Laut einigen Zahlen im Internet sind über 30% aller Webseiten mit WordPress aufgebaut. Eine enorme und fast unglaubliche Anzahl. Dies macht das System für Hacker natürlich äusserst interessant. Angreifbar ist WordPress in erster Linie nicht wegen der Grundinstallation, sondern durch die frei programmierbaren Plugins. Einerseits führen diese zu einer fast unendlichen Funktionalität des Systems. Für fast alle Anforderungen gibt es eine Lösung. Andererseits macht es WordPress angreifbar. Mit ein bisschen Wissen in den Gebieten HTML, PHP, CSS und Javascript kann man die tollsten Erweiterungen zaubern. Teilweise werden leider Plugins veröffentlicht, die mit massiven Sicherheitslücken ausgestattet sind. Ein gefundenes Fressen für Hacker.
Ich gehe bei der Suche nach Plugins immer nach dem Prinzip vor, dass ich möglichst wenig Erweiterungen installiere und wenn, dann nur solche, die kontinuierlich aktualisiert werden. Plugins die seit Monaten oder sogar Jahren keine Aktualisierung mehr bekommen haben, gehe ich aus dem Weg. Weiter versuche ich für kleinere Dinge kein Plugin zu installieren. So binde ich zum Beispiel zusätzliche Fonts von Hand ein. Dies ist mit wenigen Schritten gemacht und man verkleinert das Risiko eines Angriffes wieder ein wenig. Neben der Sicherheit muss man auch noch erwähnen, dass mit der Anzahl der Plugins oft auch die Geschwindigkeit der Site sinkt. Ein nicht zu unterschätzender Nebeneffekt.
VPVulndb.com, das Sicherheitslücken-Portal
Empfehlenswert um auf dem neusten Sicherheitsstand zu bleiben ist die Seite WPVulndb.com. Täglich werden die aktuellsten Sicherheitslücken im Core-System und bei Plugins veröffentlicht. Ich rate allen WordPress-Anwendern sich auf dieser Seite in den Newsletter einzutragen. So bekommt ihr täglich die neusten Informationen und könnt umgehend reagieren. Wird eine Sicherheitslücke in einem Plugin gemeldet, welches ihr verwendet, dann ist schnelles reagieren angesagt. Aktualisiert das Plugin umgehend auf die aktuelle Version und falls die Lücke damit nicht geschlossen sein sollte, dann deaktiviert die Erweiterung vorübergehend. Trifft ihr auf Plugins die immer wieder Sicherheitsprobleme haben, so solltet ihr für Ersatz sorgen. Der Aufwand nach einem Hack kann für den Betreiber massiv sein. Im schlimmsten Fall kann der Hacker sogar auf andere Sites zugreifen.
Dieses Portal ist übrigens Freund und Leid der WordPress-Benutzer in einem. Einerseits wird man über Sicherheitslücken informiert und kann umgehend reagieren. Andererseits ist sie eine tolle und einfache Möglichkeit für Hacker und Scriptkidies sich neue Ideen für Einstiegspunkte zu holen.
Schütze dich!
Ich empfehle euch folgende Punkte um sich vor Hacks zu schützen.
- Core-System immer auf dem aktuellen Stand behalten
- möglichst wenig Plugins installieren
- sich bei WPVulndb.com anmelden
- Mails von WPVulndb.com täglich überprüfen
- Plugins mit Sicherheitslücken umgehend aktualisieren oder deaktivieren
Neben den genannten Punkten gibt es natürlich noch viele andere Aspekte die man beachten muss, um die Sicherheit hoch zu halten. In einem der nächsten Beiträge werde ich ein Firewall-Plugin vorstellen, mit welchem WordPress definitiv sicherer wird. Und dies mit wenigen Einstellungen.