Ist WordPress unsicher?

Das Gerücht WordPress sei unsicher, ist fast schon so alt wie das CMS an sich. Und es hält sich leider tatsächlich hartnäckig, auch wenn WordPress-Profis immer wieder darauf hinweisen, dass es in der Regel nicht das System WordPress selbst ist, das sicherheitstechnische Probleme bereiten kann.

Wieso liest man immer wieder, WordPress wäre unsicher?

WordPress ist weltweit das meist genutzte System für Webseiten (aktuell über 40% aller Websites weltweit laufen auf WordPress Basis) und daher natürlich unter besonderer Beobachtung von  Hackern oder Script-Kiddies, die versuchen das System zu kompromittieren. Aus der Sicht der dunklen Seite macht das ja auch Sinn…hat man eine Sicherheitslücke in WordPress gefunden, lassen sich theoretisch abertausende Systeme infizieren. Das ist bei unbekannten Content Management Systemen natürlich bei weitem nicht in gleichem Maßstab der Fall. D.h. ein Angriff auf WordPress verspricht mehr Schaden und ggfs. auch mehr finanziellen Erfolg.

Verbreitung von WordPress weltweit. Quelle: https://w3techs.com/technologies/history_overview/content_management/all/y

Und vermutlich kommen die Gerüchte WordPress wäre per se unsicher schlicht von dieser Tatsache. Genauso wie ja auch behauptet wird, Windows Rechner wären unsicherer als Apple Rechner. Auch hier ist es die vergleichsweise geringe Verbreitung von Apple Rechnern, die die vermeintliche Sicherheit vorgaukelt. Es lohnt sich einfach für einen Schadcode-Programmierer bei weitem mehr, Sicherheitslücken des Platzhirsches Windows anzugreifen. Mehr Sicherheitslücken hat Windows deshalb noch lange nicht.

Wie unsicher ist WordPress denn nun wirklich?

WordPress selbst ist sehr gut gepflegt von seinen Machern rund um das Unternehmen Automattic. Und da die Verbreitung so groß ist und sich viele Unternehmen und Security-Anbieter darauf spezialisiert haben, werden Sicherheitslücken in der Regel schnell entdeckt und in neuen Releases geschlossen. WordPress als Trägersystem ist es also nicht, was den Ruf des angreifbaren Systems befeuert. Woher kommt aber dann die „Unsicherheit“?

WordPress Plugins und Themes als Sicherheitsrisiko

Was viele Webseitenbetreiber nicht wissen: Plugins und Themes bei WordPress kommen meist von Fremd-Herstellern (also nicht von Automattic). Jeder x-beliebige Programmierer kann Erweiterungen und Designs für WordPress erstellen und diese kostenlos oder kostenpflichtig anbieten. Und da das jeder x-beliebige Programmierer kann, kann das auch jeder x-beliebige schlechte Programmierer.

Und hier liegt das Problem von WordPress: WP kann frei von Sicherheitslücken daherkommen, wird aber ein Plugin oder ein Theme eines Drittherstellers verwendet welches Sicherheitslücken aufweist, kann die Webseite im Zweifelsfall kompromittiert werden.

Dennoch ist es bei weitem nicht nur so, dass ausschließlich minderbegabte Entwickler Sicherheitslücken in Plugins oder Themes codieren. Auch die wirklich Großen machen das. So sind zB der Revolution Slider oder auch der WPBakery Page Builder for WordPress (früher Visual Composer) aufgrund ihrer Komplexität immer wieder von Sicherheitslücken betroffen. In der Regel werden aber auch diese recht schnell behoben. Hier findest du eine Liste der am meisten angreifbaren Plugins (unter anderem Yoast SEO, WooCommerce, Elementor).

Dazu kommt noch das Problem, dass Plugins und Themes heute als frei von Sicherheitslücken gelten können, morgen oder nächstes Jahr sind sie es aber vielleicht nicht mehr. Und wenn der Hersteller vielleicht die Arbeit daran eingestellt hat, erhält die Website schlichtweg keine Updates mehr dazu. Website-Betreiber erfahren davon nur, wenn sie sich pro aktiv bemühen. Auch heute hat WordPress es leider nicht geschafft hier ein transparentes und einfaches Konzept einzubauen, um Website-Betreiber über verwaiste Plugins und Themes aufzuklären. Sicherheitslücken, die nicht mehr geschlossen werden vom Hersteller, bleiben natürlich offen.

Wieso ist WordPress so weit verbreitet, obwohl es angeblich unsicher ist?

Obwohl WordPress immer noch der Ruf des sehr unsicheren Systems anhaftet, wird es immer häufiger verwendet. Warum ist das so? Zum einen liegt es sicher daran, dass sich der Stärkere in der Regel durchsetzt. Was alle anderen verwenden, kann nicht so schlecht sein. Zum anderen kümmern sich viele nicht um das Thema Security. WordPress ist schnell und leicht über den Webhoster installiert und ist einsatzbereit.

Wer hat in dem Zuge schon einen Hacker im Sinn? Sicher nicht der gemeine Handwerker, der sich mal schnell eine Webseite hochziehen will und sich vor allem um Inhalte und Design bemüht. Von Entwicklern wird WordPress eben deshalb empfohlen und eingesetzt, weil es flexibel ist und abgesichert werden kann, so dass die Sicherheitsproblematik kaum zum Tragen kommt (zumindest nicht dann, wenn das System auch korrekt und dauerhaft gewartet wird). Es trifft am Ende also hauptsächlich die unbedarften Webseiten-Betreiber, die sich selbständig um die Erstellung ihrer Webseite gekümmert haben und das Thema Sicherheit und Wartung außer Acht lassen.

Ist WordPress unsicherer als andere Content Management Systeme?

Wer nun denkt „dann nehm ich halt ein anderes CMS“, der denkt nicht weit genug. Nur weil WordPress anhaftet, ein unsicheres System zu sein, heißt das noch lange nicht, dass die anderen Systeme sicherer sind. Nehmen wir zB Joomla, ein Hauptkonkurrent von WordPress. Joomla ist ebenso von Sicherheitslücken betroffen wie WordPress. Das gleiche System macht die Schwäche aus: Erweiterbarkeit über Fremdhersteller.

So ist es mit nahezu allen Content Management Systemen. Die die ein geschlossenes System bieten, bieten vermeintlich mehr Sicherheit auf Kosten der Erweiterbarkeit. Für viele direkt ein Ausschluss-Kriterium für die mögliche Verwendung. Was weniger einfach erweitert werden kann, kostet in der Anpassung auch mehr Geld. Zudem ist die Entwickler-Gemeinde kleiner, was Kosten zusätzlich erhöht. WordPress ist beliebt, hat viele Entwickler und ist damit relativ günstig.

Was kann man machen um WordPress sicherer zu machen?

Jetzt da wir wissen, dass WordPress an sich nicht unsicher ist, sondern eher verwendete Plugins und Themes dafür sorgen, dass Sicherheitslücken entstehen; was kann getan werden um WordPress abzusichern und möglichst lange und möglichst viel Spaß mit dem eigenen Webprojekt zu haben? WordPress muss regelmäßig gewartet werden:

• WordPress aktuell halten
• Plugins aktualisieren
• Themes aktualisieren
• Ein tägliches Backup einrichten
• Sicherheitsmaßnahmen treffen durch Plugins und Direktiven in der .htaccess
• Verzeichnisrechte auf Serverebene beschränken
• Die Sucuri Web Application Firewall nutzen
• Veraltete und verwaiste Plugins und Themes ersetzen
• Trenne Websites auf deinem Webspace (1 Webspace pro Website)
• nutze nur Plugins und Themes aus seriösen und offiziellen Quellen
• nutze sichere Passwörter und vermeide den User „Admin“
• Hoste deine Website nur bei seriösen Anbietern mit Security-Erfahrung
• Führe ein tägliches Backup (mind. 14 Tage rückwirkend, eher länger)

Soll ich also WordPress für meine neue Webseite verwenden oder nicht?

Ja unbedingt! WordPress ist ein geniales System um Webseiten nahezu jeglicher Art und Größe zu realisieren. Die Community rund um das CMS ist riesig und beweist Jahr für Jahr, dass immer mehr kreative und spannende Lösungen für jegliche Aufgabenstellung möglich ist. Die Sicherheitsproblematik ist kritisch (wie bei allen anderen Systemen), lässt sich aber mit den richtigen Wartungs-Maßnahmen relativ einfach lösen. Teilweise deutlich einfacher, als es bei anderen Systemen der Fall ist.

WordPress kann genauso sicher sein wie jede andere Plattform, wenn du es richtig pflegst und absicherst. Es liegt an dir, potenzielle Risiken zu minimieren. Mit den richtigen Maßnahmen kann WordPress eine sichere und leistungsstarke Basis für jede Website sein.