Artikel von März 2021

Regel­mäßige Sicherheits­lücken bei WordPress: Ständige Gefahr für die Sicher­heit

Luis Fricke Datenschutz für Unternehmen Artikel: Regelmäßige Sicherheitslücken bei WordPress: Ständige Gefahr für die Sicherheit

Durch die große Auswahl an Plugins bei WordPress kommt es regelmäßig zu Sicherheitslücken. Das Ausnutzen von diesen Schwachstellen gehört zu den größten Gefahren für die Sicherheit von WordPress-Seiten.

Was ist WordPress?
WordPress ist ein freies Redaktionssystem (Content-Management-System, kurz: CMS) zum Bearbeiten von Websites und deren Inhalten. Als Open-Source-Software steht WordPress unter der GNU General Public License (oder GPL), die einem gewährt, die Software auszuführen, zu ändern und zu kopieren. Software, die diese Freiheitsrechte gewährt, wird „Freie Software“ genannt. Ursprünglich wurde WordPress 2003 für Online-Blogs entwickelt. Heutzutage zählt das System mit einem Anteil von ca. 40% an allen CM-Systemen zu dem am weitesten verbreiteten Redaktionssystem überhaupt und wird nicht mehr nur in Blogs verwendet. Oftmals wird WordPress heutzutage auch von kleineren Firmen und Startups für den ersten Webauftritt genutzt, da sich Internetseiten mit nur wenigen Klicks erstellen lassen und der Funktionsumfang durch eine große Auswahl an Plugins stark erweiterbar ist.

Sicherheitslücken bei WordPress
Gerade durch diese große Auswahl an Plugins kommt es jedoch regelmäßig zu Sicherheitslücken. Das Ausnutzen von diesen Schwachstellen gehört zu den größten Gefahren für die Sicherheit von WordPress-Seiten. Laut t3n soll es allein im Jahr 2020 zu 4,3 Milliarden Versuchen der Ausnutzung von Sicherheitslücken gekommen sein. Mehr Infos unter t3n.de.

Anfang 2020 war dies der Fall beim WordPress-Plugin „Rank Math“. Laut Herstellerwebsite handelt es sich bei Rank Math um „ein Plugin zur Suchmaschinenoptimierung für WordPress, mit dem jeder seinen Inhalt mit integrierten Vorschlägen auf Grundlage allgemein anerkannter Best Practices optimieren kann.“ Aufgrund von zwei kritischen Sicherheitslücken konnten nicht autorisierte Benutzer bei über 200.000 Websites unter anderem Benutzerrechte gewähren oder widerrufen. Das Sicherheitsproblem ist mittlerweile wieder behoben worden. Hierfür muss jedoch ein Update des Plugins durchgeführt werden. Mehr Infos unter t3n.de.

Darauf folgte im September 2020 erneut eine schwerwiegende Sicherheitslücke in einem WordPress-Plugin. Diesmal handelte es sich um das Plugin „WP File Manager“, mit welchem man Dateien und Ordner direkt vom WordPress-Backend bearbeiten, löschen, up- und downloaden, kopieren und einfügen kann. Die Sicherheitslücke erlaubte Hackern unerlaubte Uploads und Änderungen von Dateien - bis hin zur vollständigen Übernahme der Website. Das Plugin wird von über 700.000 Websites verwendet. Mittlerweile wurde das Problem zwar per Update behoben, zuvor jedoch massiv ausgenutzt. Mehr Infos unter t3n.de.

Im Oktober 2020 folgte die nächste Sicherheitslücke bei WordPress. Mit rund 4,3 Millionen betroffenen Websites war die Sicherheitslücke im WordPress-Plugin „WPBakery“ eine der schwersten Sicherheitsprobleme im Bereich der WordPress-Plugins seit langem. Der WPBakery Builder gehört zu den beliebtesten Page Buildern für WordPress überhaupt. Das Plugin enthält zahlreiche Vorlagen und ermöglicht es sowohl Frontend als auch Backend in einfacher Form zu bearbeiten. Mithilfe der Sicherheitslücke war es möglich, schädlichen Programmcode in die Website einzufügen und sich unter anderem sogar Administratorenrechte zu sichern. Auch dieses Sicherheitsleck ist mittlerweile in der aktuellsten Version des Plugins behoben. Mehr Infos unter t3n.de.

Was kann man gegen die Sicherheitslücken bei WordPress unternehmen?
Wie bereits erwähnt, gehören Schwachstellen in Plugins zu den größten Gefahren für die Sicherheit von WordPress-Seiten. Die einzige Maßnahme, die man als Endnutzer gegen solche Schwachstellen unternehmen kann, sind regelmäßige Updates der Plugins, Themes und des gesamten Systems.

Wir von LUTHEKA arbeiten aufgrund der vielen Schwachstellen nicht mit WordPress als Content-Mangament-System, sondern setzen auf unser hauseigenes Redaktionssystem, welches von der Bedienbarkeit um ein Vielfaches leichter zu handhaben ist, als Sie es bisher von WordPress gewohnt sind. Sprechen Sie uns gerne an!

Werbeagentur LUTHEKA - Webdesign, Online-Marketing und Datenschutz
Kontaktieren Sie uns

Werbeagentur LUTHEKA
Holzstraße 32
55116 Mainz

0202 - 251 299 80

E-Mail schreiben

Facebook

Instagram

Erreichbarkeit

Mo - Fr
10 Uhr bis 18 Uhr

Sa + So + Feiertags
geschlossen

Termine
nach Vereinbarung

Werbeagentur LUTHEKA - Webdesign, Online-Marketing und Datenschutz | Alle Rechte vorbehalten