Tausende WordPress-Sites verwenden möglicherweise ein anfälliges Plugin: So schützen Sie Ihre Site

Im März 2024 wurde eine kritische Schwachstelle im WordPress-Plugin WordPress Automatic entdeckt. WordPress Automatic ist auf dem Code Canyon-Marktplatz verfügbar und ein automatischer Content-Scraper, der Artikel, Videos, Produkte, Bilder und andere Arten von Inhalten aus externen Quellen abruft und diese Inhalte automatisch auf Ihrer Website erneut veröffentlicht.

Das Forschungsunternehmen Patchstack entdeckte die Schwachstelle, die es böswilligen Akteuren ermöglichte, mithilfe von SQL-Injection-Angriffen die vollständige Kontrolle über anfällige Websites zu erlangen. Alle Arten von Websites – von Vape-Shops bis hin zu persönlichen Blogs – waren anfällig für den Angriff, wenn sie eine ungepatchte Version des Plugins verwendeten.

Obwohl das Plugin umgehend gepatcht wurde, installierten einige Websitebesitzer den Patch nicht, weil sie sich der Schwere des Problems nicht bewusst waren. Aktuelle Nutzerbewertungen für das WordPress Automatic-Plugin deuten darauf hin, dass zumindest einige Websites aufgrund der Sicherheitslücke vollständig verloren gingen.

Keine Website ist völlig immun gegen Hackerangriffe, und WordPress – das rund 43 Prozent aller Websites weltweit betreibt – ist ein vorrangiges Ziel für böswillige Akteure.

Hier ist jedoch die gute Nachricht: Wenn eine Website gehackt wird, liegt das normalerweise nicht daran, dass ein Hacker diese Website gezielt im Visier hat. Häufiger werden Websites gehackt, weil sie anfällige WordPress-Themes oder Plugins ausführen, die durch den Einsatz automatisierter Scanner entdeckt wurden.

Mit anderen Worten: Wenn Ihre Website keine bekannte Schwachstelle aufweist, die mit einem Scanner leicht gefunden und automatisiert ausgenutzt werden kann, werden Hacker in der Regel weitermachen.

Vor diesem Hintergrund können Sie Ihre WordPress-Site recht sicher halten, indem Sie einfach ein paar vernünftige Sicherheitsmaßnahmen befolgen. In diesem Leitfaden erklären wir genau, was Sie tun müssen, um das Risiko zu minimieren, dass ein unsicheres Plugin den vorzeitigen Untergang Ihrer Website verursacht.

Aktualisieren Sie Ihr Theme und Ihre Plugins umgehend

Wenn Sie sich bei WordPress anmelden, wird in der Seitenleiste immer eine Benachrichtigung angezeigt, wenn Updates für das Theme oder die Plugins Ihrer Website verfügbar sind. In manchen Fällen zeigt ein Plugin mit einem ausstehenden Update sogar eine Meldung oben auf der Seite an. Wenn Ihre Website über eine große Anzahl von Plugins verfügt, sehen Sie möglicherweise fast jedes Mal, wenn Sie sich anmelden, Update-Benachrichtigungen und neigen manchmal dazu, das Herunterladen und Installieren dieser Updates aufzuschieben. Sie tun dies jedoch auf eigene Gefahr, da Sie nie wissen, wann ein Update möglicherweise eine Lösung für ein kritisches Sicherheitsproblem enthält.

Das WordPress Automatic-Plugin wurde sofort aktualisiert, als sein Ersteller über die Sicherheitslücke informiert wurde. Eine Geheimhaltungsvereinbarung verhinderte jedoch Berichten zufolge, dass der Ersteller des Plugins den Fehler besprechen konnte, bis er von Patchstack veröffentlicht wurde. Aus diesem Grund ignorierten einige Benutzer das Update.

Führen Sie vollständige Site- und Datenbank-Backups durch

Webhoster bieten immer häufiger vollautomatische Website- und Datenbank-Backups an, was sich positiv auf die Sicherheit auswirkt. Wenn Ihre Website gehackt wird, bedeutet die Verfügbarkeit eines Backups, dass Sie die Website in ihren vorherigen Zustand zurückversetzen können – manchmal mit einem einzigen Klick. Wenn Ihr Host diesen Service nicht anbietet, können mehrere WordPress-Plugins die Arbeit für Sie erledigen. Es ist jedoch wichtig, eine Bibliothek mit Backups zu verschiedenen Zeitpunkten zu führen. Wenn Ihre Website gehackt wird, kann es eine Weile dauern, bis Sie es bemerken.

Erwägen Sie die Ausführung eines Sicherheits-Plugins

Wenn Ihre Website Ihr Unternehmen ist, gibt es keine Entschuldigung dafür, nicht über irgendeine Sicherheitslösung zu verfügen. Ein Sicherheits-Plugin kann Zugriffsversuche automatisch überwachen und Benutzer blockieren, die als böswillig erscheinen. Einige Content-Delivery-Netzwerke bieten diesen Service ebenfalls an. Ein Sicherheits-Plugin kann auch die Dateien und den Rohcode Ihrer Site überwachen und Sie benachrichtigen, wenn sich unerwartet etwas geändert hat. Wenn plötzlich neue Dateien auf Ihrem Server erscheinen, wurde Ihre Website wahrscheinlich gehackt.

Beziehen Sie Ihre Themes und Plugins von einer vertrauenswürdigen Quelle

Das WordPress-Repository ist immer der zuverlässigste Ort, um Themes und Plugins für Ihre Website zu finden. Da alles auf der WordPress.org-Website kostenlos und Open Source ist, werden alle Plugins und Themes dort von der sehr großen Community von WordPress-Freiwilligen überwacht. In vielen Fällen benötigen Sie jedoch möglicherweise Funktionen, die in einem kostenlosen Theme oder Plugin nicht verfügbar sind – und in diesem Fall müssen Sie für Premium-Software bezahlen. Stellen Sie sicher, dass jemand den Code geprüft und für sicher erklärt hat.

Entfernen Sie nicht verwendete Themes und Plugins

Jedes Theme und jedes Plugin, das auf Ihrer WordPress-Website installiert ist, sollte als potenzielle Sicherheitslücke betrachtet werden, denn genau das tun Hacker: Sie prüfen ständig jeden vorhandenen WordPress-Code und suchen nach Schwachstellen, die sie ausnutzen können. Jedes Mal, wenn Sie ein Theme oder Plugin von Ihrer Website entfernen, eliminieren Sie einen potenziellen Einstiegspunkt. Gehen Sie die Plugins und Themes Ihrer Website durch und entfernen Sie alles, was Sie nicht verwenden. Es ist auch eine gute Idee, Ihre aktiven Plugins durchzusehen und sicherzustellen, dass Sie wirklich alle benötigen.

Finden Sie Ersatz für verlassene Plugins

Ist es schon eine Weile her, seit Sie das letzte Mal eine Update-Benachrichtigung für ein bestimmtes Plugin gesehen haben? Wenn ja, sollten Sie im Änderungsprotokoll des Plugins nachsehen, wann es zuletzt aktualisiert wurde. Sofern die Funktionalität eines Plugins nicht sehr einfach ist, sollten Sie davon ausgehen, dass es vom Autor aufgegeben wurde, wenn es seit mehr als einem Jahr nicht aktualisiert wurde. In diesem Fall sollten Sie nach einem Plugin suchen, das die gleiche Funktionalität bietet und dennoch aktiv aktualisiert wird. Sicherheitslücken können in alten Plugins lange lauern, bevor sie entdeckt werden – und wenn ein Plugin, das eine Lücke aufweist, vom Autor nicht mehr aktualisiert wird, wird die Schwachstelle nie behoben.

Beauftragen Sie einen Entwickler mit der Prüfung alter Plugins und Themes

Angenommen, Ihre Website verfügt über ein geschäftskritisches Plugin, das vom Entwickler aufgegeben wurde und nicht mehr aktualisiert wird. In diesem Fall sind Sie allein dafür verantwortlich, dass das Plugin sicher ist und keine Schwachstellen aufweist. In diesem Fall wäre es eine sehr gute Idee, einen Entwickler zu engagieren und diese Person das Plugin für Sie prüfen zu lassen. Die Wartung des Plugins kann zu einem laufenden Kostenfaktor werden, bis Sie einen Ersatz dafür finden.