Die WordPress-Sicherheitsbedrohungslandschaft 2024: Wichtige Trends und Statistiken

WPScan hat kürzlich seine Überprüfung der Schwachstellen und Bedrohungen für WordPress-Sites im Jahr 2023 veröffentlicht. Mit diesen Informationen können Websitebesitzer und WordPress-Profis gleichermaßen etwas sicherer durch das Jahr 2024 navigieren.

Unter der Leitung engagierter Sicherheitsexperten verwaltet WPScan die führende Datenbank mit Bedrohungen für das WordPress-Ökosystem. WPScan wird von den besten Fachleuten der Branche verwendet und gilt als die umfassendste verfügbare Ressource. Bis heute haben WPScan und Mitwirkende mehr als 49.000 Schwachstellen identifiziert, überprüft und klassifiziert.

Die Datenbank wird von Unternehmensorganisationen wie der Mercedes-Benz Group, WP Engine, Accenture und Kinsta verwendet. Es unterstützt auch bekannte WordPress-Sicherheitstools wie Jetpack Scan, das über Jetpack Protect oder mit einem Jetpack Security-Plan verfügbar ist.

Warum gibt es diesen Bericht? Woher kommen die Daten?

Das Team von WPScan widmet sich der Identifizierung, Überprüfung und Indizierung von Bedrohungen für das WordPress-Ökosystem, damit WordPress-Sicherheitstools (wie Jetpack Security) effektiv vor ihnen schützen und die Community schützen können.

Das Erkennen und Verstehen von Bedrohungen sind die ersten Schritte zum Schutz der Cybersicherheit.

Die Daten in diesem Bericht wurden aus Schwachstellen zusammengestellt, die von WPScan offengelegt und von ihren Sicherheitsforschern überprüft wurden, sowie aus einer Stichprobe von mehr als 350.000 Websites und Automattic-Diensten, die Jetpack Scan oder Jetpack Protect verwenden.

Was haben wir gelernt?

Sie haben keine Zeit, den vollständigen Bericht zu lesen? Mach dir keine Sorge. Wir haben für Sie eine Zusammenfassung der wichtigsten Punkte zusammengestellt.

XSS erhält viel Aufmerksamkeit, aber SQL-Injections sind eine häufigere Bedrohung

Cross-Site-Scripting erhält viel Aufmerksamkeit. Es wird häufig von Bug-Bounty-Jägern und Sicherheitsforschern gemeldet (53 % aller offengelegten Schwachstellen).

Aber die häufigste Art von Bedrohung – wie die tatsächlichen blockierten Versuche der Jetpack-Firewall zeigen – sind tatsächlich SQL-Injections. Die Bedrohung durch eine SQL-Injection ist in der Regel besonders schwerwiegend, da zum Ausnutzen dieser Art von Sicherheitslücke kaum oder gar keine Authentifizierung erforderlich ist.

Zwei Bedrohungen treten am häufigsten auf, wenn es um die WordPress-Sicherheit geht

Der Bericht bestätigte, was wir bereits wissen: Schwache Benutzeranmeldeinformationen und ungültige Plugins sind das Einfallstor für die meisten Angriffe.

Das bedeutet, dass Site-Administratoren die meisten Sicherheitsprobleme verhindern können, indem sie die Software auf dem neuesten Stand halten und eine starke Authentifizierung verlangen.

Mehr als 20 % der Schwachstellen erforderten keine Authentifizierung

Das WPScan-Team überprüft Schwachstellen, um den Grad der Authentifizierung zu bestimmen, der zum Ausnutzen des betroffenen Codes erforderlich ist. Während etwa ein Drittel aller Schwachstellen den Zugriff auf ein Administratorkonto erfordern würden (was das Risiko einer Ausnutzung verringert), würden 22 % der offengelegten Schwachstellen überhaupt keine Authentifizierung oder nur ein Konto auf Abonnentenebene erfordern.

Malware-Angriffe sind nach wie vor weit verbreitet

Jetpack Scan (der die WPScan-Datenbank nutzt) identifizierte unglaubliche 70.000 Websites mit mindestens einer schädlichen Datei. Die meisten Ursachen lassen sich entweder (Sie haben es erraten!) auf durchgesickerte/schwache Zugangsdaten oder gelöschte Software zurückführen.

Bei 75 % (600.000 Schaddateien) handelte es sich um generische Malware.

Vorhandene Tools funktionieren

Die Jetpack-Firewall blockierte mehr als sieben Millionen Anfragen mit einer Sicherheitslücke mit hohem Schweregrad und verhinderte so unzählige XSS-Angriffe auf gefährdete Websites.

Im Bericht heißt es:

Obwohl die Jetpack-Firewall eine neue Ergänzung der Jetpack-Sicherheitssuite ist , hat sie sich bewährt, indem sie potenzielle Angriffe frühzeitig im Zyklus blockiert und so verhindert, dass Angreifer auf geschützten Websites Fuß fassen.

Die Jetpack-Firewall blockierte außerdem jeweils mehr als eine halbe Million SQL-Injection- und Path-Traversal-Angriffe.

Was sollten Cybersicherheits- und WordPress-Experten als nächstes tun?

Sie können Angriffe nicht verhindern, wenn Sie nicht wissen, worauf Sie achten müssen. WPScan bietet die robusteste und aktuellste Bibliothek verifizierter Bedrohungen. Entwickler und Cybersicherheitsexperten können es über eine API in ihre internen Programme integrieren, um ihre Abwehrkräfte zu stärken.

Web-Sicherheitsteams können den CLI-Scanner von WPScan auch im Rahmen von Penetrationstests verwenden. Es bietet einen Blick von außen auf die Informationen, die Hacker möglicherweise ohne Authentifizierung über Ihre Website einsehen können.

Entwickler und Unternehmensorganisationen sollten sich umgehend an WPScan wenden, um herauszufinden, ob es das beste Tool für ihren Betrieb ist.

Was sollten WordPress-Site-Besitzer als nächstes tun?

Die Bewertung des WordPress-Sicherheitsökosystems durch WPScan zeigt, dass weiterhin Bedrohungen bestehen. Die gute Nachricht ist, dass die häufigsten Probleme ziemlich leicht verhindert werden können. Besitzer von WordPress-Sites können die WPScan-Datenbank über Jetpack Protect nutzen und erhalten mit Jetpack Security Zugriff auf eine vollständige Suite von Präventions- und Wiederherstellungstools.

Erzwingen Sie eine starke Authentifizierung

Schwache Passwörter sind nicht nur die häufigste Schwachstelle in der Cybersicherheit, sondern auch eine der am einfachsten zu behebenden. Sie können von Benutzern sichere Passwörter verlangen und Ihr Team über Best Practices für Passwörter informieren, z. B. die Verwendung einer Mischung aus Zahlen, Buchstaben und Sonderzeichen, die Verwendung eindeutiger Anmeldeinformationen für jede Site und die regelmäßige Aktualisierung von Passwörtern.

Möglicherweise möchten Sie auch eine Zwei-Faktor-Authentifizierung fordern, insbesondere für Konten auf Administratorebene.

Weisen Sie die richtigen Benutzerrollen zu und befolgen Sie das Prinzip der geringsten Rechte

WordPress-Benutzerrollen sind leistungsstark, da Sie damit Zugriff auf bestimmte Funktionen basierend auf dem Verantwortungsbereich einer Person gewähren können. Durch die Begrenzung der Anzahl der zugewiesenen Rollen auf hoher Ebene wird die Anzahl der Zugriffspunkte reduziert und eine bessere Aufklärung und Verantwortlichkeit in Bezug auf Passwörter und sichere Authentifizierung ermöglicht.

Beim sogenannten Prinzip der geringsten Rechte sollten Benutzer nur Zugriff auf die niedrigste Rolle haben, die für ihre erforderlichen Jobfunktionen erforderlich ist.

Halten Sie Kern, Themes und Plugins auf dem neuesten Stand

Neben schwachen Passwörtern ist veraltete Software die häufigste Ursache erfolgreicher Angriffe. Ihre Website sollte die aktuellste Version des WordPress-Kerns, Ihres Themes und aller installierten Plugins verwenden.

Sobald Schwachstellen entdeckt werden, veröffentlichen seriöse Plugin-Entwickler Updates, um diese zu beheben. Wenn Sie diese Aktualisierungen ignorieren, bleibt Ihre Website ungeschützt.

Installieren Sie ein WordPress-Sicherheits-Plugin

Für den umfassendsten Schutz müssen Websitebesitzer über sichere Passwörter, aktualisierte Software und die richtige Benutzerrollenzuweisung hinausgehen. Erfahrene WordPress-Experten wissen, dass das richtige WordPress-Sicherheits-Plugin dazu beiträgt, Eindringlinge zu verhindern und Wiederherstellungsoptionen für den Fall bereitzustellen, dass es zu Durchgriffen kommt.

Wenn Sie umfassenden Schutz mit minimalen Komplikationen wünschen, ist Jetpack Security die Lösung, die Sie brauchen. Hier ist nur ein Auszug dessen, was enthalten ist:

• Ausfallüberwachung . Erkennen Sie sofort, dass ein Problem mit Ihrer Website vorliegt, sodass Sie sofort Maßnahmen ergreifen können.

• Eine Website-Firewall . Im Bericht von WPScan wurden wiederholt Angriffe erwähnt, die durch die Firewall von Jetpack vereitelt wurden. Erhalten Sie Zugriff darauf mit Jetpack Security.

• Malware-Scans in Echtzeit und Korrekturen mit nur einem Klick . Erhalten Sie Zugriff auf die vollständige Datenbank von WPScan und scannen Sie Ihre Website kontinuierlich auf Malware und Schwachstellen. Noch besser: Für die meisten Probleme erhalten Sie auch Ein-Klick-Lösungen.

Sie benötigen kein vollständiges Sicherheits-Plugin, möchten aber Zugriff auf die Datenbank von WPScan für Schwachstellen- und Malware-Scans? Diese Funktionen sind auch in einem eigenständigen Plugin verfügbar, Jetpack Protect .

• Echtzeit-Backups . Denken Sie daran, dass Sie auch eine Wiederherstellungsmethode für den Fall benötigen, dass ein Angreifer durchkommt. Jetpack VaultPress Backup speichert alles auf Ihrer Website und protokolliert alle Aktivitäten. Stellen Sie einen genauen Zeitpunkt wieder her und überprüfen Sie Ihr Protokoll, um Fehler zu beheben und zukünftige Probleme zu verhindern. Sie können von Ihrem Mobilgerät aus auf Backups zugreifen und diese wiederherstellen, selbst wenn Ihre Website vollständig ausgefallen ist.

• Spamschutz . Unerwünschte, irrelevante Kommentare und Formulareinreichungen sind mehr als lästig – sie sind gefährlich für Sie und Ihre Besucher. Jetpack Security wird mit Akismet Anti-Spam geliefert, sodass Sie 99 % des Spams verhindern können, ohne Besucher dazu zu zwingen, ein lästiges CAPTCHA auszufüllen.

• Schutz vor Brute-Force-Angriffen . Brute-Force-Angriffe sind eine ziemlich häufige WordPress-Bedrohung. Sie können auch mit Jetpack Security einfach gestoppt werden.

Jetpack und WPScan: Gemeinsam für ein sichereres WordPress

Das Team von WPScan arbeitet unermüdlich daran, die genaueste Datenbank mit WordPress-Schwachstellen zu pflegen. WordPress-Profis und Unternehmensorganisationen können die WPScan-Tools integrieren, um den fortschrittlichsten verfügbaren Schutz zu erhalten.

Besitzer von WordPress-Websites greifen neben anderen Sicherheitstools über Jetpack Security auf dieselben Informationen zu. Dieses Sicherheits-Plugin funktioniert einfach und mit minimalem Aufwand und Aufwand. Ihre Website ist einfach geschützt .

Erfahren Sie mehr über Jetpack-Sicherheit.

Erfahren Sie mehr über WPScan.