Wordpress gehackt? So können Unternehmen erfolgreiche Angriffe verhindern

Wordpress gehackt? So können Unternehmen erfolgreiche Angriffe verhindern

25.07.2017 – 11:11 Uhr

Content-Management-Systeme gehören zu den am häufigsten von Cyberkriminellen gehackten Webseiten. Open Source-CMS wie WordPress, Joomla, TYPO3, Drupal und Magento sind weit verbreitet – das macht sie zu attraktiven Zielscheiben für Hacker, da mit wenig Einsatz viele Webseiten mit einem Schlag gehackt werden können. Wie kann man seine WordPress-Seite gegen Angriffe schützen?

Everybody's darling = Hackers favourite

WordPress ist weit verbreitet und hält aktuell laut Statista über 50% des weltweiten Marktanteils an Content Management Systemen. Besonders populäre WordPress-Webseiten oder Blogs lohnen sich als Ziel für Hacker: Bei einer erfolgreichen Attacke kann zum Beispiel Schadcode injiziert werden, der Besucher auf eine Webseite weiterleitet wo sein PC mit Ransomware infiziert wird. Zuletzt hatte WordPress im Februar 2017 mit dem Core-Update auf Version 4.7.2 von sich Reden gemacht, mit dem kritische Sicherheitslücken geschlossen wurden. Angreifer hatten zuvor die Möglichkeit, Schadcode auf beliebige WordPress-Seiten einzuschleusen. Heise kritisierte die Kommunikation von WordPress zur entdeckten Sicherheitslücke, die Schwachstelle wurde zunächst verschwiegen und Nutzer hierdurch unnötig gefährdet. Dass WordPress-Seiten angegriffen werden, ist bei der Vielzahl an Sicherheitslücken nur eine Frage der Zeit – nicht aktualisierte Plugins machen WordPress-Seiten im großen Maßstab verletzlich. Drei von Vier angegriffenen Webseiten nutzen WordPress, Sicherheits-Updates sollten also nicht auf die leichte Schulter genommen werden. Ein Update für die WordPress-Version 4.8 steht bereits zur Verfügung, hier geht es zum Download. Webseitenbetreiber haben auch die Möglichkeit, das Update direkt im WordPress-Dashboard durchzuführen.

Prävention gegen Angriffe auf Wordpress

Der beste Schutz ist Prävention. So findet der Codescanner der Web Security Suite auch Sicherheitsrisiken im Quellcode und in den Plugins einer WordPress-Seite. Auch sicherheitskritische Programmierfehler werden entdeckt, bevor sie von Hackern für Angriffe ausgenutzt werden. Klassische Lösungen für WordPress-Seiten nutzen häufig lediglich einen Virenscanner, so dass Vorstufen eines Angriffs nicht erkannt werden. Backdoors ermöglichen das Einschleusen von Malware und können von Virenscannern nicht wahrgenommen werden. In ¾ der Angriffsfälle sind bereits vor dem Angriff Backdoors im System der Nutzer vorhanden. Da nicht aktualisierte Plugins und Themes sowohl Backdoors als auch die tatsächliche Einschleusung von Malware erlauben, ist es nicht nur erforderlich den eigenen Quellcode der Seite zu scannen. Das installierte Theme und der WordPress-Core selbst sollten gleichermaßen auf Sicherheitsrisiken untersucht werden.

Passwörter und Admin-Rechte: Sicherheit von Anfang an mitdenken

Viele Funktionen werden von WordPress automatisch benannt oder vorgeschlagen. So steht standardmäßig beim Präfix der Datentabelle "wp_" Der Präfix wird später durch individuelle Namen von Beiträgen und Seiten ergänzt. Wer den Präfix beim Aufsetzen von WordPress direkt umbenennt, ist für Cyberkriminelle und ihre automatisierte Zielsuche schwerer zu erfassen.
Unsichere Passwörter sorgen ebenfalls dafür, dass Hacker ein einfaches Spiel beim Einbruch in WordPress-Seiten haben - Passwörter wie Schalke123 sind leicht zu erraten und bieten wenig Sicherheit. Auch die Wahl eines nicht leicht zu erratenden Benutzernamens erhöht die Sicherheit der WordPress-Seite. Von WordPress selbst wird der Benutzer „Admin“ vorgeschlagen, Hacker sind gut informiert und müssen in so einem Fall nur noch das passende Passwort herausfinden.
Security Plugins erhöhen die Sicherheit einer WordPress-Seite ebenfalls, zum Beispiel durch die Festlegung einer bestimmten IP-Adresse für den Admin-Login. Plugins wie "Limit Login Attempts" begrenzen die Anzahl an Login-Versuchen und können verhindern, dass Passwörter automatisiert durchprobiert werden, bis der Angreifer Zugang zum System hat. Hier sollte auf jeden Fall auf die Quelle des Plugins und die Aktualität geachtet werden. Auch die Erstellung von Benutzern mit Redakteur-Rolle ist eine sinnvolle Vorsichtsmaßnahme: Der Name des Users kann bei WordPress im Quelltext und an anderen Orten entnommen werden. Wenn WordPress gehackt wird, zum Beispiel mittels eines Brute-Force Angriffs, kann so kein Nutzer-Zugang mit Admin-Rechten in falsche Hände geraten.

Schritte zur Prävention: Backup und Updates

Eine kontinuierlich stattfindende Absicherung der WordPress-Seite als Backup ist die Basis eines Schutzes gegen Hacker. WordPress bietet zu diesem Zweck eine Export-Funktion, so dass Inhalte täglich gesichert werden können und im Angriffsfall nicht verloren gehen. Regelmäßige Updates gehören ebenfalls zur Prävention von Hackerangriffen auf WordPress-Seiten: Im März diesen Jahres konnten Hacker 85.000 WordPress-Seiten hacken, weil sie von den Nutzern noch nicht geupdatet wurden.
Bekannt gewordene Sicherheitslücken werden mit neuen Updates geschlossen, eine zeitnahe Aktualisierung auf die aktuellste WordPress-Version ist ein solider Grundschutz gegen Zero Day Attacken auf WordPress-Seiten. Bei dieser Art des Angriffs nutzen Hacker gerade erst bekannt gewordene Sicherheitslücken für Angriffe aus, bevor Nutzer die Schwachstellen schließen können. Auch die Aktualisierung von in WordPress verwendeten Plugins zählt zu den wichtigsten Schutzmaßnahmen gegen Cyberangriffe – die inflationäre Verwendung von Plugins bei Nutzern ist mit verantwortlich für die große Angreifbarkeit von WordPress-Systemen. Backups und Updates von WordPress können in den Ablauf der regulären Security Maßnahmen eines Unternehmens integriert werden.

Angriffe auf WordPress-Seiten sind auf Grund der bekannten Sicherheitslücken einfach durchzuführen und werden daher sehr oft durchgeführt. Warum werden Webseiten gehackt? Erfahre hier mehr darüber, mit welchen Maßnahmen Cyberkriminelle Geld verdienen

Haben Sie Fragen?

Wir sind für Sie da!

+49 (30) 555 748 596

Kontakt