Immer wieder hört und liest man von Hackerangriffen auf WordPress Seiten – und viele Menschen sind gerade deshalb verunsichert, und fragen sich: Wie sicher WordPress überhaupt ist – Deshalb wollen wir heute mal ein bisschen Licht in dieses sagenumwobene Thema liefern:

WordPress ist beliebt, WordPress ist weit verbreitet und WordPress ist Open Source (d. h. jeder kann den Quellcode ansehen und gezielt nach Lücken suchen) – all dies „macht“ WordPress natürlich zu einem beliebten Angriffsziel – doch, mit relativ wenig Aufwand kann man, hat man erst einmal das Prinzip begriffen genau dagegen vorgehen, denn WordPress ist keineswegs unsicher oder bietet besondern viele Möglichkeiten gehackt zu werden – und die unzähligen WordPress Entwickler sorgen weltweit ständig dafür, dass die entdeckten Sicherheitslücken sofort durch Updates geschlossen werden.

Im Umkehrschluss bedeutet dies aber auch, dass Webseiten-Betreiber diese Sicherheitsupdates auch regelmäßig installieren müssen – und genau hier ist meistens das Problem zu suchen, denn wenn findige Menschen erstmal Schwachstellen in WordPress gefunden haben, verbreiten sich diese Einfallstore und -möglichkeiten rasend schnell im Internet und werden von Hackern dann natürlich gnadenlos ausgenutzt.

Das größte Sicherheitsproblem bei WordPress ist nicht WordPress an sich, sondern die unzähligen Plugins und Themes von Drittanbietern die WordPress zu dem gemacht haben was es ist: ein modular, auf die jeweiligen Bedarfe zugeschnittenes CMS mit optisch extrem schöner Anmutung.

Gerade Plugins und Themes werden – außer in Ausnahmefällen – nicht automatisch aktualisiert und können somit den Angreifern Tür und Tor weit offen halten… – Gerade wenn Themes und Plugins nicht immer und jederzeit aktualisiert werden, bzw. der Webseitenbetreiber sich nicht regelmäßig um Updates kümmern kann oder will, sind genau diese Themes und ggf. auch die Plugins genau deshalb interessant für eventuelle Hackversuche und Manipulationen.

Welche Arten von WordPress-Updates gibt es?

WordPress Core

Updates für das Basis System, den Kern (Core) von WordPress selbst sind wie gesagt extrem wichtig. Sie können neben neuen und weiterentwickelten Features auch Bugfixes (Fehlerbehebungen) sowie Behebungen von neu entdeckten Sicherheitslücken beinhalten. Außerdem können sie gegebenenfalls Inkompatibilitäten zu beliebten Plugins beheben.

Den WordPress-Kern aktuell zu halten, ist einer der wichtigsten Schritte zur sicheren Webseiten und sollte unbedingt ernst genommen werden – deshalb werden wichtige Sicherheitsupdates standardmäßig bei WordPress vollautomatisch eingespielt. Bereit stehende Aktualisierungen werden gleich im WordPress Dashboard angezeigt. „Große“ Updates zu einer neuen Hauptversion müssen immer manuell angestoßen werden. Kleinere Updates mit zumeist wichtigen Sicherheitsupdates werden (eigentlich) automatisch durchgeführt – doch genau dies wird von dem einen oder anderen Entwickler deaktiviert… warum? Wir wissen es nicht… – vermutlich programmiert der- oder diejenige auch mit einem Hut aus Alufolie… *lach*

WordPress Plugins

Die Plugin-Updates in WordPress sind natürlich ebenfalls sehr wichtig. Plugins haben nämlich ebenfalls kompletten Zugriff auf die Datenbank und teilweise auf das Dateisystem – können also – wenn sie nicht aktuell gehalten werden – potentiell viel Schaden anrichten und oftmals kritische Sicherheitslücken darstellen. Jedes Plugin ist nur so gut wie der Entwickler bzw. das Entwicklerteam das es gemacht hat – und so liegt es in der Natur der Sache, dass gerade die weit verbreitetsten Plugins nur allzu gerne von Hackern „sehr genau“ betrachtet werden…

Die notwendigen Plugin-Updates werden im WordPress-Adminbereich unter Dashboard – Aktualisierungen sowie unter Plugins explizit angezeigt. Dort kann man mit wenigen Klicks alle Aktualisierungen durchführen – bei gekauften Plugins muss teilweise das komplette Plugin wieder installiert und aktiviert werden – bzw. durch Eingabe von Codes zunächst legitimiert werden.

WordPress Themes

Die Aktualisierung von Themes wird nur allzu gerne vernachlässigt – doch eigentlich total zu unrecht – denn „nur“ weil Themes hauptsächlich die (optische) Darstellung der Inhalte steuern, können auch diese kritische Sicherheitslücken aufweisen, zumal hier oftmals auch tief in die Datenbankstruktur eingegriffen wird… Gerade wenn Themes mit sog. „Zwangsplugins“ ausgeliefert werden, kommt man nicht drumherum neben den neuen Versionen der Plugins auch das entsprechende Theme regelmäßig dem Updateprozess zu unterziehen.

Automatische WordPress-Updates

Wie oben schon kurz beschrieben, wird, sollte eine kritische Lücke in WordPress entdeckt werden, ein automatisches Update vollautomatisch eingespielt damit die Millionen von Webseiten wieder geschützt sind, noch bevor die Angriffswellen diese Webseiten erreichen, denn in der Zeit, die zwischen der Entdeckung einer Sicherheitslücke und dem Schließen dieser Lücke steckt, nutzen findige Hacker aus um nach der Veröffentlichung eines Patches, genau nachvollziehen zu können, welche Sicherheitslücken nun geschlossen wurden. Ist das Auto-Update also deaktiviert und die neue Version wird manuell nicht zeitnah installiert, ist eine Webseite potentiell angreifbar. Der Auto-Update ist in WordPress „serienmäßig eingeschaltet“  – sollten sie aber einen berechtigten Verdacht haben, dass WordPress Webseite diese automatischen Updates deaktiviert hat, dann schauen sie bitte in der wp-config.php nach diesen Eintrag:

define( ‚WP_AUTO_UPDATE_CORE‘, false); und ändern dann „false“ auf „true“ oder löschen die komplette Zeile.

 

Angesichts der Art und Weise, wie heutzutage Webseiten von Hackern unter die Lupe genommen werden, ist das automatische Update eine gute und pragmatische Lösung, denn es funktioniert erstaunlich gut. Probleme mit dem Updateprozess sind zwar niemals ganz ausgeschlossen, aber eher selten, und stehen nicht dem Anfwand entgegen, dass es kostet eine gehackte Webseite wieder „frei“ zu bekommen.

Plugins und Themes zeitnah updaten

Je länger Updates von Plugins und Themes aufgeschoben werden, desto größer wird das Risiko von Inkompatibilitäten und Schwierigkeiten bei den Updates. Das bezieht sich nicht nur auf das Zusammenspiel der verschiedenen Komponenten untereinander, sondern auch auf mögliche Inkompatibilitäten bei großen Versionssprüngen von Plug-ins oder Themes – deswegen gilt gerade bei Plugins und Themes: Nicht sofort updaten – aber zeitnah!

Sollten trotzdem Unsicherheiten bestehen können auch wir als WordPress Agentur gerne die notwendigen Updates für Sie durchführen. Als WordPress Spezialisten wissen wir genau welche Updates wann, wie und warum ausgeführt werden sollten und haben auch die Tools und Möglichkeiten etwaige Inkompatibilitäten und Probleme vor/während und nach dem Update erfolgsorientiert zu lösen!