Der Erfolg von WordPress spricht für sich, denn mit einem Marktanteil von etwa 40 % gehört es sowohl in Deutschland als auch auf internationaler Ebene zu den am meisten verbreiteten Content-Management Systemen (CMS). Rund 25 % aller Webseiten weltweit werden mit WordPress betrieben, weswegen es leider auch ein beliebtes Angriffsziel ist. Schwachstellen, die vor allem durch installierte Plug-ins entstehen, sollten so bald wie möglich beseitigt werden.
WordPress-Updates: Wann, wo und wie?
Mögliche Schwachstellen in WordPress sollten unbedingt ernst genommen werden. Das Content-Management-System (CMS) wird ständig weiterentwickelt und der Quellcode ist offen verfügbar. Hacker können also stets ein Auge darauf haben, ob und wo sich Sicherheitslücken auftun. Im Rahmen der Weiterentwicklung werden solche Lücken aber auch schnell wieder geschlossen, weswegen es nahezu unerlässlich ist, regelmäßige WordPress-Updates durchzuführen. Ansonsten können im schlimmsten Fall Datenverluste, die Zerstörung oder die Übernahme der Seite durch Hacker drohen. Regelmäßig heißt, mindestens einmal im Monat alle Komponenten auf Updates zu überprüfen. Dabei besteht WordPress aus drei Komponenten: WordPress Core, Plug-ins und Themes.
Core-Updates und Backups
WordPress Core, bei dem es sich im Prinzip um das Grundprogramm, also WordPress selbst handelt, genießt hierbei die höchste Priorität. Durch Updates werden neu entdeckte Sicherheitslücken geschlossen, Fehler und Inkompatibilitäten durch Bugfixes behoben und neue Features eingeführt. Gerade neue Versionen können aber auch neue Sicherheitslücken entstehen lassen. Diese werden zwar schnell entdeckt und auch behoben, aber es bedarf eines Updates, damit die Verbesserungen auch auf Ihrer Seite wirksam werden.
Plug-ins regelmäßig Aktualisieren
Plug-ins sind Zusatzprogramme, die Erweiterungen für Ihre WordPress-Installation und damit zusätzliche Funktionen mitbringen. Viele dieser Plug-ins gelten als unverzichtbar, wobei leider auch jedes von ihnen ein potenzielles Sicherheitsrisiko darstellt. Plug-ins greifen häufig auf die Datenbank zurück, oftmals auch auf das Dateisystem, wodurch sich das Schadenspotenzial noch vergrößert. Sie sollten also ebenfalls auf dem neuesten Stand gehalten werden. Manchmal kommt es vor, dass Plug-ins nicht mehr weiterentwickelt werden. In dem Fall sollten Sie sich so bald wie möglich davon trennen und nach einem brauchbaren Ersatz suchen. Viele Plug-ins mögen zwar nützlich erscheinen, aber längst nicht alle sind auch sinnvoll. Zu viele Plug-ins können zudem die Ladegeschwindigkeit Ihrer Webseite negativ beeinflussen und stellen vielmehr ein unnötiges Sicherheitsrisiko dar. Nicht oder nicht mehr benötigte Plug-ins sollten daher gleich deaktivieren und rückstandslos entfernen werden.
Sicherheitslücken in Plug-ins sind übrigens keine Seltenheit und sie betreffen längst nicht nur die Exoten unter den Erweiterungen. Ein aktuelles Beispiel liefert der WP File Manager, der auf rund 700.000 Webseiten eingesetzt wird. Die entdeckte Lücke erlaubt es Angreifern, selber Dateien hochzuladen, zu verändern oder sogar die komplette Webseite zu übernehmen. Der Hersteller hat das Problem zwar zeitnah erkannt und behoben, jedoch war es einigen Unbekannten bis dahin schon möglich gewesen, komplette Webseiten zu übernehmen.
Auch im sehr weit verbreiteten Plug-in WooCommerce, mit dem WordPress um die Funktion eines Onlineshops erweitert wird, ist nicht frei von Fehlern. So wurde erst kürzlich in Version 4.5.2 eine Schwachstelle entdeckt, die es Gastbenutzern erlaubt, während des Einkaufs ein Konto zu erstellen, obwohl diese Option zuvor abgeschaltet wurde. Bots könnten diese Sicherheitslücke ausnutzen, Benutzerkonten erstellen und Spam-Bestellungen aufgeben. Mit Version 4.6.2 wurde der Fehler zwar beseitigt, aber er zeigt, dass auch besonders weit verbreitete und gut etablierte Plug-ins gelegentlich Sicherheitslücken aufweisen können. Umso wichtiger ist es, regelmäßig Updates durchzuführen.
Themes
Themes sind für die Darstellung der WordPress-Webseite verantwortlich und müssen nicht ganz so oft aktualisiert werden, da sich in ihnen seltener kritische Sicherheitslücken finden. Theme-Updates können außerdem dazu führen, dass sich die Darstellung von Webseiten auf unerwünschte Art verändert. Auch kann es vorkommen, dass ein Update des WordPress Core die Kompatibilität mit dem bislang verwendeten Theme einschränkt. Ein entsprechendes Update des Themes wird gewöhnlich aber zeitnah nachgereicht. Besonders wichtig sind Theme-Updates bei sogenannten Premium-Themes, die über einen sehr hohen Funktionsumfang und nicht selten auch einen eigenen Editor verfügen. Je komplexer die Software, desto wichtiger sind regelmäßige Aktualisierungen.
Fazit
Die oben genannten Beispiele und die Bereiche, die es hinsichtlich einer stets sicheren WordPress-Installation im Blick zu halten gilt, zeigen, dass vonseiten des Webseitenbetreibers möglichst regelmäßige Wartungsintervalle eingehalten werden sollten. Wir empfehlen, mindestens einmal im Monat alle Bereiche komplett zu überprüfen und sich in einschlägigen Medien über aktuelle Sicherheitslücken zu informieren, um bei besonders schwerwiegenden Fällen schnell reagieren zu können.
Bild von Werner Moser auf Pixabay
