Ist Ihre WordPress-Website sicher? Sind WordPress-Websites anfällig?

Vor zwei oder drei Jahrzehnten beschränkten sich Raubüberfälle darauf, einzubrechen und einzudringen, um Bargeld oder Wertsachen von jemandem zu stehlen. Die wären die Unruhestifter und Räuber von heute, nehmen die Gestalt von Hackern an. Jeder, der zum persönlichen Vorteil oder aus politischen Gründen Sicherheitslücken in Software findet und ausnutzt.

Bevor ich beginne, sollten Sie wissen, dass dieser Artikel nicht auf das Wesentliche der WP-Sicherheit eingeht, sondern die Ursachen für WordPress-Schwachstellen erörtert. Wenn das nicht das ist, wonach Sie suchen, würde ich vorschlagen, dass Sie – „WordPress-Sicherheit verbessern – Eine vollständige Anleitung zum Sichern von WordPress-Sites“ lesen. Ich muss jedoch sagen, dass das Verständnis der Natur von WP-Schwachstellen in der Vergangenheit einen guten Einblick bietet, wie Sie die Sicherheitsprotokolle Ihrer Website sicherstellen können.

Warum brechen Menschen in Websites und Rechenzentren ein? Es ist profitabler, in Websites einzubrechen, die Kundeninformationen, E-Mail-IDs, Kreditkartennummern usw. enthalten, als eine Bank auszurauben. Wenn Sie eine einigermaßen erfolgreiche Website betreiben, wurden sicherlich bereits Hunderte, wenn nicht Tausende Versuche unternommen, Zugang zu den Informationen Ihrer Website zu erhalten.

Zuletzt wurde AshleyMadison.com gehackt und die Daten von 37 Millionen Nutzern gestohlen. Die Hacker haben verlangt, dass die Website geschlossen wird, andernfalls werden sie die Details der gestohlenen Benutzerinformationen einschließlich sexueller Fantasien veröffentlichen. Dies gibt Ihnen einen Vorgeschmack auf die Art der Zerstörung, die ein Hacker anrichten kann, indem er sich lediglich Zugang zu Informationen verschafft.

Websicherheit ist ein sehr wichtiges Thema und wird angesichts der Anzahl von Websites, die auftauchen, um personenbezogene Daten ihrer Benutzer zu sammeln, immer relevanter.

Bis zu 65% des Webs laufen mit WordPress als Content-Management-System, daher werde ich heute über die WordPress-Sicherheit sprechen und darüber, wie WP-Sites in der Vergangenheit angegriffen oder gehackt wurden.

Warum in gute Sicherheitspraktiken investieren?

• Sie schulden es Ihren Kunden und Kunden, die Ihnen sensible persönliche Informationen anvertrauen, um diese zu schützen.
• Ihre Website wird gehackt – Sie verlieren Geld.
• Ihre Website wird gehackt – Ihre Suchmaschinen-Rankings nehmen eine fast einseitige Reise in die Hölle.

WordPress-Websites werden zu Tausenden, wenn nicht zu Hunderttausenden, gehackt. Nicht jede Website meldet, dass sie in der Vergangenheit gehackt wurde. Es ist keine großartige Unterstützung für ihre Marke, wie Sie vielleicht vermuten.

Ich möchte die Notwendigkeit dieses Artikels zur WordPress-Sicherheit etwas beleuchten.

Laut einer Studie von Sandro Gucci (Gründer von Enable Security).

• 73,2% der beliebtesten WordPress-Installationen sind anfällig für Schwachstellen, die mit kostenlosen automatisierten Tools erkannt werden können.
• Nur 7.814 Websites (18,55 %) wurden auf WordPress 3.6.1 aktualisiert, dies war die neueste Version von WP, als der Test durchgeführt wurde.
• 13.034 Websites (30,95 %) liefen immer noch mit einer anfälligen Version von WordPress, Version 3.6. WordPress 3.6 hatte zu diesem Zeitpunkt 5 bekannte Schwachstellen.

Und wenn Sie sich fragen würden, nun, das ist nur eine unfaire verallgemeinerte Charakterisierung kleiner unbekannter Websites irgendwo im Darknet, Sie würden sich irren. Die Statistiken wurden basierend auf einer Studie von etwa 42.000 WordPress-Websites auf Alexas Top-One-Millionen-Websites erstellt. Das ist eine riesige Anzahl von anfälligen Websites für die angeblich am häufigsten besuchten Websites im Web. Diese Websites sammeln eine große Menge an Informationen über ihre Besucher und Abonnenten.

Die Statistiken waren wahr wie im September 2013, ich glaube nicht, dass sie seitdem stark abgewichen wären, und selbst wenn, zeigen die hier gezeigten Statistiken das Ausmaß der Sicherheitsprobleme an, die WordPress plagen.

Wenn Sie weitere Beweise wünschen, die beweisen, dass WordPress kompromittiert werden kann. Ich verweise Sie auf eine Studie von Netcraft,

• Im Februar 2014 gab es 12.000 WordPress-Blogs, die als Plattformen für Phishing-Sites dienten.
• Mehr als 8 % aller Malware-URLs, die von Netcraft für die Verbreitung von im Web gehosteter Malware blockiert wurden, waren WordPress-Blogs.

Ich sollte darauf hinweisen, dass nicht einer dieser Blogs auf Automattic wordpress.com betrieben wurde. Dies sollte ganz klar veranschaulichen, dass auch WordPress, wenn es nicht mit Vorsicht verwendet wird und einige Kenntnisse der WP-Sicherheit haben, angreifbar sein kann. Ein weiterer Grund dafür könnte damit zusammenhängen, dass alle auf wordpress.com gehosteten Blogs fast sofort nach der Veröffentlichung der WordPress-Updates aktualisiert werden. Anzumerken ist, dass seitdem in WP Version 3.7 automatische WordPress-Updates eingeführt wurden, um Websites vor Zero-Day-Exploits zu schützen.

Und selbst danach gab es eine Vielzahl von Sicherheitsproblemen, die WordPress geplagt haben. Sehen Sie sich diese Liste der WordPress-Schwachstellen in verschiedenen Versionen der Plattform an.

Jetzt können Sie nichts mehr tun, um dies zu verhindern, neue Schwachstellen werden fast immer entdeckt. Offensichtlich hat das WP-Kernteam die Sicherheit sehr ernst genommen und WordPress viel sicherer gemacht.

Aber wie bei jeder anderen populären Software wird das Ausnutzen von Schwachstellen profitabler, wenn mehr Leute anfangen, sie zu benutzen.

Vertraue mir nicht? Wenn Sie glauben, dass WordPress auf einmal von allen Schwachstellen befreit wird, sehen Sie sich diese Grafik an!

Während die Anzahl der Schwachstellen im Laufe der Zeit von ihren Höchstständen in den Jahren 2007 und 2014 zurückgegangen ist, steigt der Anreiz, neue Schwachstellen zu entdecken und auszunutzen, angesichts der zunehmenden Rentabilität aufgrund der zunehmenden Popularität von WordPress ständig zu.

WordPress mag out of the box sicher sein, aber nachdem so viele Plugins/Themes und benutzerdefinierter Code hinzugefügt wurden, beginnt die Anzahl der Schwachstellen mit großer Eile zu wachsen.

Davon abgesehen können wir kleine Änderungen an Ihrem WordPress vornehmen, um es viel sicherer zu machen. Zuerst müssen wir ein gründliches Verständnis der WordPress-Sicherheit haben, dies ist sehr hilfreich, um die Ursachen für Sicherheitsversagen herauszufinden.

Sie werden überrascht sein, dass es sehr selten vorkommt, dass die WP-Kernplattform bei Sicherheitsverletzungen schuld ist. Es ist viel wahrscheinlicher, dass etwas, das Sie zu Ihrem WP hinzugefügt haben, eine Schwachstelle schafft, die Hacker ausnutzen könnten.

Wie werden WordPress-Sites kompromittiert?

Die Schwierigkeit bei der Gewährleistung einer vollständigen Sicherheit besteht darin, dass es so etwas nicht gibt.

Vorausgesetzt, Ihr WordPress ist vollständig sicher, haben Sie immer noch Ihren Apache, FTP-Client, MySQL und jede Software, die auf Ihrem Server läuft, um die Sie sich kümmern müssen. Ihre Website ist nur so sicher wie ihr schwächstes Glied. Dazu gehören die Qualität der Software Ihres Hosts, die Themen und Plugins, mit denen Ihre Websites arbeiten.

Ich wünschte, ich hätte neuere Statistiken, auf die ich Sie auch hinweisen kann, aber diese Studie, die als Infografik im Blog von WpWhiteSecurity präsentiert wird, bietet viele Einblicke in die Art und Weise, wie WordPress-Websites gehackt werden und was sie anfällig macht.

Die Studie wurde basierend auf Informationen von 170.000 Websites durchgeführt, die im Jahr 2012 gehackt wurden. Ein Anstieg der Hacks um 18% gegenüber dem Vorjahr (2012), das Lustige ist, dass die Anzahl der Schwachstellen nicht um den gleichen Prozentsatz gestiegen ist. Aber selbst ein kleiner Anstieg der Sicherheitslücken betrifft weit mehr Websites, aufgrund der zunehmenden Verwendung von WordPress und WordPress-basierten Produkten.

• 41% der gehackten WordPress wurden durch eine Sicherheitslücke auf ihrer Hosting-Plattform gehackt.
• 29% wurden aufgrund eines Sicherheitsproblems im verwendeten WordPress-Theme gehackt.
• 22% wurden über ein Sicherheitsproblem in den von ihnen verwendeten WordPress-Plugins gehackt.
• 8 % wurden gehackt, weil sie ein schwaches Passwort hatten.
• Aus den obigen Ausführungen können wir schließen, dass mehr als 51% der gehackten WordPress-Sites über eine Schwachstelle in den von ihnen verwendeten WordPress-Themes oder Plugins gehackt wurden.

Die überwältigende Mehrheit der Hacks entstand durch die Installation von Software in Form von Plugins, Themes und weil Webhosting-Dienstleister es versäumt haben, die Sicherheit auf der Serverseite angemessen zu erhöhen.

Es macht keinen Sinn, Maßnahmen zum Schutz Ihrer Website zu diskutieren, bevor Sie sich mit den guten Optionen in Bezug auf die Sicherheit in Bezug auf Hosting, Themes und Plugins befassen. Und ich werde auf jeden Fall besprechen, wie Sie gute Drittanbieter-Software und sicheres Hosting für Ihre Website finden, bevor ich spezifische Sicherheitsmaßnahmen zur Stärkung der WP-Sicherheit empfehle.

Abschluss

WordPress-Websites sind aufgrund von Fehlern im Kerncode des Content-Management-Systems selten angreifbar. Aber eine Website funktioniert nicht nur auf Basis des Content-Management-Systems, sondern benötigt einen Webhost, um das CMS im Web zu hosten, Themes, um es schick zu machen, und Plugins, um die erforderlichen Funktionen hinzuzufügen. Wenn Sie Ihrer WordPress-Installation jetzt mehrere Ebenen von Drittanbieter-Software hinzufügen, wird Ihre Sicherheit etwas durchlässiger, wenn es nicht richtig gemacht wird.

Ihr WordPress-Kern, die Plugins und Themes sowie der Webhost müssen kommunizieren, damit Ihre WordPress-Site am Laufen bleibt. Diese Interaktion weist manchmal Fehler auf und macht Websites anfällig.

Sicherlich können 8% der Websites durch schwache Passwörter kompromittiert werden, aber es gibt eine überwältigende Menge an Beweisen dafür, dass das Hinzufügen von schlecht geschriebenen Plugins/Themes oder eines Webhosts, der auf veralteter Software läuft, die Hauptursache für einen großen Prozentsatz aller WordPress-Websites ist gehackt oder heruntergefahren.

Nachdem wir nun Klarheit über die Ursachen von WordPress-Schwachstellen geschaffen haben, werde ich im nächsten Beitrag der WP-Sicherheitsserie die Schritte besprechen, die Sie unternehmen müssen, um Ihre WordPress-Sicherheit zu verbessern.

Wenn Ihre WordPress-Site jemals durch einen Hack kompromittiert wurde oder Opfer eines DDOS-Angriffs wurde, teilen Sie uns bitte die Details mit. Entweder Aigars oder ich werden versuchen, das Problem zu beheben, wenn es in unserer Macht steht. Danke schön