Allgemein

7 gravierende Sicherheitslücken von WordPress

WordPress-Webdesign Screenshot in Stuttgart

WordPress-Webdesign Screenshot in StuttgartWordPress hat sich längst von einer reinen Blogger-Software zu einer beliebten Programmiersprache für Websites von Selbstständigen, Startups und Unternehmen gewandelt. Allerdings kommt WordPress nicht vollständig ohne Sicherheitslücken aus, so dass Sie unbedingt sorgfältig arbeiten und vermeidbare Probleme ausschließen können. Hier erfahren Sie, welche Sicherheitsrisiken mit WordPress einhergehen und wie Sie sich ganz einfach – allein durch mehr Aufmerksamkeit – vor den Gefahren schützen können. Wir empfehlen stets die Installation von einer WordPress Agentur durchführen zu lassen.

Schadhafte WordPress-Plugins

Wenn Sie auf Updates verzichten oder bösartige Plugins unbekannter Herkunft installieren, kann es zu hohen Sicherheitsrisiken kommen. Unsauber geschriebene Plugin Codes und damit verbundene Sicherheitslücken gehören mitunter zu den häufigsten Problemen in WordPress. Ein bekanntes Beispiel ist das Plugin AMP for WP. Das Plugin wurde auf über 100.000 WordPress-Websites installiert und brachte hatte bis zur Version 0.9.97.20 und älter grundlegende Schwachstellen. Diese Schwachstellen wurden verwendet, um Maleware auf Websites zu implizieren.

Kein Schutz vor Bruteforce-Attacken

Bruteforce-Attacken legen Ihre Website und den gesamten Rechner lahm. Nicht nur Ihre eigenen Daten, sondern auch die sensiblen Kundendaten sind durch diese Hackerangriffe in Gefahr. Bruteforce Attacken spielen Malware ins System, das Ihre User bei Nutzung der Seite, explizit bei der Eingabe von Daten oder durch Downloads auf ihr eigenes System ziehen. Mit einer Firewall können Sie dieser Problematik vorbeugen und Sicherheit gewährleisten.

Keine Wartung und Pflege bei WordPress

Die Bereitstellung und Ankündigung wichtiger Updates geschieht nicht ohne Grund. Schieben Sie Updates nie auf die lange Bank, sondern installieren diese, sobald sie vom Anbieter WordPress bekanntgegeben und zur Installierung bereitgestellt werden. Selbst wenige Stunden Wartezeit können hohe Risiken nach sich ziehen und Angriffe durch die vor einem Update präsenten Sicherheitslücken vereinfachen. Zur WordPress Pflege gehört auch die regelmäßige Deinstallation und Löschung nicht mehr benötigter Plugins.

Einfache Anmeldedaten

Machen Sie es Hackern nicht einfacher als nötig. Wenn Sie zum Beispiel als Username Admin nehmen und ein leicht knackbares Passwort nutzen, legen Sie den Grundstein für Übergriffe im Web. Auch wenn Ihre Login-E-Mail identisch mit Ihrer öffentlich sichtbaren E-Mail Adresse ist, schaffen Sie Risiken, die bei gut überlegten Anmeldedaten gar nicht auf Ihrer Agenda stehen. Es geht nicht nur darum, dass Sie mit niemandem über Ihre Daten sprechen. In erster Linie geht es darum, dass Sie schwierige Anmeldedaten nutzen und so keine Einladung für Hacker und Bots aussprechen.

Unnötiges kommentieren erlaubt

Kommentieren ist durchaus erwünscht, da sich User-Kommentare auch positiv auf Ihr Ranking bei Google und Co. auswirken können. Dennoch muss nicht jeder Bereich Ihrer WordPress Website kommentierbar sein. Prüfen Sie genau, in welchen Bereichen – beispielsweise auf einem speziellen Blogbeitrag – Sie Usermeinungen erlauben und in welchen Bereichen Sie den Comment untersagen. Mit entsprechenden Einstellungen in WordPress schließen Sie unnötige Kommentarfunktionen aus. Auf den ersten Blick scheint sich aus Kommentaren kein Sicherheitsrisiko zu ergeben. Doch viele Bots setzen automatisch Verlinkungen zu unseriösen Webseiten und wenn die Kommentare automatisch freigegeben werden, haben Sie in kürzester Zeit massenhafte Spam-Kommentare.

WordPress-Tabellenpräfix nicht geändert

Ändern Sie den Tabellenpräfix bei WordPress vor der Installation manuell. Da es sich beim Tabellenpräfix ohne manuelle Änderung um eine Standardeinstellung von WordPress handelt, kann auf dieser Basis kein Schutz vor Hackerangriffen gewährleitet werden. Erfahrene Hacker wissen genau, welche Standardeinstellungen im Tabellenpräfix verwendet und durch WordPress vorgegeben werden.

Deaktivierte WP-Plugins nicht gelöscht

Die Deaktivierung ist keine Deinstallation. Wenn Sie ein Plugin dauerhaft nicht mehr nutzen, sollten Sie es deinstallieren und anschließend alle Überreste – auch in den temporären Dateien entfernen. Alle brachliegenden und für Hacker leicht auffindbaren Plugins sind Sicherheitsrisiken. Damit die Deinstallation nicht zum Problem wird, sollten Sie vorher ein Backup der Seite erstellen. Eine vollständige Entfernung der Plugins ist nur möglich, wenn Sie auch die Spuren im temporären Ordner und im Verlauf Ihres Computers entfernen.