Tresor

Ist WordPress sicher? Wie Sie Ihre Website vor Hackern schützen

Immer wieder liest man von gehackten WordPress Websites. Ist WordPress also ein besonders unsicheres Content Management System? Nein. Das Problem ist nicht WordPress selbst, sondern wie es eingesetzt wird. Nur wer versteht, wie Hacker Websites angreifen, kann auch wirksame Gegenmassnahmen ergreifen. In diesem Artikel geht es deshalb um die grössten Sicherheitsrisiken bei WordPress.

Warum WordPress Websites häufig angegriffen werden

Dass es vergleichsweise viele Hacker-Angriffe auf WordPress Websites gibt, hat drei einfache Gründe:

Erstens ist WordPress wegen seiner grossen Verbreitung ein besonders lohnenswertes Angriffsziel. Gut 40 Prozent aller Websites weltweit basieren auf diesem CMS. Findet ein Hacker hier eine Schwachstelle, dann kann er damit ungleich viel mehr Websites angreifen als bei jedem anderen System.

Zweitens werden WordPress Websites häufig von Personen erstellt, die keine IT-Fachleute sind. Viele WordPress Websites sind deshalb nicht optimal konfiguriert und schlecht gewartet. Bei solchen Websites haben Hacker oft ein leichtes Spiel.

Drittens gibt es kaum eine WordPress-Installation, die ohne Plug-ins auskommt. Solche Plug-ins können genauso Sicherheitslücken enthalten wie der WordPress Core – sei es aufgrund eines Programmierfehlers, sei es aus Absicht. Und während der WordPress Core von sehr vielen Entwicklern sehr genau geprüft wird, ist dies bei der riesigen Zahl von Plug-ins nur beschränkt möglich. Auch wer eines der rund 60’000 Plug-ins aus dem offiziellen Plug-in-Verzeichnis installiert, öffnet damit im schlimmsten Fall ein Einfallstor für Hacker.

Sicherheitsrisiko Nr. 1: Login-Formular

Viele Hacks verlaufen erschreckend banal: Die Hacker probieren ganz einfach verschiedene Benutzernamen und Passwörter aus, bis sie sich ins WordPress Backend einloggen können. Weil sie das nicht manuell machen, sondern einer Software überlassen, geht das in der Regel ziemlich schnell, und es erfordert nicht einmal Programmierkenntnisse. Leider ist eine WordPress-Installation ohne weitere Massnahmen sehr schlecht gegen solche Brute-Force-Angriffe geschützt.

Die elementarste Sicherheitsmassnahme besteht deshalb darin, die Anzahl der Login-Versuche zu beschränken. So kann man beispielsweise ein Benutzerkonto automatisch sperren, falls mehrfach ein ungültiges Passwort für den entsprechenden Benutzernamen eingegeben wurde. Oder man sperrt gleich die IP-Adresse, von der aus die mutmasslichen Angriffe erfolgt sind – was allerdings nicht ganz so effektiv ist, weil Hacker natürlich wissen, wie man unterschiedliche IP-Adressen nutzt (z.B. über ein VPN oder über ein Botnet).

WordPress Login-Formular

Eine zweite Massnahme besteht darin, dass Passwörter eine gewisse Länge und Komplexität haben müssen. Dadurch erhöht sich die Anzahl der Möglichkeiten, die Hacker bei einer Brute-Force-Attacke durchprobieren müssen, unter Umständen signifikant: Statt ein paar Minuten dauert ein Angriff plötzlich ein paar Tage oder gar Jahre.

Was man in diesem Zusammenhang gerne vergisst: Um sich einloggen zu können, braucht man ja eine gültige Kombination aus Benutzername und Passwort. Wenn nun ein Hacker bereits einen Benutzernamen kennt, muss er nur noch alle Passwörter durchprobieren, und dann reduziert sich die Anzahl der möglichen Kombinationen massiv. Leider ist es bei WordPress vergleichsweise einfach, die registrierten Benutzernamen herauszufinden, solange man keine Gegenmassnahmen ergreift.

Zusätzliche Sicherheit bietet auch die Zwei-Faktor-Authentifizierung (2FA), wie man sie vom E-Banking, aber auch von grossen Web-Plattformen her kennt. In diesem Fall braucht man beim Login nicht nur ein Passwort, sondern auch einen einmaligen, zeitlich beschränkt gültigen Code, den man per App oder SMS erhält. Auch die Zwei-Faktor-Authentifizierung wird WordPress nicht in die Wiege gelegt, aber man kann sie nachrüsten.

Sicherheitsrisiko Nr. 2: Plug-ins und Themes

Dass WordPress derart populär ist, hat ganz wesentlich mit dem riesigen Angebot an Plug-ins und Themes zu tun. Damit kann man seine Website quasi per Mausklick funktional und visuell den eigenen Wünschen anpassen.

Nun sind sowohl Plug-ins als auch Themes nichts anderes als Programmcode, den man in seine Website einbaut. Und dieser Programmcode kann dann auf dieser Website alles machen, was er (bzw. sein Programmierer) will – also auch Content manipulieren, Benutzerdaten ausspähen, illegale Downloads platzieren oder Malware verbreiten. Zwar ist der Quellcode von Plug-ins und Themes einsehbar, und somit könnte man solche «unerwünschten Nebenwirkungen» erkennen. Aber nur wenige WordPress-Administratoren haben genügend Zeit und Fachwissen für eine gründliche Code-Analyse.

Glücklicherweise sind Plug-ins und Themes mit absichtlich eingebauter Malware die Ausnahme. Vergleichsweise häufig sind hingegen Programmierfehler, die einem Hacker eine Angriffsmöglichkeit bieten. Deshalb sollte man möglichst auf etablierte Komponenten setzen, die eine grosse Anzahl von Installationen und ein gutes Rating haben. Auch hier sind Fehler zwar nicht völlig ausgeschlossen, aber man kann zumindest davon ausgehen, dass sie schnell entdeckt und behoben werden.

Sicherheitsrisiko Nr. 3: Mangelhafte Wartung

Viele Probleme (und das betrifft nicht nur Sicherheitsprobleme) lassen sich durch eine regelmässige Wartung einer WordPress-Installation vermeiden. Insbesondere sollten Software-Updates zeitnah eingespielt werden. Das betrifft nicht nur den WordPress Core, sondern eben auch Plug-ins und Themes.

Natürlich kann ein Update auch einmal neue Probleme schaffen – nach unserer Erfahrung ist dies allerdings die Ausnahme. Viel grösser ist das Risiko, dass man eine bekannte Sicherheitslücke offen lässt, welche durch das Update geschlossen worden wäre. Deshalb sind regelmässige Updates unbedingt zu empfehlen. Falls Sie nicht die Ressourcen haben, Ihre Website mindestens einmal wöchentlich zu warten, sollten Sie die automatische Aktualisierungsfunktion von WordPress nutzen.

WordPress Backend mit fälligen Aktualisierungen

Zur Wartung gehört auch, dass Sie einen Blick auf den «Website-Zustand» werfen. Dieses Analyse-Werkzeug macht Vorschläge, wie Sie die Sicherheit und die Performance Ihrer Website verbessern können. Ausserdem sollten Sie periodisch die Error Logs Ihrer Website auswerten, um weniger offensichtlichen Problemen auf die Spur zu kommen.

Übrigens: Zur Wartung gehört natürlich auch ein regelmässiges Backup. Denn sollte Ihre Website trotz aller Sicherheitsmassnahmen gehackt werden, dann können Sie zumindest auf eine unkompromittierte Version zurückgreifen.

Sicherheitsrisiko Nr. 4: Preisgabe von technischen Details

Ein qualifizierter Hacker-Angriff ist wesentlich einfacher, wenn der Angreifer gewisse technische Details Ihrer Website kennt. Nur schon die Versionsnummer Ihrer WordPress-Installation kann ein wertvoller Hinweis darauf sein, an welchen Stellen die Website potenziell angreifbar ist. Und leider ist diese Versionsnummer standardmässig im Quellcode aller Seiten zu finden.

Noch gefährlicher sind PHP-Fehlermeldungen, welche für Aussenstehende zugänglich sind. Solche Meldungen enthalten oft Details, die nicht nur dem Website-Besitzer, sondern auch einem Hacker weiterhelfen. Eine produktive Website sollte deshalb immer so konfiguriert sein, dass allfällige Fehlermeldungen nicht im Frontend ausgegeben, sondern ins Error Log geschrieben werden. Zudem sollte man sicherstellen, dass dieses Error Log nicht von Unbefugten ausgelesen werden kann.

Auch die WordPress-Konfigurationsdatei wp-config.php enthält höchst sensible Informationen, beispielsweise die Zugangsdaten für die Datenbank. Sie vor unerlaubtem Zugriff zu schützen gehört deshalb ebenfalls zu den üblichen Sicherheitsmassnahmen.

Sogar die an sich harmlose Datei robots.txt, welche die Indexierung durch Suchmaschinen steuert, kann unter Umständen verräterisch sein. Wenn Sie beispielsweise dem Google Bot durch den Befehl Disallow: /uploads/confidential/ signalisieren, er dürfe das besagte Unterverzeichnis nicht besuchen, dann ist das für einen Hacker geradezu eine Einladung.

Sicherheitsrisiko Nr. 5: Editoren und Datenbank-Manager

Im WordPress Backend findet man standardmässig den Theme File Editor und den Plugin File Editor. Damit kann man den Quellcode aller Themes bzw. aller Plug-ins bearbeiten. Zudem gibt es Plug-ins, die einen kompletten Datei-Manager implementieren – so hat man direkten Zugriff auf die gesamte WordPress-Installation, ohne ein FTP-Programm bemühen zu müssen. Auch Datenbank-Manager im Stil von phpMyAdmin kann man über Plug-ins direkt ins WordPress Backend integrieren.

Das alles ist sehr praktisch für WordPress-Administratoren, weil man so auf den gesamten Code und alle Daten zugreifen kann. Genauso praktisch ist es allerdings auch für einen Hacker, wenn er sich einmal Zugang zum WordPress Backend verschafft hat. Deshalb sollte man derartige Werkzeuge auf produktiven Websites konsequent deaktivieren.

Sicherheitsrisiko Nr. 6: Vertrauliche Daten auf dem Webserver

Unter Umständen müssen Hacker gar nicht in eine Website einbrechen, um vertrauliche Daten zu stehlen. Denn viele WordPress-Administratoren sind unvorsichtig genug, solche Daten ungeschützt auf dem Webserver zu speichern. So liegen dort beispielsweise Datenbank-Backups in Form von *.sql-Dateien oder Fotos, welche nur eingeloggte Benutzer sehen dürfen.

Ohne Gegenmassnahmen kann man solche Dateien problemlos herunterladen, wenn man die exakte URL in den Browser eingibt. Ein Hacker kennt zwar diese URL nicht – aber er kann natürlich ganz viele URLs durchprobieren, bis er einen Treffer landet. Dass dies ein gängiges Angriffsmuster ist, kann man leicht nachvollziehen, wenn man auf seiner Website die HTTP-Fehler vom Typ «404 Page Not Found» auswertet.

Fazit: Standardeinstellungen genügen nicht

Wer behauptet, WordPress sei unsicher, macht es sich zu einfach. Denn in der Regel ist nicht WordPress das Problem, sondern sein Administrator.

Andererseits ist es tatsächlich so, dass Grundausstattung und Standardeinstellungen keine optimale Sicherheit bieten. Gerade weil WordPress gerne auch von kleinen Unternehmen und Einzelpersonen mit beschränkten IT-Kenntnissen genutzt wird, würde man sich zumindest einen standardmässigen Schutz gegen Brute-Force-Angriffe wünschen.

Im Minimum sollte man deshalb immer eines der gängigen Sicherheits-Plug-ins installieren. Echte Sicherheit bekommt man allerdings nur, wenn man sich im Detail mit ihr beschäftigt.

Notebook-Computer mit der Website wordpress.org

Unsere Dienstleistungen rund um WordPress

Metoki ist auf WordPress Websites spezialisiert: Seit über zehn Jahren arbeiten wir intensiv mit dieser Plattform.

Wir erstellen komplette Web-Auftritte, bieten aber auch Support für bestehende WordPress-Websites. Unsere Spezialgebiete sind mehrsprachige Websites mit WordPress sowie die Integration von individuellen Datenbanken mit Toolset.