Insgesamt ist WordPress in ihrer Core-Version nicht anfällig für Hackerangriffe. Die jeweiligen aktuellen Versionen werden von der WordPress Foundation unter sehr strengen Kontrollen freigegeben. Die Electronic Frontier Foundation (EFF) mit Sitz in San Francisco prüft seit 1990 Systeme nach ihrer Sicherheit und Datenschutz. Die aktuelle Version von WordPress wurde von der EFF mit 5 von 5 Sternen bewertet.
Das größte amerikanische Computermagazin IW (Gründung 1978) bewertete WordPress als eines der besten Open Source Software der Welt. In der Core-Version ist somit WordPress insgesamt als sehr sicher zu bezeichnen.
Die Sicherheitslücken von WordPress kommen allerdings zum Vorschein, sobald fremde Schnittstellen angebunden, externe Plugins eingesetzt und eigene Entwicklungen durchgeführt werden.
Der durchschnittliche Nutzer hat geschätzte 10 externe Plugins auf seinem WordPress installiert und mind. ein externes Theme im Einsatz, welches in der Basisinstallation nicht mitgeliefert wird.
Die meisten Entwickler setzen somit eigene Plugins, eigene PHP-Scripte und externe Themes ein, die außerhalb vom mitgelieferten Standard vom WordPress liegen. Und hier ist im Grunde alles möglich, was die Sicherheit von WordPress beeinträchtigen kann.
Ist WordPress aufgrund der Verbreitung gefährdeter als andere Systeme?
Schaut man sich die Anzahl der Schlagzeilen an, die um WordPress täglich publiziert werden, sind das laut Google durchschnittlich zwischen 70 und 100 Artikel in den größten Zeitschriften wie Forbes, New York Times, USA Today, Bloomberg, The Washington Post, The Boston Globe und mehr. Nimmt man die Blog-Artikel und zahlreiche kleinere Portale dazu sind es über 1000 Artikel pro Tag nur über WordPress. In dieser Fülle werden auch regelmäßig über die aktuellen Schwächen von Plugins und Themes veröffentlicht, was zu einer sehr hohen Anzahl von Publikationen führt.
Nimmt man dagegen weniger bekannte CMS wie beispielsweise Drupal, Joomla, Magento, liegen die Artikel bei durchschnittlich 20-50 Artikel pro Tag. Und weitere vor allem regional bekannte CMS wie in Europa oder in Asien bekannte CMS, wie Typo3, Kentico und dotcms, zeigen zwischen 0-5 Artikel pro Tag auf.
Somit macht natürlich die hohe Verbreitung von WordPress einen ordentlichen Buzz, auch in der Visibilität von Schlagzeilen in Bezug auf Sicherheit der Komponenten, die man zusätzlich zu WordPress installieren kann. Das heißt, die meisten Berichte über Sicherheitslücken betreffen externe Plugins und nicht WordPress selbst.
Daher sollte man sich in erster Linie nicht vom Buzz abschrecken lassen, da es in der Natur der Sache liegt, dass WordPress derweil in 2024 das bekannteste CMS der Welt ist. Man wird beispielsweise über die Sicherheitslücken von Google, Microsoft und Apple mehr lesen als von Blackberry, Linux und ChromeOS.
Eine größere Bekanntheit bedeutet für Systeme auch, dass mehr Black-Hat-Hacker sich den Systemen annehmen und sich darauf fokussiert haben. So kann theoretisch ein unbekanntes System mehr Sicherheitslücken aufweisen als ein bekanntes — doch aufgrund der geringen Marktverbreitung machen die meisten Hacker keine Mühe sich den Sicherheitslücken von Nischenprodukten anzunehmen. WordPress ist also durchaus mehr im Fokus vieler Anwender, Programmierer und Black-Hat-Hacker.
WordPress ist ein freies System
WordPress gehört mittlerweile zu den CMS mit den höchsten Anbindungsmöglichkeiten für Lösungen, Schnittstellen und Plugins. Diese Komplexität macht das System auch anfälliger für Schwachstellen und auch Bugs durch externe Anbindungen.
Professionelle Systeme neigen daher von Natur aus mehr zu Anfälligkeiten. Diese Komplexität bietet auf der einen Seite Kostenersparnis, da es sehr viel Flexibilität bietet. Auf der anderen Seite bietet die Flexibilität auch Schwachstellen.
Eine andere Möglichkeit wäre ein System proprietärer zu gestalten und weniger Einfluss von externen Entwicklern zuzulassen, und das System möglichst auf simplen Funktionalitäten zu belassen. Dieses Konzept hat aber dann den Nachteil, dass das System insgesamt bei der Weiterentwicklung von Features hohe Entwicklungskosten mit sich bringt.
Ein gutes Beispiel ist Oracle. Sie gilt als eines der sichersten Datenbanken und ist daher auch zertifiziert für Finanzinstitute wie auch Banken. Oracle ist jedoch kein freies System und gilt auch als die Datenbank mit den höchsten Lizenzkosten. Zudem lässt Oracle nur eigene zertifizierte Oracle-Entwickler und Oracle-zertifizierte Berater zu. Diese Sicherheit wird also auf Kosten von Freiheit und Flexibilität erreicht.
Es gibt daher auch am Markt proprietäre CMS, die weniger Bekanntheit haben und entsprechend auch weniger Flexibilität anbieten, was Weiterentwicklungen angeht. So greifen große Unternehmen auf solche Systeme zu, die dann schließlich nur von dem jeweiligen CMS-Anbieter betreut und weiterentwickelt werden können. Die Kosten für Weiterentwicklungen sind entsprechend hoch und können siebenstellige Summen aufweisen — beispielsweise selbst die Programmierung einer einfachen Blog-oder Diskussions-Sektion kann bis zu einer Million Euro und mehr kosten. Einige Erfahrungen darüber, wie hoch die Kosten von proprietären Systemen kosten können habe ich während meiner Arbeit für die Deutsche Telekom machen dürfen, als wir im Rahmen unseres Auftrags mit dem Telekom-Forum täglich zu tun hatten.
WordPress und weltweite Entwickler
Die meisten Sicherheitslücken kommen aufgrund von extern eingesetzten Plugins. Über 50.000 Plugins bietet derweil WordPress an. Alle Plugins erfüllen die Anforderungen der WordPress Foundation (wordpressfoundation.org). Denn sie müssen dem WordPress Codex (codex.wordpress.org) folgen, bevor sie in die WordPress-Plugin-Bibliothek aufgenommen werden. Für Sicherheit sorgt derweil auch die Community selbst. Nutzer melden und veröffentlichen ihre Reports direkt bei den Plugin-Pages (wordpress.org/plugins) selbst, so dass die WordPress Foundation selbst Plugins auch aus ihrer Bibliothek entfernen kann.
Dennoch gibt es auch eine hohe Anzahl von Plugins, die nicht in der WordPress-Plugin-Bibliothek vorkommen, jedoch von anderen Websites heruntergeladen werden können, die außerhalb der Reichweite von WordPress selbst liegen. Das liegt daran, dass einige Entwickler ihre Plugins außerhalb der WordPress-Site anbieten, weil sie lizenzgebundene und kostenpflichtige Plugins nicht über ein Download auf der WordPress-Site anbieten möchten.
Die meisten Anbieter, die nicht auf WordPress angeschlossen sein wollen sind Theme-Anbieter — die Möglichkeit zur einfachen Anbindung von Design-Oberflächen. Nicht nur sind diese Anbieter außerhalb der Kontrolle von WordPress, sie bieten in der Regel auch keine Kommentar-Funktion seitens der Nutzer an.
Zusammengefasst: Während Plugins und Themes in der WordPress-Bibliothek selbst von der Community kontrolliert werden und entsprechende Warnungen sofort Gehör finden — sind Plugins und Themes auf fremden Websites nicht in diese Community angebunden.
Aber auch bei Plugins die von der WordPress-Bibliothek selbst kommen werden immer wieder Sicherheitslücken entdeckt. Diese werden in den meisten Fällen mit zeitnahen Updates eliminiert. Allerdings bekommen einige Website-Betreiber zu spät oder gar nicht von diesen Updates mit. Diese Nachlässigkeit führt ebenfalls zu Sicherheitslücken.
Wie kann Sicherheitslücken bei WordPress vermeiden?
Fremde Plugins
Insgesamt rate ich zur Vorsicht mit Plugins, die auf externen Websites liegen und nicht direkt von WordPress als Download zur Verfügung stehen. Einige dieser Plugins wurden von der WordPress-Community verbannt, können jedoch weiterhin auf externen Websites angeboten werden.
Andere sehr bekannte Tools wie beispielsweise WooCommerce oder Elementor dagegen sind in der Regel sehr zuverlässig. Hierbei kommt man nicht drumherum die jeweiligen externen Plugins von fremden Websites selbst zu evaluieren. Bei Plugins, die keine hohe Bekanntheit aufweisen oder keinen guten Eindruck hinterlassen rate ich eine Bewertung durch Menschenverstand.
Plugin Updates
Insgesamt sollten Plugins regelmäßig aktualisiert werden. Bei WordPress kann man das mit einem simplen Klick durchführen — ich empfehle jeweils ein Backup des gesamten Systems vor jedem Update.
Wahl des richtigen Hosts
Die meisten Massenanbieter von WordPress-Hosts interessieren sich nicht sonderlich, wenn der Nutzer ein Plugin im Einsatz hat, welches Sicherheitslücken aufweist. Diese Hosts verweisen lediglich auf die Möglichkeit ihres Backup-Tools.
Bislang habe ich gute Erfahrungen mit WPEngine machen dürfen. Hier ist ein Compliance-Team im Einsatz, das täglich alle Meldungen von Plugins beobachtet und allen ihren Kunden Emails schickt, die solche Plugins im Einsatz haben. Bei einigen sehr kritischen Plugins deinstalliert das Team aber schonmal eigenständig diese Plugins mit einer Eilmeldung.
Insgesamt daher empfehle ich bei der Auswahl eines Hosts darauf zu achten, dass sie möglichst auf WordPress fokussiert und spezialisiert sind, um proaktiven Support anzubieten. Ein 24-Stunden-Support sollte hier unbedingt die Regel sein.
Tägliche Backups
Unnötig zu erwähnen, dass jede WordPress-Instanz auf einem Host liegen sollte, der täglich automatische Backups durchführt. Ein Hackerangriff sollte nie eine Gefahr für eine Website sein, sondern sollte innerhalb von Minuten durch ein Backup wiederhergestellt werden können.
Meine persönliche Devise lautet: Vor einem Hackerangriff sollte man grundsätzlich keine Angst oder Sorgen haben, wenn tägliche Backups dafür sorgen, dass ohnehin der Zustand vom Vortag hergestellt werden kann.
Insgesamt empfehle ich auch die WordPress-Instanz samt Datenbank auch hin und wieder auf die eigene Festplatte zu sichern. Zwar habe ich noch nie erlebt, dass selbst der Host selbst gehackt worden wäre mit Verlust von Daten. WPEngine beispielsweise nutzt die Google Cloud und viele andere nutzen Microsoft oder AWS. Hackerangriffe auf diese Bereiche haben zwar mit WordPress nichts mehr zu tun, wer jedoch seine Daten regelmäßig sichert, geht auf Nummer sicher.
Meine Erfahrungen mit Hackerangriffen mit WordPress
In den letzten 10 Jahren habe ich bislang nur einmal einen Hackerangriff erlebt. Dieser verwüstete die Website mit einem JavaScript. In diesem Fall hatte ich lediglich die Website mit dem Backup vom Vortag aufgespielt, und das Problem war innerhalb weniger Minuten erledigt. Allerdings hatte einige Stunden später der Hacker die gleiche Sicherheitslücke aufgefunden und die Verwüstung erneut durchgeführt.
Somit war mir klar, dass ein automatisches Script vom Hacker alle paar Stunden die Website meines Kunden scannte und die Sicherheitslücke ausnutzte.
Nachdem ich erneut das Backup aufgespielt hatte, deaktivierte ich ein Plugin auf der Website, die der Kunde vor unserem Einsatz selbst installiert hatte — ein Plugin von dem ich bislang noch nie gehört und auch nicht erkennen konnte, wer sie entwickelt hatte. Das hatte zu der Sicherheitslücke geführt, denn danach konnte ich keine weitere Manipulation mehr an der Website erkennen.
Schlusswort
Wie so oft ist nicht das WordPress-System selbst anfällig für Hackerangriffe, sondern die Schwächen kommen vom Nutzer selbst. Die Anwendung und Installation von Themes und Plugins sorgen für Sicherheitslücken. Entsprechend ist es wichtig insgesamt dafür zu sorgen, dass nicht jeder Zugang auf Plugins hat, und Entwicklerteams auch insgesamt gut zusammenarbeiten sollten.
Wer sehr sensible Daten hat wie beispielsweise Finanzinstitute, bei denen Nutzer mit Geld handeln: Diese können ohnehin nicht auf Systeme wie WordPress zugreifen, allein deswegen, weil keine zertifizierten Oracle- oder ähnliche Datenbanken dahinterstecken.
Doch insgesamt kann man sagen, dass kein System eine völlige Sicherheit anbietet. Selbst ein proprietäres System, welches nur von einem Anbieter angeboten wird kann Sicherheitslücken beinhalten, die jedoch noch von keinem Black-Hat-Hacker identifiziert worden ist, weil das System unbekannt ist.
Benjaming Franklin sagte eins: “Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, der wird am Ende beides verlieren.” Dem kann ich auch bei der Wahl von CMS zustimmen. Wer auf ein sicheres System umsteigt, verliert zwar die Freiheit, gewinnt aber nicht unbedingt die Sicherheit. Es ist nirgends festgeschrieben, dass ein proprietäres CMS auch sicherer ist. Aber wie so oft bei Sicherheit geht es darum, wie man sich dabei fühlt. Am Ende wird man wissen, wie sicher ein System ist, wenn man lange genug damit selbst gearbeitet und seine individuellen Erweiterungen und Plugins im Einsatz hatte.
Jede WordPress-Instanz ist nach einige Jahren eine eigene individuelle Welt: Je nachdem wie es konfiguriert und eingesetzt wird, sieht jedes WordPress im Backend komplett anders aus. So sind einige WordPress-Instanzen sicher, und einige extrem anfällig für Angriffe.
Meine Erfahrung zeigt, je mehr Entwickler über lange Zeit an der WordPress-Instanz verschiedene Lösungen angeboten haben, desto chaotischer und undurchschaubarer wirkt das System. Oft habe ich auch eine komplett neue Installation empfohlen, um bei Null anzufangen. Manche WordPress-Systeme sind dermaßen zerzaust, dass von Sicherheit keine Rede mehr sein kann. Andere Systeme sind von Entwicklern mit großer Sorgfalt und Akribie gebaut worden, so dass ich dem Entwickler am liebsten die Hand schütteln möchte.