Die 6 wichtigsten Gründe für den regelmässigen WordPress-Update
Nicht nur hier – auf profi-blog.com – wird regelmässig dazu aufgefordert, die WordPress-Version, die installierten WordPress-Plugins und die WordPress-Themes aktuell zu halten.
Nicht nur auf unseren Servern stelle ich jedoch immer wieder fest, dass viele Webmaster oft monatelang oder gar jahrelang ihre WordPress-Webs nicht aktuell halten.
WordPress ist innerhalb Deutschlands und auch weltweit das CMS-System, das am Häufigsten für Webseiten und Blogsysteme eingesetzt wird. WordPress ist OpenSource!
Was bedeutet: WordPress ist OpenSource???
OpenSource bedeutet: Der Quellcode dieses Systems ist öffentlich. Jeder kann sich innerhalb weniger Minuten den Quellcode zum WordPress-Core und zu allen Plugins und Themes, die über das WordPress-Verzeichnis (Repository) angeboten werden, besorgen. Damit haben professionelle „Angreifer“ alle Mittel in der Hand, nach Schwachstellen in den WordPress-Quellcodes zu suchen.
Die Arbeit des WordPress-Teams
Das WordPress-Team, ein internationales Entwicklerteam ist zuständig für die Planung und Weiterentwicklung des Basis-WordPress-Quellcodes. (WordPress Core). Und natürlich auch für die Überprüfung des Quellcodes auf korrekte Funtkionalität und Sicherheit.
Tausende von Entwicklern weltweit beschäftigen sich professionell und auch aus Freude an dem System mit der Entwicklung von ergänzenden Plugins, aber auch mit der sicherheitstechnischen Überprüfung der Quellcodes. Diese Entwickler teilen auch gefunden Fehler und Schwachstellen den Entwicklern mit.
Was passiert, wenn Fehler oder Sicherheitslücken bekannt werden?
Anwender und Entwickler informieren die Verantwortlichen über gefunden Sicherheitslücken, Dies geschieht „versteckt“ als interne Nachricht, damit potentielle Störenfriede nicht noch zusätzlich auf diese Schwachstellen aufmerksam gemacht werden.
Sobald die Sicherheitslücke geschlossen ist, wird der geänderte Quellcode als Update (WordPress-Core, WordPress-Plugin oder WordPress-Theme) über das WordPress-Repository für die Anwender bereitgestellt.
Kleine WordPress-Core-Änerungen (erkennen Sie an der Versions-Nr. , z.B. das Update von 4.41 auf 4.42) nimmt WordPress automatisch vor, darum brauchen Sie sich nicht zu kümmern.
Große WordPress-Core-Änderungen (z.B. von 4.4.x auf 4.5. müssen Sie jedoch selbst durchführen.
Bis zu diesem Zeitpunkt sind die Störenfriede auf ihre eigene Suche nach Sicherheitslücken angewiesen.
Ca. 1-3 Tage nach der Bereitstellung der Sicherheitsupdates über WordPress werden die Sicherheitslücken (Vulnerabilities) über https://wpvulndb.com/ veröffentlicht.
Der Vorteil: Interessierte Webmaster erfahren von den Sicherheitslücken und können entsprechend reagieren (Aktualisierung der WordPress-Quellcodes)
Der Nachteil: Die Störenfriede erhalten wichtige Informationen, in welchen Plugins und in welchen Bereichen des WordPress-Quellcodes die Sicherheitslücken zu finden sind und können ab diesem Zeitpunkt intensiv danach suchen, um diese Sicherheitslücken möglichst schnell auszunutzen und die WordPress-Webseiten anzugreifen.
Das Wettrennen um die Sicherheitslücken im WordPress-Code
Nach der Veröffentlichung dieser Sicherheitslücken (Vulnerabilities) beginnt das Webrennen um Ihre Webseite, ob Sie wollen oder nicht, egal ob Sie es wissen oder nicht: Die bösen Buben suchen zuerst die Schwachstellen. Sobald sie die gefunden haben, wird eine Armee von Servern das komplette Internet nach WordPress-Seiten mit diesen Schwachstellen zu durchsuchen und dann sofort innerhalb dieses Webs Schadcodes zu installieren und u.U. die Kontrolle über Ihre WordPress-Seite zu übernehmen..
Diese Bemühungen sind immer dann erfolgreich, wenn Sie das rechtzeitige Update Ihres WordPress-Webs verschlafen!
Was kann passieren, wenn Angreifer ihre Schadscripte in Ihrer Webseite einrichten konnten? – die 6 wichtigsten Gründe
Die Möglichkeiten dazu sind vielfältig. Oft merken die Webmaster nicht, wenn die Webseite übernommen wurde. In jedem Fall kann nennenswerter Schaden entstehen.
- Über Ihre Webseite wird massiv gespammt. Innerhalb kürzester Zeit werden Millionen von E-Mails versendet. Das führt dazu, dass Ihre eigenen Mails von anderen Servern geblockt werden, und Sie keine Mails mehr versenden können. Meistens wird Ihr Provider Ihre Weibseite sofort sperren. Die Freigabe Ihrer Seite ist oft mit Kosten verbunden.
- Ihre Besucher werden auf Porno- oder Glückspielseiten oder sonstige (oft verbotene) Inhalte weitergeleitet.
- Scadscripte infizieren die Computer Ihrer Besucher mit Trojanern, Exploits oder anderen Schadsoftware
- Google und z.B. Firefox registrieren die Schadscripte auf Ihrer Webseite und informieren die Besucher, dass es gefährlich ist, Ihre Homepage zu besuchen, bzw. verhindern den Aufruf Ihrer Seite komplett.
- Heimlich, still und leise: Ihre eingerichteten Webebanner von Google-Adsense o. ä. werden auf Werbebanner der Angreifer umgeleitet, so dass diese die Provisionen für Klicks und Umsätze erhalten.
- Ihre Seite wird durch Installation zusätlicher Scripts einfach nur vorbereitet, um zu einem bestimmten Zeitpunkt z.B. eine DDOS-Attacke (Denieal of Service – absichtlich herbeigeführte Serverüberlastung) auf andere Rechner durchzuführen. Sie merken davon zunächst nichts. Erst dann, wenn die Angriffe starten, wird Ihre Webseite so viel Traffic erzeugen, dass diese für Ihre Besucher nicht mehr erreichbar ist. Folge davon ist wiederum, dass Ihr Provider Ihre Seite sperren wird.
- All diese negativen Einflüsse auf Ihre WordPress-Homepage beduten für Sie
- Finanzieller Aufwand für die Beseitigung der Schadscripte
- Finanziellen Aufwand für die Bereinigung Ihrer Homepage
- Umsatzverluste dadurch, dass Ihre Seite nicht erreichbar ist
- Rufschädigung
Wie können Sie diese Folgen verhindern?
- Einen 100%igen Schutz für Webseiten gibt es nicht. (Selbst Webseiten des US-Pentagon wurden erfolgreich angegriffen)
- Prüfen Sie mindestens 1 x pro Woche im Dashboard Ihrer WordPress-Webseiten auf verfügbare Updates, und führen diese auch durch
- Lassen Sie sich automatisch über die Blogger-Tipps über neue Sicherheitslücken (Vulnerabilities) informieren (Hier gehts zur Anmeldung bei den kostenlosen Blogger-Tipps)
Und noch ein Ratschlag: Ich habe schon öfters den Tipp erhalten, doch auf ein anderes CMS-System umzusteigen, das nicht Open Source ist, oder gar individuelle Systeme. Abgesehen von den Kosten ist das meines Erachtens nach kein guter Ratschlag. Die WordPress-Community, die aus mehreren Millionen Menschen besteht ist nicht nur Risiko, sondern eher eine Cance, dass Sicherheitslücken schnell erkannt und geschlossen werden können.
Viel Erfolg mit Ihrem WordPress-Blog!
Ihr
Rudolf Fiedler
Hallo Rudolf,
bin gezielt auf deine Seite durch Google gekommen, weil ich nach solchen Themen suchte und dann klickte ich mich zu diesem Beitrag noch durch. Also ich blogge schon lange genug mit WordPress sowie anderen OpenSource CMS und weiss wie extrem wichtig alle Updates des Cores sind. Ich muss immer wieder meine CMS beobachten, um so immer auf dem Laufenden zu sein.
In meinem Hauptblog, welches seit 9 Jahren mit WP fährt, bin ich mehrmals täglich und da date ich auch jedes einzelne Plugin up, wenn ein Update vorliegt. Das muss immer gemacht werden, würde ich sagen und ich bin mir bewusst, dass manche Webmaster es etwas vernachlässigen. Da müssen wir Blogger immer wieder auf die neuen Updates eines CMS hinweisen. Genug Hinweise gibt es nicht.
Da freue mich mich noch, dass die WordPress-Gemeinde schon recht gross ist und allen irgendwie geholfen werden kann. Das weiss ich als WP-User sehr zu schätzen. An die WP-Community musste ich mich bisher nur ein paar Male wenden, weil eben alles gut läuft im Blog.