WordPress Vulnerabilities

Die 4 größten WordPress Sicherheitslücken

WordPress ist mit Abstand das beliebteste Content Management System (CMS). Weltweit basieren deutlich über 40 Prozent aller Websites auf WordPress. Diese Popularität hat aber auch ihre Schattenseiten: Sie macht das CMS zu einem attraktiven Ziel für Cyberangriffe. Außerdem sorgen vor allem die großen Stärken von WordPress – die Flexibilität und der modulare Aufbau – dafür, dass WordPress tendenziell recht unsicher sein kann.

Welche WordPress Sicherheitslücken es generell gibt, was die wichtigsten Einfallstore für Hacker:innen sind und worauf du achten solltest, um die Schwachstellen zu schließen, erfährst du in diesem Artikel. Die meisten bekannten WordPress Sicherheitsprobleme bekommst du zum Glück recht leicht in den Griff.

1. Sicherheitslücke im WordPress Core

WordPress besteht aus einer Kernsoftware, dem Core, sowie diversen Plugins und Themes. Der WordPress Core an sich wird ständig weiterentwickelt und neu veröffentlicht – inklusive Sicherheitsupdates. Die größte Gefahr in Bezug auf die Kernsoftware liegt bei den Benutzer:innen selbst: Bei vielen ist ein WordPress Update längst überfällig, sei es wegen inkompatibler Plugins und Themes, Unwissenheit oder Zeitmangel. Nur knapp 46 Prozent aller WordPress Installationen laufen aktuell auf der neuesten Version 6.2.

WordPress Safety Installations Per Version
Prozentuale Nutzung der verschiedenen WordPress Versionen (© WordPress.org)

Die Lösung: Nutze die aktuelle Version von WordPress.

Das WordPress Sicherheitsteam überprüft den WordPress Code laufend auf kritische Schwachstellen. Diese werden umgehend behoben, sobald sie entdeckt werden. Die WordPress Entwickler:innen arbeiten dabei normalerweise sehr zuverlässig und schnell – vor allem, wenn es sich um kritische Fehler handelt. Nur ein Bruchteil aller WordPress Sicherheitslücken ist deshalb auf Fehler im Core zurückzuführen. Wer also immer mit der neuesten Version von WordPress arbeitet und Updates zeitnah durchführt, schützt sich recht zuverlässig vor Hacker:innen, die Sicherheitslücken in veralteten WordPress Versionen ausnutzen.

Tipp

Updates können manchmal auch Probleme auf deiner Website verursachen. Sie aus Angst zu ignorieren, sollte aber nicht die Lösung sein. Erstelle stattdessen einfach immer ein komplettes Backup deines Systems, bevor du Updates einspielst. So bist du gegen Probleme abgesichert und kannst deine Website notfalls mit wenigen Klicks wiederherstellen. Wie genau du ein Backup erstellst, kannst du in unserem Artikel WordPress Backup: So wichtig und so oft vergessen nachlesen.

2. Sicherheitsprobleme durch Plugins und Themes

Plugins und Themes sind in der Praxis einer der Lieblingsangriffspunkte für Hacker:innen. Analysen von Sucuri aus dem Jahr 2022 zeigen: Bei 36 Prozent aller gehackten Websites war mindestens ein angreifbares Plugin oder Theme installiert. Dazu kommt: Derzeit stehen allein auf wordpress.org mehr als 60.000 Erweiterungen für die Open Source Plattform zur Verfügung. Die Wahrscheinlichkeit, dass Cyberkriminelle darunter einige Plugins mit einer Lücke im Code finden, ist also hoch. Diese Lücke wird dann ausgenutzt, um beispielsweise für SQL-Injections, Cross Site Scripting (XSS) oder Malware die Türen zum Backend deiner Website zu öffnen.

Die Lösung: Um Sicherheitslücken durch Plugins und Themes zu vermeiden, solltest du gleich mehrere Dinge beachten:

  • Plugins und Themes aktuell halten: Was für den WordPress Core gilt, gilt natürlich auch für die Erweiterungen. Veraltete Software ist einer der häufigsten Gründe, wieso WordPress Websites Opfer von Cross Site Scripting, Malware & Co. werden. Stelle deshalb sicher, dass du auch bei Plugins immer die neueste Version installiert hast. Lies dazu am besten unseren Artikel rund um (automatische) WordPress Plugin Updates.
  • Nur vertrauenswürdige Plugins und Themes installieren: Als relativ sichere Quelle für Plugins und Themes gilt das WordPress Repository. Die Plugins, die dort gelistet sind, werden auf Fehler geprüft, bevor sie bereitgestellt werden. Außerdem ist es bei renommierten und gut gepflegten Plugins am wahrscheinlichsten, dass eventuell auftretende Sicherheitslücken schnell geschlossen werden. Prinzipiell können aber alle möglichen Entwickler:innen Plugins und Themes für die WordPress Community bereitstellen. Von kleinen WordPress Plugins und Themes von unbekannten Drittanbietern solltest du besser die Finger lassen.
  • Nicht genutzte Themes und Plugins löschen: Verwende nur die Plugins, die für deine Website absolut notwendig sind. Wenn du sie nicht mehr brauchst, solltest du Plugins nicht nur deaktivieren, sondern direkt deinstallieren. Dasselbe gilt auch für Themes.

*“ zeigt erforderliche Felder an

Ich möchte den Newsletter abonnieren, um über neue Blogbeiträge, E-Books, Features und News rund um WordPress informiert zu werden. Meine Einwilligung kann ich jederzeit widerrufen. Bitte beachte unsere Hinweise zum Datenschutz.
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

3. Der WordPress Login als Schwachstelle

Ein großer Anteil an WordPress Hacks besteht aus „stumpfer Gewalt“ an der Vordertür, also gegen deine wp-admin Seite. Mit sogenannten Brute Force Attacken wird versucht, deine WordPress Anmeldeinformationen (oder die Daten für FTP und Hosting) abzugreifen. Die Methode an sich ist ziemlich primitiv, aber bei schlechtem Schutz dennoch wirksam: Im Grunde raten die Angreifer:innen so lange, bis sie die richtige Kombination aus Benutzername und Passwort gefunden haben. Das Ganze kann sehr leicht automatisiert werden. Wenn das Passwort schwach, oder der Loginbereich nicht geschützt ist, kann ein Brute Force Angriff entweder zu einem erfolgreichen Login führen – oder durch die schiere Menge an Loginversuchen deine Server lahmlegen.

✅ Die Lösung: Um zu verhindern, dass Hacker:innen den Schlüssel zu deiner Website bei einem Brute Force Angriff erhalten, gibt es drei Möglichkeiten, die du am besten kombinierst:

  • Starke Passwörter verwenden: Klingt banal, hat aber eine große Wirkung und ist eigentlich sowieso Pflicht. Brute Force Angriffe sind ziemlich simpel, im Prinzip wird dabei nur geraten. Ein starkes Passwort mit groß- und kleingeschriebenen Buchstaben, Zahlen und Sonderzeichen kann dafür sorgen, dass eine Attacke ins Leere läuft. Zusätzlich ergibt eine Zwei-Faktor-Authentifizierung Sinn (bei Raidboxes ist diese beispielsweise ohnehin Standard).
  • Anmeldeversuche begrenzen: Du kannst die Zahl der Logins auf deiner WordPress Website begrenzen. So verhinderst du, dass unzählige fehlgeschlagene Loginversuche deine Website lahmlegen. Eine IP wird dann nach einigen Fehlversuchen für eine bestimmte Zeit geblockt. Beim nächsten erzwungenen Timeout wird der Sperrzeitraum sukzessive länger – und die Attacke zunehmend nutzloser. So ein Schutz lässt sich über Plugins (z. B. Login Lockdown) nachrüsten. Wenn du WordPress Websites (oder E-Commerce Shops) bei Raidboxes hostest, bist du direkt mit einem extra Brute Force Schutz ausgestattet. Über den RB Login Protector kannst du in deiner Box genau definieren, nach wie vielen Loginversuchen und wie lange die Sperre greifen soll.
  • Blacklisting: In bestimmten Ländern stehen Server, von denen besonders häufig Cyberangriffe kommen. Du kannst die entsprechenden IP-Adressen auf eine „schwarze Liste“ setzen und vom Zugriff auf deine Website ausschließen, um Angriffen vorzubeugen. Wenn die Regionen nicht zu deiner Zielgruppe gehören, kann das durchaus sinnvoll sein. Die Blacklist legst du entweder selbst serverseitig an oder implementierst sie über ein passendes Sicherheitsplugin.

4. Shared Hosting als Einfallstor

Auch das Hosting spielt eine nicht unerhebliche Rolle, wenn es um die Sicherheit von WordPress geht. Vor allem Shared Hosting kann deine Website beeinträchtigen – und zwar durch den sogenannten Bad Neighbor Effect: Beim Shared Hosting „wohnen“ mehrere Websites auf einem Server und teilen sich dabei auch die IP-Adresse.

Gerät diese beispielsweise auf eine Blacklist, weil eine andere Website auf deinem Server von Spamming betroffen war, kann sich das auch auf dich und dein Business negativ auswirken. Du musst dafür nicht einmal selbst von Hacking betroffen sein.

Zusätzlich kann es in seltenen Fällen vorkommen, dass auf dem Server nicht mehr genug Ressourcen frei sind, wenn eine andere Website zum Beispiel in eine DDoS-Attacke verwickelt ist. Zumindest dann, wenn die Ressourcen durch den Shared Hoster nicht vernünftig limitiert werden. Die Folge: Überbeanspruchte Server, auf denen auch deine Website zeitweise nicht mehr stabil läuft.

Die Lösung: Setze auf ein zuverlässiges Managed WordPress Hosting.

Ein WordPress Hosting, bei dem du deinen Server nicht mehr mit anderen Websites teilst, sorgt für die Extraportion Sicherheit. Zusätzlich profitierst du bei Hostern, die auf WordPress spezialisiert sind, von einem Team aus WordPress Expert:innen und schnellem Support, falls es doch einmal brennt.

Wenn du auf sicheres WordPress Hosting von Raidboxes setzt, bist du unter anderem durch folgende Maßnahmen vor WordPress Sicherheitslücken geschützt:

  • Wenn du eine Box (also eine neue WordPress Website) anlegst, musst du zwingend ein starkes Passwort eingeben.
  • Der RB Login Protector schaltet sich vor deinen WordPress Loginbereich und „blacklistet“ IP-Adressen, die wiederholt versuchen, sich mit falschen Daten einzuloggen. So bist du gegen Brute Force Angriffe geschützt.
  • Der WP Session Eraser löscht nach einer von dir festgelegten Zeit die WordPress Sessions all deiner User aus der Datenbank. So bleibst du DSGVO-konform und speicherst so wenig Daten wie möglich.
  • Die XML-RPC-Schnittstelle ist standardmäßig blockiert. So bietet sie keinen Ansatzpunkt für direkte Hackerangriffe, wenn sie nicht gebraucht wird.
  • Gemanagte Updates (optional), ob für WordPress selbst oder für deine Plugins, gewährleisten, dass dein System immer aktuell ist.

Zusätzlich sorgen zahllose serverseitige Maßnahmen für maximalen Schutz, ohne dass du dich selbst darum kümmern musst.

Extra Schutz: Mit Plugin für WordPress Sicherheit sorgen

Wie für fast alles bietet WordPress auch für die Sicherheit zahlreiche Plugins, mit denen du deine Website vor Bedrohungen schützen kannst. Das kann als zusätzliche Maßnahme in manchen Fällen durchaus sinnvoll sein – je nachdem, wie gut deine WordPress Website aufseiten des Hostings bereits abgesichert ist und welches Setup du ansonsten verwendest.

Wann ein WordPress Security Plugin wirklich sinnvoll ist und welche Features es mitbringen sollte, kannst du in unserem Artikel WordPress Security: Wie sinnvoll sind Security Plugins wirklich? nachlesen. Darin werden auch die drei besten Security Plugins im Überblick vorgestellt.

Fazit: Viele WordPress Sicherheitslücken sind leicht schließbar

Insgesamt gibt es zwar einige Einfallstore, durch die Hacker:innen deine WordPress Website angreifen könnten. Viele WordPress Sicherheitslücken lassen sich aber relativ leicht schließen, wenn du weißt, worauf du achten musst. Dafür braucht es oft auch gar kein zusätzliches Plugin oder komplizierte Firewalls. Denn die meisten Sicherheitslücken in WordPress sind nicht auf technische, sondern auf menschliche Fehler zurückzuführen. Viel wichtiger ist es deshalb, darauf zu achten, dein System aktuell zu halten, starke Passwörter zu verwenden und dein WordPress regelmäßig zu warten. Wenn du das beachtest und zusätzlich auf ein sicheres WordPress Hosting setzt, solltest du künftig gut gegen Hacker:innen gewappnet sein.

Häufig gestellte Fragen rund um WordPress Sicherheitslücken

Wie sicher ist WordPress?

Kein CMS ist hundertprozentig sicher, auch nicht WordPress. Der modulare Aufbau mit zahlreichen Themes und Plugins bietet Angriffsflächen und lässt WordPress tendenziell unsicher erscheinen. Dass WordPress weltweit am weitesten verbreitet ist, macht das CMS zusätzlich zu einem attraktiven Ziel. Der WordPress Core an sich ist aber recht gut gesichert und erhält regelmäßig Sicherheitsupdates. Die meisten WordPress Schwachstellen lassen sich aber tatsächlich auf eine mangelnde WordPress Wartung zurückführen und sind leicht zu beseitigen.

Was sind die häufigsten WordPress Bedrohungen?

Zu den häufigsten Hacks gegen WordPress Websites gehören Malware, Backdoors, SEO-Spam, Brute Force Angriffe, SQL Injections, DDoS-Angriffe und Cross Site Scripting.

Was sind Zero-Day Sicherheitslücken?

Zero-Day Sicherheitslücken sind Lücken, die bisher nicht entdeckt wurden und den Entwickler:innen einer Software unbekannt sind. Das heißt, es existiert für diese Art von Sicherheitsproblemen noch kein Sicherheitsupdate. Sobald sie bekannt werden, lassen sie sich leicht für flächendeckende Angriffe nutzen.

Deine Fragen zu WordPress Sicherheitslücken

Welche Fragen hast du zum Thema WordPress Sicherheit? Nutze gerne die Kommentarfunktion. Du willst über weitere Beiträge zum Thema WordPress und WooCommerce informiert werden? Dann folge uns auf LinkedInFacebookTwitter oder über unseren Newsletter.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

Ein Kommentar zu “Die 4 größten WordPress Sicherheitslücken

  1. Hallo Elena,

    vielen Dank für den interessanten Artikel. Leider zeigt die Erfahrung bei einigen Kunden, dass sich gerade um Updates der Plugins und Themes sowie des WordPress Core überhaupt nicht gekümmert wird, weil entweder kein Personal da ist oder die Sicherheitsrelevanz nicht richtig eingeschätzt wird.

    Daher empfehlen wir in der Regel das Update -und Backup-Management auszulagern oder aber nicht immer auf Teufel komm raus auf WordPress als CMS zu setzen.

    Viele Grüße
    Luis

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert