Sicherheitslücken: Update auf WordPress 4.0.1 empfohlen

Seit WordPress automatische „Mini-Updates“ bzw. Security Releases durchführt (seit 3.7), also Updates mit kleinen Versionsnummern, berichten wir im Blog nur noch von größeren Updates, bei denen Verbesserungen und neue Features veröffentlicht werden. Das Update auf WordPress 4.0.1 ist eine Ausnahme und hat es leider, bzw. gezwungenermaßen, in sich: Mit dem Update wurden mehrere – teils schwere – Sicherheitslücken geschlossen.

Ein Update wurde auch für Nutzer ab WordPress 3.7.4 automatisch ausgerollt, es sei denn, die automatische Aktualisierung wurde deaktiviert. Einen weiteren Support für ältere Versionen soll es nicht geben, generell wird ein Update auf 4.0.1 empfohlen.

Leider kommt bei diesem automatischen Update hinzu, dass es mit einigen Plugins und Themes Probleme gibt bzw. gab. Das war eine Befürchtung, als bekannt wurde, dass es automatische Updates geben wird. Bisher hat sie sich nicht bestätigt, weil das System gut durchdacht ist: kleinere Versionssprünge, bei denen keine Probleme zu erwarten sind, automatisch, und größere Versionssprünge manuell. Keine nennenswerten Probleme also – bis 4.0.1. Leider. Es wird daher empfohlen, die Website nach dem Update zu überprüfen.

Ist WordPress unsicher?

Nun kommen natürlich verstärkt Fragen zur Sicherheit von WordPress auf. Dass WordPress unsicher ist, kann man generell nicht sagen. Lobenswert ist außerdem zu erwähnen, dass neu gefundene Sicherheitslücken sehr schnell per Update gestopft werden. Aber: WordPress ist mit seinem riesigen Marktanteil von über 60% natürlich ein beliebtes Angriffsziel. Das beweist unter anderem die Bombardierung von Login-Seiten mit Zugangsdaten, die man bemerkt, wenn man das mit einem Plugin wie Wordfence trackt.

Wir haben immer wieder mit Neukunden zu tun, deren Websites gehackt wurden. Die Ursachen waren immer gleich:

  1. Verseuchte Rechner, und / oder
  2. unsichere Passwörter.

Wenn sich auf einem Rechner Schadsoftware befindet, die unverschlüsselt abgelegte FTP-Zugangsdaten ausspäht, können WordPress-Dateien auf dem Server manipuliert und wiederum mit Schadcode verseucht werden. Dafür muss eine Website nicht mal mit WordPress laufen, das funktioniert bei jedem anderen CMS, und auch bei reinen HTML-Seiten.

Wenn für den WordPress-Login ein Passwort wie 123 festgelegt ist, am besten für einen User Admin oder Administrator, wird die Installation mit großer Sicherheit früher oder später gehackt – nicht von echten Menschen, die einem persönlich schaden wollen, sondern von automatisiertem Zugangsdaten-Beschuss auf die Login-Seite.

Seltener, aber auch möglich, ist ein Befall aufgrund von zweifelhaften Plugins und Themes – ungewollt, weil schlecht programmiert, oder mit voller Absicht.

Natürlich gibt es auch Hacks aufgrund von Sicherheitslücken. Ich will das nicht herunterspielen, aber das ist, unserer Erfahrung nach, verhältnismäßig eher selten.

Sicherheits-Empfehlung

Es gibt verschiedenste Möglichkeiten, eine WordPress-Website noch besser abzusichern. Wer den Aufwand nicht betreiben will oder eine zusätzliche Lösung sucht, sollte sich das Plugin Wordfence Security einmal genauer ansehen. Das Plugin scannt WordPress-Dateien auf verdächtige Veränderungen, bietet eine Firewall, erweiterten Schutz der Login-Seite, und einiges mehr. Mit Benachrichtigungen per E-Mail. Gleichzeitig gibt es interessante Anzeigen von Live Traffic:

Bei WP-Agentur.de hat es in den letzten Tagen Login-Versuche mit dem Benutzernamen „Admin“ aus den USA, Russland, der Türkei, Israel, Australien, Singapur, Katar, Sri Lanka, Vietnam, Italien, Island, den Vereinigten Arabischen Emiraten, Mexiko, Malaysia, Polen, Portugal und Schweden gegeben.

In keinem dieser Länder haben wir Mitarbeiter. Nicht auszumalen, was wäre, wenn unser Passwort 123 lauten würde (und wir Wordfence nicht nutzen würden).

Kontaktformular-Plugins für WordPress

Kontaktformulare

Kontaktformulare sind wichtige Bestandteile von Websites – und sie werden auch genutzt. Mehr als 2/3 aller neuen Anfragen, die wir erhalten, werden über unser Formular verschickt.

Die zwei beliebtesten Formular-Plugins sind Contact Form 7 und Gravity Forms.

Contact Form 7

Contact Form 7 ist ein kostenloses Plugin, welches sich vor allem für einfache Formulare eignet, und sehr gut funktioniert.

Etwas gewöhnungsbedürftig ist – zumindest im ersten Moment – die Formularbearbeitung. Man arbeitet mit einem Formular-Editor, in dem sich Shortcodes befinden, die von etwas HTML umgeben sind. Die eigentlichen Formularfelder werden mit einem Shortcode-Generator erstellt, die man dann in den Editor kopieren muss. Ungewöhnlich, aber letztendlich nicht schlecht – wenn auch ein visueller Editor mit Drag & Drop angenehmer wäre.

Gleichzeitig gibt es noch einen Editor für die E-Mails selbst, und das ist wirklich schön gelöst: So kann man die E-Mails gestalten, wie man sie braucht. Schön ist auch, dass alle Meldungen auf einer Seite zu finden sind und dort angepasst werden können.

Fazit: Ein gutes Plugin für einfache Formulare, mit nicht ganz so einfacher Formularbearbeitung.

zum Plugin

Gravity Forms

Gravity Forms kostet ab 39$ pro Jahr, dafür bekommt man aber auch einiges geboten. Es lassen sich damit – neben einfachen Formularen – auch komplexeste Formulare erstellen, und das ist gar nicht schwer.

Besonders hervorzuheben ist, dass Gravity Forms über 30 Feldtypen bietet, dabei mit logischen Bedingungen arbeiten kann (Erstellen von Regeln), sich Formulare auch über mehrere Seiten (Schritte) erstrecken können, und natürlich, dass es für alles einen visuellen Editor mit Drag & Drop gibt. Schön wäre, wenn man die Felder gleich im Editor mehrspaltig ziehen könnte, das ist so aber (noch) nicht möglich.

Es gibt knapp 20 Erweiterungen für verschiedene Zwecke. So lassen sich zum Beispiel auch komplexe Registrierungsformulare für WordPress erstellen, die die Felder auch gleich in die Datenbank und den Administrationsbereich speisen. Oder eine Anbindung zu PayPal, wodurch man Kaufprozesse per Formular umsetzen kann.

Einen weiteren Punkt braucht man nicht in jedem Fall, aber erwähnenswert ist er: Man kann alle getätigten Einträge auch im WordPress-Dashboard verwalten. Für Contact Form 7 gibt es zwar eine Erweiterung, da ist es aber nicht so schön umgesetzt wie bei Gravity Forms. Dafür sind bei Gravity Forms die E-Mails optisch nicht besonders ansprechend formatiert.

Fazit: Das mächtigste Formular-Tool für WordPress.

zum Plugin

Integration

Die erstellten Formulare werden bei beiden Plugins per Shortcode an der gewünschten Stelle eingefügt. Wenn eine nahtlose Design-Anpassung an das genutzte Theme gewünscht wird, muss dies manuell per CSS gemacht werden. Für Mehrspaltigkeit sind bei Contact Form 7 HTML-Kenntnisse nötig, bei Gravity Forms genügt die Angabe von CSS-Klassennamen aus der Dokumentation.

Hier noch ein Hinweis:

Manche Themes, insbesondere neue Themes mit Layout-Builder, haben bereits einen (abgespeckten) Formular-Builder integriert.