Achtung: Sicherheitslücken bei WordPress – wie Sie die Gefahr bannen
WordPress wird auf Millionen Webseiten eingesetzt. Doch WordPress gilt als ein unsicheres System. Welche Gefahren beim Einsatz von WordPress entstehen und wie Sie damit am besten umgehen erfahren Sie hier.
WordPress ist eins der beliebtesten Content-Management-Systemen (CMS) für Webseiten. Ungefähr 30% aller Webseiten nutzen WordPress – das sind ungefähr 77 Millionen Webseiten. Jeder 40. Onlineshop basiert auf WordPress.
WordPress ist so beliebt, weil es als Open-Source-Projekt ständig weiterentwickelt wird. Tausende Entwickler weltweit programmieren täglich Erweiterungen. Somit ist WordPress vielfältig einsetzbar und kann durch Plugins quasi unendlich erweitert werden. Die Vorteile liegen auf der Hand.
Aufgrund der großen Verbreitung und dem offenen Quellcode gibt es auch viele Sicherheitslücken, deswegen ist WordPress auch bei Hackern so beliebt.
Durch die große Community werden Sicherheitslücken jedoch schnell erkannt und geschlossen. Trotz dieser Bemühungen ist es wie bei jeder Software unmöglich alle Sicherheitslücken vollständig zu schließen. Es bleibt immer eine Restgefahr, dass Hacker unautorisierten Zugriff auf eine Website und/oder Datenbank erhalten.
Die Gefahren durch ein unsicheres CMS
Kleinere Unternehmen sind selten das Hauptziel von Hackern. Sie sind jedoch meist leichte Beute, weil hier die Sicherheitslücken aufgrund des kleinen Sicherheits-Budgets und der fehlenden fachlichen Kompetenz von IT-Mitarbeitern größer sind.
Wenn Hacker Schwachstellen einer Software kennen, nutzen diese Bots Schwachstellen, um das Internet systematisch nach Systemen zu durchsuchen, auf denen Schwachstellen zu finden sind. Ist ein solches schwaches System gefunden, ist es ein Leichtes über diese Sicherheitslücken Zugriff auf das gesamte System zu erhalten. Die Daten können von den Hackern für tausende Gründe missbraucht werden.
Die Seite kann einfach optisch verunstaltet werden, gefälschte Werbelinks können installiert werden, die Server können durch Spam-Angriffe überlastet werden und viele andere Angriffsszenarien sind denkbar. Besonders beliebt ist es, ein Unternehmen zu erpressen, die Daten öffentlich zu machen oder das ganze System zu löschen. Neben dem Schaden durch die Angriffe selbst drohen möglicherweise auch noch Bußgelder von den Datenschutzaufsichtsbehörden aus der DSGVO, wenn personenbezogene Daten gefährdet sind.
Ein erfolgreicher Hackerangriff ist ein hohes finanzielles Risiko. Dazu kommt noch der zeitliche und personelle Aufwand, um das Problem wieder in den Griff zu bringen. Letztendlich kann ein Hackerangriff vor allem ein Imageschaden sein. Danach überlegen es sich Kunden zweimal, ob sie ihre Daten bei einem wohlmöglich unsicheren Anbieter hinterlegen.
In WordPress wurden bereits 2407 Sicherheitslücken geschlossen (Stand Mai 2019). Hauptsächlich befinden sich Sicherheitslücken bei Plugins, die 54% der Sicherheitslücken ausmachen. Die WordPress-Kernsoftware macht 31.5% der Sicherheitslücken aus. Mit 14.3% sind WordPress Themes die am wenigsten gefährdete Komponente¹. Diese Zahlen beziehen sich nur auf die geschlossenen Sicherheitslücken, die Dunkelziffer der offenen Sicherheitslücken liegt vermutlich höher.
Während die Lücken in der Kernsoftware und den Themes von den Verantwortlichen und dem ca. 80 Köpfe großen WordPress-Kernteams schnell mit den nächsten Updates behoben werden, sind die Plugins besonders anfällig, weil diese oftmals von den unzähligen unabhängigen Entwicklern nicht gepflegt und geupdatet werden. Schon bei der Auswahl der Plugins ist es also wichtig zu prüfen, ob diese auch in Zukunft unterstützt werden.
Was tun für mehr Sicherheit?
Wie schon oben erwähnt gibt es keine vollkommene Sicherheit, doch es gibt einige Wege um das Risiko zu senken. Letztendlich zahlt es sich aus, den Hackern die Arbeit zu erschweren und es möglichst aufwendig zu machen das eigene System zu hacken. Das nächste und schwächere System ist nur ein paar Klicks entfernt.
Zuerst einmal müssen Systeme immer auf dem aktuellsten Stand gehalten werden. Updates sind bei WordPress mit wenigen Klicks durchgeführt.
Jedoch besteht die Gefahr, dass alte Plugins plötzlich in der neuen WordPress-Version nicht mehr funktionieren. Diese Plugins müssen dann durch vergleichbare aktuelle Plugins ausgetauscht werden. Soweit sollte es jedoch gar nicht erst kommen. Plugins sollten dauerhaft auf Ihre Zukunftsfähigkeit untersucht und ausgetauscht werden, bevor es zu spät ist! Es ist sinnvoll, einmal im Quartal die WordPress Installationen zu überprüfen.
Weiterhin müssen regelmäßig Backups durchgeführt werden. Durch einen Hackerangriff kann schnell das gesamte System irreparabel beschädigt sein. Mit einem Backup ist das System in kürzester Zeit wiederhergestellt.
Letztendlich müssen auch weitergehende Sicherheitskonzepte umgesetzt werden. Das reicht von regelmäßig erneuerten und sicheren Passwörter bis hin zu professionellen und umfangreichen Maßnahmen wie Penetration Testing, Sicherheitskonzepte und Systemhärtung.
Bei all diesen Maßnahmen stehen wir von juni.com Ihnen mit unserer auf Datenschutz und IT-Sicherheit spezialisierten Tochterfirma juni.pro zur Verfügung.
Gerne stehen wir Ihnen für eine kostenlose Erstberatung zur Verfügung.
Schreiben Sie uns eine Mail an info@juni.com oder rufen Sie unter 069 5077 5780 an! (Die kostenlose Beratung umfasst eine telefonische oder persönliche Erstberatung von bis zu drei Stunden. Dieses Angebot richtet sich nur an Unternehmenskunden.)
Weiterführende Links:
https://juni.pro/it-security/
https://ecommerce.juni.com/
¹ https://wpvulndb.com