{"id":1468,"date":"2020-01-20T14:39:58","date_gmt":"2020-01-20T13:39:58","guid":{"rendered":"https:\/\/artif.com\/blog\/?p=1468"},"modified":"2021-07-01T11:09:13","modified_gmt":"2021-07-01T09:09:13","slug":"weshalb-es-die-meisten-hacker-auf-wordpress-abgesehen-haben","status":"publish","type":"post","link":"https:\/\/artif.com\/blog\/weshalb-es-die-meisten-hacker-auf-wordpress-abgesehen-haben.html","title":{"rendered":"Weshalb es die meisten Hacker auf WordPress abgesehen haben"},"content":{"rendered":"\n
\"WordPress-Hacker\"<\/figure>\n\n\n\n

WordPress hat sich zum beliebtesten CMS der Welt entwickelt. Derart im Rampenlicht zu stehen, macht WordPress zu einem offensichtlichen Ziel. Jeder nutzt WordPress, vom kleinen Blogger bis zum Time Magazin. Jeder, der im Web ver\u00f6ffentlichen m\u00f6chte, kann WordPress als CMS<\/a> einsetzen. Es ist flexibel, erweiterbar, Open Source und wird vor allem von einer gro\u00dfen Community aktiver Mitwirkender unterst\u00fctzt.<\/p>\n\n\n\n

Aber wie beliebt ist WordPress eigentlich?<\/h2>\n\n\n\n

Laut BuiltWith<\/a> sind aktuell etwa 27 Millionen mit WordPress gebaute Websites online. 34% aller Websites nutzen WordPress. 15% der weltweit f\u00fchrenden Website werden mit WordPress betrieben, darunter sind u.a. Soptify, TechCrunch, BBC America, das Wei\u00dfe Haus, die News York Times und Facebook Newsroom.<\/p>\n\n\n\n

Laut WordPress-Statistik<\/a>, produzieren WordPress-Nutzer t\u00e4glich unglaubliche 70 Millionen Posts und 77 Millionen Kommentare. \u00dcber 409 Millionen Leser betrachten mehr als 20 Milliarden Seiten monatlich.
Der Download-Z\u00e4hler zeigt, dass WordPress 5.3 zum Zeitpunkt des Schreibens dieses Artikels bereits \u00fcber 33 Millionen mal heruntergeladen wurde.<\/p>\n\n\n\n

Der Preis des Erfolgs<\/h2>\n\n\n\n

Offensichtlich macht die Popularit\u00e4t WordPress zum h\u00e4ufigsten Ziel f\u00fcr Hacker. Das ist vergleichbar mit dem Schicksal von Windows, als dieses noch ein neues Betriebssystem am Markt war. Da es sehr weit verbreitet war, war es Hackern ein Leichtes Schwachstellen auszunutzen, die den Entwicklern selbst nicht bekannt waren. Dadurch konnte ein einzelner erfolgreicher Angriff sehr viele Nutzer treffen. Die Hacker mussten sich nur auf Angriffsziele (Windows-Dateien mit Fehlern) konzentrieren, die auf allen PC leicht zug\u00e4nglich waren.<\/p>\n\n\n\n

Um leicht zug\u00e4ngliche Dateien muss man sich bei einem Angriff auf ein Online-System nicht sorgen. Hacker m\u00fcssen nur einen Weg finden, einen Angriff auf eine Sicherheitsl\u00fccke zu automatisieren. Die meisten Angriffe erfolgen heutzutage vollst\u00e4ndig automatisiert und erfordern kein aktives Eingreifen eines Hackers. Die Angriffe werden von sog. bots (kurz f\u00fcr robots) oder crawlern durchgef\u00fchrt. Das sind Programme, die eigenst\u00e4ndig durch das Internet surfen k\u00f6nnen. Hacker bringen ihnen bei, eine Sicherheitsl\u00fccke f\u00fcr einen Angriff auszunutzen. Solche bots suchen im Netz nach Zielen mit bekannten Sicherheitsl\u00fccken und f\u00fchren bei einem Treffer den Schadcode eigenst\u00e4ndig aus. Aufgrund der hohen Nutzungszahlen von WordPress kann das dazu f\u00fchren, dass sehr viele WordPress-Systeme innerhalb k\u00fcrzester Zeit auf die gleiche Weise gehackt werden.<\/p>\n\n\n\n

WordPress als Schie\u00dfstand<\/h2>\n\n\n\n

Mit Millionen von Seitenaufrufen jeden Monat hat sich WordPress sozusagen als \u00dcbungsziel f\u00fcr Hacker entwickelt. Sie sehen in WordPress ein leichtes und begehrenswertes Ziel, da die Menge der Betroffenen und das Schadenspotential enorm sind. Das Ziel der Hacker ist es, mit einem einzigen Schlag den gr\u00f6\u00dftm\u00f6glichen Schaden zu verursachen, unabh\u00e4ngig davon, ob es ihnen um Geld (bitcoin etc.), Informationen oder \u00d6ffentlichkeit geht.<\/p>\n\n\n\n

Genau das ist bei einem der bekanntesten Angriffe auf WordPress-Systeme – der TimThumb<\/a> Sicherheitsl\u00fccke – passiert. TimThumb ist ein PHP-Script, das Bilder zu Thumbnails herunterrechnet. Das Script wurde in vielf\u00e4ltigen Anwendungen integriert. Den Nutzern war die Sicherheitsl\u00fccke nicht bewusst. Tausende Websites wurden mit dem selben Vorgehen erfolgreich gehackt, so dass die Angreifer die betreffenden Websites mit beliebigem Schadcode versehen konnten, der wieder die Besucher dieser Website unbemerkt attackierte.<\/p>\n\n\n\n

Anwendern fehlt technisches Wissen<\/h2>\n\n\n\n

WordPress ist unter seinen Anwendern so beliebt, weil es grunds\u00e4tzlich f\u00fcr jeden belieben Zweck verwendet werden kann, sei es als Onlineshop oder Forum. Das wird durch leicht zu installierende Erweiterungen (Widgets, Themes, Plugin) erm\u00f6glicht. Technisch nicht versierte Anwender k\u00f6nnen Inhalte ver\u00f6ffentlichen und eine Website ihren individuellen W\u00fcnschen anpassen. Aufgrund dieser scheinbaren Einfachheit realisiert die Mehrheit der Anwender nicht, wie viel technische Expertise und wie viel Arbeitsaufwand in der Pflege einer Website steckt.<\/p>\n\n\n\n

F\u00fcr den sicheren Betrieb einer WordPress-Website ben\u00f6tigt man Ausdauer und muss stets auf viele technische Details fokussiert bleiben. Bereits das Update einer simplen Erweiterung hat das Potential die gesamte Website lahmzulegen. F\u00fchrt man keine Updates durch, werden nach und nach immer mehr Sicherheitsl\u00fccken bekannt, die durch Hacker leicht und automatisiert ausgenutzt werden k\u00f6nnen. Deshalb m\u00fcssen sich Anwender mit dem System vertraut machen. Sie m\u00fcssen zumindest die technischen Grundlagen, in WordPress enthaltenen Funktionen und Testm\u00f6glichkeiten kennen. Au\u00dferdem sollten sie sich mit Plugins zur Absicherung von WordPress Website auskennen und eine zuverl\u00e4ssige Sicherheitsl\u00f6sung finden, die den Anforderungen der Website gerecht wird.<\/p>\n\n\n\n

Es gibt viel zu viele Anwender, denen das Wissen und die Zeit fehlt, um sich mit diesen Themen auseinanderzusetzen. Das wiederum f\u00fchrt dazu, dass viele WordPress-Systeme mit Sicherheitsl\u00fccken ausgestattet sind, denn die wenigsten pr\u00fcfen, ob ein Erweiterung nach aktuellen Sicherheitsstandards und der WordPress-API entwickelt wurden. Die meisten Erweiterungen sind es nicht! An dieser Stelle jubelt die Hacker-Gemeinde: Sehr viele WordPress-Systeme werden nicht gewartet und falls doch, wissen die meisten Anwender nicht, ob die von ihnen verwendeten Erweiterungen gut oder schlecht programmiert sind. Die Wahrscheinlichkeit, ein WordPress-System mit Sicherheitsl\u00fccken aufzusp\u00fcren ist also sehr hoch. Ein automatisierte Angriff auf eine bekannte Sicherheitsl\u00fccke ist also mit hoher Wahrscheinlichkeit erfolgreich. Die Mehrheit der WordPress-Website ist leichte Beute.<\/p>\n\n\n\n

Entwicklern fehlt Erfahrung<\/h2>\n\n\n\n

Als Open Source Projekt l\u00e4sst WordPress alle Community-Mitglieder Programmcode beitragen. Dazu geh\u00f6ren Bastler und unerfahrene Entwickler sowie Experten gleicherma\u00dfen. Jeder Entwickler hat Zugang zu Dokumentation sowie HowTos und kann sich z.B. \u00fcber Foren mit anderen Entwicklern austauschen. Es gibt Richtlinien f\u00fcr die Beteiligung an der Weiterentwicklung von WordPress, aber viele befolgen diese nicht. Das schafft Raum f\u00fcr Fehler in der Programmierung und Fehler f\u00fchren zu Sicherheitsl\u00fccken.<\/p>\n\n\n\n

Obendrein macht WordPress jede Sicherheitsl\u00fccke innerhalb der Entwickler-Community bekannt. Dahinter steckt das Konzept „Sicherheit durch Transparenz“. Leider machen die meisten Entwickler nicht mit und k\u00fcmmern sich nicht um solche Ver\u00f6ffentlichungen. Hacker auf der anderen Seite m\u00fcssen sich nicht selbst auf die Suche nach Sicherheitsl\u00fccken begeben. Sie k\u00f6nnen sich an der Community beteiligen und erhalten so die neuesten Infos \u00fcber Sicherheitsprobleme br\u00fchwarm serviert. Da wir bereits wissen, dass viele Anwender ihre WordPress-Systeme nicht aktualisieren, ist das Ergebnis fatal.<\/p>\n\n\n\n

K\u00f6nnen Sie sich auf WordPress verlassen?<\/h2>\n\n\n\n

Wie eingangs erw\u00e4hnt greifen Hacker WordPress aufgrund der schieren Anwenderzahlen an. WordPress selbst ist nicht anf\u00e4llig f\u00fcr Hackerangriffe. Es gab bisher keine essentiellen Sicherheitsprobleme mit dem Kern-System. Weiterentwicklungen am Kern durchlaufen eine sehr strenge Qualit\u00e4tskontrolle, bevor Sie ver\u00f6ffentlicht werden. Das gro\u00dfe Sicherheitsproblem erw\u00e4chst aus dem „Sicherheit durch Transparenz“-Konzept in Kombination mit der hohen Anzahl sorgloser und technisch unf\u00e4higer Anwender.<\/p>\n\n\n\n

Daher entsteht oft der Eindruck, dass WordPress als CMS nicht sicher sei. Das ist ganz und gar nicht der Fall. Tatsache ist, dass eine Vielzahl der verschiedenen WordPress-Anwender und -Entwickler sich nicht an entscheidende Sicherheitsvorkehrungen h\u00e4lt und somit die T\u00fcr f\u00fcr b\u00f6swillige Akteure weit offen h\u00e4lt.<\/p>\n\n\n\n

Die drei S\u00e4ulen f\u00fcr eine sichere WordPress-Website sind also:<\/p>\n\n\n\n