wordpress-logo-notext-rgb

Sicherheitslücken: Update auf WordPress 4.0.1 empfohlen

Seit WordPress automatische „Mini-Updates“ bzw. Security Releases durchführt (seit 3.7), also Updates mit kleinen Versionsnummern, berichten wir im Blog nur noch von größeren Updates, bei denen Verbesserungen und neue Features veröffentlicht werden. Das Update auf WordPress 4.0.1 ist eine Ausnahme und hat es leider, bzw. gezwungenermaßen, in sich: Mit dem Update wurden mehrere – teils schwere – Sicherheitslücken geschlossen.

Ein Update wurde auch für Nutzer ab WordPress 3.7.4 automatisch ausgerollt, es sei denn, die automatische Aktualisierung wurde deaktiviert. Einen weiteren Support für ältere Versionen soll es nicht geben, generell wird ein Update auf 4.0.1 empfohlen.

Leider kommt bei diesem automatischen Update hinzu, dass es mit einigen Plugins und Themes Probleme gibt bzw. gab. Das war eine Befürchtung, als bekannt wurde, dass es automatische Updates geben wird. Bisher hat sie sich nicht bestätigt, weil das System gut durchdacht ist: kleinere Versionssprünge, bei denen keine Probleme zu erwarten sind, automatisch, und größere Versionssprünge manuell. Keine nennenswerten Probleme also – bis 4.0.1. Leider. Es wird daher empfohlen, die Website nach dem Update zu überprüfen.

Ist WordPress unsicher?

Nun kommen natürlich verstärkt Fragen zur Sicherheit von WordPress auf. Dass WordPress unsicher ist, kann man generell nicht sagen. Lobenswert ist außerdem zu erwähnen, dass neu gefundene Sicherheitslücken sehr schnell per Update gestopft werden. Aber: WordPress ist mit seinem riesigen Marktanteil von über 60% natürlich ein beliebtes Angriffsziel. Das beweist unter anderem die Bombardierung von Login-Seiten mit Zugangsdaten, die man bemerkt, wenn man das mit einem Plugin wie Wordfence trackt.

Wir haben immer wieder mit Neukunden zu tun, deren Websites gehackt wurden. Die Ursachen waren immer gleich:

  1. Verseuchte Rechner, und / oder
  2. unsichere Passwörter.

Wenn sich auf einem Rechner Schadsoftware befindet, die unverschlüsselt abgelegte FTP-Zugangsdaten ausspäht, können WordPress-Dateien auf dem Server manipuliert und wiederum mit Schadcode verseucht werden. Dafür muss eine Website nicht mal mit WordPress laufen, das funktioniert bei jedem anderen CMS, und auch bei reinen HTML-Seiten.

Wenn für den WordPress-Login ein Passwort wie 123 festgelegt ist, am besten für einen User Admin oder Administrator, wird die Installation mit großer Sicherheit früher oder später gehackt – nicht von echten Menschen, die einem persönlich schaden wollen, sondern von automatisiertem Zugangsdaten-Beschuss auf die Login-Seite.

Seltener, aber auch möglich, ist ein Befall aufgrund von zweifelhaften Plugins und Themes – ungewollt, weil schlecht programmiert, oder mit voller Absicht.

Natürlich gibt es auch Hacks aufgrund von Sicherheitslücken. Ich will das nicht herunterspielen, aber das ist, unserer Erfahrung nach, verhältnismäßig eher selten.

Sicherheits-Empfehlung

Es gibt verschiedenste Möglichkeiten, eine WordPress-Website noch besser abzusichern. Wer den Aufwand nicht betreiben will oder eine zusätzliche Lösung sucht, sollte sich das Plugin Wordfence Security einmal genauer ansehen. Das Plugin scannt WordPress-Dateien auf verdächtige Veränderungen, bietet eine Firewall, erweiterten Schutz der Login-Seite, und einiges mehr. Mit Benachrichtigungen per E-Mail. Gleichzeitig gibt es interessante Anzeigen von Live Traffic:

Bei WP-Agentur.de hat es in den letzten Tagen Login-Versuche mit dem Benutzernamen „Admin“ aus den USA, Russland, der Türkei, Israel, Australien, Singapur, Katar, Sri Lanka, Vietnam, Italien, Island, den Vereinigten Arabischen Emiraten, Mexiko, Malaysia, Polen, Portugal und Schweden gegeben.

In keinem dieser Länder haben wir Mitarbeiter. Nicht auszumalen, was wäre, wenn unser Passwort 123 lauten würde (und wir Wordfence nicht nutzen würden).

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.