Eine veraltete Version oder ein Plugin, das nicht mehr aktuell ist: Mögliche Sicherheitslücken können in WordPress schnell entstehen. Doch woher weißt Du, ob Dein Blog gefährdet ist?
WordPress ist das beliebteste Blog- und Content-Management-System im Netz. Hinter mehr als 40 % aller Websites im Internet steckt eine WordPress-Installation. (Stand: Januar 2022, Quelle: W3Techs).
Schaut man sich die aktuellen Statistiken über die Verteilung der WordPress-Versionen auf WordPress.org an, stellt man fest: Viele Nutzer setzen noch nicht die aktuellste und damit auch sicherste Version ein.
Ein Grund hierfür kann sein, dass auf dem Webserver noch immer eine veraltete PHP-Version läuft, denn die aktuellste WordPress-Version 5.9 setzt PHP in der Version 7.4 mindestens voraus.
Wie wichtig ist die aktuelle Version?
Anscheinend ist vielen Nutzern nicht klar, wie wichtig es ist, die Software stets auf dem aktuellsten Stand zu halten. Dies gilt insbesondere auch auf Webservern, die öffentlich im Netz verfügbar und damit stets auch angreifbar sind.
Nicht selten nutzen Hacker Sicherheitslücken insbesondere in WordPress aus, um ein System anzugreifen. Meist geht es Hackern nicht darum, einem konkreten Nutzer zu schaden. Viel mehr schafft sich der Angreifer über den gehackten Webspace Ressourcen, um Schadcode zu verteilen oder um sie als Spamschleuderzu missbrauchen.
Wer selbst nicht Opfer von solchen Angriffen sein möchte, sollte stets auf dem Laufenden sein. Das heißt: Er sollte sein WordPress sowie auch die enthaltenen Plugins und Themes aktualisieren. Ist dazu noch die PHP-Version veraltet, solltest Du eine aktuellere Version installieren, denn auch hier gibt es Sicherheitslücken.
Welche Quellen geben Infos über Sicherheitslecks?
Welche Sicherheitslecks im Bezug zu WordPress, den Plugins und Themes aktuell existieren, findest Du über ExploitDB schnell heraus. Dies ist eine weltweite Datenbank für verschiedenste Sicherheitslücken von unterschiedlichster Software, unter anderem auch WordPress und dessen Plugins und Themes. Gib dazu rechts oben im Suchfeld einfach „wordpress“ ein und Du erhältst eine Liste mit bekannten Exploits – komplett mit Angabe des Datums und allen weiteren Informationen zu den einzelnen Sicherheitslücken.
In der ExploitDB kannst Du auch gezielt nach Deinen Plugin- und Theme-Versionen suchen. So findest Du heraus, ob es möglicherweise bekannte Sicherheitslücken gibt. Taucht eines Deiner Plugins oder die WordPress-Version auf, die Du in Deinem Blog einsetzt, kannst Du so schnell reagieren und ggf. die betroffene Software aktualisieren. Existiert noch kein Update, kannst Du bei dem Autor nachhaken, wann es ein Update bezüglich der Sicherheitslücke geben wird.
Was tun, wenn man betroffen ist?
Bist Du von einer Sicherheitslücke betroffen, solltest Du möglichst schnell die betroffene Software aktualisieren. Auf keinen Fall solltest Du das Update auf die lange Bank schieben. Denn logischerweise nutzen auch Hacker diese Quellen und durchforsten das Netz nach Blogs, die die betroffenen Elemente einsetzen.
Ein Hinweis, falls Du die Updates via sFTP selbst einspielst und nicht die in WordPress angebotene Aktualisierungsfunktion nutzt: Achte gerade bei Plugins und Themes darauf, zuerst die alten Dateien zu löschen und erst dann das neue Plugin / Theme hochzuladen. Nicht selten ist es passiert, dass beim bloßen Überschreiben der Dateien alte betroffene Dateien auf dem Webspace verblieben sind und darüber das System trotz aktuellster Version gehackt wurde.
Bist Du bereit für Dein eigenes WordPress-Projekt?
Zu den WordPress-PaketenUpdate, 25.01.2022: Dieser Beitrag erschien ursprünglich am 24.10.2019. Wir haben ihn aktualisiert.
Stefan Jacomeit
Ik ben een freelance PHP & WordPress-ontwikkelaar en werk bijna elke dag met WordPress. Ik houd me vooral ook veel bezig met dingen als performance en beveiliging.
Miriam Heckhoff sagte am
Hallo Stefan,
wir haben eine WordPress Sete die nun zum 5 oder 6 mal gehackt wurde, das Hosting funktioniert also beim aktuellen Anbieter nicht, da die Updates offensichtlich nicht im Auge behalten werden.
Wir möchten gerne zu Strato umziehen und am liebesten kann die Internetseite so bleiben aber ziehen dann nicht auch alle Fehler mit rüber? Oder kann man das vorher Filtern oder irgendwie einfach gestalten?
Gruß Miriam
Tobias Mayer sagte am
Hallo Miriam,
in unseren FAQ gibt es eine Anleitung, wie Du Deine WordPress-Seite zu STRATO umziehen kannst: https://www.strato.de/faq/hosting/so-ziehen-sie-ihr-wordpress-blog-zu-strato-um/
Wie Du richtig angemerkt hast, wird die Seite dadurch nicht automatisch sicher. Für die Sicherheit Deiner WordPress Seite sind sowohl Dein Hoster als auch Du selbst verantwortlich. Dazu gehören verschiedene Aspekte:
1. Sicherheitsupdates grundlegender Komponenten wie PHP: Darum kümmert sich Dein Hoster.
2. Updates von WordPress und den Plugins: Dafür ist jeder WordPress-Administrator selbst verantwortlich. Unser WordPress Hosting hat allerdings einen Sicherheitsmodus. Wenn Du diesen bei der Installation auswählst, werden Updates automatisch eingespielt. Du kannst auch selbst die WordPress-Einstellungen so ändern, dass viele Aktualisierungen automatisch passieren.
3. Nutzerseitige Einstellungen wie Passwörter: Diese Dimension ist sehr wichtig, denn bei einem schwachen Passwort helfen auch keine Updates. Tipps für gute Passwörter findest Du hier: https://www.strato.de/faq/vertrag/unsere-empfehlungen-fuer-gute-passwoerter/
Beste Grüße
Tobias