Sicherheit von WordPress-Installationen

Wie sicher ist WordPress? Im Web findet man auf diese Frage viele Antworten und die meissten klingen nicht sehr beruhigend.

94% aller gehackten Webseiten verwenden WordPress

Diese Schlagzeile stimmt schon einmal nicht so ganz. Es handelt sich um 94% aller Webseiten, die ein Redaktionssystem verwenden. Dazu gehören neben WordPress auch bekannte Systeme wie Joomla!, Magento oder Drupal. Nicht darin enthalten sind individuell programmierte Webseiten, welche ca. die Hälfte aller Webseiten ausmachen. Diese sind allerdings generell weniger von Hackerangriffen bedroht.

Die Security-Firma Wordfence, Hersteller des gleichnamigen Plugins, zählt pro Tag ca. 60-80 Mio. Angriffe allein auf durch ihr Plugin abgesicherte Webseiten.

Auf diesen Redaktionssystemen basierten gehackte Webseiten im Jahr 2019:

WordPress 94%
Joomla! 2.5%
Drupal 1.3%
Andere 2.2%

Warum werden WordPress-Installationen so häufig angegriffen?

WordPress ist als Weltmarktführer das mit Abstand am häufigsten installierte Redaktionssystem. Ca. 35% aller Webseiten weltweit verwenden WordPress. WordPress ist bereits seit mehr als 16 Jahren auf dem Markt. Daher gibt es leider noch einen großen Anteil älterer Installationen, welche völlig veraltet sind und seit Jahren bekannte Sicherheitslücken enthalten.

So viele Sicherheitslücken finden sich in diesen WordPress-Versionen:

92%
WP 3.8.1
87%
WP 4.0
32%
WP 4.7
7%
WP 5.1

Sicherheitslücken werden häufig erst nach vielen Jahren gefunden. Insgesamt hat die Anzahl bekannter Probleme in einer Softwareversion mit der Zeit abgenommen. Sind in den veralteten aber noch immer häufig anzutreffenden Versionen 3.6.x und 3.7.x noch über 90 Sicherheitslücken enthalten, reduziert sich die Zahl bei der aktuellen Version 5.1 auf 7!

Hacker haben besonders leichtes Spiel, wenn sie in einem Arbeitsgang viele Webseiten infizieren können, weil diese alle dieselben Sicherheitslücken enthalten. Vielbesuchte Seiten mit häufig installierter Software bieten daher für Angreifer leichte Ziele. Individuelle Software erfordert dagegen einen höheren Aufwand und ist für viele Hacker uninteressant.

Installierte WordPress-Versionen:

Tortendiagramm der Verteilung von WordPress-Versionen

Warum werden Webseiten gehackt? Was haben die Hacker davon?

Hacker verfolgen unterschiedliche Ziele. Das spiegelt sich auch in den unterschiedlichen Angriffsformen wieder.

Ein häufiger Angriff besteht im sogenannten SEO Spam. Hacker schleusen Daten in die Seite ein, die die Anzeige in Suchmaschinen verändern und fügen gleich noch neuen Inhalt sowie eine Klickaufforderung mit Verlinkung auf ihre eigene Webseite ein. So wird eine harmlose Webseite plötzlich zum Werbeträger und Verkaufsförderer für Schwarzmarktartikel. Das ist nicht nur ärgerlich. Wenn es nicht sofort bemerkt und behoben wird, kann die Webseite sehr schnell auf einer schwarzen Liste verdächtiger Webseiten erscheinen, was erheblichen schädlichen Einfluss auf die Suchmaschinenpositionierung hat.

2019 enthielten 62 % der von der Sicherheitsfirma Sucuri bereinigten Webseiten SEO Spam.

Ein ebenfalls häufige Ziel ist die Installation von Backdoors, geheimen Hintertüren, welche einen Zugriff zur Webseite ohne Zugangsdaten erlauben. Darüber kann noch Jahre später auf die Webseite zugegriffen und Schadcode installiert werden, sofern der Schädling nicht entdeckt und beseitigt wird. Backdoors sind also eine Vorbereitung für weitere Angriffe und eine Möglichkeit zum Ausspähen von Inhalten.

Bei ca. 40% der gefundenen Probleme handelt es sich um diverse Schadsoftware. Hier liegt das Ziel oft darin, die Webseite im Hintergrund für eigenen Zwecke zu missbrauchen oder den Betrieb der Webseite zu unterbinden.

In seltenen Fällen geht es einfach nur um die Ehre, eine Seite gehackt zu haben. Da hier die Herausforderung umso größer ist, je individueller die Webseite und ihre Sicherheitsmechanismen sind, sind WordPress hiervon selten betroffen.

Ist WordPress unsicher?

WordPress selbst ist nicht sicherer oder unsicherer als andere Redaktionssysteme. Mit der Einführung automatisch installierter Sicherheitsupdates hat WordPress im Vergleich zu den Konkurrenten unter den Redaktionssystemen sogar an Sicherheit gewonnen.

Wie angreifbar eine bestimmte WordPress-Installation ist, hängt von viele Faktoren ab. Die Wahl des Redaktionssystems ist dabei nicht entscheidend.

Die 5 wichtigsten Faktoren für eine sichere WordPress-Webseite

Die Basis für den sicheren Betrieb einer WordPress-Webseite bildet ein mehrstufiges Sicherheitskonzept.

Ziel ist es dabei, bekannte Risiken zu vermeiden, Sicherheitslücken zu schließen und unvermeidbare Angriffspunkte zu verschleiern.

Das Konzept wird abgerundet durch die Überwachung des Betriebs sowie die Absicherung gegen Datenverlust.

Stufenpyramide von Maßnahmen zur Sicherung von WordPress-Installationen

1. Sicheres Hosting

Unsicheres Hosting verursacht 40 % aller erfolgreichen Angriffe!

Sicheres Hosting bildet die Basis zum sicheren Betrieb jeder Webseite. Die sicherste Installation kann nicht verhindern, dass ein Angreifer sich über den Server Zugriff auf die Webseite verschafft.

Insbesondere große Hoster sind als Betreiber kritischer Infrastruktur verpflichtet, den sicheren Betrieb ihrer Server zu gewährleisten, da ein Ausfall zu großem wirtschaftlichen Schaden und sogar zu Gefährdungen im richtigen Leben führen kann. Server werden durch verschiedene Ebenen von Sicherheitsmaßnahmen geschützt. Dadurch wird die Basis geschaffen, die einen sicheren Betrieb von Webseiten erst ermöglicht.

Leider gibt es hier große Unterschiede bei den Leistungen. Besonders bei kleinen, kostengünstigen Hostingpaketen, wenn viele Webseiten auf demselben Server liegen, besteht das Risiko, dass bei einem Angriff auf eine Webseite alle anderen Seiten auf demselben Server betroffen sein können.

Bei einem seriösen Anbieter sind die einzelnen Kundenbereiche so voneinander isoliert, dass das nicht möglich ist. Der Zugriff auf den Webserver sollte ausschließlich verschlüsselt erfolgen. Das gilt für Dateizugriffe ebenso wie für E-Mail und Webseitenaufrufe. Und auch die notwendigen Sicherheitszertifikate für https sollten kostenlos zur Verfügung gestellt werden. Diese Zertifikate sind zum Betrieb jeder Webseite notwendig. Wenn der Preis nicht bereits im Preis des Hostingpaketes enthalten ist, spricht das nicht für einen seriösen Hoster.

Wichtig ist auch, dass die Software auf dem Webserver auf dem aktuellen Stand und sicher konfiguriert ist. Auch die für den Betrieb von WordPress notwendige Programmiersprache PHP muss in der neuesten Version (zurzeit PHP 7.4) verfügbar und auch konfiguriert sind. 10% aller Webseiten verwenden noch PHP 5.x. Dabei werden für die letzte Version dieser Serie, PHP 5.6, bereits seit fast zwei Jahren keine Sicherheitsupdates mehr ausgeliefert. Nur ca. 50% aller Webseiten verwenden eine aktuelle PHP-Version.

Darüber hinaus sollte der Hoster seine Server überwachen und Zugriffe protokollieren, um Angriffe schnell zu identifizieren und Maßnahmen einleiten zu können.

2. Sichere Software

Für sichere Software müssen zwei wesentliche Punkte umgesetzt werden.

WordPress selbst, aber auch alle Themes und Plugins, sollten nur aus seriösen Quellen installiert werden. Seriös sind die jeweiligen Hersteller von kostenpflichtigen Premium-Bausteinen sowie die offizielle WordPress Webseite. Bei Software aus fragwürdigen Quellen muss immer damit gerechnet werden, dass die Software Schwachstellen, Sicherheitslücken oder sogar schädlichen Programmcode enthält.

61 % der gehackten WordPress-Versionen waren veraltet

Hier finden sich die meisten Sicherheitslücken:

Tortendiagramm der Ursachen von Sicherheitslücken

Nur eine aktuelle Webseite ist eine sichere Webseite.

Im laufenden Betrieb ist es daher notwendig, zeitnah alle Updates für WordPress selbst sowie Themes und Updates einzuspielen. Neben den WordPress-Systemdateien sind vor allem veraltete Plugins ein häufiges Einfallstor für Hackerangriffe. Besonders gefährdet sind Plugins, welche vom Entwickler teilweise seit Jahren gar nicht mehr weiterentwickelt oder gewartet werden, aber mitunter immernoch auf zahlreichen Servern installiert sind.

Werden Sicherheitslücken älterer Versionen erst einmal bekannt, ist es für Hacker ein leichtes, diese in einem Rutsch auf zigtausenden von Webseiten auszunutzen.

3. Sichere Installation

Bei der sicheren Installation beginnt die eigentliche Arbeit. Die berühmte 5-Minuten-Installation von WordPress ist für eine sichere Webseite leider nicht geeignet.

Eine sichere Installation beinhaltet

  • ➤ die Sicherung der Datenbank
  • ➤ sichere Benutzernamen und sichere, individuelle Passwörter
  • ➤ minimale Benutzerrechte
  • ➤ das Deinstallieren unnötiger Themes und Plugins
  • ➤ die individuelle Konfiguration des WordPress Systems
  • ➤ das Abschalten der Registrierung sowie der Kommentarfunktion, sofern nicht benötigt
  • ➤ das Abschalten der Editierfunktion für Themes und Plugins
  • ➤ das Einrichten des Seitenaufrufs über https

Nicht benötigte Software stellt nur ein unnötiges Sicherheitsrisiko dar und sollte immer entfernt werden. Wenn die Datenbank, Datenbanktabellen und der Administrator nicht heißen wie ein Hacker erwartet, muss er nicht nur das Passwort, sondern zusätzlich den Namen herausfinden. Das liefert zusätzliche Sicherheit.

Und das Passwort sollte lang (mindestens 12 Zeichen) und schwer zu erraten sein und darf niemals wiederverwendet werden.

8% der Webseiten wurden aufgrund eines unsicheren Passworts gehackt

4. Sichere Backups

Kein System ist sicher ohne Backups. Es kann immer etwas passieren. Hackerangriffe sind auch mit den besten Sicherheitsmaßnahmen nie ganz zu vermeiden. Daher sollten regelmäßig automatisiert Backups erstellt werden und diese sollten nicht nur auf dem Webserver gespeichert werden. Nur wenn Backups außerhalb des Webservers gespeichert werden, kann sichergestellt werden, das diese nicht ebenfalls manipuliert wurden.

5. Sichere Maßnahmen

Wenn die Grundlagen für einen sicheren Betrieb der Webseite gelegt sind, können je nach Bedarf weitere Maßnahmen die Sicherheit verbessern.

In jedem Fall ist die Installation und individuelle Konfiguration eines Sicherheitsplugins zu empfehlen. Wichtige Funktionen sind

  • ➤ eine Firewall
  • ➤ das Verstecken bestimmter für Hacker interessanter Systeminformationen und Auflistungen
  • ➤ ein Zugriffsschutz auf Dateien und Verzeichnisse
  • ➤ das Verhindern bösartiger Seitenaufrufe
  • ➤ die Absicherung des Loginformulars und eine Begrenzung möglicher Loginversuche
  • ➤ das Abschalten nicht benötigter Funktionen
  • ➤ die Überwachung der Systemdateien auf (unberechtigte) Änderungen

Für eine einfache Webseite ohne besondere Sicherheitsansprüche ist das normalerweise ausreichend. Wenn ein zeitweiliger Stillstand der Seite zu hohen Verdienstausfällen führt, wie zum Beispiel bei einem großen Shopsystem, können diese Sicherungsmaßnahmen erweitert werden.

Kann eine WordPress-Seite nachträglich abgesichert werden?

Ja, das ist möglich. Allerdings ist es aufwändiger, als die Webseite sofort sicher zu installieren. Auch ist das Fehlerrisiko hier sehr groß. Schon ein einfacher Schreibfehler kann die ganze Seite zum Absturz bringen. Eine solche Absicherung gehört in jedem Fall in qualifizierte Hände.

Und wenn die Seite schon gehackt wurde?

Der erste Schritt ist die sofortige Deaktivierung der betroffenen Webseite. In den meisten Fällen wird das vom Provider erledigt, der so seine Server vor weiteren Schäden schützt. Danach ist eine Bestandsaufnahme nötig, um zu sehen, welche Möglichkeiten für eine sichere Wiederherstellung des Betriebs bestehen und welche Maßnahmen notwendig sind, um die ausgenutzten Sicherheitslücken zu schließen und eine Neuinfektion zu verhindern.

Wenn Sie sichere, aktuelle Backups der Datenbank und Verzeichnisse haben, ist alles gut. Daraus lässt sich die Webseite meistens schnell restaurieren.

Schwieriger wird es, wenn die Backups nicht aktuell oder nicht sicher sind oder gar nicht existieren. Dann muss möglicherweise eingeschleuster Schadcode identifiziert und manuell entfernt werden.

Bis zu 20% der gehackten Webseiten werden in kurzer Zeit noch ein zweites Mal gehackt

Ursache sind oft sogenannte Backdoors, Hintertüren, die sich die Hacker selbst geschafft haben. Das ist besonders fatal, wenn der erste Einbruch lange Zeit unbemerkt geblieben ist und mögliche saubere Backups bereits durch infizierte Daten überschrieben wurden.

In jedem Fall müssen nach dem Einspielen eines Backups oder der Rekonstruktion der Webseite alle sicherheitsrelevanten Daten wie Passwörter und Sicherungsschlüssel ausgetauscht werden, um eine Neuinfektion zu verhindern. Danach können weitere Maßnahmen die Sicherheit weiter verbessern und das Risiko eines weiteren erfolgreichen Angriffs minimieren. Ausschließen lässt sich ein Hackerangriff jedoch nie, da Hacker immer neue Softwarefehler finden und damit den Herstellerfirmen und ihren Schutzmaßnahmen immer einen Schritt voraus sind.

Brauchen Sie Hilfe bei der Absicherung Ihrer WordPress-Webseite?

Wir helfen Ihnen bei der sicheren Installation, Absicherung bestehender Installationen und bei der Bereinigung nach einem Hackerangriff.

Quellen

Auf folgenden Webseiten finden Sie unsere Quellen sowie weiterführende Informationen:

Sucuri
Wordfence
WPScan
wpclipboard