Bei WordPress vergeht anscheinend kaum ein Monat ohne eine neue Sicherheitslücke, die gewiefte Hacker sogleich für ihre Cyberattacken ausnutzen. Die Gefahr birgt dabei häufig nicht das CMS selbst, sondern die darin integrierten Erweiterungen.
Seinen verdienten Ruf als eines der beliebtesten Content-Management-Systeme hat WordPress vor allem seiner immensen Vielfalt an ästhetisch ansprechenden Themes und praktischen Plugins zu verdanken. Unglücklicherweise stellen diese auch das größte Sicherheitsrisiko für das eigentlich recht widerstandsfähige Kernsystem dar, so der Konsens mehrerer IT-Experten zur aktuellen Lage der Internet-Security.
Potenzielle Schwachstellen entstehen meist schon im Produktionsprozess des jeweiligen Plugins. Manchmal sind sie auf die Inkompetenz des Entwicklers zurückzuführen, aber auch Profi-Programmierer neigen angesichts der Masse und Komplexität an zu schreibenden Codes zu Flüchtigkeitsfehlern, die von einer unsorgfältigen Qualitätssicherung schnell übersehen werden können.
Ernstzunehmende Bedrohung
Im besten Fall entdeckt ein gutmütiger Nutzer die Schwachstelle und meldet sie sofort beim Urheber. Im schlimmsten Fall fällt diese brisante Information einem skrupellosen Hacker in die Hände. Das Resultat ist häufig eine „Zero Day Exploit Attack“, ein Cyberangriff, der noch am selben Tag erfolgt, bevor der Hersteller einen Fix bereitstellen kann.
Genau das ist erst vor kurzem wieder passiert: Das Entwicklerteam der WordPress-Security-Anwendung WordFence entdeckte eine Lücke in seinen Plugins Appointments, Flickr Gallery und RegistrationMagic-Custom Registration Forms. Ein Hacker hatte eine „PHP-Backdoor“ installiert, durch die er volle Kontrolle auf die betroffenen Websites erhielt. Zwar sind die drei genannten Plugins mit etwa 21.000 Installationen recht unpopulär, doch Hacker können sie nutzen, um Programmcode tiefergehend zu studieren, was zukünftige Cyberattacken vereinfacht. Außerdem ist das nur die Spitze des Eisbergs.
WordFence entdeckte nämlich im September dieses Jahres eine groß angelegte Supply-Chain-Attacke, die schon seit Mai 2013 angedauert hatte. Ganze neun WordPress-Erweiterungen (davon einige populäre) waren so manipuliert worden, dass sie die betroffenen Websites anweisen konnten, Besuchern Werbeanzeigen für Kreditangebote und Escort-Services einzublenden. Ein erschreckendes Detail: In den meisten Fällen hatten sich die jeweiligen Plugin-Entwickler vom verantwortlichen Spammer finanziell entlohnen lassen, die Backdoor im Code einzubauen.
Handlungsempfehlungen
Nun wäre es aber völlig unangebracht, WordPress-Erweiterungen per se zu verteufeln, besonders deshalb, weil einige von ihnen schlicht zur Grundausstattung einer guten Website gehören. Deshalb folgen an dieser Stelle die wichtigsten Tipps für einen sicheren Umgang mit Plugins:
- Grundsätzlich gilt: Je mehr Plugins installiert sind, desto größer das Risiko. Jede neue Erweiterung muss also gründlich ob ihrer Notwendigkeit bewertet und unbenutzte Plugins sollten nachhaltig gelöscht werden.
- Man sollte nur zu bewährten Plugins greifen und diese direkt von WordPress.org herunterladen. So vermeidet man etwa, an die gefährliche Malware X-WP-SPAM-SHIELD-PRO zu geraten, die dem vertrauenswürdigen Original mit Namen WP-SpamShield Anti-Spam zum Verwechseln ähnlich ist.
- Wenn man dennoch ein weniger bekanntes Plugin benutzen will, sollte man sich vor dem Download ausführlich über die Qualität des Supports und die Aktualität der Software-Version informieren.
- Die meisten WordPress-Plugins können nicht automatisch aktualisiert werden. Man sollte also regelmäßig im Admin-Bereich nach neuen Updates suchen und jedes davon einzeln durchführen, um beim plötzlichen Auftreten eines Fehlers schnell die Ursache bestimmen zu können.
- Zuletzt sollten gängige Sicherheits-Plugins wie iThemes Security und Backup-Programme wie BackWPup installiert werden. Letztere ermöglichen es auch im unwahrscheinlichen Fall eines Update-Fehlers, die vorherige Version einer Website wiederherzustellen.
Bildrechte: Flickr System Lock Yuri Samoilov CC BY 2.0 Bestimmte Rechte vorbehalten
Flickr Hacker Free Images CC BY 2.0 Bestimmte Rechte vorbehalten