Als mit Abstand beliebtestes Content-Management-System betreibt WordPress Millionen verschiedener Websites. Es ist Open-Source-Software, was bedeutet, dass der Quellcode öffentlich zugänglich ist und von so ziemlich jedem mit ausreichendem Know-how geändert werden kann.

Obwohl WordPress-Plugins und -Themes gekauft werden können, sind Zehntausende davon kostenlos verfügbar. Wie zu erwarten ist, bleibt dies nicht ohne Nachteile. Wie anfällig sind also WordPress-Seiten? Was ist mit seinen Themen und Plugins? Und wie können Sie Ihre Websites schützen?

Wie anfällig ist WordPress?

Im Februar 2022, Jetpack entdeckt, dass beliebte Themes und Plugins des Anbieters AccessPress Themes (auch bekannt als Access Keys) kompromittiert wurden. Die Forscher entdeckten die Schwachstelle zufällig, nachdem sie verdächtigen Code auf einer kompromittierten Website entdeckt hatten. Nach weiteren Untersuchungen stellten sie fest, dass die meisten AccessPress-Plugins und jedes Design denselben Code enthielten.

Später stellte sich heraus, dass AccessPress Themes im September 2021 Opfer eines Cyberangriffs wurde, bei dem Hacker eine Hintertür injizierten

instagram viewer
in den Plugins des Anbieters und Themen.

AccessPress aktualisierte und bereinigte schließlich seine Produkte, aber vermutlich waren Tausende von Benutzern über einen langen Zeitraum anfällig für Angriffe.

Haben WordPress-Plugins und -Themes Sicherheitslücken?

Die Ergebnisse von Jetpack unterstreichen, wie anfällig WordPress sein kann. Aber das war kein Einzelfall.

Im März 2021 z. Wordfence hat große Sicherheitslücken in zwei WordPress-Plugins offengelegt, die es einem Angreifer bei erfolgreicher Ausnutzung ermöglicht hätten, eine Website zu übernehmen. Die Schwachstellen wurden in den Plugins Elementor und WP Super Cache entdeckt. Elementor ist ein Website-Builder, der auf mehr als sieben Millionen Websites verwendet wird, während WP Super Cache ein beliebtes Caching-Plugin ist.

Im Februar 2022, als Suchmaschinenjournal berichteten, warnten die United States Government Vulnerability Database und WordPress-Sicherheitsforscher vor schwerwiegenden Sicherheitslücken in Dutzenden von WordPress-Plugins.

Von diesen Plugins wurden neun auf mehr als 1,3 Millionen Websites verwendet: Header Footer Code Manager, Ad Inserter – Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Sicherheit und Brute-Force-Firewall, Kopierschutz für WP-Inhalte und kein Rechtsklick, Datenbanksicherung für WordPress, GiveWP, Download-Manager und erweiterte Datenbank Reiniger.

So sichern Sie Ihre WordPress-Site

Man würde annehmen, dass diese Schwachstellen immer gepatcht oder entfernt werden, sobald sie entdeckt wurden, aber das ist eigentlich nicht der Fall.

Forschung aus Patchstack fanden heraus, dass 2021 im Vergleich zu 2020 eine Zunahme der gemeldeten WordPress-Schwachstellen um 150 Prozent zu verzeichnen war – und 29 Prozent dieser Schwachstellen erhielten keinen Patch. Patchstack stellte außerdem fest, dass nur 0,58 Prozent der gemeldeten Fehler im WordPress-Kern lagen, was bedeutet, dass Schwachstellen fast immer in Plugins gefunden werden.

Es ist wichtig sicherzustellen, dass alle von Ihnen verwendeten Plugins sowie der WordPress-Kern selbst auf dem neuesten Stand sind.

Bevor Sie ein Plugin herunterladen und installieren, stellen Sie sicher, dass Sie zuerst ein wenig recherchieren. Überprüfen Sie, wie viele Installationen das Plugin hat, lesen Sie Bewertungen online, sehen Sie, wann es zuletzt aktualisiert wurde, und prüfen Sie, ob es mit dem neuesten WordPress-Kern getestet wurde. Dies dauert nur wenige Minuten, kann Ihnen aber später viel Ärger ersparen.

Alternativ können Sie verwenden WPScan, ein ziemlich einfacher und effizienter WordPress-Schwachstellenscanner. Dieses Tool kann auch verwendet werden, um ein Plugin nach Namen zu suchen. Die kostenlose Version erlaubt bis zu 25 API-Anfragen pro Tag.

Glücklicherweise sind einige Plugins tatsächlich so konzipiert, dass sie deine WordPress-Seite vor Eindringlingen schützen. Login LockDown, Wordfence, BulletProof Security sind einige der besten WordPress-Sicherheits-Plugins heute. Login LockDown ist völlig kostenlos, während die anderen beiden einfache, kostenlose Modelle haben.

WordPress-Sicherheitstipps

So anfällig WordPress auch sein kann, das Treffen grundlegender Sicherheitsvorkehrungen trägt wesentlich dazu bei, Cyberangriffe zu verhindern und abzuwehren.

Die Verwendung eindeutiger Anmeldedaten und Zwei-Faktor-Authentifizierung, das Halten der gesamten Software auf dem neuesten Stand, das Ausblenden von Themennamen und Anmeldedaten sollte die Grundlage Ihrer WordPress-Sicherheitshygiene sein.

So sichern Sie Ihre WordPress-Website in 5 einfachen Schritten

Lesen Sie weiter

TeilenTwitternTeilenEmail

Verwandte Themen

  • Sicherheit
  • Internet
  • Online-Sicherheit
  • Wordpress-Plugins
  • WordPress
  • Wordpress-Themen

Über den Autor

Damir Mujezinović (23 veröffentlichte Artikel)

Damir ist ein freiberuflicher Autor und Reporter, dessen Arbeit sich auf Cybersicherheit konzentriert. Außerhalb des Schreibens liest er gerne, Musik und Filme.

Mehr von Damir Mujezinovic

Abonnieren Sie unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um sich anzumelden