Nicht nur bei den Webdesignern ist WordPress das beliebteste CMS, sondern auch bei den Hackern. Mit einer neuen Erweiterung will der Anbieter das Leben der Hacker ab August 2020 nun noch schwieriger machen.
Doch was sind eigentlich die häufigsten Gründe für Hacker-Attacken?
Eine der grössten Gründe (nicht überraschend) für eine Attacke ist eine veraltete Version von WordPress. Denn mit den Updates werden auch regelmässig Sicherheitslücken geschlossen. Doch die Hacker finden wieder neue Lücken, welche (wenn möglich) zuvor wieder von WordPress geschlossen werden. Du siehst, worauf das hinausläuft – wenn die Updates nicht gemacht werden, haben Hacker ein leichtes Spiel. Deswegen hat WordPress bereits vor einigen Jahren eine Einstellung vorgenommen, dass Deine Updates automatisch durchgeführt werden. So gehst Du sicher, dass auch immer die neuste Version installiert ist und Deine CAS nicht mehr so häufig gehacked wird.
Doch was für das WordPress Core-Update gilt, ist auch bei den Themes und Plugins nicht anders. Denn der grosse Vorteil von WordPress wird hier auch zum grössten Problem – die schier endlose Anzahl an Plugins und Themes. Aktuell gibt es bereits über 56’000 Plugins bei WordPress. Und jedes neuinstallierte Plugin ergibt auch wieder neue Wege für die Hacker, sich in das System einzuspeisen und ihre Taten zu vollziehen. Da die Plugins von verschiedenen Entwicklern weltweit entwickelt werden, sind diese auch in der Verantwortung zum Schutz vor Angriffen. Es kann also gut sein, dass ein Entwickler eine Sicherheitslücke übersieht oder gar komplett aufgehört hat, das Plugin zu betreiben. Da reiben sich die Hacker natürlich die Hände!
Wordfence hat dazu verschiedene Betreiber von gehackten Webseiten befragt, welche wussten, wie die Angriffe erfolgt sind. Über 50% der Angriffe sind dabei über die Plugins erfolgt.
Quelle: https://www.wordfence.com/blog/2016/03/attackers-gain-access-wordpress-sites/
Aus dem Report von Sucuris aus dem Jahr 2016 zeigt sich, dass mehr als 15% aller erfolgreichen Angriffe über nur drei verschiedene Plugins gelangt sind. Dies sind Revslider, TimThumb und GravityForms.
Quelle: https://sucuri.net/reports/2016-q3-hacked-website-report/
WordPress greift durch
Wie Du siehst, sind regelmässige Updates von WordPress und allen Plugins und Themes wichtig, um Hacks zu vermeiden. Aus diesem Grund hat das CMS entschieden, voraussichtlich ab August 2020 eine «Auto-Updates» Erweiterung einzuführen. So werden die Updates sämtliche Themes und Plugins automatisch ausgeführt und schliesst somit schon einmal eine grosse Sicherheitslücke.
So schützt Du Dich selbst
Natürlich ist es nicht möglich, sich komplett von Angriffen zu schützen. Da reichen auch die automatischen Updates nicht aus. Doch mit den folgenden Tricks kannst Du Dich und Deine Seite noch besser schützen:
Updates ausführen
Wie bereits ausführlich beschrieben, sollte der WordPress-Core, aber auch die Plugins und Themes, immer auf dem neusten Stand sein. Mit den Updates werden nicht nur Erweiterungen aktualisiert, sondern auch die Sicherheitslücken geschlossen.
Plugin Auswahl
Sei vorsichtig bei der Wahl Deiner Plugins. Verwende nur Plugins, bei welchen Du dem Entwickler auch vertrauen kannst. Achte auch darauf, wann das letzte Update veröffentlicht wurde. Wenn dies zu lange her ist, kann es ein Zeichen für einen inaktiven Entwickler sein.
FTP vs. SFTP
Wenn Du die Auswahl hast, zwischen einem FTP und einem SFTP, wähle immer das SFTP.
Passwörter
Verwende immer sichere Passwörter für Deine Logins. Dies gilt auch für Hosting, sowie (S-)FTP Konten.
Virenschutz
Achte darauf, dass auf Deinem Computer keinen Viren sind. Denn diese könnten sich so Zugang zu Deinen Passwörtern schaffen.
SSL-Zertifikat
Installiere ein SSL-Zertifikat für Deine Domain. Dadurch wird die Kommunikation mit einer WordPress-Seite verschlüsselt.
Sicheres Hosting
Wähle einen sicheren Hosting-Anbieter, welcher sich und Deine Seite auch ausreichend schützt.
PHP-Version
Achte darauf, dass Du jeweils die neuste PHP-Version verwendest.