Top 10 Sicherheitslücken für WordPress

WordPress gehackt? Dann lässt sich das Hacking ziemlich wahrscheinlich auf eins der nachfolgenden 10 Sicherheitsrisiken zurückführen.

Die Reihenfolge ergibt sich aus der Häufigkeit, die das kompetente CMS ADMINS Team als mögliche Ursachen für mit Spamlinks verseuchte oder anderweitig kompromittierte WordPress-Websites identifizieren konnte.

WordPress Security: die Top 10 Liste

Individuelle, auf eine einzelne Website ausgerichtete Hackingversuche sind relativ selten. Viel häufiger werden automatisierte Attacken auf viele Millionen WordPress-Seiten gleichzeitig gestartet. Weißt eine Website eine relevante Sicherheitslücke auf, wird sie ausgenutzt.

1. Schwache Passwörter
   Jedes Jahr führen schwache Passwörter wie 1234admin oder password die Liste der unsicheren Passwörter an. Leicht zu knackende Passwörter sind das größte Sicherheitsrisiko für WordPress-Websites.
   Besser: Sichere Passwörter erstellen und 2-Faktor-Authentifizierung nutzen!
2. Veralteter WordPress-Core, nicht geupdatete Plugins, Themes
   Ältere WordPress-Versionen enthalten Sicherheitslücken, die mit aktuellen Versionen und Sicherheitspatches längst geschlossen wurden. Gleiches gilt für Plugins und Themes, die längere Zeit nicht aktualisiert wurden.
   Besser: Regelmäßige WordPress-Wartung mit Updates einplanen.
3. Unsichere Hosting-Umgebung
   Server ohne ausreichende Firewalls und mit mangelhafter Absicherung gegen Hacking-Attacken aller Art sind mit ein Grund dafür, dass Websites nicht ausreichend geschützt sind.
   Besser: Bei der Auswahl des Hostings auf qualifizierte und etablierte Angebote achten, die ausdrücklich für eine sichere Hostingumgebung sorgen.
4. SQL-Injection
   Die SQL-Datenbank der WordPress-Installation ist nicht ausreichend abgesichert. So lassen sich per Datenbankabfrage manipulative SQL-Befehle einschleusen. Sensible Daten werden extrahiert oder manipuliert.
   Besser: SQL-Abfragen für Außenstehende unterbinden und genau prüfen, wer unter den Berechtigten Zugriff auf die SQL-Datenbankabfrage haben sollte, um Punkt Nummer 9 vorausschauend zu vermeiden.
5. Cross-Site-Scripting (XSS)
   Über nicht ausreichend abgesicherte Formulare und die Kommentarfunktion wird Code eingeschleust, der die Website angreift. Am Ende werden schadhafte Downloads auf der ehemals sicheren Website angeboten oder die Formulare greifen sensible Daten ab, um sie direkt an aggressive Datensammler weiterzureichen.
   Besser: Upload von Dateien oder Code in Formularen einschränken und Kommentare ausschließlich per individueller Freigabe zulassen.
6. Brute-Force-Angriffe
   Automatisierte Hackingattacken, die gängige Admin- und Passwortkombinationen auf gut Glück zum Login testen. Ist der Angriff geglückt, wird die WordPress-Site übernommen und die ursprünglichen Login-Informationen ungeschrieben.
   Besser: Sichere Zugänge mit komplexen Passwörtern und individuellen Admin-Logins anlegen.
7. File-Inclusion Exploits
   Nicht ausreichend abgesicherte Schwachstellen, vor allem in älteren Plugins und Themes, bieten Hackingangriffen die Option, schadhafte Dateien einzuschleusen.
   Besser: Dateirechte anpassen und dafür sorgen, dass sich keine Sicherheitslücken durch veraltete Komponenten öffnen.
8. Cross-Site-Request Forgery (CSRF)
   Hier klicken, dort Zugriffsrechte gewähren: Eingeloggte User führen manchmal Aktionen aus, die massive Auswirkungen auf den Sicherheitsstatus der Website haben, ohne sich dessen bewusst zu sein.
   Besser: User genau schulen und Zugriffsrechte auf den jeweiligen Bedarf und Kenntnisstand einschränken.
9. Unsichere Admin-Aktionen
   Nicht immer wissen Admins, was sie tun. Surfen über ungesicherte Verbindungen oder in öffentlichen Netzwerken ohne ausreichenden Schutz vor Hackingattacken erhöhen das Sicherheitsrisiko für WordPress-Sites.
   Besser: (Neue) Admins ausreichend schulen und Benutzerrechte anpassen, sodass beispielsweise redaktionelle Tätigkeiten nicht mit Admin-Berechtigungen ausgeführt werden können.
10. Verzeichnis-Traversierung und ungeschützte Access-Verzeichnisse
    Nicht ausreichend geschützten Daten und Dateiverzeichnisse auf dem Server machen es Hackingangriffen leicht, sensible Daten auszulesen.
    Besser: Serverkonfiguration anpassen, um Zugriffe von außerhalb einzuschränken.

Unser Fazit zu Sicherheitsrisiken in WordPress

Erstaunlich viele Sicherheitslücken lassen sich bereits durch eine regelmäßige WordPress-Wartung und ein sicheres Hosting schließen.

Wenn Sie außerdem noch Ihre Beschäftigten für den sicheren Umgang mit und auf Websites schulen, wenn alle starke Passwörter nutzen und die Benutzerrollen anhand der benötigten Funktionen sinnvoll vergeben werden, lassen sich die meisten Risiken auf ein Minimum reduzieren.

Eine gehackte Website ist für Unternehmen mit deutlich mehr Aufwand und Kosten verbunden als die kleinen und größeren Schritte zur Vermeidung des Hackings. Glauben Sie uns, wir sprechen da aus jahrelanger Erfahrung.