fbpx

Sicherheit bei der Installation von WordPress Plugins

Das Funktionsangebot der Grundversion von WordPress fällt für eine kostenlose Software zwar sehr umfangreich aus, dürfte in der Praxis trotzdem nur den wenigsten Anwendern genügen. Aber das stellt kein grosses Problem dar, denn was Ihnen an Funktionalität fehlt, installieren Sie einfach mit WordPress Plugins nach.

Allein bei WordPress.org finden Sie dazu mehr als 50.000 WordPress Plugins zur Auswahl. Daneben gibt es noch eine Vielzahl weiterer Anbieter und Quellen für freie WordPress Plugins, WordPress Themes oder auch Premium-Plugins gegen Entgelt. Einfacher formuliert, lässt sich sagen: Es gibt praktisch nichts, was diese Plugins nicht leisten können. Oder: Die Funktion, für die es nicht mindestens ein Plugin gibt, muss erst noch erfunden werden. Bei allem Nutzen oder Mehrwert der WordPress Plugins können Ihnen andererseits allerdings auch Probleme bis hin zu grossen Sicherheitsrisiken für Ihre Seite entstehen.

WordPress Plugins: Wenn weniger mehr ist

Das riesige Angebot mit diesen Erweiterungen ist auf den ersten Blick verlockend. Es eröffnet viele Möglichkeiten, hoch professionelle Webseiten zu erstellen. WordPress Installationen dominieren mit einigem Abstand den Markt der Content Management Systeme (CMS) – darunter die Seiten von kleinen und grossen Unternehmen.

Beim Aufbau mit WordPress Plugins orientieren sich viele besonders an einer Frage: Wie viele Plugins verträgt die Seite, ohne dass Geschwindigkeit und Usability leiden?

Offensichtlich muss dieser Punkt immer beachtet werden, weil andernfalls ein eingeschränktes Seitenerlebnis Nutzer, Kunden oder auch die Suchmaschinen abschreckt.

Die Frage nach der Sicherheit von WordPress Plugins sollte aber mindestens den gleichen Stellenwert besitzen! Denn hier kann eine übermässige oder unkontrollierte Plugin-Nutzung ebenfalls erheblichen Schaden hinterlassen.

Risiken bei WordPress Plugins

Das mit Abstand grösste Risiko liegt in der Quelle der Plugins. WordPress.org kann als sichere Quelle gelten, weil hier Plugins und Themes sorgfältig überprüft werden. Bei anderen Quellen ist das häufig nicht gewährleistet. Von dort installieren Sie dann regelmässig Programmfehler, Sicherheitslücken oder kritisches JavaScript gleich mit.

Ein zweites hohes Risiko erwächst aus fehlenden oder nicht installierten Updates. WordPress selbst erhält laufend Aktualisierungen. Kleinere Updates beheben Bugs und liefern Verbesserungen der Sicherheit, indem sie neu bekannt gewordene Sicherheitslücken schliessen.

Die grossen Updates übernehmen dann eher die Erweiterung oder Verbesserung der Features. Ähnlich sieht die Update-Politik bei den offiziellen Plugins aus.

Auch die weiteren Premium-Anbieter versorgen kontinuierlich ihre Plugins mindestens mit sicherheitsrelevanten Updates.

Alle Verbesserungen entfalten ihre Wirksamkeit natürlich nur, wenn Sie die Updates auch installieren. Dazu müssen Sie den Administrationsbereich von WordPress im Auge behalten, um Informationen zu Aktualisierungen zu erhalten und diese dann installieren. Ansonsten baut sich selbst bei den WordPress Plugins aus vertrauenswürdigen Quellen schnell ein Berg an Sicherheitsrisiken auf.

Dennoch bleibt ein Restrisiko: Dieses liegt in den sogenannten Zero-Day-Exploits oder allgemein der verzögerten Reaktion mit Sicherheitsupdates für neue Bedrohungen. Diese müssen zunächst bekannt werden, bevor Schutzmechanismen entwickelt und verteilt werden können.

Weitere Risiken bei WordPress-Installationen

  • Der Server: Studien zeigen, dass knapp über 40 Prozent der WordPress Angriffe und Hacks Schwachstellen beim Hosting auf unzureichend gesicherten Servern nutzen. Das Problem betrifft besonders günstige Hoster oder Angebote mit geteilten Servern, wo eine Seite angegriffen wird und andere gehostete Seiten dann leicht als kollateraler Schaden ebenfalls infiziert werden.
  • Die Zugangssicherheit: Zu viele Nutzer mit Administrationsrechten und – der Klassiker – ungenügende Passwörter bilden trotz aller Mahnungen und Informationen bis heute ein anhaltend grosses Risiko.
  • Alte WordPress Plugins und User: Im Laufe der Zeit schleppen viele WordPress-Installationen einige nutzlose Altlasten mit sich herum. Dazu zählen nicht mehr genutzte WordPress Plugins genauso wie die Benutzerkonten früherer User. Jedes für sich kann zum Einfallstor für Hacker und Schadsoftware werden. Deswegen sollten Sie hier regelmässig aufräumen.

Viel Nachholbedarf in Sachen Sicherheit bei WordPress und WordPress Plugins

Die Beliebtheit oder Verbreitung von WordPress begründet sich zum Teil durch die vielen Sicherheitsmassnahmen, die wordpress.org unternimmt und für die Anwender kostenfrei ausrollt. Sie schaffen allerdings leicht eine trügerische Sicherheit, denn selbstverständlich genügen alle diese Schritte nicht, um WordPress-Seiten eine optimale Sicherheit zu geben.

Zudem hat das CMS einige systemimmanente Schwächen wie beispielsweise das standardisierte und allgemein bekannte Datenbank-Präfix. Nehmen Sie hier keine individuelle Anpassung der Bezeichnungen vor, wird Ihre Seite schnell angreifbar.

Das allgemeine Bewusstsein für diese Schwachstellen fehlt bei vielen WordPress-Nutzern, obwohl die Hackerangriffe auf Webseiten Jahr für Jahr zunehmen und beinah wöchentlich grössere Hacks bekannt werden. Sie unternehmen in der Mehrheit trotzdem keine weiteren Sicherungsmassnahmen für Ihre Seiten.

Was sagen die Untersuchungen?

Noch 2015 waren laut Untersuchungen der Schweizer Melde- und Analysestelle Informationssicherung des Bundes rund drei von vier WordPress-Seiten ungenügend geschützt.

Dieser Wert von knapp 75 Prozent schlecht gesicherten Webseiten bedeutete zwangsläufig, dass dabei auch viele Unternehmen die Sicherheit ihrer Internetauftritte schleifen liessen. Somit gingen sie ein hohes Risiko für Ihr Geschäft ein.

Dabei könnten alle WordPress-Nutzer in puncto Sicherheit über die schon genannten allgemeinen Schritte hinaus leicht nachbessern: mit speziellen Sicherheits-Plugins für WordPress. Diese WordPress Plugins verschliessen bereits viele gängige Sicherheitslücken. Sie erfordern wie andere Plugins kein besonderes Expertenwissen bei der Einrichtung.

Unter dem Strich eröffnet sich damit zwar weiteres Optimierungspotenzial für die Sicherheit in WordPress, doch dabei entsteht gleichzeitig auch ein hoher personeller oder zeitlicher und vor allem regelmässig wiederkehrender Aufwand. Was heute im Netz noch sicher ist, kann schon in wenigen Tagen überholt und angreifbar sein.

Die Sicherheit online, bei WordPress ist kein Zustand, sondern ein Prozess, der kontinuierlich betrieben werden muss, um Sicherheit dauerhaft zu gewährleisten.

Wie kann man sich dagegen schützen?

Für Unternehmen und alle andere ambitionierten Internetprojekte mit WordPress bieten sich bei diesem notwendigen Aufwand dann externe Dienstleister für optimale ganzheitliche WordPress-Sicherheitslösungen an. Sie geben die Gewissheit, dass der Schutz der eigenen Seite in professionellen Händen liegt und von Profis gemanagt wird, die sich täglich mit den Sicherungsmassnahmen und den aktuellen Entwicklungen im Bereich der Onlinebedrohungen beschäftigen.

Es ist eine Herkulesaufgabe: Eigene Mitarbeiter – selbst mit Expertise im Bereich IT-Sicherheit – stossen dabei gerade in kleineren Unternehmen schnell an ihre Grenzen. Je wertvoller die Tätigkeit oder das Know-how eines Unternehmens ausfällt, desto mehr sieht es sich neben allgemeinen Angriffen zusätzlich noch gezielten Attacken ausgesetzt.

Ein prominentes Beispiel dafür: der Siemens-Konzern in Deutschland, der nach Angaben der unternehmenseigenen IT-Sicherheit täglich rund 1.000 Cyberangriffen ausgesetzt ist. Für eine effektive Abwehr beschäftigt Siemens allein über 1.200 Experten in diesem Bereich.

Dieser Fall illustriert gut, wie aufwendig die Organisation einer eigenen Abwehr geraten kann. Für Kleinunternehmer oder Mittelständler wird es damit praktisch unmöglich, selbst für einen adäquaten Schutz zu sorgen.

Bereits eine einzige Schwäche genügt für einen nachhaltigen Schaden. Dabei gilt wie so oft: Die Reparatur entstandener Schäden ist teurer und aufwendiger als eine gute Vorbeugung, wie sie die Dienstleistung von IT-Sicherheitsanbietern gewährleistet.

Wie gross ist die Gefahr für Hackerangriffe durch WordPress Plugins?

Die WordPress Plugins stellen nur eine von vielen potenziellen Einfallstoren für Hacker und Schadsoftware dar. Zu ihrem Missbrauch für Cyberangriffe gibt es ebenso wenig genaue Zahlen wie zu Schäden oder Häufigkeit von Hackattacken insgesamt.

Die Dunkelziffer ist gross, denn viele Angriffe werden lange oder überhaupt nicht bemerkt beziehungsweise von den angegriffenen Stellen und Unternehmen nicht bekannt gegeben. In der Mehrheit zeigen Unternehmen hier bei Weitem nicht die Offenheit und Einblicke wie der Siemens-Konzern.

Schätzungen zu dem Thema beziffern einen jährlichen globalen Schaden von 500 Milliarden Dollar durch die Gesamtheit aller Attacken inklusive der Ausnutzung von Schwachstellen in WordPress Plugins. Die meisten Unternehmen gehen dabei zu recht davon aus, dass Hackerangriffe zumindest temporär den Betrieb ganz oder in Teilen lahmlegen können. Und tatsächlich führt etwa eine von fünf Attacken zu einem Betriebsausfall.

Das Risiko darf dabei nicht ausschliesslich am Stellenwert des Unternehmens bemessen werden. Gezielte Angriffe auf einzelne Unternehmen und ihre Webseiten stellen sogar die Minderheit dar. Vielmehr gehen Hacker auf eine ziellose Suche nach Schwachpunkten bei Servern und Webseiten, um diese dann je nach Möglichkeiten auszunutzen.

Erlangen sie dabei Zugriff auf sensible Informationen über Kunden- oder Zahlungsdaten, werden sie diese in aller Regel auch abgreifen. Ansonsten genügt es ihnen aber genauso häufig schon, wenn sie den Server kapern und als Plattform für weitere Cyberkriminalität nutzen können.

Folgen von Angriffen über WordPress Plugins und andere Schwachstellen

Sehr oft registrieren die Sicherheitsprüfungen in den Webbrowsern Google Chrome und Co. die Infizierung einer Webseite schneller als die Betroffenen selbst. Die Programme warnen jeden Seitenbesucher dann vor einem Aufruf. Ihr Unternehmen verliert schnell Kunden und schliesslich auch die erkämpfte gute Platzierung in den Suchergebnissen.

Haben Hacker Ihre Seite über die WordPress Plugins vielleicht manipuliert, um von dort aus auf einschlägige Angebote mit Onlinecasinos, dubiosem Medikamentenhandel oder pornografischen Inhalten zu verlinken, fällt der Schaden ähnlich fatal aus.

Kunden, die mitbekommen, dass Sie Ihre eigene Onlinesicherheit nicht im Griff haben, vertrauen Ihnen dann auch bald nicht mehr in Ihrem Kerngeschäft. Sie wollen zukünftig keine Kunden- oder Zahlungsdaten bei Ihnen hinterlassen.

Ähnlich fällt die Wirkung aus, wenn Hacker die Seite direkt mit ihren eigenen Inhalten überschreiben. Entdeckt ihr Hoster die Übernahme oder gefährliche Schadprogramme, schaltet er die Webseite nicht selten vorübergehend ab. Dann sind Sie nur noch eingeschränkt erreichbar. In besonders schlimmen Fällen greift zusätzlich sogar die Melde- und Analysestelle Informationssicherheit des Bundes – MELANI – ein und legt gleich die ganze Domain lahm, um den Schaden einzugrenzen.

Jetzt fehlt nicht nur Ihre Seite im Internet, denn mit der Domain-Deaktivierung gehen ausserdem Ihre E-Mail-Postfächer offline und Sie können bestenfalls nur noch telefonisch kommunizieren.

Dauer der Analyse und Behebung der Schäden

Bis die konkrete Infiltration erkannt und beseitigt ist, kann es Stunden oder Tage dauern. Das hängt von der Qualität des Angriffes und Ihrem Aufwand für Analyse und Behebung der Schäden ab. Noch etwas mehr Zeit verstreicht dann, bis alle Systeme wieder reibungslos laufen und erreichbar sind.

Wie viele Kunden oder Umsatz Sie in dieser Zeit verlieren, lässt sich vielleicht noch ungefähr schätzen. Aber selbst wenn diese Zahlen noch moderat bleiben, entsteht ihnen immer ein langfristiger Imageschaden, der sich negativ auf die weitere Geschäftstätigkeit auswirken wird. Verloren gegangenes Vertrauen zurückzugewinnen, kann danach sehr lange dauern oder es erweist sich sogar als unmöglich in schwereren Fällen.

Handeln Sie vorher bei der Sicherheit von WordPress Plugins und dem Schutz Ihrer gesamten Internetseite

Zusammengefasst: Die Gefahren für eine Unternehmensseite durch WordPress Plugins und andere Komponenten des Onlineauftritts sind ähnlich gross wie die konkreten Folgen eines Hackerangriffs mit hohem Image- und Umsatzverlust. Eine Absicherung ist möglich und schafft weitreichende Sicherheit nicht nur bei WordPress Plugins.

Dabei lohnt es sich für die meisten Unternehmen klar, diese Absicherung externen IT-Sicherheitsdienstleistern mit ihrer langjährigen Erfahrung und vielen professionellen Werkzeugen zur WordPress-Sicherheit und Cyberabwehr zu überlassen. Der Aufwand hierfür bleibt weit hinter dem einer eigenen Abwehr gegen Attacken auf WordPress Plugins und andere potenzielle Schwachstellen zurück.

Ist Ihre WordPress-Website vor Angreifern geschützt?

Scannen Sie jetzt Ihre WordPress-Website, um einen kostenlosen und sofortigen Sicherheitsbericht zu erhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.