Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 24. Oktober 2019

Woher weiß ich, ob mein WordPress sicher ist?

Eine veraltete Version oder ein Plugin, das nicht mehr aktuell ist: Mögliche Sicherheitslücken können in WordPress schnell entstehen. Doch woher weißt Du, ob Dein Blog gefährdet ist?

WordPress ist das beliebteste Blog- und Content-Management-System im Netz. Hinter mehr als 30% aller Websites im Internet steckt eine WordPress-Installation. (Stand: Oktober 2019, Quelle: W3Techs).

Schaut man sich die aktuellen Statistiken über die Verteilung der WordPress-Versionen auf WordPress.org an, stellt man fest: Viele Nutzer setzen noch nicht die aktuellste und damit auch sicherste Version ein.

Ein Grund hierfür kann sein, dass auf dem Webserver noch immer eine veraltete PHP-Version läuft, denn die aktuellste WordPress-Version 5.2 setzt PHP in der Version 7 mindestens voraus.

Ein Überblick über den Anteil der WordPress-Versionen, die im Netz Verwendung finden.

Wie wichtig ist die aktuelle Version?

Anscheinend ist vielen Nutzern nicht klar, wie wichtig es ist, die Software stets auf dem aktuellsten Stand zu halten. Dies gilt insbesondere auch auf Webservern, die öffentlich im Netz verfügbar und damit stets auch angreifbar sind.

Nicht selten nutzen Hacker Sicherheitslücken insbesondere in WordPress aus, um ein System anzugreifen. Meist geht es Hackern nicht darum, einem konkreten Nutzer zu schaden. Viel mehr schafft sich der Angreifer über den gehackten Webspace Ressourcen, um Schadcode zu verteilen oder um sie als Spamschleuderzu missbrauchen.

Wer selbst nicht Opfer von solchen Angriffen sein möchte, sollte stets auf dem Laufenden sein. Das heißt: Er sollte sein WordPress sowie auch die enthaltenen Plugins und Themes aktualisieren. Ist dazu noch die PHP-Version veraltet, solltest Du eine aktuellere Version installieren, denn auch hier gibt es Sicherheitslücken.

Welche Quellen geben Infos über Sicherheitslecks?

Welche Sicherheitslecks im Bezug zu WordPress, den Plugins und Themes aktuell existieren, findest Du über verschiedene Quellen schnell heraus:

Eine sehr gute deutsche Quelle ist über Twitter unter dem Namen @WPSicherheit erreichbar. Es lohnt sich auf jeden Fall, diesen Kanal zu abonnieren. Hier gibt es teilweise mehrere Tweets täglich über offene Lücken von WordPress selbst oder von Plugins mit Angabe der betroffenen Version.

Taucht eines Deiner Plugins oder die WordPress-Version auf, die Du in Deinem Blog einsetzt, kannst Du so schnell reagieren und ggf. die betroffene Software aktualisieren. Existiert noch kein Update, kannst Du bei dem Autor nachhaken, wann es ein Update bezüglich der Sicherheitslücke geben wird.

In den Tweets ist auch immer eine Seite mit verlinkt, in der es nähere Informationen zu der Sicherheitslücke gibt.

Als weitere Quelle möchte ich auch ExploitDB (Englisch) erwähnen. Dies ist eine weltweite Datenbank für verschiedenste Sicherheitslücken von unterschiedlichster Software, unter anderem auch WordPress und dessen Plugins und Themes. Gib dazu rechts oben im  Suchfeld einfach „wordpress“ ein und Du erhältst eine Liste mit bekannten Exploits – komplett mit Angabe des Datums und allen weiteren Informationen zu den einzelnen Sicherheitslücken.

In der ExploitDB kannst Du auch gezielt nach Deinen Plugin- und Theme-Versionen suchen. So findest Du heraus, ob es möglicherweise bekannte Sicherheitslücken gibt.

Was tun, wenn man betroffen ist?

Bist Du von einer Sicherheitslücke betroffen, solltest Du möglichst schnell die betroffene Software aktualisieren. Auf keinen Fall  solltest Du das Update auf die lange Bank schieben. Denn logischerweise nutzen auch Hacker diese Quellen und durchforsten das Netz nach Blogs, die die betroffenen Elemente einsetzen.

Ein Hinweis, falls Du die Updates via FTP / sFTP selbst einspielst und nicht die in WordPress angebotene Aktualisierungsfunktion nutzt: Achte gerade bei Plugins und Themes darauf, zuerst die alten Dateien zu löschen und erst dann das neue Plugin / Theme hochzuladen. Nicht selten ist es passiert, dass beim bloßen Überschreiben der Dateien alte betroffene Dateien auf dem Webspace verblieben sind und darüber das System trotz aktuellster Version gehackt wurde.

Bist Du bereit für Dein eigenes WordPress-Projekt?

Zu den WordPress-Paketen

Der Autor:

Autor: Stefan Jacomeit

Hinterlasse eine Antwort

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Tobias Mayer
berichtet über Neuigkeiten aus dem Unternehmen

Michael Poguntke
schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Christian Lingnau
bloggt über WordPress & andere CMS

Franz Neumeier
gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
kennt sich bei Domains hervorragend aus

Patrick Schroeder
erzählt die Stories unserer Kunden

Ann-Christin Schmitt
schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen

Phil Salewski
ist spezialisiert auf das Datenschutz- und Wettbewerbsrecht