Wie Du Dein WordPress Absicherst Und Sicherheitslücken Schließt

WordPress Sicherheitslücken verstehen
14. September 2022

Wie Plugins und Themes zum Einfallstor werden

WordPress ist das mit Abstand am häufigsten genutzte Content-Management-System. Deutlich über 40 Prozent aller Webseiten weltweit basieren auf WordPress. Die Beliebtheit ist Segen und Fluch zugleich. Denn Hacker machen sich diese ebenfalls zunutze und attackieren WordPress-Installationen in großem Umfang. Die riesige Installationsbasis macht es sehr wahrscheinlich, dass sich eine bekannte oder unbekannte WordPress Sicherheitslücke auf vielen Webseiten ausnutzen lässt. Die Angriffsfläche von WordPress vergrößert sich durch die flexiblen Erweiterungs- und Designmöglichkeiten mit den unzähligen verfügbaren Plugins und Themes. Dazu kommt, dass sich Plugins und Themes grundsätzlich aus beliebigen Quellen installieren lassen. Mittlerweile stellen Sicherheitslücken in Plugins und Themes das Haupteinfallstor für Angreifer und Malware-Kampagnen dar. Fast täglich werden neue Sicherheitslücken bekannt, die so schnell wie möglich geschlossen werden müssen.


Im folgenden Blogbeitrag erfährst du, wie WordPress Sicherheitslücken entstehen, was Zero-Day-Sicherheitslücken sind und wie du deine WordPress-Installation aktiv vor dem Ausnutzen von Sicherheitslücken schützt.

1. Wie entstehen WordPress Sicherheitslücken?

WordPress ist eine in der Skriptsprache PHP programmierte Software. Auf einem Webserver gehostet erzeugt sie mithilfe der in MySQL- oder MariaDB-Datenbanken abgelegten Informationen dynamische Webinhalte. Wie jede Software ist auch WordPress niemals zu 100 Prozent sicher. Bei der Programmierung des Codes können sich Fehler einschleichen und für unerwünschte Schwachstellen, Softwarefehler oder Sicherheitslücken sorgen. Der über die Jahre kontinuierlich gewachsene Funktionsumfang von WordPress sorgt für eine steigende Komplexität der Software und erhöht die Anfälligkeit für Sicherheitslücken. Neben der Komplexität stellen mangelhafte Programmierkenntnisse, unzureichendes oder vernachlässigtes Qualitätsmanagement oder halbfertige Produkte Risiken für Sicherheitslücken in Software wie Plugins oder Themes dar.
WordPress Sicherheitslücken grafik
Wird eine Sicherheitslücke von Angreifern entdeckt und nicht rechtzeitig mit Patches oder Updates geschlossen, lässt sich diese für bösartige Aktionen missbrauchen. Mithilfe sogenannter Exploits können Angreifern offene Schwachstellen nicht gepatchter WordPress-Installationen beispielsweise für unerwünschte Rechteausweitung, Cross-Site-Scripting (XSS) oder die Manipulation der Webinhalte ausnutzen.


Grundsätzlich kann bei WordPress zwischen Sicherheitslücken im WordPress-Core und Sicherheitslücken in Plugins und Themes unterschieden werden.

2. Sicherheitslücken im WordPress-Core

Das WordPress-Core bildet die Grundfunktionalität des Content-Management-Systems ab. Es handelt sich beim WordPress-Core um den vom WordPress-Team kontinuierlich weiterentwickelten und in regelmäßigen Abständen als neue WordPress-Version veröffentlichten PHP-Code. Das WordPress-Team ist neben der Funktionalität auch für die Sicherheit des Codes zuständig und prüft diesen ausgiebig auf Sicherheitslücken. Alleine das WordPress-Sicherheitsteam besteht aus rund 50 Entwicklern und Sicherheitsexperten mit großem Know-how. Werden Schwachstellen vom Team gefunden oder aus externen Quellen bekannt, beheben die Programmierer diese umgehend und stellen Sicherheitsupdates zur Verfügung. Diese Arbeit machen sie sehr zuverlässig und bei kritischen Fehlern sehr schnell. Sicherheitslücken im WordPress-Core stellen daher eher ein kleineres Übel und überschaubares Sicherheitsrisiko dar. Nur ein Bruchteil aller Sicherheitslücken in WordPress ist auf Fehler im Core-Programmcode zurückzuführen.
Wir bieten übrigens auch einen Wartungsservice für WordPress-Webseiten an. Mit unserem SecurePlan werden deine Plugins, Themes und auch der WordPress Core regelmäßig von unserem Team geupdatet und auf Funktionalität überprüft.


Da Auto-Updates auch unbemerkte Fehler aufwerfen können, ist die bei geschätfskritischen Seiten keine empfehlenswerte Vorgehensweise. Mit unserem SecurePlan ist die größte Gefahr vor Angriffen gebannt, da du stets aktuelle Software verwendest, in der bekanntgewordene Sicherheitslücken schon geschlossen worden sind.

3. Sicherheitslücken in Plugins und Themes

Ein weitaus größeres Sicherheitsproblem sind Plugins und Themes. Mit Plugins und Themes lässt sich das Verhalten und das Aussehen der mit WordPress gehosteten Seiten fast beliebig anpassen und verändern. Diese Flexibilität macht WordPress so beliebt, aber auch anfällig für Sicherheitslücken. Plugins und Themes gelten mittlerweile als das Haupteinfallstor für Angreifer und Malware-Kampagnen.


Prinzipiell kann jeder Entwickler Plugins und Themes programmieren und der WordPress-Gemeinde zur Verfügung stellen. Die kleinen Softwareerweiterungen lassen sich grundsätzlich von beliebigen Quellen installieren. Ein Teil der Plugins und Themes ist über das WordPress-Repository verfügbar. Dort gelistete Plugins und Themes werden sorgfältig geprüft. Sicherheitsupdates stellen die Entwickler meist regelmäßig bereit. Auch wenn das WordPress-Repository als relativ sichere Quelle gilt, werden auch dort selbst bei sehr bekannten und oft installierten Themes und Plugins regelmäßig Sicherheitslücken bekannt.


Völlig ohne Kontrolle vonseiten des WordPress-Teams sind Plugins und Themes aus anderen Quellen. Bei diesen ist das Risiko, sich Sicherheitslücken einzufangen, größer. Einige Plugins und Themes werden sogar nur für den Zweck programmiert, WordPress-Administratoren mit vorgetäuschten Funktionen dazu zu verleiten, bösartigen Programmcode zu installieren.

superhelde gegen sicherheitslücken
Grundsätzlich gibt es folgende Arten und Ursachen von Sicherheitslücken in WordPress-Plugins und -Themes:


  • Ein Plugin oder Theme hat eine Sicherheitslücke, die nicht entdeckt oder nicht geschlossen wurde.
  • Es ist noch kein Sicherheitspatch für eine neu entdeckte Sicherheitslücke verfügbar.
  • Verfügbare Sicherheitsupdates werden vom WordPress-Administrator nicht installiert.
  • Der Entwickler hat seine Arbeit eingestellt und das Plugin oder Theme wird nicht mehr gepflegt.
  • Es sind nicht mehr verwendete Plugins und Themes installiert, die vom WordPress-Administrator vergessen wurden und Sicherheitslücken aufweisen.
  • Ein installiertes Plugin oder Theme ist von Grund auf „bösartig“ und nur zu diesem Zweck programmiert.

4. Was sind Zero-Day-Sicherheitslücken?

Im Zusammenhang mit WordPress Sicherheitslücken ist immer wieder von sogenannten Zero-Day-Sicherheitslücken die Rede. Eine Zero-Day-Sicherheitslücke ist eine bisher unentdeckte und dem Entwickler der Software nicht bekannte Sicherheitslücke. Für diese Sicherheitslücke existiert noch kein Sicherheitsupdate. Angreifer, die solche Sicherheitslücken entdecken, können sie bis zur Veröffentlichung und Installation eines Updates für ihre Zwecke missbrauchen. Unter Umständen erlangen sie volle Kontrolle über eine WordPress-Installation oder stehlen sensible Daten, ohne dass der Administrator das verhindern kann. Oft werden spezielle Zero-Day-Exploits entwickelt, mit denen sich die Schwachstelle automatisiert bei vielen WordPress-Installationen gleichzeitig ausnutzen lässt. Zero-Day-Sicherheitslücken stellen ein hohes Risiko dar. Die Entwickler sind bemüht, solche Lücken nach dem Bekanntwerden so schnell wie möglich zu schließen. Im Prinzip hat der Entwickler dafür aber nur null Tage Zeit. Daher auch der Name Zero-Day-Sicherheitslücke.

5. Wie du deine WordPress-Installation aktiv vor dem Ausnutzen von Sicherheitslücken schützt

WordPress Sicherheitslücken Raktenstark
Updates für WordPress, Plugins und Themes zeitnah einspielen


Administratoren sollten immer darauf achten, dass sie die aktuelle Version von WordPress und aller installierten Themes und Plugins verwenden. Neue Patches und Updates sind zeitnah einzuspielen. Nur so ist sichergestellt, dass alle bekannten Sicherheitslücken geschlossen sind. Seit WordPress 3.7 besteht die Möglichkeit, wichtige Sicherheitsupdates für die WordPress-Core-Software automatisch im Hintergrund einzuspielen. Plugins und Themes müssen aber nach wie vor manuell upgedatet werden.

Plugins und Themes nur aus vertrauenswürdigen Quellen installieren


Da Plugins und Themes ein hohes Sicherheitsrisiko darstellen, solltest du sie nur aus vertrauenswürdigen Quellen wie dem WordPress-Repository installieren. Sie sind zumindest grundsätzlich auf Sicherheitslücken geprüft. Eine Garantie, dass diese frei von Sicherheitslücken sind, stellt das aber nicht dar. Sind Updates verfügbar, informiert dich dein WordPress-Backend. Werden Schwachstellen nicht geschlossen, entfernt das WordPress-Team das Plugin oder Theme aus dem Repository. Anders sieht das bei Plugins und Themes aus anderen Quellen aus. Hier gibt es in der Regel keine unabhängigen Kontrollen.


Nur renommierte und gepflegte Plugins und Themes verwenden


Bei renommierten und regelmäßig gepflegten Plugins mit einer bestimmten Installationsbasis ist die Wahrscheinlichkeit groß, dass bekannte Sicherheitslücken schnell geschlossen werden. Zudem ist es unter Umständen sinnvoll, auf kommerzielle Plugins und Themes zu setzen. Hier sorgt der Hersteller schon aus kommerziellem Interesse für Sicherheitsupdates und entsprechenden Support.


Nicht genutzte Plugins und Themes löschen


Oft werden Plugins oder Themes installiert, ausprobiert und anschließend nicht genutzt. Die Software schlummert dann in deiner WordPress-Installation. Dir ist unter Umständen gar nicht bewusst ist, dass sie noch vorhanden ist. Haben diese vergessenen Plugins und Themes Sicherheitslücken, ist deine WordPress-Installation in Gefahr. Du solltest daher alle nicht genutzten Plugins und Themes deinstallieren.


Sicherheits-Plugins und -Tools verwenden


Für WordPress existiert eine große Zahl von Sicherheits-Plugins und -Tools, mit denen du deine Installation auf Sicherheitslücken und andere Schwachstellen prüfen kannst und mit denen sich Angriffe verhindern lassen. Beispiele für solche Tools und Plugins sind Sucuri Security, Wordfence, iThemes Security oder WPScan.

6. Beispiel: Schutz von WordPress mit WPScan

Exemplarisch für die verfügbaren Sicherheits-Plugins und -Tools möchten wir dir kurz den Sicherheits-Scanner WPScan vorstellen. Er ist aus wpvulndb, einer Datenbank für WordPress Sicherheitslücken, entstanden. WPScan prüft verschiedene WordPress-Komponenten wie Core, Plugins, Themes und Server auf Sicherheitslücken. Das Tool ist als CLI-Tool oder WordPress-Plugin verfügbar und gegen entsprechende Gebühr für kommerzielle Zwecke nutzbar. Bei der Prüfung einer WordPress-Installation wird eine Verbindung zur seit 2014 existierenden und täglich aktualisierten Vulnerability-Datenbank von WPScan.org aufgebaut und ein Abgleich aller Komponenten durchgeführt. Die Datenbank enthält derzeit rund 30.000 Sicherheitslücken von WordPress, Plugins und Themes. Auch nach anderen Schwachstellen wie zu einfachen Passwörter oder frei zugänglichen Konfigurationsdateien und Datenbank-Dumps wird gesucht. Der Scan lässt sich automatisieren. Über das Ergebnis kannst du dich per E-Mail informieren lassen.

Picture of Johanna
Johanna
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert