2023 / Internet

WordPress: Sicherheitslücken in Firmenwebsites?

WordPress gilt als das am meisten genutzte Content-Management-System der Welt. Es ist kostenlos, schnell und einfach zu erlernen und auch wenn es vielen professionellen Ansprüchen immer noch nicht gerecht wird, so ist es für viele Unternehmen dennoch die erste und beste Wahl. Vor allem, weil es die Verwaltung und Erstellung für den Laien verständlich darstellt und dennoch sehr viele Möglichkeiten für Erweiterungen bietet.

Eine eigene REST API, Full Site Editing (FSE), etliche Themes und die unterschiedlichsten Plugins, für jeden nur erdenklichen Anwendungszweck, warten darauf, eingesetzt zu werden. Denn bei WordPress ist es die Erweiterbarkeit, die immer wieder für Begeisterungen sorgt. WordPress macht es einfach, die Verwaltung einer Website selbst zu übernehmen, statt externe Dienstleister damit beauftragen zu müssen.

Doch als Unternehmen sollten Plugins, Themes und Erweiterungen der Functions.php eher mit Vorsicht genossen werden. Zu groß ist das Risiko, Schwachstellen zu erzeugen und Sicherheitslücken zu provozieren. Schon mehr als einmal war es WordPress mit seinen Ausbauten, welches für entsprechende Schlagzeilen in der Security-Szene sorgte. Zeit also, sich das ganze Thema mal ein wenig genauer anzusehen.

Warum WordPress so anfällig für Schwachstellen ist

WordPress selbst ist auf Basis der Skriptsprache PHP geschrieben worden. Das CMS wird dabei in der Regel selbst gehostet und verwaltet, wenn nicht gerade ein WordPress Hoster zum Einsatz kommt. Hier gilt, was immer gilt, nämlich dass Server und die gewählten Einstellungen entsprechend sicher sein sollten. Das hat aber erst einmal nichts mit WordPress zu tun, denn ein falsch konfigurierter Server ist immer eine potenzielle Schwachstelle in den eigenen IT-Systemen.

Dennoch kann gesagt werden, dass der WordPress Core, also das Herzstück des CMS, durchaus als sicher bezeichnet werden kann. Neue Versionen erscheinen meist nicht kurzfristig, der Entwicklungsplan ist klar erkennbar und die große Community sorgt zu guter Letzt ebenfalls dafür, dass immer jemand auch kleinste Sicherheitslücken aufdeckt und entsprechend meldet. Auf diese Weise lässt sich schon sagen, dass der WordPress Core selbst relativ sicher ist.

Die Anfälligkeit kommt somit meistens durch Dritte und den Anwender selbst in das Content Management System. Durch Themes zum Beispiel, die auf Services von Drittanbietern zurückgreifen oder auch durch die vielen Plugins, die nicht alle sauber und vor allem sicher programmiert wurden. Auch Snippets, die bei WordPress weitverbreitet sind und über die Functions.php hinzugefügt werden können, haben oft das Potenzial Schwachstellen freizusetzen, die es ohne sie in WordPress gar nicht geben würde.

Wo die kritischsten Sicherheitslücken liegen

Eben bereits angedeutet, möchte ich nun auf die Stellen, die in WordPress das Potenzial für Sicherheitslücken bieten, noch einmal genauer eingehen. Namentlich sind das vorwiegend Themes und Plugins. Es ist dabei egal, wie groß oder klein die Erweiterung auch sein mag, unzählige Themes und Plugins sind durch ihre Schwachstellen bereits mehrmals negativ aufgefallen und es kommt immer und immer wieder vor.

Bei den Plugins ist es meist so, dass niemand genau weiß, wer diese überhaupt entwickelt. WordPress ist Open Source und theoretisch könnte jeder seine eigene WordPress-Erweiterung auf Basis eines Tutorials programmieren und entsprechend anbieten. Logisch natürlich, dass die Erfahrung als Entwickler fehlen könnte oder der Entwickler im schlimmsten Fall offensichtliche Schwachstellen integrieren könnte.

Auf der anderen Seite ist es schon häufiger vorgekommen, dass Plugins den Entwickler gewechselt haben. Auch das ist gefährlich. Wenn eine Erweiterung für WordPress, die auf tausenden, zehntausenden oder gar hunderttausenden Blogs installiert wurde, plötzlich einen neuen Entwickler bekommt, weiß niemand, ob dieser nicht absichtlich Schadcode einschleust oder er schlichtweg überfordert mit der Codebasis ist. Dann könnte es an zeitnahen Patches zu Sicherheitslücken mangeln.

Bei den WordPress Themes sind es die Funktionen, die den Entwicklern auf die Füße fallen. Durch immer mehr und möglichst viele Features setzen Entwickler selten eigene Lösungen ein, sondern greifen auf Drittanbieter oder öffentliche Scripte und Bibliotheken zurück. Typischerweise werden solche Einbindungen dann zur Schwachstelle und, je häufiger diese genutzt werden, desto populärer werden sie als Angriffsziel. Auch das ist bei WordPress Themes schon mehr als einmal der Fall gewesen.

Was Sie gegen das Sicherheitsproblem von WordPress tun können

Ein großes Problem von WordPress ist, dass es neben dem Code von Dritten auch selbst eine Angriffsfläche bietet. Weil WordPress automatisiert erkannt werden kann, genau wie die verwendeten Plugins und Themes, werden diese von Bots auch immer wieder abgefragt. Trifft ein Bot dann auf eine anfällige WordPress-Version oder ein entsprechendes Plugin bzw. Theme, wird mittels Brute-Force versucht diese auszunutzen.

Die Angriffe finden dabei völlig automatisiert statt und suchen speziell nach Sicherheitslücken, die bekannt oder eben noch nicht bekannt sind. Eine Web Application Firewall ist daher der erste Schritt, um solche Angriffe und Anfragen von vornherein abzublocken. Security Plugins für WordPress sind zwar teuer, bieten aber ebenfalls eine erste Mauer von Schutz, wenn es um die reinen Angriffsflächen geht. Wirklich sicher ist WordPress deshalb aber noch lange nicht.

Vielmehr sollten Sie darauf achten, stets die neuste Version einzusetzen. Sowohl bei WordPress, als auch bei den Themes und Plugins. Kritische Sicherheitslücken gilt es sofort zu schließen, zu melden und zu neutralisieren. Logs verraten Ihnen, wer auf Ihre Website zugreift und wann Angriffe stattfinden. Lassen Sie Ihre Website also von einem Experten überwachen, denn der sollte durch seine Quellen die meisten Schwachstellen in WordPress, ob alt oder neu, bereits kennen. Nicht zu vernachlässigen ist, wie viele Unternehmensseiten gefährdet sind.

Wie Sie WordPress als CMS sicher betreiben können

Das Problem bei Unternehmenswebsites ist, dass diese einmal erstellt und dann oft selten aktualisiert werden. Wer für einen solchen Einsatz WordPress verwendet, loggt sich entsprechend nur einmal im Jahr ein und verpasst wichtige Updates für das CMS oder die verwendeten Erweiterungen und Themes. Gleichzeitig sind die automatischen Updates nicht möglich, weil diese unter Umständen für Probleme sorgen könnten.

All das sorgt am Ende dafür, dass WordPress zwar eine einfache, aber nicht immer die beste Wahl ist. Gerade dann, wenn Sie WordPress für Ihre Unternehmenswebsite selbst verwalten, müssen Sie über die hier genannten Punkte vorab informiert sein. Keine Website dieser Welt kann einfach angelegt werden und fortan für sich allein existieren. Server, Websites, Scripte und mehr benötigen regelmäßige Wartungen, Bugfixes oder Anpassungen, sollten sich die technischen Bedingungen in Zukunft einmal ändern.

Serversoftware steht ebenso wenig still, wie das Content Management System selbst und auch Datenbanken variieren über die Jahre. Glauben Sie daher bitte nicht, dass WordPress Ihnen all die Arbeit in der Verwaltung abnimmt. Es erleichtert Ihnen lediglich die Erstellung von neuen Inhalten. Die Sicherheitsprobleme aber bleiben.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.