Erfahrungen mit der Sicherheit von WordPress - was jeder Nutzer wissen sollte

Verwenden Sie die beschriebenen WordPress Erfahrungen und Empfehlungen, um Ihr WordPress System besser aufzubauen und zu schützen

Jens Kramer chocoBRAIN 2021

von Jens Kramer

Wordpress Hacks Plugins

WOW - innerhalb einer Woche habe ich gleich drei WordPress-Erfahrungen gemacht, die mich doch etwas überraschten.

Ich bin tatsächlich auf drei gehackte WordPress-Seiten von neuen LinkedIn Kontakten gestoßen. Dabei wussten die Besitzer ganz offensichtlich noch nichts von ihrer Misere.

War das einfach nur Zufall oder was begünstigt eigentlich derartige Hacks?

Wie sind allgemein die WordPress-Erfahrungen von Ihnen?

Ich bin einmal auf Spurensuche gegangen und habe unterschiedliche Quellen zu dem Thema Sicherheit angezapft. Unter anderem habe ich auch Entwickler befragt, wie sie die Sicherheit eines WordPress Systems einschätzen.

Die WordPress-Erfahrungen von Ihnen sowie Ihre Sichtweise dazu würde mich ebenfalls sehr interessieren und ich denke auch viele andere Leser. Schreiben Sie gerne Ihre Erfahrungen in die Kommentare.

Kurz vorweg - dies soll kein WordPress-Bashing werden. WordPress ist aus meiner Sicht eine solide Software, die vielen Menschen gute Dienste verrichtet. Ich stelle mir allerdings auch kritisch Fragen, inwiefern die für Blogging konzipierte Software WordPress bspw. noch die aktuellen digitalen Herausforderungen von Unternehmen bedienen kann?

Die entscheidende Frage ist für mich nicht (wie oftmals angeführt) was man mit WordPress alles machen kann. Antwort: Ziemlich viel

Aus meiner Sicht sind die entscheidenden Fragen für heutige Unternehmensanforderungen bzgl. eines CMS bzw. Wordpress-Systems:

  1. Inwiefern unterstützt mich Wordpress in meiner Zielerreichung im Online-Marketing, Online-Vertrieb und Online-Service? 
  2. Wie kosten- und zeitsparend ermöglicht mir die Software den Weg zu meinen Zielen?
  3. Wie viel Zusatzentwicklungen und Folgeaufwendungen kommen auf uns zu?

Nur ein kleiner Teil davon sind wohl die Wordpress-Erfahrungen, die ich zufällig machen durfte, jedoch ist Systemsicherheit von grundlegender Bedeutung!


Wie sich die Hacks der WordPress-Seiten bemerkbar machten

Was mich an meinen vorliegenden Fällen wunderte war, dass zwei von drei Betreibern software-affine Personen aus dem Online-Marketing Bereich waren. Es kann also auch erfahrene Anwender treffen. Oder trifft es gerade diese, weil sie z.B. mehr Plugins verwenden und ausprobieren?

Im ersten und zweiten Fall war der Hack nicht auf der Website direkt ersichtlich. Ich hatte die Firma gegoogelt und bin überraschenderweise auf asiatische Schriftzeichen in den Suchtreffern gestoßen.

Hier hatte der Angriff offensichtlich unter anderem die Titel und die Metabeschreibungen der Website verändert.

Da die Veränderungen bereits bei Google angekommen waren, scheint das WordPress System schon eine gewisse Zeit lang infiziert gewesen zu sein. Denn je nach Relevanz der Seite kommt der Google-Crawler häufiger oder weniger oft auf einer Website vorbei. Danach kann Google erst die Änderung in den Suchindex aufnehmen.

Bedenkt man nun, dass der Titel einer Seite enorm wichtig für die Suchmaschinenoptimierung und das eigene Ranking ist, dann können Sie als Seitenbetreiber durch den Besucherausfall ziemliche Schäden z.B. in Form von Umsatzausfällen erleiden.

Auch klicken Suchende wohl kaum mehr auf Ihren "asiatischen Eintrag" und Ihre Reputation als Firma leidet entsprechend darunter.

Hier sehen Sie den Suchtreffer der Softwarefirma bei Google. Ich hatte gezielt nach dem Firmenname gegoogelt. Den Firmenname habe ich geschwärzt.

Wordpress Hack

Der zweite Fall des Hacks war ähnlich zu dem zuvor beschriebenen nur mit dem Unterschied, dass dieser wohl schon seit längerem unbemerkt bestand. Google zeigt mir zusätzlich die folgende Meldung in den Suchtreffern an:

„Diese Website wurde möglicherweise gehackt.“

Der dritte Hack war ziemlich offensichtlich. Hier wurde anstatt der eigentlichen Website ein dubioses Gewinnspiel angezeigt. Dies konnte wohl kaum im Sinne des betroffenen Online-Marketers gewesen sein. Das Gewinnspiel war am nächsten Tag entfernt.


Wie kann man nun von Website-Hacks Kenntnis erlangen, wenn man selbst kein Spezialist ist oder der Hack nicht offensichtlich ist?

Sie hätten die ersten beiden Fälle ggf. in Ihren Website- bzw. Marketinganalysen erkennen können.

Marketinganalysen

Wenn Sie z.B. seltsame Einbrüche in Ihren Zugriffsraten erkennen, könnte dies ein Indiz für einen Hack sein.

Auch kann die Startseite Ihrer Website eine gut besuchte Einstiegsseite sein. Sollte sich dies plötzlich ändern, kann dies ebenfalls ein Hinweis für einen Hack sein.

Generell sollten Sie plötzliche Veränderungen auf Ihrer Website immer auf Ihren Radarschirm bekommen und genauer betrachten. Sowohl positiver als auch negativer Natur.

Haben Sie bspw. Verlinkungen auf Ihre Website erhalten, die von unseriösen Spamseiten kommen, hat dies negative Auswirkungen auf Ihre Suchmaschinen-Rankings. Hier wären verlinkende Websites wichtig zu wissen und natürlich auch ausgehende Links, die in Ihre Website z.B. eingepflanzt wurden.

Ein positives Beispiel ist es, wenn Sie sehen können von welchen Quellen Sie Besucher erhalten und ob diese eine Conversion auslösen. So können Sie Ihr Marketing fortwährend optimieren.


Wie werden WordPress-Seiten gerne gehackt? Was macht Sie anfällig?

Nach meinen Recherchen gibt es drei populäre Einfallstore bei WordPress, die sich Hacker gerne zunutze machen. Hierbei handelt es sich um:

  1. Die Aktualität der WordPress-Installation
  2. Die verwendeten WordPress-Plugins
  3. Das verwendete WordPress-Theme

Entsprechend sollten Sie mindestens die folgenden Punkte im Auge behalten:

  1. Wenn Sie ein Theme oder ein Plugin verwenden, das nicht sicherheitskonform programmiert wurde, stellt sowohl das Theme als auch jedes dieser Plugins ein potenzielles Sicherheitsrisiko dar. Im nächsten Kapitel finden Sie Links mit denen Sie Ihr WordPress-Komponenten ermitteln und Sicherheitstest durchführen können.

Hinweis: Wenn Sie allerdings nur stark genutzte und aktualisierte Plugins verwenden sollten, um Ihre WordPress-Installation sicher zu halten, wie können Sie dann Ihr Online Marketing effizient aufbauen? Aus meiner Sicht punkten dann die Vorteile einer All-in-One Inbound Marketing Software wie z.B. von chocoBRAIN.

  1. Achten Sie auch darauf, dass das Theme und die Plugins regelmäßig aktualisiert werden. Wenn Sie bspw Ihre WordPress-Installation aktualisieren aber Ihre Plugins einen alten Stand beibehalten, kann dies zu Sicherheitslücken führen.
  2. Darüber hinaus ist es ratsam Ihre PHP-Version auf einem aktuellen und unterstützten Stand zu halten. Ist die PHP-Version ausgelaufen, werden gemeldete Fehler bspw. nicht mehr behoben und Ihr WordPress System wird an dieser Stelle potenziell angreifbar.
Unterstützte PHP Versionen

Quelle: https://www.php.net/supported-versions.php

Ich habe die ausgelaufenen PHP Versionen einmal mit den verwendeten PHP-Versionen installierter Wordpress-Systeme vergleichen. Stand heute sind rund zwei Drittel der Installationen auf einer nicht mehr unterstützten PHP-Version:

PHP Versionen die Wordpress Installationen verwenden
  1. Neben der PHP-Version sollten Sie auch die verwendete Datenbank (in der Regel MySQL, aber auch vermehrt MariaDB) auf einem aktuellen Stand halten. So verringern Sie z.B. die Möglichkeit potenzieller Angriffe an dieser Stelle. Die unterstützten Versionen von MySQL und für MariaDB finden Sie hier: https://www.mysql.com/support/supportedplatforms/database.html und https://mariadb.org/about/
  2. Zu guter letzt gilt die Aktualisierung auch für Ihren HTTP-Server als solches also z.B. Apache oder Nginx.


Wie finden Sie auf die Schnelle heraus, welchen Stand Ihre WordPress-Installation hat und ob sie ggf. anfällig für Angriffe ist?

Sollten Sie den Zugang zu Ihrer Wordpress-Installation haben, finden Sie unter Website Zustand bereits einige der wichtigsten Informationen. Hier können Sie auch auf einfache Weise die PHP Version einsehen.

Wordpress Website Zustand Bericht

Falls Sie keinen Wordpress-Zugang haben sollten, oder Sie an anderen Websites interessiert sind, können Sie die folgenden Test verwenden:

  1. Mit https://builtwith.com/ erhalten Sie einen schnellen Überblick über die verwendeten Technologien einer Website sowie z.B. der verwendeten Plugins einer Wordpress-Installation
  2. Mit https://whatwpthemeisthat.com/ ermitteln Sie das verwendete Wordpress-Theme einer Website. Prüfen Sie z.B. weiter, ob das Theme regelmäßig von dem Entwickler aktualisiert wird.
  3. Mit https://sitecheck.sucuri.net und https://pentest-tools.com/website-vulnerability-scanning/website-scanner# prüfen Sie Ihre Website nach unterschiedlichen Sicherheitskriterien.
  4. Abschließend finden Sie unter folgendem Link die Empfehlungen von den Entwicklern von Wordpress welche Versionen Sie mindestens nutzen solltenhttps://wordpress.org/about/requirements/

Update:

Mit einem der Schnelltests habe ich gerade immer noch eine infizierte Seite des oben beschriebenen Fall 1 gefunden. Die Preiseseite der Website ist immer noch infiziert - irgendwie absurd…

Wordpress Test Hack Ergebnis 1
Wordpress Test Hack Ergebnis 2

Welche WordPress-Erfahrungen haben Sie bislang gemacht? Was unternehmen Sie, um die WordPress-Installation abzusichern? Wie sind Ihre Erfahrungen mit WordPress, um gezielt Online Marketing aufzubauen?


Ihre Kommentare zum Artikel und zu WordPress

Diskutieren Sie mit uns auf LinkedIn >>

Schreiben Sie uns Ihre WordPress Erfahrungen >>

Gitta Klemme

30.05.2023, 04:57Uhr

Hallo Herr Kramer, vielen Dank für diesen spannenden wie beunruhigenden Blog-Beitrag. Ich arbeite bei der Wirtschaftsförderung einer Kommune und wir möchten zusätzlich zum allgemeinen Internetauftritt unserer Stadt für unser Referat Wirtschaftsförderung einen eigenständigen Internetauftritt mit WordPress aufbauen. Nach der Lektüre Ihres Artikels bin ich mir jedoch unsicher, ob es eine gute Idee ist, die neue Website mit WordPress erstellen zu lassen. Welches CMS System empfehlen Sie denn? Ich habe auch schon mit Typo3 gearbeitet, finde das System aber sehr mächtig und nicht wirklich nutzerfreundlich. Wir benötigen auch auf jeden Fall eine Schnittstelle zu unserem Newslettertool newsletter2go. Ich bin gespannt auf Ihre Antwort, vielen Dank vorab! Viele Grüße Gitta Klemme

Jens Kramer

30.05.2023, 12:01Uhr

Hallo Frau Klemme, vielen Dank für Ihren Kommentar. Es gibt keine pauschale Antwort auf Ihre Frage, aber auf jeden Fall eine sinnvolle Richtung: 1. Heutzutage ist es ratsam ein webbasiertes CMS zu verwenden, das Ihnen durch die Cloud-Automatisierungen viele Arbeiten abnimmt. Hier gibt es z.B. die folgenden Anbieter: - chocoBRAIN: https://www.chocobrain.com/cms (leistungsstark, flexibel und spezialisiert auf kleine Organisationen) - Webflow: https://webflow.com (spezialisiert auf Design) - Hubspot: https://www.hubspot.de/products/cms (sehr mächtiges System) - Baukästen von Ionos, Wix oder Squarespace (einfache gute Systeme, häufig wenig flexibel) - und weitere 2. Es ist wichtig zu wissen, was Ihre Ziele mit der Website sind. In den meisten Fällen ist es nicht nur "informieren". Websites sollten heutzutage vielmehr als digitale Vermarkter, Verkäufer oder Dienstleister aufgebaut werden. Und gerade in einer Kommune bietet sich der digitale Dienstleister an. Hier wird ebenfalls das einfache Einbinden von externen Diensten wie z.B. newsletter2go wichtig sein. 3. Der Support sollte erstklassig und der Datenschutz sichergestellt sein. Was viele nicht wissen, ist dass bspw. eine Wordpress System mit einem externen Consent Mgmt System im Millisekundenbereich weiterhin Daten überträgt, obwohl auf "Ablehnen" gedrückt wurde. Dies ist technsich momentan nicht einfach umsetzbar und damit ein Datenschutzverstoß. Gerne können Sie mich für weitere Fragen auch unter [email protected] erreichen. Viele Grüße Jens Kramer