In letzter Zeit häufen sich die Berichte über Sicherheitslücken in WordPress, die zur Infektion von Webseiten auch ausgenutzt werden, und im gleichen Zug auch die Sicherheitsupdates sowohl für WordPress selbst, als auch für seine Komponenten wie Themes und Plugins. Bedeutet das, dass WordPress -so wie Windows im Vergleich zu Linux- ein besonders unsicheres System ist?
Weite Verbreitung
In einem stimmen WordPress und Windows tatsächlich überein, sie sind in ihrer jeweiligen Software-Klasse der unangefochtene Spitzenreiter. Die weitaus meisten PCs laufen mit dem Betriebssystem Windows, und etwa ein Viertel aller Webseiten, so heißt es, basieren auf WordPress. Kein anderes Content Management System hat auch nur annähernd so eine weite Verbreitung – Statistiken gestehen den weiteren CMS lediglich einstellige Prozentbeträge zu.
Das macht beide Softwareprodukte zu besonders interessanten Zielen. Es ist natürlich lohnender, ein CMS zu knacken, das 25% der Webseiten der Welt steuert, als eines, das gerade einmal 2% Marktanteil bei CMS-Webseiten überhaupt aufweist.
Allerdings sind es eher selten Sicherheitslücken in WordPress selbst, die zur Gefahr werden, und wenn sie auftauchen, werden sie sehr schnell geschlossen. Die letzten Lücken, die WordPress selbst betrafen, wurden jeweils innerhalb von 24 Stunden geschlossen. Im Vergleich zu der Langsamkeit, mit der Sicherheitslücken in Windows geschlossen werden, ist das hervorragend.
Worin die eigentliche Gefahr für WordPress liegt
Über die mangelhafte konzeptionelle Sicherheit von Windows habe ich bereits manches geschrieben. Von einem mangelhaften Konzept kann bei WordPress wohl keine Rede sein, aber stattdessen ist es seine offene Struktur, die ein Problem darstellt, vergleichbar mit der Situation bei Android.
Damit ist nicht gemeint, dass es eine quelloffene Software ist. Das sind die meisten anderen CMS auch, außerdem zeigt sich immer wieder, dass Open Source im Vergleich zu geschlossener Software sicherer ist.
Gemeint ist, dass es vergleichsweise leicht ist, WordPress einzusetzen und zu erweitern. Der Umgang mit WordPress ist leicht zu lernen, auch weniger technikaffine Personen können damit Webseiten erstellen. Es ist sogar verhältnismäßig leicht, selbst Themes oder Plugins zu erstellen. Und das bedeutet leider, dass auch weniger erfahrene Programmierer Themes und Plugins erstellen, und dass auch weniger erfahrene Administratoren von Webseiten WordPress einsetzen.
Dies ist die eigentliche Gefahr: Viele Sicherheitslücken entstehen durch unsaubere Programmierung von Themes und Plugins. Und viele Sicherheitslücken bleiben sehr lange offen, weil Webseiten-Administratoren sich nicht um die Sicherheit ihrer Seite kümmern und keine Updates einspielen.
Ich habe den Eindruck, dass gerade auch von kleinen Firmen zwar jemand beauftragt wird, eine Webseite zu bauen, dass anschließend aber kein Wert mehr auf die fortlaufende technische Betreuung der Seite gelegt wird. So veralten gerade WordPress-Installationen sehr schnell und werden zu einer Gefahr.
Weitere Gefahrenquellen
Während die oben genannten Besonderheiten auf WordPress allein zutreffen, drohen diesem System außerdem die gleichen Gefahren, die auch allen anderen CMS drohen:
- Webserver können erfolgreich angegriffen werden. Eine Sicherheitslücke in einem Webserver oder in den üblichen Komponenten PHP oder SQL kann der Administrator einer Webseite selten beeinflussen. Hier ist der Provider gefragt. Überdies werden bei üblichen günstigen Paketen, bei denen nicht ausdrücklich ein eigener, persönlicher Server gemietet wurde, in der Regel mehrere Webseiten verschiedener Kunden auf einem Serversystem gehostet. Eine Sicherheitslücke in einem dieser Systeme kann die Übernahme des gesamten Servers zur Folge haben, so dass auch die aktuellsten Sicherheitsmaßnahmen nicht fruchten.
- Die WordPress-Installation kann so aktuell sein, wie sie will, wenn es leicht ist, das Admin-Konto und -Passwort zu erraten, dann ist es nur eine Frage der Zeit, bis das auch geschieht. Außerdem sollten Kontonamen und Passwörter nicht per unverschlüsselter E-Mail im Klartext kommuniziert werden, auch der FTP-Zugriff sollte verschlüsselt werden. Das gilt insbesondere für jede Kommunikation in der Öffentlichkeit (Internet-Cafés, Hotspots…)
- Der eigene Windows-PC könnte von Schadsoftware befallen werden, die ihrerseits Kontonamen und Passwörter sammelt. Auch dadurch können erfolgreiche Angriffe gegen Webseiten ausgelöst werden.
Maßnahmen
Für Webseitenbetreiber besteht genau so eine grundsätzliche Gefahr wie für Verkehrsteilnehmer. Auch der beste Autofahrer kann in einen Unfall verwickelt werden. Ebenso schützt auch die aktuellste und umfassend abgesicherte Installation von WordPress oder einer beliebigen anderen Lösung nicht vor der grundsätzlichen Möglichkeit, dass ein erfolgreicher Angriff auf die Webseite stattfindet.
Deshalb ist es notwendig, immer aufmerksam zu bleiben, Updates immer einzuspielen, die Nachrichten zum Thema zu verfolgen, aber auch neben zusätzlichen Absicherungsmaßnahmen für den Fall eines trotzdem erfolgreichen Angriffs einen Rettungsplan und ein Daten-Backup zu haben. Es muss nicht sein, dass Ihre Seite irgendwann erfolgreich kompromittiert wird, aber es kann passieren. Seien Sie darauf vorbereitet.
