Das Gerücht WordPress sei unsicher, ist fast schon so alt wie das CMS an sich. Und es hält sich leider tatsächlich hartnäckig. Auch wenn WordPress-Profis immer wieder darauf hinweisen, dass es in der Regel nicht WordPress an sich ist, das sicherheitstechnische Probleme bereiten kann.
Inhaltsverzeichnis:
Wieso behauptet mancher, WordPress wäre unsicher?
WordPress ist weltweit das meist genutzte System für Webseiten und daher natürlich unter besonderer Beobachtung von bösen Hackern oder Script-Kiddies, die versuchen das System automatisiert zu kompromittieren. Aus der Sicht der dunklen Seite macht das ja auch Sinn…hat man eine Sicherheitslücke in WordPress gefunden, lassen sich theoretisch abertausende Systeme infizieren. Das ist bei unbekannten Content Management Systemen natürlich bei weitem nicht so. D.h. ein Angriff auf WordPress verspricht mehr Schaden und ggfs. auch mehr finanziellen Erfolg.
Und vermutlich kommen die Gerüchte WordPress wäre per se unsicher schlicht von dieser Tatsache. Genauso wie ja auch behauptet wird, Windows Rechner wären unsicherer als Apple Rechner. Auch hier ist es die vergleichsweise geringe Verbreitung von Apple Rechnern, die die vermeintliche Sicherheit vorgaukelt. Es lohnt sich einfach für einen Schadcode-Programmierer bei weitem mehr, Sicherheitslücken des Platzhirsches Windows anzugreifen. Mehr Sicherheitslücken hat Windows deshalb noch lange nicht…ganz im Gegenteil.
Wie unsicher ist WordPress denn nun wirklich?
WordPress selbst ist sehr gut gepflegt von seinen Machern. Und da die Verbreitung so groß ist und sich viele Unternehmen und Security-Anbieter darauf spezialisiert haben, werden Sicherheitslücken in der Regel schnell entdeckt und in neuen Releases geschlossen. WordPress als Trägersystem ist es also nicht, was den Ruf des angreifbaren Systems befeuert. Woher kommt aber dann die „Unsicherheit“?
WordPress Plugins und Themes als Sicherheitsrisiko
Was viele Webseitenbetreiber nicht wissen: Plugins und Themes bei WordPress kommen von Fremd-Herstellern. Jeder x-beliebige Programmierer kann Erweiterungen und Designs für WordPress erstellen und diese kostenlos oder kostenpflichtig anbieten. Und da das jeder x-beliebige Programmierer kann, kann das auch jeder x-beliebige schlechte Programmierer.
Und hier liegt das Problem von WordPress: WP kann frei von Sicherheitslücken daherkommen, wird aber ein Plugin oder ein Theme eines Drittherstellers verwendet welches Sicherheitslücken aufweist, kann die Webseite im Zweifelsfall kompromittiert werden.
Dennoch ist es bei weitem nicht nur so, dass ausschließlich minderbegabte Entwickler Sicherheitslücken in Plugins oder Themes codieren. Auch die wirklich Großen machen das. So sind zB der Revolution Slider oder auch der WPBakery Page Builder for WordPress (früher Visual Composer) aufgrund ihrer Komplexität immer wieder von Sicherheitslücken betroffen. In der Regel werden aber auch diese recht schnell behoben.
Wieso ist WordPress so weit verbreitet, obwohl es angeblich unsicher ist?
Obwohl WordPress immer noch der Ruf des sehr unsicheren Systems anhaftet, wird es immer häufiger verwendet. Warum ist das so? Zum einen liegt es sicher daran, dass sich der Stärkere in der Regel durchsetzt. Was alle anderen verwenden, kann nicht so schlecht sein. Zum anderen kümmern sich viele nicht um das Thema Security. WordPress ist schnell und leicht über den Webhoster installiert und einsatzbereit.
Wer hat in dem Zuge schon einen Hacker im Sinn? Sicher nicht der gemeine Handwerker, der sich mal schnell eine Webseite hochziehen will und sich vor allem um Inhalte und Design bemüht. Von Entwicklern wird WordPress eben deshalb empfohlen und eingesetzt, weil es flexibel ist und abgesichert werden kann, so dass die Sicherheitsproblematik kaum zum Tragen kommt. Es trifft am Ende also hauptsächlich die unbedarften Webseiten-Betreiber, die sich selbständig um die Erstellung ihrer Webseite gekümmert haben und das Thema Sicherheit außer Acht ließen.
Ist WordPress unsicherer als andere Content Management Systeme?
Wer nun denkt „dann nehm ich halt ein anderes CMS“, der denkt nicht weit genug. Nur weil WordPress anhaftet, ein unsicheres System zu sein, heißt das noch lange nicht, dass die anderen Systeme sicherer sind. Nehmen wir zB Joomla, ein Hauptkonkurrent von WordPress. Joomla ist ebenso von Sicherheitslücken betroffen wie WordPress. Das gleiche System macht die Schwäche aus: Erweiterbarkeit über Fremdhersteller.
So ist es mit nahezu allen Content Management Systemen. Die die ein geschlossenes System bieten, bieten vermeintlich mehr Sicherheit auf Kosten der Erweiterbarkeit. Für viele direkt ein Ausschluss-Kriterium für die mögliche Verwendung.
Was kann man machen um WordPress sicherer zu machen?
Jetzt da wir wissen, dass WordPress an sich nicht unsicher ist, sondern eher verwendete Plugins und Themes dafür sorgen, dass Sicherheitslücken entstehen; was kann getan werden um WordPress abzusichern und möglichst lange und möglichst viel Spaß mit dem eigenen Webprojekt zu haben?
- WordPress aktuell halten
- Plugins aktualisieren
- Themes aktualisieren
- Ein tägliches Backup einrichten
- Sicherheitsmaßnahmen treffen durch Plugins und Direktiven in der .htaccess
- Verzeichnisrechte auf Serverebene beschränken
- Die Sucuri Web Application Firewall nutzen
Soll ich also WordPress für meine neue Webseite verwenden oder nicht?
Ja unbedingt! WordPress ist ein geniales System um Webseiten nahezu jeglicher Art und Größe zu realisieren. Die Community rund um das CMS ist riesig und beweist Jahr für Jahr, dass immer mehr kreative und spannende Lösungen für jegliche Aufgabenstellung möglich ist. Die Sicherheitsproblematik ist kritisch (wie bei allen anderen Systemen), lässt sich aber mit den richtigen Maßnahmen relativ einfach lösen. Teilweise deutlich einfacher, als es bei anderen Systemen der Fall ist.
anita
danke für den artikel. ich stehe im moment vor dem problem, dass das theme unserer WEbseite nicht mehr „existiert“ und es keine Updates mehr gibt. was würdest du in diesem Fall raten – Theme wechseln? (mit Fachmann, ich bin eher „noch Laie“).
und kannst du E-commerce ready Themes empfehlen, die hoffentlich lange weiter „gewartet“ werden (-.
danke
René Dasbeck Post author
Grundsätzlich würde ich sagen, Theme wechseln. Du weißt nicht, was da an Sicherheitslücken über die Zeit noch auftauchen wird und langfristig wird es evtl. Inkompatibel mit Updates in WP und Plugins. Reine E-Commerce Themes habe ich keine Erfahrung, da ich selten Shops baue. Aber es gibt genügend Multipurpose Themes, die man verwenden kann. So wie Astra, Divi oder auch Kadence oder Blocksy.
Julia
Nachdem ich kurz Panik hatte, hat mich dieser Artikel direkt wieder beruhigt. Danke dafür 😀
JochenV
Respekt für diesen in meinen Augen hervorragenden Artikel. Auch der leicht verständliche Schreibstil, ohne in den für Webdesign Involvierte gängigen Fachslang zu verfallen, lässt den Artikel in einem positiven Licht erstrahlen
Floo
Dank Dir sehr für Deinen genialen Blog, der mich nun dazu veranlasst, mich privat bei Dir zu melden. Endlich jemand, der sich auskennt und mir vielleicht sogar weiterhelfen kann ;-)!
Andi
Danke für den hervorragenden Blogartikel, der Einem Mut macht, trotz aller Angriffsmeldungen der Presse weiter hin oder neu mit WordPress aufzusetzen!