Artikel von März 2021
Regelmäßige Sicherheitslücken bei WordPress: Ständige Gefahr für die Sicherheit
Luis Fricke Datenschutz für Unternehmen
WordPress ist weltweit das meistgenutzte und damit auch beliebteste CMS auf dem Markt. Kein Wunder, denn es bietet auch viele Vorteile: Das System ist kostenfrei, wird als Open-Source-Software ständig weiterentwickelt, stellt geringe System-Anforderungen und bieten vor allem viele Erweiterungen in Form von Plugins und Themes von Drittanbietern. Gerade dieses breite Angebot an Plugins und Themes von Drittanbietern macht WordPress für Entwickler attraktiv, führt jedoch auch regelmäßig zu Sicherheitslücken bei WordPress.
Was ist WordPress?
WordPress ist ein freies Redaktionssystem (Content-Management-System, kurz: CMS) zum Bearbeiten von Websites und deren Inhalten. Als Open-Source-Software steht WordPress unter der GNU General Public License (oder GPL), die einem gewährt, die Software auszuführen, zu ändern und zu kopieren. Software, die diese Freiheitsrechte gewährt, wird „Freie Software“ genannt. Ursprünglich wurde WordPress 2003 für Online-Blogs entwickelt. Heutzutage zählt das System mit einem Anteil von ca. 40% an allen CM-Systemen zu dem am weitesten verbreiteten Redaktionssystem überhaupt und wird nicht mehr nur in Blogs verwendet. Oftmals wird WordPress heutzutage auch von kleineren Firmen und Startups für den ersten Webauftritt genutzt, da sich Internetseiten mit nur wenigen Klicks erstellen lassen und der Funktionsumfang durch eine große Auswahl an Plugins stark erweiterbar ist.
Wie kommt es zu den Sicherheitslücken bei WordPress?
Die große Auswahl an Plugins und Themes bietet viele Vorteile für Entwickler und macht WordPress als CMS sehr attraktiv. Hier zeigt sich aber auch die Schwachstelle: Diese Plugins und Themes werden nämlich von Drittanbietern erstellt. Drittanbieter sind unabhängige Entwickler und stehen in keinerlei Geschäftsbeziehung zu WordPress selbst. Somit werden die Plugins und Themes zwar explizit für das WordPress-System entwickelt, jedoch eigenständig und unabhängig programmiert. Die Drittanbieter unterliegen dabei keinerlei Weisungsbefugnis durch WordPress und sind für die Weiterentwicklung und Gewährleistung der Sicherheit ihrer Programme folglich ausschließlich selbst verantwortlich. Allerdings entwickeln sich die Systeme, die Sicherheits- und Webstandards sowie das gesamte Internet ständig weiter, sodass Websites und ihre Content-Management-Systeme regelmäßig angepasst werden müssen. Dies geschieht aber leider nicht immer, sodass es aufgrund fehlender Weiterentwicklung der Plugins und Themes regelmäßig zu Sicherheitslücken bei WordPress kommt. Die Ausnutzung dieser Schwachstellen durch Hacker und andere böswillige Dritte gehört zu den größten Gefahren für die Sicherheit von WordPress-Seiten. Laut t3n soll es allein im Jahr 2020 zu 4,3 Milliarden Versuchen der Ausnutzung von Sicherheitslücken gekommen sein. Mehr Infos unter t3n.de.
Anfang 2020 war dies der Fall beim WordPress-Plugin „Rank Math“. Laut Herstellerwebsite handelt es sich bei Rank Math um „ein Plugin zur Suchmaschinenoptimierung für WordPress, mit dem jeder seinen Inhalt mit integrierten Vorschlägen auf Grundlage allgemein anerkannter Best Practices optimieren kann.“ Aufgrund von zwei kritischen Sicherheitslücken konnten nicht autorisierte Benutzer bei über 200.000 Websites unter anderem Benutzerrechte gewähren oder widerrufen. Das Sicherheitsproblem ist mittlerweile wieder behoben worden. Hierfür muss jedoch ein Update des Plugins durchgeführt werden. Mehr Infos unter t3n.de.
Darauf folgte im September 2020 erneut eine schwerwiegende Sicherheitslücke in einem WordPress-Plugin. Diesmal handelte es sich um das Plugin „WP File Manager“, mit welchem man Dateien und Ordner direkt vom WordPress-Backend bearbeiten, löschen, up- und downloaden, kopieren und einfügen kann. Die Sicherheitslücke erlaubte Hackern unerlaubte Uploads und Änderungen von Dateien - bis hin zur vollständigen Übernahme der Website. Das Plugin wird von über 700.000 Websites verwendet. Mittlerweile wurde das Problem zwar per Update behoben, zuvor jedoch massiv ausgenutzt. Mehr Infos unter t3n.de.
Im Oktober 2020 folgte die nächste Sicherheitslücke bei WordPress. Mit rund 4,3 Millionen betroffenen Websites war die Sicherheitslücke im WordPress-Plugin „WPBakery“ eine der schwersten Sicherheitsprobleme im Bereich der WordPress-Plugins seit langem. Der WPBakery Builder gehört zu den beliebtesten Page Buildern für WordPress überhaupt. Das Plugin enthält zahlreiche Vorlagen und ermöglicht es sowohl Frontend als auch Backend in einfacher Form zu bearbeiten. Mithilfe der Sicherheitslücke war es möglich, schädlichen Programmcode in die Website einzufügen und sich unter anderem sogar Administratorenrechte zu sichern. Auch dieses Sicherheitsleck ist mittlerweile in der aktuellsten Version des Plugins behoben. Mehr Infos unter t3n.de.
Was kann man gegen die Sicherheitslücken bei WordPress unternehmen?
Hier bleiben WordPress-Nutzern nicht viele Möglichkeiten. Ein kompletter Verzicht auf Plugins und Themes erscheint sinnlos - gerade dafür wird WordPress genutzt. Wichtig ist vielmehr, ausschließlich Plugins und Themes von seriösen Anbietern zu installieren. Wie oben erklärt, sind jedoch auch große und seriöse Drittanbieter kein Garant dafür, dass keine Sicherheitslücken entstehen. Als Maßnahme, die man als Endnutzer gegen solche Schwachstellen unternehmen kann, bleibt also nur das regelmäßige Updaten der Plugins, Themes und des gesamten Systems. Oder aber ein kompletter Verzicht auf WordPress als CMS!
Warum sollte man nicht auf jeder Website WordPress als CMS einsetzen?
Obwohl WordPress eine der am häufigsten verwendeten Content-Management-Systeme (CMS) ist und viele Vorteile bietet, gibt es einige Gründe, warum man nicht immer pauschal auf WordPress setzen sollte:
- Sicherheitsbedenken: Wie bereits beschrieben ist WordPress anfällig für Sicherheitsbedrohungen, insbesondere wenn nicht regelmäßig Updates durchgeführt werden oder wenn unsichere Plugins oder Themes verwendet werden.
- Komplexität: WordPress ist ein umfangreiches CMS, das viele Funktionen bietet. Das kann es aber auch schwierig machen, es zu bedienen, insbesondere für Anfänger. Es kann auch eine Herausforderung sein, individuelle Anpassungen vorzunehmen, da man möglicherweise tief in den Programmcode der Website eingreifen muss.
- Performance: WordPress kann aufgrund seiner Größe und Komplexität sehr langsam werden, insbesondere wenn viele Plugins und Themes verwendet werden. Die Geschwindigkeit einer Website ist zudem auch ein richtiger Ranking-Faktor für Google.
- Einschränkungen bei der Skalierbarkeit: Obwohl WordPress in der Regel für kleine bis mittelgroße Websites geeignet ist, kann es aufgrund seiner Einschränkungen bei der Skalierbarkeit Schwierigkeiten bereiten, wenn man eine große, hochverfügbare Website oder Anwendung betreiben möchte.
- Abhängigkeit von Drittanbietern: WordPress basiert auf Plugins und Themes von Drittanbietern. Das bedeutet, dass man auf diese Anbieter angewiesen ist, um Funktionalität hinzuzufügen oder das Design der Website zu ändern. Dies kann zu Problemen führen, wenn es um die Kompatibilität oder Unterstützung geht.
Es gibt also viele Gründe, warum man nicht immer auf WordPress setzen sollte. Es ist wichtig, sorgfältig zu prüfen, ob WordPress das richtige CMS für Ihre Bedürfnisse ist, bevor man sich dafür entscheidet. Leider zeigt die Realität aber, dass Webdesigner oftmals selbst für sehr kleine Websites pauschal immer WordPress einsetzen. Für große Web-Projekte kann WordPress allerdings auch die ideale Wahl ein, Es kommt ganz auf die individuellen Anforderungen an.
Wir von LUTHEKA arbeiten aufgrund der vielen Schwachstellen nicht mit WordPress als Content-Mangament-System, sondern setzen auf unser hauseigenes Redaktionssystem, welches aufgrund der Art der Programmierung keine Angriffsfläche für Hacker bietet, also keinerlei Sicherheitslücken aufweisen kann und auch von der Bedienbarkeit um ein Vielfaches leichter zu handhaben ist, als Sie es bisher von WordPress gewohnt sind. Sprechen Sie uns gerne an!
