Als beliebtestes Content-Management-System aller Zeiten unterstützt WordPress Millionen unterschiedlicher Websites. Es handelt sich um Open-Source-Software, das heißt, ihr Quellcode ist öffentlich zugänglich und kann von fast jedem mit ausreichenden Kenntnissen geändert werden.
Obwohl Sie WordPress-Plugins und -Themes kaufen können, sind Zehntausende davon kostenlos erhältlich. Es überrascht nicht, dass dies nicht ohne Nachteile ist. Wie anfällig sind WordPress-Websites? Was ist mit Ihren Themes und Plugins? Wie können Sie Ihre Websites schützen?
Wie anfällig ist WordPress?
Im Februar 2022, Jetpack Es wurde festgestellt, dass beliebte Themes und Plugins des Anbieters AccessPress Themes (auch bekannt als Access Keys) kompromittiert wurden. Forscher entdeckten die Sicherheitslücke zufällig, nachdem sie auf einer gehackten Website verdächtigen Code entdeckt hatten. Nach weiteren Untersuchungen stellten sie fest, dass die meisten AccessPress-Komponenten und jedes Theme denselben Code enthielten.
Später stellte sich heraus, dass AccessPress Themes im September 2021 Opfer eines Cyberangriffs wurde, bei dem Hacker eine Hintertür in die Plugins und Themes des Anbieters einschlugen.
Schließlich aktualisierte und bereinigte AccessPress seine Produkte, aber Tausende von Benutzern waren angeblich über einen langen Zeitraum hinweg anfällig für die Angriffe.
Haben WordPress-Plugins und Themes Schwachstellen?
Die Ergebnisse von Jetpack bestätigen, wie anfällig WordPress ist. Dies war jedoch kein Einzelfall.
Im März 2021 beispielsweise Wortzaun Das Unternehmen hat große Sicherheitslücken in zwei WordPress-Plugins aufgedeckt, die es einem Angreifer bei erfolgreicher Ausnutzung ermöglicht hätten, die Kontrolle über die Website zu übernehmen. Die Schwachstellen wurden in den Plugins Elementor und WP Super Cache entdeckt. Elementor ist ein Website-Builder, der auf über sieben Millionen Websites verwendet wird, während WP Super Cache ein beliebtes Caching-Plugin ist.
Im Februar 2022, z.B Suchmaschinenmagazin Die Schwachstellendatenbank der US-Regierung und WordPress-Sicherheitsforscher haben Berichten zufolge vor schwerwiegenden Sicherheitslücken in Dutzenden von WordPress-Plugins gewarnt.
Von diesen Plugins werden neun auf über 1.3 Millionen Websites verwendet: Header & Footer Code Manager, Ad Inserter – Adsense & Ads Manager, Popup Builder, Anti-Malware Security, Firewall Brute Force, WP Content Copy Protection und No Right Click. Datenbanksicherung für WordPress, GiveWP, Download Manager und Advanced Database Cleaner.
So schützen Sie Ihre WordPress-Site
Man könnte annehmen, dass diese Schwachstellen immer behoben oder beseitigt werden, sobald sie entdeckt werden, aber in Wirklichkeit ist dies nicht der Fall.
untersuchen in Ein Haufen Flecken Es wurde festgestellt, dass im Jahr 2021 im Vergleich zu 150 ein Anstieg der gemeldeten WordPress-Schwachstellen um 2020 Prozent zu verzeichnen war, wobei 29 Prozent dieser Schwachstellen keinen Patch erhielten. Patchstack stellte außerdem fest, dass nur 0.58 Prozent der gemeldeten Fehler im WordPress-Kern auftraten, was bedeutet, dass Schwachstellen fast immer in Plugins vorhanden sind.
Es ist wichtig sicherzustellen, dass alle von Ihnen verwendeten Plugins sowie der WordPress-Kern selbst auf dem neuesten Stand sind.
Bevor Sie das Plugin herunterladen und installieren, sollten Sie zunächst einige Recherchen durchführen. Überprüfen Sie die Anzahl der Plugin-Installationen, lesen Sie Online-Bewertungen, finden Sie heraus, wann das Plugin zuletzt aktualisiert wurde, und prüfen Sie, ob es mit der neuesten Version von WordPress getestet wurde. Das dauert zwar nur ein paar Minuten, könnte Ihnen aber in Zukunft viel Ärger ersparen.
Alternativ können Sie verwenden WPScan, ein einfacher und effektiver WordPress-Schwachstellenscanner. Mit diesem Tool kann auch nach einem Plugin anhand seines Namens gesucht werden. Die kostenlose Version ermöglicht bis zu 25 API-Anfragen pro Tag.
Glücklicherweise sind einige Plugins darauf ausgelegt, Ihre WordPress-Site vor Hackern zu schützen. LockDown, Wordfence und BulletProof Security gehören heute zu den besten WordPress-Sicherheits-Plugins. Login LockDown ist völlig kostenlos, während die anderen beiden Versionen über Basis- und kostenlose Modelle verfügen.
WordPress-Sicherheitstipps
Obwohl WordPress angreifbar ist, tragen grundlegende Sicherheitsvorkehrungen wesentlich dazu bei, Cyberangriffe zu verhindern und abzuwehren.
Die Verwendung von Single Sign-On und Zwei-Faktor-Authentifizierung, die Aktualisierung aller Software sowie das Ausblenden von Theme-Namen und Anmeldedaten sollten die Grundlage Ihrer WordPress-Sicherheitshygiene sein.
