WordPress-Sicherheit basierend auf Fakten und Statistiken

Veröffentlicht: 2022-12-12

WordPress ist aufgrund der schieren Anzahl von Personen, die es verwenden, ein häufiges Ziel für böswillige Hacker. Einige Schätzungen beziffern die Gesamtzahl der WordPress-Websites im Internet auf 455 Millionen. Das bedeutet, dass WordPress 43,1 % aller Websites im Internet betreibt.

Interessante Statistiken

Herauszufinden, wie viele Websites gehackt werden, ist schwierig. Dafür gibt es mehrere Gründe. Hacking-Vorfälle werden notorisch zu wenig gemeldet. Sofern sie nicht gesetzlich dazu verpflichtet sind, Vorfälle offenzulegen, zögern viele Administratoren und Website-Eigentümer, dies zu tun. Viele wissen nicht, dass sie gehackt wurden, was es unmöglich macht, sie zu melden.

Ohne diese Vorbehalte hat IT Governance – ein Anbieter von Cyber-Risiko- und Datenschutzmanagementlösungen – allein im Jahr 2021 rund 5,1 Milliarden (das ist mit einem B) Verstöße gemeldet. In dieser Zahl sind alle Verstöße enthalten. Betrachtet man einen anderen Bericht, diesmal von Sophos, werden täglich (im Durchschnitt) 30.000 Websites gehackt. Dies entspricht 11 Millionen Websites, die pro Jahr gehackt werden. Wir wissen, dass 43 % aller Websites WordPress ausführen, was es uns ermöglicht, eine fundierte Schätzung anzustellen, dass 4,7 Millionen WordPress-Websites jährlich gehackt werden. Das sind fast 13.000 WordPress-Websites, die jeden Tag gehackt werden.

Das ist eine sehr große Zahl – was die Frage aufwirft, warum WordPress so oft gehackt wird? Genau das schauen wir uns in diesem Artikel an – basierend auf Fakten und Statistiken.

WordPress – wie sicher ist es wirklich?

WordPress ist ein Open-Source-Projekt, an dem viele Menschen weltweit aktiv arbeiten. Die WordPress-Community ist sehr stark und umfasst einige der klügsten und engagiertesten Menschen, die Sie jemals treffen werden. Bei so vielen beteiligten Personen, die den Entwicklungsprozess übersehen, neigt WordPress dazu, sehr sicher zu sein.

Die Stärke von WordPress kann auch sein Untergang sein, wie uns die Statistiken zeigen werden, wenn wir uns eingehender damit befassen, wie WordPress-Websites gehackt werden.

Die größten Stärken und Schwächen von WordPress

Kein System ist perfekt, das gilt auch für den WordPress-Core. Der WordPress-Kern stellt die Kerndateien dar, bevor Änderungen (z. B. Plugins, Designs und Konfigurationen) vorgenommen werden. Tatsächlich machte WordPress Core 0,58 % aller Schwachstellen im Jahr 2021 aus – laut dem WordPress-Hacking-Statistikbericht von Sucuri. Das ist etwas mehr als ein halbes Prozent aller Vorfälle.

Als nächstes kommen Themen und Plugins – in dieser Reihenfolge. Tatsächlich machen Themes 6,61 % aller Schwachstellen aus, während Plugins satte 92,81 % ausmachen.

Sucuri unterteilt Themen und Plugins weiter danach, ob sie kostenlos oder Premium sind. Während Premium-Designs und Plugins 8,62 % aller Schwachstellen von Drittanbietern ausmachen, machen ihre kostenlosen Pendants 91,38 % aus.

Warum gute Plugins Geld kosten

Es gibt viele Gründe, warum dies der Fall ist. Plugins und Themes gibt es in allen Formen und Größen – von seriösen Entwicklern bis hin zu zwielichtigen. Die Wahrheit ist, dass die Plugin-Entwicklung, wenn sie richtig gemacht wird, nicht billig ist. Vollzeit-Profi-Entwickler müssen bezahlt werden, während gleichzeitig eine gute Infrastruktur aufrechterhalten wird, und auch Testeinrichtungen treiben die Rechnungen in die Höhe.

Das soll nicht heißen, dass alle kostenlosen Plugins ein Sicherheitsrisiko darstellen – weit gefehlt. Viele Entwickler widmen ihre Freizeit der Erstellung qualitativ hochwertiger, kostenloser Plugins. Wenn Sie jedoch ein Plugin wünschen, das ausgiebig getestet und unterstützt wird, ist ein Premium-Plugin wahrscheinlich der richtige Weg.

WordPress Schwachstellen – die Zahlen

Die Anzahl bekannter WordPress-Sicherheitslücken tendiert jedes Jahr nach oben. Tatsächlich fügte WPScan 1.437 neue Schwachstellen zu seiner Datenbank hinzu und 514 im Jahr davor. Allein im November 2022 wurden 64 neue Schwachstellen hinzugefügt.

In Anbetracht der zuvor besprochenen Schwachstellenverteilung halten sich diese Zahlen, wenn man sich die Anzahl der verfügbaren WordPress-Plugins ansieht. Das WordPress.org-Repository listet zum Zeitpunkt der Erstellung dieses Artikels über 60.000 verfügbare Plugins auf, und täglich kommen weitere hinzu. Plugins können auch direkt von Entwicklern gekauft oder von inoffiziellen Quellen heruntergeladen werden.

Aufgrund der sich ständig ändernden WordPress-Schwachstellenlandschaft sind gezielte Angriffe eher die Ausnahme als die Regel. Da alte Schwachstellen gepatcht und neue eingeführt werden, kann es für Hacker schwierig werden, Schritt zu halten. Gezielte Angriffe werden dadurch auch sehr zeitaufwändig, weshalb die meisten Angriffe automatisiert ablaufen.

Automatisierte Angriffe nutzen ein Tool, um viele Websites automatisch zu scannen und Warnungen auszulösen, wenn eine Schwachstelle gefunden wird. Aus diesem Grund sind die meisten Angriffe wahllos und nicht das Ergebnis eines Grolls. Doch welche Werkzeuge nutzen Hacker für solche automatisierten Angriffe? Lass es uns herausfinden.

Wie WordPress-Websites gehackt werden

WordPress kann auf viele verschiedene Arten gehackt werden – Hacker können sehr kreativ sein, wenn es darum geht, Ziele zu verfolgen. Dies macht es unmöglich und gefährlich, alle Möglichkeiten aufzulisten, wie eine WordPress-Website gehackt werden kann, da dies ein falsches Sicherheitsgefühl vermitteln kann. Wir können uns jedoch ein Beispiel ansehen, das den Prozess veranschaulicht, den ein Hacker normalerweise anwenden könnte, um eine WordPress-Website zu hacken.

WPScan – Ein WordPress-Schwachstellenscanner

wpscan
WPScan-Schnittstelle: WordPress-Sicherheitsscan

Ein gängiges Tool, das häufig von Hackern verwendet wird, heißt WPScan. Es ist ein kostenloses Tool, das online verfügbar ist. Es ist ein Schwachstellenscanner, der WordPress-Websites scannt und bekannte Probleme und unsichere Konfigurationen identifiziert. Wenn Sie mit WPScan einen Standard-WordPress-Sicherheitsscan starten, werden Sie sofort feststellen:

  • Die WordPress-Version
  • Installierte Plugins, ihre Version und der Pfad, in dem sie installiert sind
  • Installierte Designs, ihre Version und der Pfad, in dem sie installiert sind

WPScan enthält andere Funktionen, wie z. B. WordPress-Benutzeraufzählungsscans. Diese Scans identifizieren und zählen alle Benutzer auf, die auf einer WordPress-Website registriert sind, und geben Hackern einen Einblick in die Funktionsweise Ihres WordPress. Ausgestattet mit diesen Informationen kann der Hacker dann einen sekundären Angriff starten, z. B. einen WordPress-Passwort-Brute-Force-Angriff, um Zugriff auf Ihr System zu erhalten.

Hier ist es wichtig zu beachten, warum die WordPress-Passwortsicherheit für die Gesamtsicherheit Ihrer WordPress-Website so entscheidend ist. Ein schwaches Passwort macht es einem Brute-Force-Angriff relativ einfach, durchzubrechen. Ebenso ist es wichtig sicherzustellen, dass alle Konten sichere Passwörter verwenden. Ein kompromittiertes Beitragskonto kann möglicherweise keinen großen Schaden anrichten, aber durch die Eskalation von Berechtigungen auf einer kompromittierten Website kann ein Angreifer Administratorrechte erlangen, um Chaos anzurichten.

Warum Hacker hacken

Sobald es einem Angreifer gelungen ist, sich Zugang zu Ihrer WordPress-Website zu verschaffen, gibt es verschiedene Maßnahmen, die er ergreifen kann, wie zum Beispiel:

  • Erstellen Sie ein neues Konto mit Administratorrechten
  • Setzen Sie das Passwort bestehender Konten zurück, um sicherzustellen, dass andere Benutzer nicht wieder auf ihr WordPress zugreifen können
  • Ändern Sie die Rolle eines vorhandenen inaktiven Kontos
  • Ändern Sie den Inhalt, um ihn mit bösartigem Code zu injizieren
  • Manipulieren Sie WordPress-Quellcodedateien, um bösartigen Code wie Backdoors hinzuzufügen
  • Weiterleitungen in htaccess-Dateien hinzufügen

Schützen Sie Ihr WordPress vor Angriffen

Wie wir gesehen haben, können Angreifer mehrere Ansätze verfolgen, um eine WordPress-Website zu verletzen. Es liegt also nahe, dass die Sicherung einer WordPress-Website einen ganzheitlicheren Ansatz erfordert, als nur sicherzustellen, dass Benutzer ein Passwort haben.

  • Recherche – Egal, ob Sie nach einem WordPress-Hosting-Anbieter oder einem neuen Plugin suchen, nehmen Sie sich unbedingt die Zeit, diese vorher zu überprüfen. Foren können Ihnen dabei helfen, einen schnellen Überblick darüber zu bekommen, wie Kunden über die Produkte oder Dienstleistungen denken, während Plugins häufig aktualisiert werden und einen hervorragenden Kundensupport bieten sollten.
  • Test – Die Wahl des besten Plugins für Ihr WordPress muss kein Ratespiel sein. Die meisten seriösen Plugin-Anbieter bieten eine kostenlose Testversion ihrer Premium-Plugins an. Auf diese Weise können Sie sie vor dem Festschreiben testen.

Sobald Sie Ihr Setup herausgefunden haben, müssen Sie sicherstellen, dass es für maximale Sicherheit richtig konfiguriert ist. Die Konfiguration eines sicheren WordPress ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess, der Folgendes umfasst:

  • Starke Passwörter – Eine starke WordPress-Passwortrichtlinie kann Ihnen helfen sicherzustellen, dass Brute-Force-Angriffe keine Zeit mehr haben, bevor sie erfolgreich sind. Verwenden Sie eine gesunde Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Legen Sie außerdem eine Kennwortablaufrichtlinie fest, um sicherzustellen, dass Kennwörter häufig geändert werden.
  • 2FA – 2FA, kurz für Zwei-Faktor-Authentifizierung, fügt Ihrem WordPress-Login eine zusätzliche Authentifizierungsebene hinzu. Bei der Verwendung von 2FA können sich Hacker ohne Zugriff auf Ihr Smartphone nicht anmelden, selbst wenn ein Brute-Force-Angriff erfolgreich ist.
  • Update – Halten Sie WordPress, Plugins und Themes jederzeit auf dem neuesten Stand. Die Implementierung von WordPress-Updates kann auf unterschiedliche Weise erfolgen, wie diese aktuelle Umfrage zeigt. Dies kann Ihnen helfen, Verwaltungs- und Sicherheitsanforderungen in Einklang zu bringen, ohne ins Schwitzen zu geraten.
  • Überwachen – Behalten Sie die Benutzer- und Systemaktivitäten mit einem Sicherheits-Plugin wie dem WP-Aktivitätsprotokoll im Auge. So können Sie verdächtiges Verhalten frühzeitig erkennen und abschalten, bevor Schaden entsteht.

Dies ist keineswegs eine vollständige Liste, aber es ist ein guter Ausgangspunkt. WordPress-Sicherheit ist ein sich entwickelndes Thema, das ständige Pflege erfordert. Das Verfolgen eines WordPress-Sicherheitsblogs ist eine Möglichkeit, auf dem Laufenden zu bleiben, und etwas, das Sie lesen können, während Sie Ihren Morgenkaffee trinken.

WordPress sicher halten

WordPress-Sicherheit ist eher ein Zyklus als ein Prozess mit einem Anfang und einem Ende. Es erfordert ständige Aufmerksamkeit und Anpassungen, um auf neue Bedrohungen reagieren zu können. Auch wenn dies nach zu viel Arbeit klingen mag, wie es oft der Fall ist, ist Wartung besser als Reparatur. Indem Sie jeden Monat ein paar Stunden dafür aufwenden, können Sie Sicherheitsrisiken drastisch reduzieren und sicherstellen, dass Ihre Website weiter wächst.