WordPress Sicherheit: Plugins Gefahrenquelle Nr. 1

Als weltweit beliebtestes Content-Management-System steht WordPress auch besonders im Fokus von Angreifern. Vor allem Plugins dienen als häufiges Einfallstor für eine feindliche Übernahme, brachte ein Sicherheitsdienstleister in Erfahrung. Und gibt Tipps, wie man als Admin die Sicherheit seiner WordPress-Installation gewährleisten kann.

Gefährlich: Meiste Opfer kennen Einfallstor nicht

Von abgefischten Admin-Passwörtern bis hin zu allzu freizügigen Dateiberechtigungen gibt es zahlreiche Gefahrenquellen für WordPress-Projekte. Um sich unerlaubten Zugang zu verschaffen und etwa Malware einzuschleusen, erfreuen sich allerdings zwei Wege besonders großer Beliebtheit. Das ergab eine Umfrage von Wordfence, dem Anbieter des gleichnamigen beliebten WordPress-Sicherheits-Plugins.

Wordfence fragte diejenigen Nutzer, die bereits Opfer von Kompromittierungen geworden sind, wie sich die Angreifer Zugang verschafft haben. Von den 1.034 Teilnehmern der Umfrage gaben 61,5 Prozent "weiß nicht" an. Eine gefährliche Antwort, denn die bloße Entfernung von Malware ist nicht genug: Ohne bewusste Schließung der Schwachstelle könne die Lücke jederzeit wieder ausgenutzt werden, betont Wordfence.

WordPress Sicherheit: Die häufigsten Einfallstore von Angreifern

Über 40.000 Plugins allein auf wordpress.org

Mehr als die Hälfte derjenigen Betroffenen, die die Ursache des Angriffs ausfindig machen konnten, gaben Plugins die Schuld (55,9 Prozent). Über 40.000 Plugins umfasst allein das offizielle WordPress-Plugin-Verzeichnis. Viele werden seit Jahren nicht mehr weiterentwickelt und weisen längst bekannte – und ausgenutzte – Schwachstellen auf.

Häufig sind es aber auch die Administratoren, die bereitstehende Sicherheits-Updates von Plugins nicht beziehungsweise zu spät installieren. Wordfence empfiehlt hier, mindestens wöchentlich Updates einzuspielen. Plugins, die in den letzten 6 Monaten nicht aktualisiert wurden, sollten nicht installiert werden. Bei bereits aktivierten Plugins sollte quartalsweise geprüft werden, ob der Entwickler noch bei der Sache ist.

WordPress Sicherheit: Vorsicht bei Dritt-Quellen

Vorsicht sei grundsätzlich auch bei der Installation von Plugins aus anderen Quellen als WordPress.org angebracht. Denn: "Einer der einfachsten Wege, Malware einzuschleusen, ist, sie dich selbst installieren zu lassen". Dazu sollte etwa von "nulled" Plugins grundsätzlich Abstand genommen werden, auch eine Google-Suche nach Plugin-Name + "Vulnerability" könne ein böses Erwachen ersparen.

Hinter Plugins sind Bruteforce-Attacken mit immerhin 16,1 Prozent das zweithäufigste Einfallstor für Angriffe. Ein großes Maß an Sicherheit verspricht hier neben einem komplexen Passwort vor allem ein individueller Benutzername, also nicht gerade "admin" oder "administrator".

Plugin-Kontrolle gut investierte Arbeitszeit

Daneben empfiehlt Wordfence regelmäßige Core-Updates und – natürlich – die Installation des hauseigenen Security-Plugins, das unter anderem eine 2-Step-Verification ermöglicht und vor veralteten Plugins warnt. Unabhängig davon kann die Empfehlung, die installierten Plugins aktuell zu halten, gar nicht hoch genug eingeschätzt werden.

Bei vielen älteren WordPress-Installationen haben sich im Laufe der Zeit Dutzende Erweiterungen angesammelt, die teilweise seit Jahren nicht mehr aktualisiert werden und die Plattform zu einem Einfallstor für Schadcode machen. Auch wenn der Umstieg auf neuere Plugins häufig viel Aufwand bedeutet: Die Arbeitszeit ist gut investiert.

<Bildnachweis: Security von Shutterstock>

Regelmäßig aktualisierter Info-Artikel