WordPress-Mythen auf den Grund gegangen – #2 WordPress ist unsicher

WordPress-Mythen auf den Grund gegangen – #2 WordPress ist unsicher

In der zweiten Folge dieser Serie geht es um den Mythos, dass WordPress angeblich unsicher sein soll. Jeder, der eine eigene Website betreibt, macht sich zurecht Gedanken um die Sicherheit. Eine gehackte Website ist ein Ärgernis und sie wieder sauber zum Laufen zu bringen bedeutet Aufwand. Wie sicher oder unsicher ist WordPress also?

Was ist gemeint?

Tatsache ist, dass es sich tatsächlich bei einem Großteil aller gehackten Websites um WordPress-Websites handelt. So hat beispielsweise Sicherheitsspezialist Sucuri Anfang 2017 mehr als 8.000 gehackte Websites untersucht und festgestellt, dass fast zwei Drittel davon WordPress einsetzen. Ebenfalls häufig zu hören ist, dass WordPress sogar im Zusammenhang mit den Panama Papers eine Rolle gespielt hat.

Auf den ersten Blick scheinen solche Fakten gegen einen Einsatz von WordPress zu sprechen. Bei näherer Betrachtung sieht die Realität aber anders aus. Was steckt wirklich hinter dem #mythos des unsicheren Systems?

Was steckt dahinter?

Es stimmt, dass WordPress prozentuell gesehen das am meisten gehackte CMS ist. Das ist aber auch nicht überraschend, wenn man bedenkt, dass WordPress auch das mit großem Abstand am weitesten verbreitete System ist.

Der Marktanteil von WordPress an allen Websites weltweit lag im Jahr 2017 laut W3Techs bei 27,7%. Auf Platz 2 folgt mit großem Abstand Joomla mit einem Marktanteil von 3,3%. Gleichzeitig listet Sucuri in der bereits erwähnten Untersuchung Joomla mit einem Anteil von 17% der gehackten Websites auf. Nach welchen Kriterien die untersuchten Websites ausgewählt wurden und wie repräsentativ diese Auswahl ist, ist nicht bekannt. Aber alleine schon aus den Größenordnungen lässt sich leicht erkennen, dass unter Berücksichtigung des Marktanteils WordPress zumindest nicht unsicherer ist als jedes andere System auch.

Jede Software hat ihre Sicherheitslücken. Seien diese auf Programmierfehler zurückzuführen oder auf Lücken, die sich im Zusammenhang mit anderer Software ergeben. Keine Software ist absolut sicher. Zum Teil können diese Lücken ausgenützt werden um schädlichen Code in ein System einzuschleusen oder um die Kontrolle über ein System zu erlangen. Und das passiert auch tagtäglich.

Dabei ist eine Software für Hacker umso interessanter, je weiter sie verbreitet ist. Es ist nachvollziehbar, dass es für einen Hacker mehr Sinn macht, einen Schad-Code zu programmieren, mit dem potenziell Millionen von Rechnern infiziert werden können als das Schreiben eines Codes, dessen potenzielles Ziel nur ein paar hundert Rechner sind.

Deutlich lässt sich das in einem Blick auf die Sicherheit von PC-Betriebssystemen feststellen. Lange Zeit galten Rechner mit dem Microsoft-Betriebssystem Windows als bevorzugtes Angriffsziel von Malware. Nutzer des Apple-Betriebssystems MacOS fühlten sich dagegen sicher auf einer Insel der Glückseligkeit ohne großartige Bedrohung und belächelten die Windows-Anwender mitleidig.

Objektiv betrachtet wenig verwunderlich bei einem Marktanteil von etwa 3%. Das System war einfach zu uninteressant. Aber die Zeiten haben sich geändert. Mittlerweile liegt der Anteil von MacOS bei den Betriebssystemen bei etwa 10%. Und mit zunehmender Verbreitung kamen auch die Bedrohungen. Und das mitleidige Lächeln verschwand.

Je weiter eine Software also verbreitet ist, umso potenziell gefährdeter ist sie gleich doppelt. Einerseits „erwischt“ eine Bedrohungswelle einfach mehr Opfer, wenn die Software oft im Einsatz ist – so wie eine Grippewelle logischerweise in dicht besiedeltem Gebiet mehr Menschen „erwischt“ als in einer dünn besiedelten Einöde. Und andererseits wird die Software durch ihre zunehmende Verbreitung für Malware-Programmierer immer interessanter.

Somit ist es eine logische Folge, dass das am weitesten verbreitete Content Management System der Welt auch das ist, das am öftesten Hacker-Angriffen zum Opfer fällt. Das ist kein Hinweis auf ein unsicheres System sondern schlicht und einfach die Schattenseite jeder erfolgreichen Software. Dieses Schicksal trifft auch WordPress.

Selbstverständlich gibt es auch in WordPress Sicherheitslücken. Dennoch ist WordPress trotz des großen Anteils an den gehackten Websites eher als sicher einzustufen. Das liegt an der großen Community an Entwicklern. Viele Lücken werden durch die Mithilfe aus der Community schon erkannt und geschlossen, noch bevor eine neue Version auf den Markt kommt.

Wird dann tatsächlich eine Sicherheitslücke in einer aktuellen Version entdeckt, dann wird diese in der Regel sehr schnell mit einer neuen Version geschlossen. Damit sind wir auch schon bei der eigentlichen Ursache des Problems. Diese neue Version muss natürlich auch installiert werden. Ein Ergebnis der bereits mehrfach erwähnten Sucuri-Studie war auch, dass 61% der gehackten WordPress-Websites nicht die aktuellste Version von WordPress im Einsatz hatten.

Seit #wpversion 3.7 verfügt WordPress über einen Update-Automatismus. Dabei werden jedoch nur so genannte Minor Updates standardmäßig automatisiert durchgeführt. Dadurch erfolgte beispielsweise der Update von Version 4.8.2 auf Version 4.8.3 automatisch. Der Update auf Version 4.9 musste hingegen manuell durchgeführt werden.

Tatsächlich ist der Einsatz veralteter Versionen das größte Sicherheitsrisiko bei jeder Art von Software. Die überwiegende Mehrheit aller bekannt gewordenen Hacker-Angriffe erfolgte bisher durch Ausnutzung von Lücken, die bereits entdeckt und geschlossen worden waren. Nur ein sehr geringer Anteil von Angriffen nutzt neue, noch unentdeckte, Sicherheitslücken aus.

Mit dieser Bequemlichkeit der Anwender kämpft jede Software. Microsoft beispielsweise hat darauf so reagiert, dass in Windows 10 die automatischen Updates zwangsweise erfolgen und nicht mehr ausgeschaltet werden können. Was wie ein sinnvoller Schritt erscheint hat schon so manchen Windows-Benutzer an den Rand des Wahnsinns gebracht. Man stelle sich vor, man trifft sich mit einem wichtigen Kunden zu einer Besprechung, klappt den Laptop auf – und in dem Moment startet ein großes Update und der Laptop kann eine Stunde nicht verwendet werden. Solche unangenehmen Situationen gibt es laufend. Zwangs-Updates sind also nicht wirklich eine Lösung.

In dem Zusammenhang muss auch berücksichtigt werden, dass die überwiegende Mehrheit der Angriffe auf WordPress nicht das Kern-System WordPress selbst trifft. Nahezu alle Angriffe nutzen Sicherheitslücken in Plugins oder Themes aus. Für diese gilt natürlich genau das gleiche wie alles bisher genannte.

Was bedeutet das in der Praxis?

WordPress an sich ist nicht unsicher. Jede Software hat potenzielle Schwachstellen. WordPress ist da keine Ausnahme. Aber WordPress kann als relativ sicher betrachtet werden. Der Sicherheit wird in der Entwicklung große Aufmerksamkeit geschenkt und entdeckte Sicherheitslücken werden schnell geschlossen.

Für die Sicherheit einer Website ist in erster Linie derjenige verantwortlich, der die Website betreibt. Diese Verantwortlichkeit schließt ein, eine neue WordPress-Version immer so schnell als möglich einzusetzen. Das gleiche gilt für die Plugins und das Theme. Regelmäßig einen Blick ins Dashboard zu werfen und sich um ausstehende Updates zu kümmern, sollte selbstverständlich sein.

Dazu gehört auch, nicht benötigte Themes und Plugins nicht einfach nur zu deaktivieren, sondern zu löschen. Solange der Code auf der Festplatte des Server liegt, kann dieser auch ausgeführt werden. So manche Sicherheitslücke lässt sich auch dann für einen Angriff nutzen, wenn das betroffene Plugin nicht aktiv ist.

Und natürlich sollten Themes und Plugins nur aus vertraulichen Quellen installiert werden. Selbstverständlich gibt es noch mehr Aspekte zum Thema Website-Sicherheit. In diesem Artikel ging es aber nur um die Frage, wie sicher WordPress an sich ist. Daher gehe ich auch hier auf keine anderen Punkte ein.

Wie sieht es nun mit den Panama Papers aus? Tatsächlich soll bei dem Angriff, beim dem 2,6 Terabyte an Daten an die Öffentlichkeit gelangt sind, WordPress eine Rolle gespielt haben. Dies ist jedoch kein Grund zur Sorge. Mittlerweile sind einige weitere Details zu dem Datenleck bekannt, die zeigen, dass bei Mossack Fonseca die Datensicherheit fahrlässig vernachlässigt worden ist. Der WordPress-Server lief im selben Netzwerk wie die Datenbank mit allen Kundendaten. WordPress war seit 16 Monaten nicht aktualisiert worden, ebenso war eine veraltete Version des verwendeten Themes im Einsatz. Es wurde ein Plugin eingesetzt, das seit 2014 als unsicher bekannt ist. Die Zugangsdaten zum Mailserver waren unverschlüsselt in den Einstellungen eines Plugins gespeichert. Der Mailserver war seit 2009 nicht mehr aktualisiert worden und die Mails wurden nicht verschlüsselt. Und so weiter und so weiter. Das alles in einem Unternehmen, in dem der Schutz der sensiblen Kundendaten eigentlich oberste Priorität haben müsste. Einerseits ein kaum zu glaubender Fall von Dilettantismus. Andererseits ein eindrucksvolles Beispiel dafür, was passiert, wenn man sich nicht um die Sicherheit kümmert. WordPress kann da wirklich nichts dafür.

Artikel vom 9. Januar 2018

Bisher noch keine Kommentare