WordPress und Sicherheit
Ich bekomme von Kunden und Partnern immer wieder die Frage gestellt, ob WordPress angesichts sich (subjektiv) häufender Sicherheitswarnungen denn das richtige System ist.
Ich kann allen nur antworten: Ja natürlich, aber…..
Lassen sie uns zur Beantwortung dieser Frage zuerst ein paar Zahlen sprechen:
Die wichtigsten CMS-Systeme in Deutschland (Basis: 2014):
| CMS-System | Marktanteil | Anzahl Installationen | Anzahl Themes | Anzahl Plugins |
|---|---|---|---|---|
| WordPress | 39,40% | 727.868 | 2.227 (1) | 45.979 (2) |
| Joomla | 14,92% | 275.438 | 7.911 (3) | |
| Typo3 | 14,39% | 265.583 | 5.600 (4) | |
| Drupal | 3,62% | 66.896 | ?? |
Allen anderen CMS-System (Contao, Contenide, Magento, usw….) sind in der Statistik noch darunter, so dass diese für eine Gesamtbetrachtung nicht relevant.sind.
Quelle für die Umsatzzahlen: http://www.cmscrawler.com/country/DE
Die Zahlen für den Marktanteil und die Installationen schwanken je nach Quelle.
Quelle für die Stückzahlen Plugins und Themes: wordpress.org, joomla.org, Typo3
Die meisten CMS-Systeme bestehen aus einem Basissystem, dass durch Themes (Layouts) und Plugins (Zusatzfunktionen) ergänzt wird. Diese Ergänzungen werden größtenteils durch „Dritte“ Entwickler und Firmen weltweit bereitgestellt. Diese Erweiterungen sind teilweise kostenfrei, teilweise kostenpflichtig.
(1) Kostenfreie WordPress-Themes, die über das WordPress-Repository angeboten werden
(2) Kostenfreie WordPress-Plugins, die über das WordPress-Repositiory angeboten werden
Für die kostenpflichtigen WordPress-Themes und WordPress-Plugins liegen mir derzeit keine Zahlen vor.,
(3) Joomla Extensions
(4) Typo3 – Extensions
WordPress ist also der Platzhirsch unter den CMS- und Blogsystemen.
Aufgrund der großen Anzahl an Installationen ist WordPress unbestritten auch das beliebteste Angriffsziel.
Wie entstehen die Sicherheitswarnungen?
Die Sicherheitswarnungen werden von der jeweiligen Community der Plattformen erzeugt, und in bestimmten Portalen gesammelt. Für WordPress verwende ich z. B. https://wpvulndb.com.
Nachdem Sicherheitslücken bekannt wurden, werden die Autoren über diese Lücken informiert, damit diese Lücken geschlossen werden können. Erst nach dem Schließen dieser Lücken und Bereitstellung der Updates wird offiziell über diese Lücke informiert,so dass die Nutzer die Updates machen können.
Die Anzahl der Sicherheitswarnungen
bewegt sich bei den Plugins und Themes im einstelligen Prozentbereich der angebotenen Plugins. WordPress-Core-Warnungen (die letzten vor ca. 2 Monaten) halten sich in Grenzen und werden zudem (meist sogar vollautomatisch) behoben.
Problem: Nicht gewartette CMS-Versionen, Plugins, Themes
Die Krux der Veröffentlichung ist die: Sobald eine Lücke veröffentlicht wird, erfahren das auch eine Menge von Zeitgenossen, die diese Lücken dann suche und ausnutzen. Dieser Effekt führt dann zu einer Zunahme der Angrfiffe auf die Seiten.
Das Dilemma
Die meisten (erfolgreichen) Angriffe auf Webseiten passieren über die bereits bekannten und veröffentlichten Sicherheitslücken, da viele Webmaster es nicht schaffen, ihre Webseite up-to-date zu halten!
Aus diesem Grunde verstehe ich es als Service, über diese Lücken zu informieren und damit die Webmaster zu ermuntern, ihre Webseite regelmässig auf dem neuesten Stand zu halten.
Dies geschieht inoffiziell über die Blogger-Tipps per E-Mail, als auch offzilell über meinen Blog.
Warum gibt es weniger Meldungen für Joomla und Typo3?
Während die meisten WordPress-Webseiten von den Betreibern selbst betreut werden, sind für Joomla und Typo3 häufig Servicepartner aktiv, die die Seiten aktuell halten. Meldungen über Sicherheitslücken gehen hier vielmehr über interne Netzwerke, als über die offiziellen Verlautbarungen.
Vorteil: Sicherheitslücken werden nicht so bekannt.
Allerdings gibt es nach wie vor mehrere Tausend Joomla-Installationen mit Version 1.5, mit bereits seit Jahren bekannten Sicherheitslücken.
WordPress hat eine wesentlich höhere Quote an neuen, zusätzlichen und geänderten Funktionen. Dies wirkt sich natürlich auch auf die Anzahl der möglichen Sicherheitslöcher in den Neuentwicklungen aus.
Mein Fazit
Der Bundestag wurde erfolgreich gehacked, die Webseiten der US-Army, des Arbeitsamtes, von Banken usw. wurden gehacked.
Der Zweck der Seiten ist die Öffentlichkeit, Fehler und Lücken lassen sich nicht 100%-ig verhindern.
Die hier genannten CMS-Systeme (und einige andere) für sich selbst sind in der Regel relativ sicher.
Die Schwachstellen sind die Betreiber der Webseiten!
Verwenden Sie also das CMS-System, dass sich für Ihre Zwecke am Besten eignet. Und beherzigen Sie dabei folgende Tipps:
- Halten Sie Ihre Basis-Installation aktuell
- Halten Sie die Zusatzmodule (Themes, Plugins) aktuell
- Verwenden Sie nur Zusatzmodule aus sicheren Quellen
- Installieren Sie nur die Module, die sich auch für die Seite benötigen, alles, was nicht eingesetzt wird löschen (und nicht nur deaktivieren)
- Nutzen Sie Sicherheits-Module/Plugins, die es Angreifern erschweren, Ihre Seite zu hacken
- Überprüfen Sie von Zeit zu Zeit, ob die Plugins und Themes, die Sie verwenden, auch noch gepflegt werden
- Neue Plugins nicht sofort einsetzen, sondern eine gewisse Zeit abwarten, ob gleich noch Sicherheitsupdates nachgeschoben werden.
- Bei der Installation von Plugins und Themes darauf achten, dass das letzte Update noch nicht allzlulange zurückliegt
- Auf Bewertungen der Plugins achten, die Supportseite ansehen, wie der Autor auf evtl. Reklamationen reagiert.
- Verwenden Sie wirklich sichere Benutzernamen und Passwörter (Tipp: Passwortgenerator)
- Nutzen Sie Infoangebote wie https://wpvulndb.com.oder die Blogger-Tipps.
Ich wünsche viel Erfolg bei Ihren Online-Aktivitäten
Ihr
Rudolf Fiedler
Kommentare
WordPress und Sicherheit — Keine Kommentare
HTML tags allowed in your comment: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>