwar unabhängig von deren Inhalt und Zweck.

Der WP-Admin-Bereich ist besonders anfällig

Die Login-Seite ist standardmäßig über das Suffix “wp-admin” erreichbar. Deswegen ist sie auch besonders häufig das Ziel von Angriffen – z.B. von sogenannten Brute Force Attacken. Diese Angriffe gehören mit zu den häufigsten Hacks gegen WordPress-Seiten. Denn sie sind sehr leicht zu automatisieren. Bei einer Brute Force Attacke versucht der Angreifer im Prinzip die richtige Kombination aus Nutzername und Passwort zu erraten. Wenn also das Passwort schwach, oder der Loginbereich nicht geschützt ist, kann es passieren, dass eine Brute Force Attacke entweder Erfolg hat – und der Angreifer sich erfolgreich in dein WP einloggen kann –, oder dass das massive Aufkommen von Loginversuchen deine Seite lahmlegt.

Wordfence, der bekannte Hersteller des gleichnamigen Sicherheits-Plugins, verzeichnet allein im März durchschnittlich 34 Millionen Brute Force Angriffe – und zwar täglich. Im Vergleich dazu bewegen sich die sog. “complexe attacks”, also solche die spezifische Sicherheitslücken ausnutzen, auf einem Niveau von 3,8 Mio Angriffen täglich.

Statistik über die von Wordfence gezählten Brute Force Attacken im Maerz 2017
März-Report von Wordfence zeigt: Der Pluginhersteller konnte pro Tag durchschnittlich ca. 34 Mio. Brute Force Attacken verzeichnen. Besonders viele waren es Mitte des Monats.

Da Wordfence aber natürlich nur die Attacken zählt, die von der eigenen Software abgewehrt wurden, fällt die Dunkelziffer noch höher aus.

Die gute Nachricht ist aber: Obwohl der Angriff auf den WP-Admin-Bereich sehr leicht ist und sich schnell automatisieren lässt, sind die Schutzmaßnahmen dagegen denkbar einfach. Zur Sicherung deines WP-Admin-Bereichs kannst du an drei Stellen Schutzwälle hochziehen:

  1. Auf WP-Ebene, durch starke Passwörter
  2. Beim Login selbst, durch eine Begrenzung der Anmeldeversuche
  3. Vor dem Login, durch eine Blacklist

1) Die alte Leier: Starke Passwörter

Brute Force Attacken sind sehr stupide Angriffe. Sie raten im Prinzip nur. Deswegen kann ein starkes Passwort hier tatsächlich schon genug sein, um die Attacken ins Leere laufen zu lassen. Machen wir es also kurz: Das starke Passwort ist Pflicht. Dazu gehören: Buchstaben, Zahlen, Sonderzeichen sowie groß- und kleingeschriebene Buchstaben. Und natürlich macht auch eine Zwei-Wege-Authentifizierung Sinn.

TIPP: Mit Passwortmanagern ist es übrigens ein Leichtes nicht nur sichere Passwörter zu erstellen, sondern diese auch zu verwalten. Apple Rechner bieten mit dem Programm “Schlüsselbundverwaltung” beispielsweise eine bequeme Möglichkeit deine Passwörter offline zu verwalten. Du musst dir nur ein Masterpasswort merken (das aber natürlich möglichst komplex sein sollte). Genauso arbeiten auch cloudbasierte Passwortverwaltungsprogramme, wie 1Password, LastPass oder X-Key Pass.

2) Zahl der Logins begrenzen

An den Zahlen von Wordfence kann man es eindrucksvoll sehen: Brute Force Attacken sind die häufigsten Angriffe auf WordPress-Seiten. Die Wahrscheinlichkeit, dass deine Seite Opfer eines solchen Angriffs wird, ist also sehr hoch. Und damit die hohe Zahl der Loginversuche deine Seite nicht unnötig belasten, gibt es die Möglichkeit diese zu begrenzen.

Eine IP wird dann beispielsweise nach drei fehlgeschlagenen Versuchen für eine bestimmte Zeit geblockt. Reißt sie anschließend das Limit erneut, erhöht sich der Sperrzeitraum sukzessive. So limitierst du die Zahl der möglichen Versuche sehr schnell so stark, dass die Attacke nutzlos wird.

Je nach dem wie niedrig die Sperrschwelle angesetzt ist, kann dieses Verfahren auch gegen einen Angriff mit wechselnden IPs schützen. Am einfachsten kannst du diesen Schutz deines Loginbereichs über Plugins umsetzen. Hier gibt es bspw. WP Limit Login Attempts, Login Lockdown oder auch eines der großen Sicherheitsplugins wie Sucuri, Wordfence oder All in One WP Security. Die Seiten von RAIDBOXES-Kunden werden bereits serverseitig mit einem Brute Force Schutz ausgestattet. Ein zusätzliches Plugin ist hier also nicht nötig.

3) Blacklisting

Die Mitarbeiter von Sicherheitsfirmen wie Sucuri oder Wordfence verbringen große Teile ihrer Arbeitszeit damit Angriffe zu analysieren. Diese Analysen veröffentlichen sie auch in regelmäßigen Abständen. Einer der wichtigsten Aspekte in diesen Berichten ist regelmäßig die Herkunft einer IP. Denn in bestimmten Ländern stehen Server, die besonders häufig Angriffe fahren.

Ein Blacklisting der entsprechenden IPs macht daher durchaus Sinn. Vor allem, wenn die Region für dich nicht zielgruppenrelevant ist. So kannst du Angriffe schon vor Erreichen deiner Seite effektiv zurückschlagen.

Solche Blacklists kannst du entweder selbst anlegen, indem du sie auf Serverebene implementierst, oder du nutzt ein Sicherheits-Plugin mit entsprechender Funktion.

Veraltetes WordPress

WordPress ist ein modulares System. Es besteht aus dem Core, also der Kernsoftware, den Plugins und den Themes. Eine der größten Gefahren für WP-Installationen entsteht dadurch, dass viele Nutzer ihr WordPress-System nicht regelmäßig updaten.

Das hat die unterschiedlichsten Gründe. Diese reichen von Inkompatibilitäten bei Plugins und Themes, bis hin zu Unwissen oder fehlender Zeit für ein Update.

wie sicher ist wordpress – mehr als 70 prozent aller wordpress seiten laufen nicht unter der aktuellen version
Diese Statistik von WordPress.org zeigt, dass 72,5 Prozent aller WordPress-Installationen derzeit nicht unter der aktuellsten WP-Version laufen. Fast 40 Prozent laufen sogar unter noch älteren Versionen als 4.7.

Wohin verschleppte Core-Updates führen können, zeigte sich erst Anfang des Jahres ziemlich eindrucksvoll: Im Februar 2017 wurde eine Sicherheitslücke in der WordPress-Version 4.7.1 bekannt, und WordPress-User wurden dazu aufgerufen, möglichst schnell auf Version 4.7.2 upzudaten.

Binnen kürzester Zeit provozierte die Meldung massenhaft Angriffe auf WordPress-Seiten (denn die Lücke war vor der offiziellen Mitteilung noch nicht bekannt). Auch hierzu liefern die Hersteller der entsprechenden Sicherheitssoftware wieder Zahlen: innerhalb nur weniger Tage seien insgesamt anderthalb bis zwei Millionen Seiten gehackt worden. Zuvor hatte ein Mitarbeiter von Wordfence die Sicherheitslücke entdeckt.

Ruft man sich in Erinnerung, dass derzeit mehr als 28 Prozent des gesamten Internets auf WordPress-Basis laufen, kann man sich eine recht gute Vorstellung davon machen, was passieren könnte, sollte so eine Lücke unbemerkt bleiben. Es ist daher ratsam die Updates des WordPress Core zu automatisieren oder automatisieren zu lassen.

Das gilt übrigens hauptsächlich für die sogenannten Minor Updates, also Versionsnummern mit drei Stellen, bspw. 4.7.4. Dies sind die sog. “Security and Maintenance Releases” und sollten immer so schnell wie möglich installiert werden. Bei größeren Versionssprüngen, bspw. von 4.7 auf 4.8 verhält es sich etwas anders: Hier stehen Funktionen und Nutzerführung im Fokus der Updates.

Veraltete Plugins und Themes

Was für den WordPress-Core gilt, gilt natürlich auch für die Plugins und Themes: Veraltete Plugin-Versionen bergen fast immer Sicherheitslücken – und zwar vermeidbare.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht das laut einer Sicherheitsstudie zu Content Management Systemen ähnlich. Die Daten des BSI beziehen sich auf den Zeitraum von 2010 bis 2012. 80 Prozent der offiziell gemeldeten Schwachstellen ließen sich auf Erweiterungen zurückzuführen – also in den meisten Fällen auf Plugins.

Eine Suche nach Exploits mit Hilfe von ExploitsDatabase ergab über 250 Exploits für WordPress. Hier ist der Großteil der Exploits für WordPress Plugins eingetragen worden.

– BSI (2013): “Sicherheitsstudie Content Management Systeme (CMS)“

 

In der Praxis sind Plugins ein bevorzugter Angriffspunkt für Hacker. Und bei mehr als 50.000 Erweiterungen im offiziellen Pluginverzeichnis von WordPress, auch ein sehr ergiebiger. Ansatzpunkt für solche Angriffe sind dann Lücken im Code der Plugins.

Hierbei ist wichtig zu verstehen: Solche Lücken wird es immer geben. Ein zu 100 Prozent sicheres System existiert schlicht nicht. Und: Fehlende Updates bei einem Plugin oder Theme bedeuten nicht automatisch, dass dieses unsicher ist. Auch wenn die Update-Frequenz ein guter Indikator für die Supportqualität eines Herstellers ist. Es könnte aber genauso gut sein, dass bisher schlicht keine Sicherheitslücken entdeckt wurden.

Werden aber welche entdeckt, dann wird der Pluginanbieter (hoffentlich) auch ein Update bereitstellen, das die Lücke schließt. Tut er das nicht, sind z.B. SQL-Injections oder Cross Site Scripting (XSS) möglich. Bei ersteren manipulieren Hacker die Datenbank deiner Seite. So können sie sich bspw. völlig neue Nutzer mit Admin-Rechten schaffen und deine Seite dann mit Schadcode infizieren oder auch zur Spamschleuder umbauen.

Bei XSS-Attacken geht es im Grunde darum, JavaScript auf deiner Seite zu platzieren. So kann ein Angreifer bspw. Formulare auf deiner Seite einschleusen, die die Daten der User stehlen. Völlig unauffällig, SSL-verschlüsselt und in vertrauenswürdigem Umfeld.

Und weil Plugins und Themes so mannigfaltige Angriffspunkte bieten, solltest du immer auf die Zahl der Plugins achten und darauf, diese nicht im deaktivierten Zustand zu belassen, sondern wirklich zu deinstallieren, wenn du sie nicht mehr brauchst.

Shared Hosting

Diese Nachteile bringt WordPress schon von Haus aus mit. Da deine Seite aber natürlich auch irgendwie online kommen muss, ist auch das Hosting ein wichtiger Sicherheitsaspekt. Da Sicherheit und Hosting ein sehr komplexes und vielseitiges Thema ist, möchte ich an dieser Stelle zunächst nur auf den großen Nachteil des Shared Hosting eingehen. Auch das heißt wiederum nicht, dass ich dir Shared Hosting ausreden möchte. Es macht vor allem aus preislicher Sicht sehr viel Sinn. Aber Shared Hosting bringt eben einen entscheidenden Nachteil mit, den du kennen solltest.

Denn beim Shared Hosting liegen mehrere Seiten auf ein und demselben Server. Die Seiten teilen sich dabei auch die IP-Adresse. Das bedeutet, dass der Zustand und das Verhalten einer Seite auch alle anderen Seiten auf dem Server negativ beeinflussen kann. Dieser Effekt nennt sich Bad Neighbor Effect und bezieht sich z.B. auf Spamming. Denn sorgt eine Seite auf deinem Server dafür, dass die IP auf eine Blacklist gerät, kann dies auch dein Angebot beeinträchtigen.

Zudem kann es zu einer Überbeanspruchung von Ressourcen führen, bspw. wenn eine der Seiten auf dem Server in eine DDoS-Attacke eingespannt wird, oder von einem massiven Angriff betroffen ist. Die Stabilität deines eigenen Angebots ist somit zu einem gewissen Grad immer auch von der Sicherheit der anderen Seiten auf deinem Server abhängig.

Für professionell betriebene WP-WordPress-Projekte machen ein virtueller oder dedizierter Server somit durchaus Sinn. Natürlich gehören zu den Sicherheitskonzepten von Hostern auch Backuplösungen, Firewalls und Malware-Scanner, auf diese werden wir aber an anderer Stelle noch ausführlich eingehen.

Fazit

WordPress ist unsicher. Und zwar aufgrund seines modularen Aufbaus. Seine größte Stärke kann somit zu seiner größten Schwäche werden. Die gute Nachricht: Du kannst diese, quasi mitgelieferte, Schwäche sehr einfach umgehen. Mehr als den Aufwand bei der Nutzerverwaltung und Passworterstellung sowie bei den Updates braucht es im Prinzip nicht.

Natürlich machen diese Maßnahmen deine Seite noch nicht zu Fort Knox. Sie sind aber der Grundstein deines Sicherheitskonzepts. Denn beachtest du sie nicht, können sie alle weiteren Sicherheitsmaßnahmen aushebeln. Und jeder WordPress-Nutzer kann diese Aspekte selbstständig beeinflussen. Gerade deshalb ist es so wichtig, dass du dir dieser stets bewusst bist.