WordPress ist beliebt als Blogsystem aber auch für alle anderen Webauftritte, weil es leicht zu bedienen und auch gut für Suchmaschinen zu optimieren ist. Weltweit wird die Software auf mehr als 80 Millionen Webseiten eingesetzt.
Diese Beliebtheit und Verbreitung hat aber auch einen Nachteil: WordPress bietet ein sehr attraktives Ziel für Angriffe. Wer einen WP Exploit ausnutzen kann bekommt schnell Zugriff auf sehr viele Webseiten. Daher hat die Frequenz und die Kompromisslosigkeit der Angriffe auf WordPress Systeme in den letzten Jahren deutlich zugenommen. Dazu kommen auch Lücken in Plugins und Themes die in den letzten Jahren sehr viel mehr ausgenutzt werden als in der Anfangszeit von WordPress. Beispielsweise gab es die Thimthumb Sicherheitslücken die in sehr vielen Themes aufgetreten ist. Bei den Plugins gab es im beliebten MailPoet Plugin und All-in-One SEO entsprechende Lücken und auch in anderen Bereich gab es im Jahr 2014 Exploits, die es dringend erforderlich machten, schnell zu reagieren und die Plugins auf den neusten Stand zu bringen oder zu entfernen.
Selbst bei Updates und Sicherheitspatches ist mittlerweile Vorsicht angebracht. So hatte Mitte 2014 das beliebte Plugin RevSlider (mit dem man einfach Slider auf der Webseiten einbinden konnte) eine gravierende Sicherheitslücke und ein Workaround dazu gab es nicht. Daher wurde von Dritten ein Plugin entwickelt, dass diese Lücke schließen sollte. Das war sowie auch erfolgreich, mittlerweile hat sich aber gezeigt, dass auch diese Patch Plugin selbst eine gravierende Sicherheitslücke aufweist die sogar noch kritischer ist als die Lücke im ursprünglichen Plugin.
Die Auswirkungen von erfolgreichen Hacks sind unterschiedlich:
- Defacement der Webseite mit Hacker-Botschaften
- Versenden von Spam
- Einbau von Spam-Links zu Seiten weltweit
- Auslieferung von Malware die Rechner der Leser infizieren sollen
- Einbau von Fake-Shops für Kredite, Pharmazeutika oder Glücksspiel
In jedem Fall sind die Auswirkungen für die betroffene Seite höchst negativ, oft sperren Provider die betroffenen Systeme sogar bis sie gesäubert wurden, um einer eigenen Haftung zu entgehen.
Viele neue Sicherheitsplugins in den letzten Jahren
Für den Schutz der eigenen WordPress-Seite gibt es auf dem Markt mittlerweile viele Sicherheitsplugins, die kostenlos sind und die Webseite sowohl vor Login-Versuchen als auch vor Zugriffen auf sicherheitsrelevante Dateien schützen.
Vielfach ist aber auch bei der Nutzung von Sicherheitsplugins ein gewisses technisches Grundwissen notwendig. Es muss beispielsweise unterschieden werden, ob ein Zugriff ein Problem darstellt oder ein normales Ereignis ist und auch wenn Sicherheitslücken auf einem System gefunden werden heißt das noch nicht, dass sie sich auch einfach schließen lassen. Dazu sind nicht alles Lücken auch immer ein Problem – ist der Login Bereich von WordPress beispielsweise per Zugriffsschutz zusätzlich abgesichert, machen auch einfache Benutzernamen keine Probleme mehr.
Sicherheit selbst machen oder machen lassen
Viele Unternehmen bieten daher bereits professionelle Sicherheitslösungen für WordPress an auf die man als Kunden zurück greifen kann, wenn man den Schutz der eigenen Installation sicher stellen möchte. So kann man beispielsweise für wenig Geld den aktuellen Sicherheitsstatus der eigenen Seite prüfen und bewerten lassen.
Mit ein wenig Fachwissen lassen sich allerdings die meisten Sicherheitsmaßnahmen auch selbst umsetzen. WordPress selbst gibt im Kodex sehr umfangreiche Sicherheitshinweise. Allerdings ist der Beitrag in Englisch verfasst und richtet sich eher an Programmierer mit dem entsprechenden Hintergrundwissen. Darüber hinaus gibt es auch einfacherer Checklisten und Anleitungen in Deutsch auf verschiedenen Blogs. Google hilft hier weiter.
Grundsätzlich sollte man bei der Nutzung von WordPress die Sicherheit des Systeme mittlerweile ebenfalls im Auge haben. Eine gute Webseite mit WordPress sollte nicht nur im Bereich Design und Usability optimiert sein sondern auch die grundlegenden Sicherungen gegen Angriffe umgesetzt haben. Ist ein System erst kompromittiert, ist eine Säuberung oft nur mit großem Aufwand möglich und in vielen Fällen muss die gesamte Software neu aufgespielt werden. Wer vorher auf Sicherheit setzt spart daher nicht nur Geld sondern auch viel Zeit und Nerven.