Erfahrungen mit der Sicherheit von WordPress - was jeder Nutzer wissen sollte

WOW - Während meines Wordpress Tests habe ich innerhalb einer Woche gleich drei WordPress-Erfahrungen gemacht, die mich doch etwas überraschten.

Ich bin tatsächlich auf drei gehackte WordPress-Seiten von neuen LinkedIn Kontakten gestoßen. Dabei wussten die Besitzer ganz offensichtlich noch nichts von ihrer Misere.

War das einfach nur Zufall oder was begünstigt eigentlich derartige Hacks?

Wie sind allgemein die WordPress-Erfahrungen?

Ich bin einmal auf Spurensuche gegangen und habe unterschiedliche Quellen zu dem Thema Sicherheit angezapft. Unter anderem habe ich auch Entwickler befragt, wie sie die Sicherheit eines WordPress Systems einschätzen.

Deine Erfahrungen und Sichtweisen dazu würden mich ebenfalls sehr interessieren und ich denke viele andere Leser auch. Schreibe gerne deine Erfahrungen in die Kommentare.

Kurz vorweg - dies soll kein WordPress-Bashing werden. WordPress ist aus meiner Sicht eine solide Software, die vielen Menschen gute Dienste verrichtet. Ich stelle mir allerdings auch kritisch Fragen, inwiefern die für Blogging konzipierte Software WordPress bspw. noch die aktuellen digitalen Herausforderungen von Unternehmen bedienen kann?

Die entscheidende Frage ist für mich nicht (wie oftmals angeführt) was man mit WordPress alles machen kann. Antwort: Ziemlich viel

Aus meiner Sicht sind die entscheidenden Fragen für heutige Unternehmensanforderungen bzgl. eines CMS bzw. Wordpress-Systems:

1. Inwiefern unterstützt mich Wordpress in meiner Zielerreichung im Online-Marketing, Online-Vertrieb und Online-Service? 
2. Wie kosten- und zeitsparend ermöglicht mir die Software den Weg zu meinen Zielen?
3. Wie viel Zusatzentwicklungen und Folgeaufwendungen kommen auf uns zu?
4. Welche unnötigen Kosten wie z.B. Wartung können vermieden werden, weil es bspw. bessere Lösungsmöglichkeiten gibt?

Nur ein kleiner Teil davon sind wohl die Wordpress-Erfahrungen, die ich zufällig machen durfte, jedoch ist Systemsicherheit von grundlegender Bedeutung!

Wie sich die Hacks der WordPress-Seiten bemerkbar machten

Was mich an meinen vorliegenden Fällen wunderte war, dass zwei von drei Betreibern software-affine Personen aus dem Online-Marketing Bereich waren. Es kann also auch erfahrene Anwender treffen. Oder trifft es gerade diese, weil sie z.B. mehr Plugins verwenden und ausprobieren?

Im ersten und zweiten Fall war der Hack nicht auf der Website direkt ersichtlich. Ich hatte die Firma gegoogelt und bin überraschenderweise auf asiatische Schriftzeichen in den Suchtreffern gestoßen.

Hier hatte der Angriff offensichtlich unter anderem die Titel und die Metabeschreibungen der Website verändert.

Da die Veränderungen bereits bei Google angekommen waren, scheint das WordPress System schon eine gewisse Zeit lang infiziert gewesen zu sein. Denn je nach Relevanz der Seite kommt der Google-Crawler häufiger oder weniger oft auf einer Website vorbei. Danach kann Google erst die Änderung in den Suchindex aufnehmen.

Bedenkt man nun, dass der Titel einer Seite enorm wichtig für die Suchmaschinenoptimierung und das eigene Ranking ist, dann können Sie als Seitenbetreiber durch den Besucherausfall ziemliche Schäden z.B. in Form von Umsatzausfällen erleiden.

Auch klicken Suchende wohl kaum mehr auf einen "asiatischen Eintrag" und die Reputation als Firma leidet entsprechend darunter.

Hier siehst du den Suchtreffer der Softwarefirma bei Google. Ich hatte gezielt nach dem Firmenname gegoogelt. Den Firmenname habe ich geschwärzt.

Der zweite Fall des Hacks war ähnlich zu dem zuvor beschriebenen nur mit dem Unterschied, dass dieser wohl schon seit längerem unbemerkt bestand. Google zeigt mir zusätzlich die folgende Meldung in den Suchtreffern an:

„Diese Website wurde möglicherweise gehackt.“

Der dritte Hack war ziemlich offensichtlich. Hier wurde anstatt der eigentlichen Website ein dubioses Gewinnspiel angezeigt. Dies konnte wohl kaum im Sinne des betroffenen Online-Marketers gewesen sein. Das Gewinnspiel war am nächsten Tag entfernt.

Wie kann man nun von Website-Hacks Kenntnis erlangen, wenn man selbst kein Spezialist ist oder der Hack nicht offensichtlich ist?

Sie hätten die ersten beiden Fälle ggf. in Ihren Website- bzw. Marketinganalysen erkennen können.

Wenn Sie z.B. seltsame Einbrüche in Ihren Zugriffsraten erkennen, könnte dies ein Indiz für einen Hack sein.

Auch kann die Startseite Ihrer Website eine gut besuchte Einstiegsseite sein. Sollte sich dies plötzlich ändern, kann dies ebenfalls ein Hinweis für einen Hack sein.

Generell sollten Sie plötzliche Veränderungen auf Ihrer Website immer auf Ihren Radarschirm bekommen und genauer betrachten. Sowohl positiver als auch negativer Natur.

Haben Sie bspw. Verlinkungen auf Ihre Website erhalten, die von unseriösen Spamseiten kommen, hat dies negative Auswirkungen auf Ihre Suchmaschinen-Rankings. Hier wären verlinkende Websites wichtig zu wissen und natürlich auch ausgehende Links, die in Ihre Website z.B. eingepflanzt wurden.

Ein positives Beispiel ist es, wenn Sie sehen können von welchen Quellen Sie Besucher erhalten und ob diese eine Conversion auslösen. So können Sie Ihr Marketing fortwährend optimieren.

Wie werden WordPress-Seiten gerne gehackt? Was macht Sie anfällig?

Nach meinen Recherchen gibt es drei populäre Einfallstore bei WordPress, die sich Hacker gerne zunutze machen. Hierbei handelt es sich um:

1. Die Aktualität der WordPress-Installation
2. Die verwendeten WordPress-Plugins
3. Das verwendete WordPress-Theme

Entsprechend sollten Sie mindestens die folgenden Punkte im Auge behalten:

1. Wenn Sie ein Theme oder ein Plugin verwenden, das nicht sicherheitskonform programmiert wurde, stellt sowohl das Theme als auch jedes dieser Plugins ein potenzielles Sicherheitsrisiko dar. Im nächsten Kapitel finden Sie Links mit denen Sie Ihr WordPress-Komponenten ermitteln und Sicherheitstest durchführen können.

Hinweis: Wenn Sie allerdings nur stark genutzte und aktualisierte Plugins verwenden sollten, um Ihre WordPress-Installation sicher zu halten, wie können Sie dann Ihr Online Marketing effizient aufbauen? Aus meiner Sicht punkten dann die Vorteile einer All-in-One Inbound Marketing Software wie z.B. von chocoBRAIN.

1. Achten Sie auch darauf, dass das Theme und die Plugins regelmäßig aktualisiert werden. Wenn Sie bspw Ihre WordPress-Installation aktualisieren aber Ihre Plugins einen alten Stand beibehalten, kann dies zu Sicherheitslücken führen.
2. Darüber hinaus ist es ratsam Ihre PHP-Version auf einem aktuellen und unterstützten Stand zu halten. Ist die PHP-Version ausgelaufen, werden gemeldete Fehler bspw. nicht mehr behoben und Ihr WordPress System wird an dieser Stelle potenziell angreifbar.

Ich habe die ausgelaufenen PHP Versionen einmal mit den verwendeten PHP-Versionen installierter Wordpress-Systeme vergleichen. Stand heute sind rund zwei Drittel der Installationen auf einer nicht mehr unterstützten PHP-Version:

1. Neben der PHP-Version sollten Sie auch die verwendete Datenbank (in der Regel MySQL, aber auch vermehrt MariaDB) auf einem aktuellen Stand halten. So verringern Sie z.B. die Möglichkeit potenzieller Angriffe an dieser Stelle. Die unterstützten Versionen von MySQL und für MariaDB finden Sie hier: https://www.mysql.com/support/supportedplatforms/database.html und https://mariadb.org/about/
2. Zu guter letzt gilt die Aktualisierung auch für Ihren HTTP-Server als solches also z.B. Apache oder Nginx.

Wie finden Sie auf die Schnelle heraus, welchen Stand Ihre WordPress-Installation hat und ob sie ggf. anfällig für Angriffe ist?

Sollten Sie den Zugang zu Ihrer Wordpress-Installation haben, finden Sie unter Website Zustand bereits einige der wichtigsten Informationen. Hier können Sie auch auf einfache Weise die PHP Version einsehen.

Falls Sie keinen Wordpress-Zugang haben sollten, oder Sie an anderen Websites interessiert sind, können Sie die folgenden Test verwenden:

1. Mit https://builtwith.com/ erhalten Sie einen schnellen Überblick über die verwendeten Technologien einer Website sowie z.B. der verwendeten Plugins einer Wordpress-Installation
2. Mit https://whatwpthemeisthat.com/ ermitteln Sie das verwendete Wordpress-Theme einer Website. Prüfen Sie z.B. weiter, ob das Theme regelmäßig von dem Entwickler aktualisiert wird.
3. Mit https://sitecheck.sucuri.net und https://pentest-tools.com/website-vulnerability-scanning/website-scanner# prüfen Sie Ihre Website nach unterschiedlichen Sicherheitskriterien.
4. Abschließend finden Sie unter folgendem Link die Empfehlungen von den Entwicklern von Wordpress welche Versionen Sie mindestens nutzen sollten: https://wordpress.org/about/requirements/

Update:

Mit einem der Schnelltests habe ich gerade immer noch eine infizierte Seite des oben beschriebenen Fall 1 gefunden. Die Preiseseite der Website ist immer noch infiziert - irgendwie absurd…

Welche WordPress-Erfahrungen haben Sie bislang gemacht? Was unternehmen Sie, um die WordPress-Installation abzusichern? Wie sind Ihre Erfahrungen mit WordPress, um gezielt Online Marketing aufzubauen?

Ihre Kommentare zum Artikel und zu WordPress

Diskutieren Sie mit uns auf LinkedIn >>

Schreiben Sie uns Ihre WordPress Erfahrungen >>