Die 4 häufigsten Angriffe auf WordPress

Mehr als ein Viertel aller Webseiten im WWW basieren auf WordPress. Das spricht zum einen sehr für das beliebte Framework, andererseits wird es dadurch auch zu einem sehr beliebten Angriffsziel für Hacker.

Alleine auf YouTube gibt es zahlreiche Anleitungs-Videos darüber, wie man Schwachstellen einer WordPress-Seite ausnutzt und diese erfolgreich angreifen kann. Wurde eine Schwachstelle einmal gefunden, so macht es in Hacker-Kreisen schnell die Runde.

Davon ist aber übrigens nicht nur WordPress betroffen, sondern auch andere CMS (Content Management Systeme), WordPress ist einfach nur der Platzhirsch. Es kümmern sich genügend Entwickler darum, dass WordPress sicher ist. Doch auch denen sind an bestimmten Stellen die Hände gebunden. Hier müssen sich die Webseiten-Betreiber dann selbst um die Sicherheit ihrer Seite kümmern.

Folgende Punkte sollen aufzeigen, wo es Schwachstellen geben kann und wie du dich vor Angriffen schützen kannst.

1.    Software Schwachstellen in Plug-Ins

Die mit Abstand größte Angriffsfläche auf deine WordPress Seite bieten Plug-Ins. Kein Wunder, denn sie werden von tausenden verschiedenen Entwicklern geschrieben. Einem einheitlichen Sicherheitsstandard wird dabei nicht gefolgt.

Natürlich ist WordPress auch aufgrund seiner zahlreichen Plug-Ins so beliebt. Eigentlich basiert das ganze Ökosystem auf Plug-Ins. Daher solltest du jetzt aber nicht aus Angst vor Angriffen alle Plug-Ins löschen.

Du solltest aber darauf achten, so wenig Plug-Ins wie möglich zu verwenden. Unnötige Plug-Ins sollten gelöscht werden, um Angreifern weniger potentielle Angriffsfläche zu bieten. Falls du eines also nicht brauchst, solltest du es löschen.

Deine Plug-Ins solltest du auch immer zeitnah updaten. Mit jedem Update werden die bekannten Schwachstellen behoben. Dadurch wird auch deine Seite wieder ein Stück sicherer. Veraltete Plug-Ins laden Hacker nämlich geradeso dazu ein, deine Seite anzugreifen.

Es kommt öfters mal vor, dass ein Plug-In über eine längere Zeit nicht weiterentwickelt wurde und dadurch keine Updates mehr verfügbar sind. In solchen Situationen solltest du dich schnell nach passenden Alternativen umschauen. Beim Installieren von Plug-Ins solltest du auch immer darauf achten, wann es zuletzt aktualisiert wurde und ob es überhaupt noch weiterentwickelt wird.

2.    Brute Force Attacken

Brute Force bedeutet zu deutsch in etwa rohe Gewalt. Im Grunde werden hierbei tausende von Kombinationsmöglichkeiten für Passwörter ausgetestet in der Hoffnung, dass eines davon das Richtige ist.

Im Grunde wird hierbei mit Hilfe eines Skripts eine Liste beliebter Passwörter  durchgegangen. Die Listen der Hacker sind dabei viel größer und umfangreicher. Hier wird sich zu Nutze gemacht, dass die meisten User Passwörter benutzen, die aus realen Wörtern bestehen. Auch Passwörter wie „Pa55wort“ sind sehr schnell geknackt. Verwende daher lieber einen „Passphrase“. Das bedeutet, nimm immer den ersten Buchstaben eines leicht zu merkenden Satzes. Zum Beispiel: der Satz „Rosen sind rot Veilchen sind blau das Passwort ist sicher das weiß ich genau“, wird zu „RsrVsbdPisdwig“. Das wird kein Mensch und kein Skript erraten.

Alternativ könntest du dir auch ein Passwort generieren lassen.

Darüber hinaus Empfehle ich ein Plug-In für eine 2-Faktor-Authentifizierung und ein Plug-In, welches die IP-Adressen blockiert, wenn diese sich zu oft hintereinander versucht einzuloggen.

3.    Schwachstellen im Theme, oder im WordPress Core

Die beiden Punkte werden hier zusammengefasst, da die Lösung zu den Problemen für beide gleichermaßen lauten: Immer updaten!

WordPress Core – Also das Herzstück von WordPress – enthält zwar Schwachstellen, aber weitaus weniger als all die Plug-Ins. Die meisten Schwachstellen werden mit den neuen Updates gefixed.

Das gilt sowohl für das installierte Theme, als auch für die WordPress-Installation

4.    Schwachstellen beim Hosting-Anbieter

Auch Hosting-Anbieter machen Fehler. Denn auch diese verwenden wiederum Software von Drittanbietern, wodurch es Schwachstellen geben kann.

Grundsätzlich solltest du immer recherchieren, ob dein Hosting-Anbieter folgende Leistungen bietet:

  • Bietet er eine Firewall oder schützt dich vor DDoS-Attacken?
  • Bietet er SSL-Zertifikate? (bietet er ggf. auch Hilfe für kostenlose Anbieter wie letsencrypt)
  • Bietet er automatisierte Backups für deine Seite?

Zudem solltest du dich darüber schlau machen, ob es bei dem Anbieter jemals zu Angriffen kam, bei denen Kundendaten gestohlen wurden.

Fazit:

Es ist weder schwer noch sonderlich kompliziert seine WordPress-Seite sicher zu halten. Du solltest aber immer ein paar Stunden für die Sicherheit deiner Seite aufwenden, denn das wird dir später einiges an Kopfschmerzen sparen.

Für Sicherheit zu sorgen ist keine einmalige Sache, die wieder vernachlässigt werden kann, nachdem sich einmal darum gekümmert wurde. Es ist vielmehr ein Prozess, der sich ständig wiederholt und der gepflegt werden muss.

Es ist wie im normalen auch, dort riegelst du sicherlich auch deine Türe ab, bevor du das Haus verlässt. Um sicher zu sein.