Weshalb es die meisten Hacker auf WordPress abgesehen haben

WordPress-Hacker

WordPress hat sich zum beliebtesten CMS der Welt entwickelt. Derart im Rampenlicht zu stehen, macht WordPress zu einem offensichtlichen Ziel. Jeder nutzt WordPress, vom kleinen Blogger bis zum Time Magazin. Jeder, der im Web veröffentlichen möchte, kann WordPress als CMS einsetzen. Es ist flexibel, erweiterbar, Open Source und wird vor allem von einer großen Community aktiver Mitwirkender unterstützt.

Aber wie beliebt ist WordPress eigentlich?

Laut BuiltWith sind aktuell etwa 27 Millionen mit WordPress gebaute Websites online. 34% aller Websites nutzen WordPress. 15% der weltweit führenden Website werden mit WordPress betrieben, darunter sind u.a. Soptify, TechCrunch, BBC America, das Weiße Haus, die News York Times und Facebook Newsroom.

Laut WordPress-Statistik, produzieren WordPress-Nutzer täglich unglaubliche 70 Millionen Posts und 77 Millionen Kommentare. Über 409 Millionen Leser betrachten mehr als 20 Milliarden Seiten monatlich.
Der Download-Zähler zeigt, dass WordPress 5.3 zum Zeitpunkt des Schreibens dieses Artikels bereits über 33 Millionen mal heruntergeladen wurde.

Der Preis des Erfolgs

Offensichtlich macht die Popularität WordPress zum häufigsten Ziel für Hacker. Das ist vergleichbar mit dem Schicksal von Windows, als dieses noch ein neues Betriebssystem am Markt war. Da es sehr weit verbreitet war, war es Hackern ein Leichtes Schwachstellen auszunutzen, die den Entwicklern selbst nicht bekannt waren. Dadurch konnte ein einzelner erfolgreicher Angriff sehr viele Nutzer treffen. Die Hacker mussten sich nur auf Angriffsziele (Windows-Dateien mit Fehlern) konzentrieren, die auf allen PC leicht zugänglich waren.

Um leicht zugängliche Dateien muss man sich bei einem Angriff auf ein Online-System nicht sorgen. Hacker müssen nur einen Weg finden, einen Angriff auf eine Sicherheitslücke zu automatisieren. Die meisten Angriffe erfolgen heutzutage vollständig automatisiert und erfordern kein aktives Eingreifen eines Hackers. Die Angriffe werden von sog. bots (kurz für robots) oder crawlern durchgeführt. Das sind Programme, die eigenständig durch das Internet surfen können. Hacker bringen ihnen bei, eine Sicherheitslücke für einen Angriff auszunutzen. Solche bots suchen im Netz nach Zielen mit bekannten Sicherheitslücken und führen bei einem Treffer den Schadcode eigenständig aus. Aufgrund der hohen Nutzungszahlen von WordPress kann das dazu führen, dass sehr viele WordPress-Systeme innerhalb kürzester Zeit auf die gleiche Weise gehackt werden.

WordPress als Schießstand

Mit Millionen von Seitenaufrufen jeden Monat hat sich WordPress sozusagen als Übungsziel für Hacker entwickelt. Sie sehen in WordPress ein leichtes und begehrenswertes Ziel, da die Menge der Betroffenen und das Schadenspotential enorm sind. Das Ziel der Hacker ist es, mit einem einzigen Schlag den größtmöglichen Schaden zu verursachen, unabhängig davon, ob es ihnen um Geld (bitcoin etc.), Informationen oder Öffentlichkeit geht.

Genau das ist bei einem der bekanntesten Angriffe auf WordPress-Systeme – der TimThumb Sicherheitslücke – passiert. TimThumb ist ein PHP-Script, das Bilder zu Thumbnails herunterrechnet. Das Script wurde in vielfältigen Anwendungen integriert. Den Nutzern war die Sicherheitslücke nicht bewusst. Tausende Websites wurden mit dem selben Vorgehen erfolgreich gehackt, so dass die Angreifer die betreffenden Websites mit beliebigem Schadcode versehen konnten, der wieder die Besucher dieser Website unbemerkt attackierte.

Anwendern fehlt technisches Wissen

WordPress ist unter seinen Anwendern so beliebt, weil es grundsätzlich für jeden belieben Zweck verwendet werden kann, sei es als Onlineshop oder Forum. Das wird durch leicht zu installierende Erweiterungen (Widgets, Themes, Plugin) ermöglicht. Technisch nicht versierte Anwender können Inhalte veröffentlichen und eine Website ihren individuellen Wünschen anpassen. Aufgrund dieser scheinbaren Einfachheit realisiert die Mehrheit der Anwender nicht, wie viel technische Expertise und wie viel Arbeitsaufwand in der Pflege einer Website steckt.

Für den sicheren Betrieb einer WordPress-Website benötigt man Ausdauer und muss stets auf viele technische Details fokussiert bleiben. Bereits das Update einer simplen Erweiterung hat das Potential die gesamte Website lahmzulegen. Führt man keine Updates durch, werden nach und nach immer mehr Sicherheitslücken bekannt, die durch Hacker leicht und automatisiert ausgenutzt werden können. Deshalb müssen sich Anwender mit dem System vertraut machen. Sie müssen zumindest die technischen Grundlagen, in WordPress enthaltenen Funktionen und Testmöglichkeiten kennen. Außerdem sollten sie sich mit Plugins zur Absicherung von WordPress Website auskennen und eine zuverlässige Sicherheitslösung finden, die den Anforderungen der Website gerecht wird.

Es gibt viel zu viele Anwender, denen das Wissen und die Zeit fehlt, um sich mit diesen Themen auseinanderzusetzen. Das wiederum führt dazu, dass viele WordPress-Systeme mit Sicherheitslücken ausgestattet sind, denn die wenigsten prüfen, ob ein Erweiterung nach aktuellen Sicherheitsstandards und der WordPress-API entwickelt wurden. Die meisten Erweiterungen sind es nicht! An dieser Stelle jubelt die Hacker-Gemeinde: Sehr viele WordPress-Systeme werden nicht gewartet und falls doch, wissen die meisten Anwender nicht, ob die von ihnen verwendeten Erweiterungen gut oder schlecht programmiert sind. Die Wahrscheinlichkeit, ein WordPress-System mit Sicherheitslücken aufzuspüren ist also sehr hoch. Ein automatisierte Angriff auf eine bekannte Sicherheitslücke ist also mit hoher Wahrscheinlichkeit erfolgreich. Die Mehrheit der WordPress-Website ist leichte Beute.

Entwicklern fehlt Erfahrung

Als Open Source Projekt lässt WordPress alle Community-Mitglieder Programmcode beitragen. Dazu gehören Bastler und unerfahrene Entwickler sowie Experten gleichermaßen. Jeder Entwickler hat Zugang zu Dokumentation sowie HowTos und kann sich z.B. über Foren mit anderen Entwicklern austauschen. Es gibt Richtlinien für die Beteiligung an der Weiterentwicklung von WordPress, aber viele befolgen diese nicht. Das schafft Raum für Fehler in der Programmierung und Fehler führen zu Sicherheitslücken.

Obendrein macht WordPress jede Sicherheitslücke innerhalb der Entwickler-Community bekannt. Dahinter steckt das Konzept „Sicherheit durch Transparenz“. Leider machen die meisten Entwickler nicht mit und kümmern sich nicht um solche Veröffentlichungen. Hacker auf der anderen Seite müssen sich nicht selbst auf die Suche nach Sicherheitslücken begeben. Sie können sich an der Community beteiligen und erhalten so die neuesten Infos über Sicherheitsprobleme brühwarm serviert. Da wir bereits wissen, dass viele Anwender ihre WordPress-Systeme nicht aktualisieren, ist das Ergebnis fatal.

Können Sie sich auf WordPress verlassen?

Wie eingangs erwähnt greifen Hacker WordPress aufgrund der schieren Anwenderzahlen an. WordPress selbst ist nicht anfällig für Hackerangriffe. Es gab bisher keine essentiellen Sicherheitsprobleme mit dem Kern-System. Weiterentwicklungen am Kern durchlaufen eine sehr strenge Qualitätskontrolle, bevor Sie veröffentlicht werden. Das große Sicherheitsproblem erwächst aus dem „Sicherheit durch Transparenz“-Konzept in Kombination mit der hohen Anzahl sorgloser und technisch unfähiger Anwender.

Daher entsteht oft der Eindruck, dass WordPress als CMS nicht sicher sei. Das ist ganz und gar nicht der Fall. Tatsache ist, dass eine Vielzahl der verschiedenen WordPress-Anwender und -Entwickler sich nicht an entscheidende Sicherheitsvorkehrungen hält und somit die Tür für böswillige Akteure weit offen hält.

Die drei Säulen für eine sichere WordPress-Website sind also:

  • Der Einsatz eines aktuellen WordPress-Systems,
  • professionell und nach den Richtlinien entwickelte Erweiterungen sowie
  • regelmäßige Prüfung auf neue Sicherheitslücken und das Ergreifen geeigneter Maßnahmen.

Wenn Sie sich nicht absolut sicher sind, wie es um die Sicherheit Ihres WordPress-Systems bestellt ist, holen Sie sich professionelle Hilfe!

Sie erreichen uns unter 07071 7049100 oder rund um die Uhr per E-Mail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert