WordPress Sicherheit (1) – Permanente Angriffe auf dein WordPress – 100 % Schutz gibt es nicht

WordPress Sicherheit ist ein Pflichthema für jeden Webmaster, da das CMS permanent Angriffen ausgesetzt ist

Dieser Artikel ist die Einleitung zu einer mehrteiligen Serie zum Bereich WordPress Sicherheit. Das Thema Sicherheit von WordPress ist allgegenwärtig und verliert nie an Aktualität. WordPress basierte Websites werden bevorzugt von Hackern angegriffen. Daher ist die WordPress Sicherheit ein Muss für jeden Blogger und Webmaster, der auf dieses CMS setzt.

Das Problem WordPress Sicherheit verstehen

Um als Webmaster und Blogger effektiv die Sicherheit der eigenen Websites erhöhen zu können, musst du dich mit der Thematik befassen. Es ist es nützlich zu verstehen, weshalb dieses Content-Management-System einer erhöhten Gefährdung ausgesetzt ist. Man muss wissen, wo potenzielle Gefahren liegen. Daher sollte sich jeder Betreiber einer Website mit dem Thema WordPress Sicherheit befassen.

Es gibt kein sicheres System

Was jeder wissen und sich stets vor Augen halten sollte… Es gibt kein absolut sicheres System. Besonders dann nicht, wenn es so umfangreich wie WordPress ist, dessen Funktionalität zu dem noch durch zahlreiche Plugins erweiterbar ist. Viel Volumen und ein riesiger Funktionsumfang bieten natürlich auch eine große Angriffsfläche. Die Frage darf nicht lauten, ob ein Angreifer Sicherheitslücken finden könnte. Sie muss lauten, wie viele es sind und wie viel Aufwand er betreiben muss, um mindestens eine Schwachstelle auszumachen. Als WordPress-Nutzer musst du dir im Klaren darüber sein, dass du die Angriffsfläche so klein wie möglich halten solltest. Und du musst wissen, wie du das umsetzen kannst.

Permanentes Scannen und Brute-Force Angriffe

Wer sich etwas mit Website- und speziell WordPress Sicherheit befasst weiß, dass im Grunde genommen jede Website permanent gescannt und auf Schwachstellen untersucht wird. Außerdem wird versucht, sich über Brute-Force Angriffe Zugang zum Admin-Bereich von Websites zu verschaffen. Ausgenommen davon sind allenfalls private, niemals verlinkte Websites mit unbekannter Adresse. Diese Angriffe werden nicht durch nächtelang vor dem Bildschirm sitzenden Angreifern direkt ausgeführt. Das erledigen Bots für sie, während sie selbst seelenruhig schlafen. Wenn sie dann aufstehen, haben ihre Bots nicht selten bereits Ergebnisse parat. Sie listen Websites mit aktuellen Sicherheitslücken auf. Sie präsentieren Zugangsdaten von stunden-, oftmals tage- oder wochenlang mit Brute-Force Angriffen beschossenen Internetpräsenzen. Erst jetzt werden die Angreifer persönlich aktiv und setzen ihre jeweiligen Ziele um.

Warum WordPress Websites beliebte Angriffsziele sind

Nicht jeder weiß, das WordPress ein beliebtes Ziel für Angreifer ist. Noch weniger wissen, weshalb das so ist. Daher zum allgemeinen Verständnis zunächst die wichtigsten Gründe für die gesteigerte Häufigkeit von Attacken auf unter WordPress betriebene Websites.

WordPress ist beliebt und weit verbreitet

WordPress ist das mit Abstand am häufigsten eingesetzte Content-Management-System (CMS). Der Marktanteil liegt bei rund 62 Prozent. Was zunächst mal eine der Stärken von WordPress ist, nämlich seine Beliebtheit und Verbreitung, ist gleichzeitig eine seiner größten Schwächen. Seine Verbreitung verdankt WordPress nicht zuletzt einer riesigen Entwicklergemeinde. Gleichzeitig ist diese Entwicklergemeinde aber auch deshalb so groß, weil WordPress so verbreitet ist. Das eine fördert also das andere. Beides ist immer weiter gewachsen. Aber weil WordPress so verbreitet ist, stürzen sich auch so viele böswillige Hacker darauf. Sie suchen Sicherheitslücken und entwickeln Angriffsstrategien. WordPress ist nicht per se unsicherer als ein individuell für eine einzige Website entwickeltes CMS mit vergleichbarem Funktionsumfang. Aber die hohe Verbreitung bringt auch eine erhöhte Aufmerksamkeit bei den Entwicklern von Angriffsmethoden mit sich. Mit anderen Worten, es beschäftigen sich sehr viele Menschen mit der Suche nach Sicherheitslücken.

Weshalb führt die große Verbreitung zu einer höheren Gefährdung?

Warum ist die WordPress Sicherheit dann eher gefährdet als die eines ein oder wenige Male eingesetzten CMS? Ganz einfach… Man kann sich sicher vorstellen, dass ein Hacker wenig Lust verspürt, viele Tage oder Wochen und Monate mit der Suche nach Sicherheitslücken und Schlupflöcher zuzubringen um eine einzelne Website mit einem individuell entwickelten oder einige wenige mit selten eingesetzten CMS zu hacken. Bei einem CMS, welches Millionenfach im Einsatz ist, sieht es schon anders aus. Da lohnt sich der Aufwand zum Aufspüren von Sicherheitslücken des CMS, weil das ja auch eine Vielzahl damit behafteter Websites, also viele potentielle Opfer bringt. Zahlreiche Hacker suchen mit durch sie eingesetzte Bots ganz pauschal, ohne eine bestimmte Website im Visier zu haben, nach WordPress-Sites, die bekannt gewordene Sicherheitslücken und Schwachstellen aufweisen oder nach für Schwachstellen bekannte Plugins und Themes. Sind Websites die Sicherheitslücken noch nicht durch ein Update geschlossen haben gefunden, versuchen die Angreifer, diese auszunutzen.

WordPress ist freie Software

Kommen wir zur nächsten Stärke, die gleichzeitig auch eine Schwäche in Bezug auf die WordPress Sicherheit darstellt. WordPress ist freie Software. Der WordPress Quellcode, (engl. Source Code) ist für jeden frei zugänglich und einsehbar. Diese Tatsache bewirkt, dass sich eine breite Community, also eine starke Gemeinschaft rund um WordPress etabliert hat, welche das Projekt nach vorne bringt. Leider erleichtert es dieser Umstand aber auch Hackern mit böswilligen Absichten ihre Ziele zu verfolgen.

Schier unendlich viele Plugins und Themes

Für WordPress existiert ein beinahe unendliches Repertoire an Erweiterungen in Form von Plugins und Themes. Das ist einerseits großartig. Es bietet den Nutzern unwahrscheinlich viele Möglichkeiten, den Funktionsumfang zu erweitern und das Erscheinungsbild anzupassen. Allerdings hat das auch großen Einfluss auf die WordPress Sicherheit. Denn jede Erweiterung birgt auch das Risiko zusätzliche Sicherheitslücken zu öffnen. Jedes Plugin kann die WordPress Sicherheit zusätzlich zu gefährden. Selbst ein Plugin, das bis heute relativ sicher war, kann morgen eine Gefahr darstellen. Nämlich dann, wenn sich infolge eines Updates eine vorher nicht dagewesene Sicherheitslücke auftut.

Wie ausgerechnet deine WordPress-Seite zum Opfer von Angriffen wird

Wie wird nun ausgerechnet deine WordPress-basierte Website zum Opfer eines Angriffs? Wir wissen, dass grundsätzlich jedes WordPress-Installation permanent gescannt und mit Brute-Force Angriffen traktiert wird. Wie wird nun eine Seite zum Opfer eines oder mehrerer Angriffe? Dafür gibt es grundsätzlich zwei Szenarien.

Aus der Masse herausgegriffen

Bots von Hackern durchforsten das Internet nach auf WordPress basierende Blogs und Websites. Jeder Fund wird dann systematisch auf bekannte Sicherheitslücken durchsucht. Wird bei deiner Website eine solche Schwachstelle gefunden, nutzt der Angreifer diese mit großer Wahrscheinlichkeit aus. Das auch, wenn er es eigentlich nicht speziell auf deine Website abgesehen hatte. Dabei muss er nicht einmal unbedingt einen sichtbaren Schaden anrichten. Die möglichen Beweggründe des Angreifers sind vielfältig. Unter Umständen platziert er auf deiner Seite Werbung. Oder er oder setzt Backlinks zu eigenen Websites. Sehr häufig benutzen Angreifer die Website nach dem Eindringen zur Verbreitung von Malware. Das heißt, sie wollen die Computer der besucher deiner Website mit Trojanern und Viren infizieren.

Deine Website ist das Ziel

Der andere Fall… Jemand hat es gezielt auf deine Website abgesehen. Dazu durchleuchtet er nun deine WordPress-Installation auf Schwachstellen. Er möchte sich darüber Zugang zum Admin-Bereich oder bestimmte Funktionen zu verschaffen. Möglicherweise will er auf jede erdenkliche Art Schaden anzurichten. Hier handelt es sich beim Angreifer wahrscheinlich um jemanden, dem deine Website ein Dorn im Auge ist. Daher möchte er ihr Schaden zufügen. Auch unfaire Wettbewerber / Konkurrenten kommen als Täter bzw. Auftraggeber infrage.

Vom Betreiber unbemerkt

Die meisten Webmaster bemerken nicht, was alltäglich läuft. Sie bekommen vom ununterbrochenen Abtasten und Scannen und von den Brute-Force Angriffen nichts mit. Das zumindest so lange nicht, wie diese Aktionen aus Sicht der Angreifer nicht erfolgreich sind. Aufschluss darüber könnte lediglich ein Blick in die Log-Dateien geben. Auch spezielle Plugins zur WordPress-Sicherheit informieren den Webmaster über das Treiben.

WordPress Sicherheit erhöhen

Absolute Sicherheit für WordPress gibt es nicht. Das ist eine unrealistische Vorstellung. Die gibt es übrigens für kein System, für keine Software. Da wo heute Sicherheitslücken geschlossen werden, tun sich morgen neue auf. Sicherheitslücken und Schlupflöcher können erst geschlossen werden, wenn sie bekannt sind. In vielen Fällen werden sie aber erst dadurch bekannt, dass Angreifer sie gefunden und ausgenutzt haben.

Anlass zu Resignieren? Nein! Denn du kannst einiges tun, um die Sicherheit von WordPress zu steigern. Das Ziel ist es, den Aufwand für Angreifer drastisch zu steigern. Man kann es ihnen so schwer machen, dass ihnen die Lust vergeht. Kaum ein Angreifer möchte sich über einen langen Zeitraum an einer WordPress Website zu versuchen. Ist der Aufwand zu hoch, versucht er sich an anderer Stelle. Du musst ihm also möglichst viele Steine in den Weg legen. Der erste Ansatz sind schon die Bots der Angreifer. Versuche zu verhindern, dass Bots bei ihrer kontinuierlichen Suche nach Schwachstellen fündig werden. So erlangst du keinen 100-prozentigen Schutz, aber du minimierst die Wahrscheinlichkeit Opfer von Angriffen zu werden. Die sinkt auf ein vertretbares Maß.

Sicherheit von WordPress – Fazit

Wer glaubt, seine WordPress Website wäre sicher oder sie wäre noch nie Ziel von Bots geworden, die nach Schwachstellen schnüffeln oder per Brute-Force versuchen Passwörter zu ermitteln, irrt gewaltig. Nahezu jede WordPress-Installation ist solchen Angriffen ausgesetzt. Das lässt sich auch nicht gänzlich verhindern. Allerdings kannst du die Wahrscheinlichkeit, dass die Angreifer und ihre Bots Erfolg haben, deutlich senken. Wie du das tust, erfährst du in den folgenden Artikeln zum Thema WordPress Sicherheit.