Clik here to view.
Eine veraltete Version oder ein Plugin, das nicht mehr aktuell ist: Mögliche Sicherheitslücken können in WordPress schnell entstehen. Doch woher weißt Du, ob Dein Blog gefährdet ist?
WordPress ist das beliebteste Blog- und Content-Management-System im Netz. Hinter mehr als 30% aller Websites im Internet steckt eine WordPress-Installation. (Stand: Oktober 2019, Quelle: W3Techs).
Schaut man sich die aktuellen Statistiken über die Verteilung der WordPress-Versionen auf WordPress.org an, stellt man fest: Viele Nutzer setzen noch nicht die aktuellste und damit auch sicherste Version ein.
Ein Grund hierfür kann sein, dass auf dem Webserver noch immer eine veraltete PHP-Version läuft, denn die aktuellste WordPress-Version 5.2 setzt PHP in der Version 7 mindestens voraus.
Clik here to view.
Wie wichtig ist die aktuelle Version?
Anscheinend ist vielen Nutzern nicht klar, wie wichtig es ist, die Software stets auf dem aktuellsten Stand zu halten. Dies gilt insbesondere auch auf Webservern, die öffentlich im Netz verfügbar und damit stets auch angreifbar sind.
Nicht selten nutzen Hacker Sicherheitslücken insbesondere in WordPress aus, um ein System anzugreifen. Meist geht es Hackern nicht darum, einem konkreten Nutzer zu schaden. Viel mehr schafft sich der Angreifer über den gehackten Webspace Ressourcen, um Schadcode zu verteilen oder um sie als Spamschleuderzu missbrauchen.
Wer selbst nicht Opfer von solchen Angriffen sein möchte, sollte stets auf dem Laufenden sein. Das heißt: Er sollte sein WordPress sowie auch die enthaltenen Plugins und Themes aktualisieren. Ist dazu noch die PHP-Version veraltet, solltest Du eine aktuellere Version installieren, denn auch hier gibt es Sicherheitslücken.
Welche Quellen geben Infos über Sicherheitslecks?
Welche Sicherheitslecks im Bezug zu WordPress, den Plugins und Themes aktuell existieren, findest Du über verschiedene Quellen schnell heraus:
Eine sehr gute deutsche Quelle ist über Twitter unter dem Namen @WPSicherheit erreichbar. Es lohnt sich auf jeden Fall, diesen Kanal zu abonnieren. Hier gibt es teilweise mehrere Tweets täglich über offene Lücken von WordPress selbst oder von Plugins mit Angabe der betroffenen Version.
Taucht eines Deiner Plugins oder die WordPress-Version auf, die Du in Deinem Blog einsetzt, kannst Du so schnell reagieren und ggf. die betroffene Software aktualisieren. Existiert noch kein Update, kannst Du bei dem Autor nachhaken, wann es ein Update bezüglich der Sicherheitslücke geben wird.
In den Tweets ist auch immer eine Seite mit verlinkt, in der es nähere Informationen zu der Sicherheitslücke gibt.
Als weitere Quelle möchte ich auch ExploitDB (Englisch) erwähnen. Dies ist eine weltweite Datenbank für verschiedenste Sicherheitslücken von unterschiedlichster Software, unter anderem auch WordPress und dessen Plugins und Themes. Gib dazu rechts oben im Suchfeld einfach „wordpress“ ein und Du erhältst eine Liste mit bekannten Exploits – komplett mit Angabe des Datums und allen weiteren Informationen zu den einzelnen Sicherheitslücken.
In der ExploitDB kannst Du auch gezielt nach Deinen Plugin- und Theme-Versionen suchen. So findest Du heraus, ob es möglicherweise bekannte Sicherheitslücken gibt.
Was tun, wenn man betroffen ist?
Bist Du von einer Sicherheitslücke betroffen, solltest Du möglichst schnell die betroffene Software aktualisieren. Auf keinen Fall solltest Du das Update auf die lange Bank schieben. Denn logischerweise nutzen auch Hacker diese Quellen und durchforsten das Netz nach Blogs, die die betroffenen Elemente einsetzen.
Ein Hinweis, falls Du die Updates via FTP / sFTP selbst einspielst und nicht die in WordPress angebotene Aktualisierungsfunktion nutzt: Achte gerade bei Plugins und Themes darauf, zuerst die alten Dateien zu löschen und erst dann das neue Plugin / Theme hochzuladen. Nicht selten ist es passiert, dass beim bloßen Überschreiben der Dateien alte betroffene Dateien auf dem Webspace verblieben sind und darüber das System trotz aktuellster Version gehackt wurde.