Risiken in WordPress

WordPress ist das beliebteste Content Management System (CMS) der Welt. Der Marktanteil von WordPress liegt bei erstaunlichen 43% aller Webseiten. Allerdings zieht diese Beliebtheit auch Angreifer an. 

Als Geschäftsführer eines Start-ups tragen Sie eine besondere Verantwortung: Sie müssen diese Risiken minimieren. Eine Vernachlässigung dieser Pflicht kann zu zivil- und strafrechtlichen Konsequenzen führen.

In diesem Ratgeber möchten wir Ihnen einen Überblick über die wichtigsten Sicherheitsrisiken in WordPress geben und was Sie tun können, um Ihre Website zu schützen.

Ratgeber als PDF herunterladen.

Fast 90% aller Angriffe auf Open-Source-Plattformen im Jahr 2018 betrafen WordPress-Webseiten. Im Jahr 2017 waren es noch 83%.

Plugins & Themes

Plugins und Themes bieten Ihnen die Möglichkeit, Ihre WordPress-Website mit zusätzlichen Funktionen und einem ansprechenden Design zu erweitern.

Es ist jedoch wichtig zu beachten, dass diese Erweiterungen auch potentielle Sicherheitslücken darstellen können. Da sie von unabhängigen Drittanbietern entwickelt werden, liegt die Verantwortung für die Sicherheit und regelmäßige Aktualisierung dieser Erweiterungen in deren Händen. Hier finden Sie eine Auswahl an beliebten Plugins, die beispielsweise von Sicherheitsproblemen betroffen sind:

• Page-Builder wie Elementor: Diese Plugins erleichtern das Erstellen von Webseiten erheblich. Dennoch gibt es Schwachstellen, die eine ferngesteuerte Code-Ausführung erlauben - ein Risiko, das Datendiebstahl und Übernahme Ihrer Webseite und Infrastruktur ermöglichen kann.

• WooCommerce: Dieses umfangreiche E-Commerce-Plugin ermöglicht die Erstellung von Online-Shops. Hier kann eine Schwachstelle jedoch ebenfalls die ferngesteuerte Code-Ausführung erlauben.

• SEO Plugins wie YOAST: Diese ermöglichen die Verbesserung der Sichtbarkeit Ihrer Website in Suchmaschinen. Allerdings gibt es u.A. Schwachstellen, die das Auslesen der Datenbank ermöglichen können.

• Formular-Plugins wie WPForms: Diese erleichtern das Erstellen von Kontaktformularen, Umfragen und mehr. Allerdings bestehen hier beispielsweise Schwachstellen, die Identitätsdiebstahl von anderen Benutzern durch XSS ermöglichen.
  

Sollten Sie Plugins nutzen, ist die Wahrscheinlichkeit hoch, dass zumindest eine Schwachstelle existiert.

Lösungen

Um sicherzugehen, dass Ihre Website so sicher wie möglich ist, sollten Sie folgende Schritte befolgen:

1. Aktualisieren Sie regelmäßig: Die Entwickler von Plugins und Themes stellen oft Updates zur Verfügung, die bekannte Sicherheitslücken schließen.

2. Limitieren Sie die Anzahl der verwendeten Plugins: Jedes zusätzliche Plugin ist eine potenzielle Sicherheitslücke. Verwenden Sie daher nur die Plugins, die Sie wirklich brauchen.

3. Überprüfen Sie regelmäßig, ob verwendete Plugins bereits betroffen sind: Nutzen Sie die gleichen Tools wie potenzielle Angreifer (z.B. WPScan), um festzustellen, ob Ihre Plugins Sicherheitslücken aufweisen.
   

In unseren Workshops zeigen wir Ihnen, wie Sie Plugins und Themes sicher verwenden können. Wir erklären, wie Sie gefährdete Plugins erkennen und wie Angreifer diese nutzen würden, um Kontrolle über die Webseite und die Infrastruktur zu erlangen.

Tools wie WPScan unterstützten Angreifer Informationen über angreifbare Plugin & Themes einer WordPress-Seite zu sammeln.

Brute-Force-Passwortangriffe

Brute-Force-Passwortangriffe sind eine häufige Angriffsmethode, bei der Angreifer versuchen, sich Zugriff auf ein Benutzerkonto zu verschaffen, indem sie systematisch tausende verschiedene Passwörter ausprobieren. Dank Tools wie WPScan können hunderte Kombination pro Sekunde durchgetestet werden.

Dieser Angriff zielt auf schwache oder wiederverwendeter Passwörter ab und kann zu einer erfolgreichen Übernahme Ihrer WordPress-Website führen.

Lösungen

Um sich vor Brute-Force-Passwortangriffen zu schützen, sind folgende Maßnahmen empfehlenswert:

1. Verwenden Sie starke, einzigartige Passwörter: Je länger und komplexer Ihr Passwort ist, desto schwieriger wird es für Angreifer, es zu erraten.

2. Aktivieren Sie die Zwei-Faktor-Authentifizierung: Dies erhöht die Sicherheit, indem es eine zusätzliche Überprüfungsebene hinzufügt.

3. Limitieren Sie die Anzahl der Anmeldeversuche: Dies kann verhindern, dass ein Angreifer unendlich viele Passwortkombinationen ausprobieren kann.

4. Verstehen Sie Angriffsszenarien: Nutzen Sie die gleichen Tools wie potenzielle Angreifer (z.B. WPScan), um festzustellen, wo mögliche Schwachstellen bestehen und Ihre Sicherheitsmaßnahmen entsprechend anzupassen.

In unseren Workshops zeigen wir Ihnen, wie Brute-Force-Angriffe funktionieren und welche Methoden Angreifer verwenden, um Passwortlisten zu erstellen. Wir vermitteln Ihnen Techniken zur Identifizierung gefährdeter Benutzerkonten und zeigen Ihnen, wie Angreifer geleakte Passwortlisten oder persönliche Informationen wie Namen, Geburtsdaten und Informationen über Familienmitglieder und Haustiere nutzen, um Passwörter zu erraten. Zudem bieten wir praktische Tipps und Strategien, um Ihre WordPress-Website vor solchen Angriffen zu schützen.

Die Mehrheit der Benutzer neigt dazu, Passwörter zu wählen, die leicht im Gedächtnis bleiben. Tools wie CUPP nutzen dies, indem sie personalisierte Passwortlisten erstellen, die auf Informationen über Familienmitglieder und Haustiere basieren.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS)-Schwachstellen gehören zu den häufigsten Angriffsvektoren von Webanwendungen. Eine XSS-Schwachstelle kann es einem Angreifer ermöglichen, beliebigen JavaScript-Code im Browser des Ziels auszuführen und zu einer vollständigen Kompromittierung der Webanwendung führen, wenn sie mit anderen Schwachstellen gekoppelt ist.

Das Ziel dieser Angriffe ist es, Code in ihre Website einschleusen, der dann von anderen Benutzern ausgeführt wird. Beispielsweise können Formulare genutzt werden, um bösartige Code in die Datenbank der Website einzufügen. 

Dies bedeutet, dass bei jedem Aufruf der Website durch einen Benutzer der schadhaften Code als Teil der Antwort an den Browser des Benutzers gesendet wird.  

XSS-Angriffe zielen darauf ab, vertrauliche Benutzerdaten zu stehlen oder bösartige Aktionen im Namen des Benutzers auszuführen.

Lösungen

Um Ihre WordPress-Website vor XSS-Angriffen zu schützen, gibt es verschiedene Strategien, die Sie auch ohne tieferes technisches Verständnis anwenden können:

1. Aktualisieren Sie regelmäßig: Stellen Sie sicher, dass Ihre WordPress-Installation, Plugins und Themes immer auf dem neuesten Stand sind.

2. Nutzen Sie sichere Plugins: Nicht alle Plugins sind gleich sicher. Prüfen Sie die Bewertungen und das Update-Verhalten von Plugins, bevor Sie diese installieren.

3. Minimieren Sie Benutzereingaben: Besonders bei Formularen, Kommentaren oder Suchfeldern besteht das Risiko von XSS-Angriffen.

4. Verstehen Sie die Tools & Techniken von potenziellen Angreifern: Mit Anwendungen wie XSStrike oder WPScan können Sie Ihre Website auf Schwachstellen überprüfen. So identifizieren Sie potenzielle Angriffspunkte, bevor ein Angreifer dies tut.
   

In unseren praxisorientierten Workshops vertiefen wir diese Themen und zeigen Ihnen, wie Sie Ihre WordPress-Website detailliert überprüfen und schützen können. Wir erläutern Ihnen, wie Angreifer XSS-Angriffe durchführen und zeigen Ihnen Strategien zur Abwehr solcher Angriffe. Zudem geben wir Ihnen praktische Anleitungen, um den sicheren Umgang mit Ihrer Website zu gewährleisten.