Angriffsmethoden
WordPress ist die Grundlage von ungefähr einem Drittel der Webseiten im Web. Als solches ist es ein interessantes Ziel für Hacker und andere Kriminelle. Wer eine Sicherheitslücke in WordPress findet, hat den Schlüssel zu Millionen von Webseiten. Eine Sicherheitslücke in einem beliebten WordPress-Plugin ist fast genauso verlockend. Selbst ein nicht sehr beliebtes Plugin kann einem Angreifer Zugriff auf Tausende von Websites gewähren.
Beliebte Angriffspunkte
Beim Hacking handelt sich nicht um ein generelles Problem mit WordPress, es ist einfach das lukrativste Angriffsziel. Andere Content-Management-Systeme haben die gleichen Probleme. WordPress sicher zu halten, ist Aufgabe von Entwicklern und Sicherheitsforschern. Und das tun diese auch, jedoch müssen die Webseiten Besitzer ebenfalls ihren Beitrag zur Sicherheit leisten.
Plugin-Schwachstellen
Plugins sind die grösste Schwachstelle. Schützen Sie sich vor Sicherheitslücken in Plugins, indem Sie nur so wenige Plugins wie nötig installieren. Achten Sie beim Installieren von Plugins auch darauf, ob dieses vom Entwickler noch aktiv weiterentwickelt wird. Ist ein Plugin seit Jahren nicht mehr aktualisiert worden, wird das Plugin wahrscheinlich nicht mehr weiter gepflegt und erhält auch keine Sicherheitsupdates mehr. Nicht zuletzt sollten Sie Ihre Webseite und die Plugins regelmässig aktualisieren.
Brute Force
Beim Brute-Force-Angriff versucht der Angreifer – normalerweise ein Bot – so viele Kombinationen aus Benutzername und Passwort wie möglich, bis er die richtige findet. Die Lösung hier ist einfach, verwenden Sie keine Kennwörter und Benutzernamen, die erraten werden können. Lange, komplexe Passwörter sind nicht zu erraten. Ein 10-Stelliges Passwort kann per Brute-Force in 4 Monaten erraten werden. Passwörter wie „pa55word“ und „ilovejustin“ werden in Bruchteilen von Sekunden erraten.
Core und Theme Schwachstellen
WordPress Core ist in der Regel viel sicherer als die Plugins. Die überwiegende Mehrheit der erfolgreichen Angriffe beruht auf Schwachstellen, die in der neuesten Version behoben wurden. Die Lösung ist auch hier ganz einfach. Achten Sie darauf, Ihre Webseite regelmässig zu aktualisieren und spielen Sie neue Sicherheitsupdates zeitnah ein.
Hosting Schwachstellen
Manchmal machen Webhosting-Unternehmen Fehler oder die Software, auf die sie sich verlassen – beispielsweise das Linux-Betriebssystem – enthält Schwachstellen. Um dieses Problem zu umgehen, sollten Sie bei der Auswahl des Webhosts auf einen guten Sicherheitsruf achten und einen Anbieter wählen, der es versteht, seine Kunden zu schützen.
Weitere Angriffsmöglichkeiten
Die 2 grössten Angriffspunkte sind Plugin-Schwachstellen und Brute-Force-Attacken. Zusammen machen diese über 70% der erfolgreichen Angriffe auf WordPress aus. Daneben gibt es auch noch andere Angriffspunkte, welche nicht ausser Acht gelassen werden sollten.
Datei Berechtigungen
Es ist wichtig, dass auf dem Server die Datei-Berechtigungen richtig gesetzt sind. Darum kümmert sich in der Regel der Hosting-Anbieter. Achten Sie bei der Auswahl des Webhosts auf einen guten Sicherheits-Ruf.
Veraltete Dateien
Löschen Sie veraltete und nicht mehr benötigte Dateien regelmässig vom Server. Solche Dateien sind ein nicht zu unterschätzendes Sicherheitsrisiko und dienen Hackern unter Umständen als Eintrittstor zum Server.
Passwort Diebstahl
Es ist möglich, dass Hacker Ihr Passwort über einen grossen Hack einer anderen Webseite stehlen konnten. So geschehen bei Sony, Adobe oder Yahoo. Nutzen Sie deshalb nie das gleiche Passwort doppelt.
Privater Computer
Teilweise stehlen Hacker Passwörter über kompromittierte Personal Computer. Achten Sie darauf, sich nur von sicheren Systemen aus an Ihrer Webseite anzumelden und schützen Sie Ihren Computer mit einer Antiviren-Software.
Insider
Ein Insider-Angriff ist ein böswilliger Angriff auf die Webseite durch eine Person mit autorisiertem Systemzugriff. Gehen Sie bei der Rekrutierung von Personal besonders achtsam um und ändern Sie im Verdachtsfall umgehend alle Passwörter.
FTP
Eine Attacke auf den FTP-Account ist besonders lohnenswert, weil man im Falle eines erfolgreichen Angriffs den vollen Zugang zur Webseite hat. Diesen Attacken kann durch die Verwendung eines starken Passworts entgegengewirkt werden.