Die 10 größten WordPress Sicherheitslücken

WordPress Sicherheitslücken

Als weltweit beliebtestes CMS kommt WordPress auf einen Marktanteil von deutlich über 40 Prozent. Im Gegensatz zu vielen anderen Content-Management-Systemen verfügt WordPress dabei zwar über ein Qualitätssicherheitssystem für die Kernsoftware und einzelne Komponenten, dennoch gibt es auch in diesem Fall keine hundertprozentige Sicherheit. Denn auch WordPress ist nicht gänzlich ohne Fehler und weist mitunter Sicherheitslücken auf, sodass es immer wieder zu Risiken kommen kann. Damit Du gewappnet bist, stellen wir Dir die zehn größten WordPress Sicherheitslücken vor. Und nicht nur das. Wir geben Dir zusätzlich hilfreiche Tipps an die Hand, damit Du in der Zukunft vorbereitet und sicher aufgestellt bist.

1. Schlechtes WordPress Hosting

Heute gibt es zahlreiche Anbieter, die Deine WordPress Webseite für Dich hosten. Sie unterscheiden sich u. a.  im Hinblick auf Leistung, Performance, Preis, Support und Sicherheit. Entscheidest Du Dich nicht für den richtigen Hoster, bedeutet dies in vielen Fällen eine Menge Stress, verlorene Zeit und zusätzliche Kosten. Gerade ein unsicheres Hosting zieht schnell verheerende Folgen für Dein Unternehmen nach sich. Dies sind die am häufigsten auftretenden Sicherheitsbedrohungen, die das Website-Hosting betreffen:

  • DDoS-Angriffe
  • Botnet-Versuche
  • Fehlkonfigurationen des Webservers (Beispiel: Ausführen von veralteten oder nicht gepatchten Anwendungen, Hacker können ungeschützte Dateien nutzen, um Administratorzugriff auf den Server zu erhalten etc.)
  • Malware
  • Shared Hosting
  • Sicherheitslücken in der Software
  • Cross-Site Request Forgery (durch Fälschung werden Anwender animiert, Aktionen auszuführen, die sie eigentlich gar nicht geplant haben)
  • Hacks von CMS
  • Schlechte Verschlüsselung durch unsichere Kryptografie
  • Ausnutzung von XSS-Fehlern
  • schlechte Reputation des E-Mail-Servers
  • Hacker senden SQL-Skripte an Server, um Kundeninformationen und Daten extrahieren zu können
  • Nicht hinreichend gesicherte Application User Interfaces (APIs) bei VPS / Cloud-Hosting

Um entsprechende Sicherheitslücken zu schließen, sollte Dein WordPress Hoster über integrierte Angriffserkennungssysteme (IDS) und Angriffsverhinderungssysteme (IPS) verfügen. Zudem ist eine proaktive Verteidigung wichtig, da auf diese Weise Angriffe bei Zero-Day-Lücken sofort geschlossen werden. Außerdem sollte Dein Hoster auf eine selbstlernende Firewall durch integrierte KI setzen. Das gewährleistet eine Reduzierung von False Positives. Auch Malware Scanning kann entsprechende Sicherheitslücken schließen. Dateien sollten automatisiert regelmäßig gescannt werden. Dies gilt ebenso beim Upload (PHP, FTP, SSH).

2. Eine veraltete WordPress Version

Nutzt Du über einen längeren Zeitraum eine veraltete WordPress Version, entstehen WordPress Sicherheitslücken, über die Deine Website im schlimmsten Fall von Cyber-Kriminellen gehackt oder mit Schadcode infiltriert wird. Denn WordPress und auch die Plugins werden stetig überarbeitet und es gibt entsprechende Updates, mit denen Fehler behoben und Sicherheitslücken geschlossen werden. Nutzt Du eine veraltete WordPress-Version, sind die Sicherheitsfeatures nicht mehr aktuell und können von Hackern leicht umgangen werden.

Reagierst Du nicht schnell genug auf diese WordPress Sicherheitslücken und stellst somit eine Gefahr für Deine Nutzer dar, kann Google Dich aus dem Index verbannen. Bist Du auf Traffic angewiesen, ist das der Worst Case. Es kommt auch vor, dass der Hoster die Seite bis zur Behebung der WordPress Sicherheitslücken sperrt. Zudem kannst Du Kompatibilitätsprobleme mit Themes und Plugins bekommen. Häufig verlangsamt eine alte WordPress Version auch die Ladezeiten und schränkt die Funktionalität ein. Mit StudioWP hast Du dieses Problem nicht, da die Software automatisch Dein WordPress updatet und wartet.

3. Sicherheitslücken bei Plugins oder Themes

Ob das WordPress Kernsystem oder Plugins und Themes – durch veraltete bzw. unsichere Versionen entstehen sehr oft WordPress Sicherheitslücken. Bei Angriffen geht es nicht immer nur um Datendiebstahl, Einbußen im Hinblick auf Funktionen, Features oder Ladezeiten. Vielmehr rückt seit Jahren immer mehr die unerwünschte Installation von Malware in den Fokus.

Bei Malware handelt es sich um ein Schadprogramm, das entwickelt wurde, um Funktionen auszuführen, die Deinen Rechner oder den Rechner eines Nutzers infiltrieren. So lassen sich mit Malware beispielsweise vertrauliche Daten von Deinem Computer stehlen. Zudem kann Malware Deinen Rechner deutlich verlangsamen oder sogar gefälschte E-Mails direkt von Deinem E-Mail-Konto aus versenden. Um WordPress Sicherheitslücken durch Malware oder andere Quellen zu identifizieren und zu schließen, stellt StudioWP eine erstklassige Software-Lösung dar. Mithilfe von StudioWP gewährleistest Du automatisierte Prozesse und einen zuverlässigen Update-Service. Damit kannst Du das Entstehen von WordPress Sicherheitslücken bereits im Vorfeld verhindern oder zumindest entscheidend erschweren.

4. Schwache Passwörter

Mit leicht zu knackenden Benutzernamen und Passwörtern läufst Du Gefahr, dass Cyber-Kriminelle die entsprechenden Informationen entschlüsseln. Auf diese Weise erhalten diese dann Zugang zu Deinen Seiten und Daten. Besonders beliebt bei Hackern sind im Rahmen dieser WordPress Sicherheitslücken die so bezeichneten Brute-Force-Angriffe. Im Rahmen dieser Angriffsmethode probieren die Hacker, Buchstaben-, Zahlen- und Zeichenkombinationen für Passwörter und Schlüssel durch wahlloses Probieren herauszufinden.

Dafür nutzen sie spezielle Brute-Force-Angriffswerkzeuge wie beispielsweise Gobuster, BruteX, Dirsearch, Callow oder SSB. Steht dabei ein Hochleistungsrechner zur Verfügung, können innerhalb weniger Sekunden eine sehr hohe Anzahl an Berechnungen bzw. Kombinationen generiert werden. Je kürzer und einfacher Dein Passwort gestaltet ist, desto höher ist das Risiko, dass ein Brute-Force-Angriff erfolgreich verläuft.

In welch kurzer Zeit schwache Passwörter entschlüsselt werden können, macht die folgende Liste deutlich:

  • Fünf Zeichen (drei Kleinbuchstaben und zwei Zahlen): Entschlüsselt in 0,03 Sekunden.
  • Sieben Zeichen (ein Großbuchstabe und sechs Kleinbuchstaben): Entschlüsselt in ca. neun Minuten
  • Acht Zeichen (vier Kleinbuchstaben, zwei Sonderzeichen, zwei Zahlen): Entschlüsselt in ca. 2,6 Tagen.

Nutzt Du dagegen neun Zeichen (drei Kleinbuchstaben, zwei Großbuchstaben, zwei Sonderzeichen und zwei Zahlen), benötigt ein sehr starker Einzelrechner etwa neun Jahre. Bei zwölf Zeichen (vier Kleinbuchstaben, drei Großbuchstaben, drei Sonderzeichen und zwei Zahlen) würde das Passwort von einem solchen Rechner sogar erst nach ca. 7,5 Millionen Jahren entschlüsselt.

Um hier den bestmöglichen Schutz gegen WordPress Sicherheitslücken dieser Art zu erhalten, solltest Du ausschließlich komplexe Master-Passwörter verwenden. Dieses muss lang und ein Mix aus Buchstaben, Zahlen, Sonderzeichen sowie auch Groß- und Kleinschreibung sein. Außerdem ist es empfehlenswert, den Wartezeitraum zwischen zwei Login-Versuchen zu verlängern. Das bremst die Rechner der Hacker in vielen Fällen aus.

5. Backdoors

Manchmal kommen Cyber-Angriffe auch durch die Hintertür. In der IT-Branche wird in diesem Fall von Backdoors gesprochen. Durch diese WordPress Sicherheitslücken bei Backdoors entstehen alternative Zugangsmethoden zu Hardwaresystemen oder Software, bei der die üblichen Sicherheitsmechanismen umgangen werden. Zwar können die Backdoors zum Beispiel von einem PC-Hersteller für Notfälle (beispielsweise für den Fall, dass ein Passwort vergessen wurde oder für nachträgliche Entschlüsselungen) gewollt eingebaut worden sein, meistens handelt es sich dabei aber um eine heimlich installierte Schadsoftware. Gerne greifen Hacker dabei auf Trojaner als spezielles Hilfsmittel zurück. Ist ein solcher Trojaner installiert, erhält der Hacker dadurch unbefugten Zugriff und kann eine Backdoor einrichten. Den Trojaner benötigt der Hacker dann nicht mehr.

So kannst Du Dich vor Backdoors schützen

  1. Nutze regelmäßig aktualisierte Virenprogramme
  2. Installiere Anti-Malware-Software und EDR-Lösungen. Das Kürzel EDR steht für Endpoint Detection and Response. Mithilfe eines EDR-Tools lässt sich die IT-Infrastruktur von Organisationen und Unternehmen schützen und zudem um vollautomatisierte Funktionalitäten erweitern. Ein solches Tool bietet Dir bei WordPress Sicherheitslücken dieser Art umfangreiche Analysemöglichkeiten, die Dir Einblicke in sowohl aktuelle als auch frühere Vorfälle erlauben und Dich dabei unterstützen, künftige Attacken durch Früherkennung zu verhindern
  3. Gehe mit fremder Software vorsichtig um und überprüfe die jeweilige Software zum Beispiel mit einem Virenschutzprogramm oder einem Malware-Scanner
  4. Aktualisiere sämtliche Software regelmäßig und spiele Patches immer zeitnah ein
  5. Verwende eine Firewallfunktion gegen den Zugriff über Backdoors
  6. Öffne keine unbekannten E-Mail-Anhänge
  7. Überprüfe Deine quelloffenen Programme auf implementierte Backdoor-Mechanismen
  8. Lege Datenbackups in einem anderen Netzwerk ab

6. SQL-Injection

Weitere WordPress Sicherheitslücken können entstehen, wenn die Verbindung zwischen Datenbank und Webanwendung fehlerhaft konfiguriert ist. Dann können die Datenbank-Datensätze via SQL-Injection abgegriffen werden. Möglich ist es zudem, dass schädlicher Code eingeschleust wird. In bestimmten Fällen können Hacker durch eine SQL-Injection sogar auf die Shell des Servers zugreifen.

Das Kürzel SQL steht dabei für die Bezeichnung Structured Query Language. Hierbei handelt es sich um eine Datenbanksprache zum Definieren, Abfragen sowie Bearbeiten von diesbezüglichen Datenbeständen. Du kannst mit SQL-Befehlen die jeweiligen Daten vergleichsweise einfach einfügen, löschen oder verändern. SQL ist sehr weit verbreitet. Programme und Webanwendungen, die auf SQL basieren, sind dadurch beliebte Ziele für Hacker-Angriffe via SQL-Injection (SQL-Einschleusung). Cyber-Kriminelle nutzen bei einer solchen SQL-Injection gezielt bestehende Sicherheitslücken in Software-Quelltexten aus, um beispielsweise über Eingabemasken Schadcode oder eigene Befehle in Anwendungen einzubinden. Die Angreifer erhalten auf diese Weise Zugriff auf wertvolle Datensätze.

Um Deine Webanwendungen vor WordPress Sicherheitslücken dieser Art zu schützen, solltest Du immer die jeweiligen Eingabewerte sorgfältig überprüfen. Dabei ist es wichtig, dass Du spezielle Sonderzeichen maskierst oder herausfilterst. Halte die Benutzereingaben zudem immer vom SQL-Interpreter fern. Das gelingt Dir durch den Einsatz von Prepared Statements. Das sind spezifische Templates für Datenbankabfragen mit zahlreichen Anpassungsoptionen. Außerdem solltest Du hinsichtlich der Datenbank entsprechende Lese-, Ausführungs- und Löschberechtigungen sowie andere Benutzer-Privilegien sehr sparsam vergeben.

7. Cross Site Scripting

Cross Site Scripting (XSS) stellt im Internet eine der häufigsten Angriffsmethoden dar. Dabei nutzen die Angreifer Sicherheitslücken auf dem Server oder dem Client aus und betten Schadcode in eine vermeintlich vertrauenswürdige Umgebung ein. Auf diese Weise lassen sich Browser übernehmen, Internetseiten verändern oder sensible Informationen wie Passwörter entwenden. Zwischen diesen drei XSS-Angriffsarten musst Du unterscheiden:

Reflektiertes XSS
In diesem Fall verbirgt sich schädlicher Code hinter einer URL. Ist der Server nicht ausreichend gesichert, übernimmt er diesen Code, wenn Du auf die URL klickst, und generiert anschließend eine dynamisch veränderte Webseite. Der jeweilige Anwender erkennt nicht, dass die Webseite manipuliert ist und hält sie für vertrauenswürdig. Macht er jetzt seine Eingaben, können diese dann zum Beispiel an einen Server des Angreifers weitergeleitet werden.

Persistentes XSS
Der Schadcode wird hier durch das Anklicken eines manipulierten Links direkt an den Server übergeben, der die Veränderungen persistent (dauerhaft) in seiner Datenbank speichert. Durch diese Veränderung der Webserver-Datenbank bekommen alle Besucher manipulierte Seiten angezeigt, sobald sie den regulären Link aufrufen.

Lokales XSS
Die Angreifer senden den Schadcode direkt an den Anwender, sobald dieser auf einen manipulierten Link geklickt hat. Ausgeführt wird der Schadcode beispielsweise im Browser, ohne dass der jeweilige Nutzer dies bemerkt. Auf diese Weise werden Webseiten in veränderter Form angezeigt. Je nach Browser-Rechten können die Angreifer auch lokale Daten ändern.

So kannst Du Dich gegen WordPress Sicherheitslücken dieser Art schützen
Du solltest grundsätzlich alle über E-Mail empfangenen Links sorgfältig prüfen, bevor Du sie aufrufst. Gleiches gilt für die Daten, die vom Server verarbeitet werden sollen. Dafür kannst Du eine Whitelist mit den jeweils zugelassenen Daten einsetzen. Entsprechende Konfigurationen für die Whitelist nimmst Du in der .htaccess-Datei vor.

Zusätzlich kannst Du die HTML-Metazeichen gegen passende Zeichenreferenzen austauschen. Dadurch verhinderst Du, dass ein eingeschleustes Skript startet. PHP, JavaScript und weitere Skriptsprachen bieten bereits vordefinierte Features zur Zeichenmaskierung bzw. zum Ersetzen von Zeichen. Wichtig ist auch der Einsatz von Web-Application-Firewalls. Diese schließen entsprechende WordPress Sicherheitslücken und wehren einfache XSS-Attacken ab.

8. Heimtückische Umleitungen

Cyber-Kriminelle richten über Backdoors gerne auch böswillige Umleitungen ein. Bei WordPress funktioniert dies über die .htaccess-Datei. Die Hacker platzieren dort verschlüsselte Weiterleitungen, die bei Aufrufen von der Datei dann auf bösartige Webseiten weitergeleitet werden. Gerade Phishing-Angriffe sind diesbezüglich weit verbreitet. Im Rahmen solcher Angriffe versuchen Hacker mit vermeintlich seriösen E-Mails oder Webseiten, sensible Daten abzufischen. Bei diesen Daten kann es sich um Kontodaten, Passwörter und persönliche Informationen handeln. Insbesondere WordPress Websites mit vielen Plugins sind extrem verwundbar für Attacken dieser Art.

Um Dich gegen diese WordPress Sicherheitslücken zu wehren, kannst Du Dich an diesen Tipps orientieren:

  • Verwende Firewalls
  • Nutze einen Malware-Scanner und Diagnosetools
  • Scanne und überprüfe Deine Kerndateien, Theme-Dateien sowie Plugins-Dateien mit einem Virenscanner
  • Suche nach unbekannten Administratoren in WP Admin

Anschließend startest Du bei identifizierten Umleitungen mit böswilligen Absichten den Malware-Entfernungsprozess. Hinweise auf eingeschleuste Infektionen oder auch auf unbekannte IP-Adressen findest Du in den Serverprotokollen. Überprüfen solltest Du auch alle POST-Anforderungen (zum Übertragen großer Datenmengen an den Server zwecks Verarbeitung), da diese ebenfalls Schadcode einschleusen können.

9. Ein DDoS-Angriff

Seit mehr als 20 Jahren nutzen Cyber-Kriminelle DDos-Angriffe, um Institutionen und vor allem Unternehmen gezielt Schaden zuzufügen. Es handelt sich hierbei um einen verteilten Denial-of-Service (DoS) Angriff. Dieser stellt eine Dienstblockade dar, bei dem ein angefragter Dienst nur noch stark eingeschränkt oder überhaupt nicht mehr verfügbar ist. Initiiert wird diese Blockade meistens durch eine extra herbeigeführte Überbelastung der IT-Infrastruktur. Angreifer nutzen ein solches Szenario, um zum Beispiel Lösegelder zu erpressen. Im Gegensatz zu einfachen DoS-Attacken kommen bei verteilten DoS-Angriffen eine große Anzahl von unterschiedlichen Systemen zum Einsatz. Dadurch kann ein großflächig koordinierter Angriff realisiert werden.

Um einen DDos-Angriff abzuwehren, sind spezielle Schutztechnologien erforderlich. Entscheiden kannst Du Dich hier für eine On-premisses-Appliance (System befindet sich auf Servern im eigenen Unternehmen) oder für eine SECaaS-Dienstleistung (Sicherheitsdienste auf Abonnementbasis). Letztere Alternative lässt sich dabei besonders agil einsetzen, da sie nicht durch den eigenen Anschluss bzw. durch die verfügbare Bandbreite gedrosselt wird. Entsprechende DDoS-Schutzlösungen überprüfen und reinigen gegebenenfalls den eingehenden Traffic. Dabei kommt es zu einer automatischen Unterscheidung zwischen schädlichen Zugriffen und validen Anfragen. Du kannst einen solchen DDos-Schutz dauerhaft aktivieren oder nur im Bedarfsfall die Lösungen einsetzen. Das reduziert Kosten und Aufwand.

10. PHP-Exploits

Mit einem Exploit können WordPress Sicherheitslücken aufgezeigt werden, die Hacker dann für Cyber-Attacken ausnutzen. Dank der identifizierten Sicherheitslücken dringen die Hacker in Computersysteme ein und manipulieren diese. Allerdings kannst Du einen Exploit ebenfalls einsetzen, um WordPress Sicherheitslücken bzw. Schwachstellen zu beseitigen.

Die Schwachstelle tritt auf, wenn vom Benutzer bereitgestellte Eingaben nicht ordnungsgemäß bereinigt werden, bevor sie an die PHP-Funktion unserialize() übergeben werden. Da PHP die Serialisierung von Objekten ermöglicht, können Angreifer serialisierte Strings an einen unserialize()-Aufruf übermitteln. Das führt im Anwendungsbereich zu einer willkürlichen Injektion von PHP-Objekten. Um Dich vor PHP-Exploits zu schützen, solltest Du die Funktion unserialize() nicht mit vom Benutzer bereitgestellten Eingaben einsetzen. Nutze stattdessen JSON-Funktionen (Datenaustauschformat JavaScript Object Notation).

Sicheres WordPress dank StudioWP

WordPress Sicherheitslücken können zu einem echten Problem werden und Dein Online-Business nachhaltig negativ beeinträchtigen. Daher solltest Du immer schnell gegen Sicherheitslücken vorgehen und sie bestenfalls schon im Vorfeld bestmöglich verhindern. Mit StudioWP kannst Du dabei auf eine Software zurückgreifen, die Dir einen umfassenden Update-Service bietet und Sicherheitslücken minimiert. Das ist aber noch nicht alles. Denn hinter StudioWP steht ein erfahrenes Expertenteam, das Du direkt über das Dashboard erreichen kannst und Dir bei all Deinen Fragen rundum ein sicheres WordPress kompetent weiterhilft.