CMS

Wordpress-Sicherheitslücken schließen - so geht's

Eines der beliebtesten PHP-Projekte ist Wordpress. Die enorme Popularität macht Wordpress und besonders seine Plug-ins zu lohnenden Angriffszielen. Wer Wordpress betreibt, sollte es regelmäßig auf Lücken prüfen.

Wordpress hat sich für Blogs und Online-Portfolios und sogar als kompaktes Content-Management-System für kleinere Sites bewährt. Die Marktforscher von W3Techs gehen nach Hochrechnungen ihrer monatlichen Auswertung der zehn Millionen Top-Sites davon aus, dass Wordpress einen Marktanteil von 23 Prozent unter den Content-Systemen hat (Stand: März 2015). Die Popularität von Wordpress gegenüber anderen PHP-Projekten erklärt sich leicht: Wordpress ist Open Source und läuft ohne besondere Voraussetzungen auf einem typischen Linux-Server mit Apache My SQL und PHP. Wordpress wirbt mit einer Fünf-Minuten-Installation, sein PHP-Code ist vergleichsweise klar strukturiert und seit den Anfangszeiten der Software gut dokumentiert. Die Tatsache, dass es relativ einfach zu nutzen ist, hat aber auch einen Nachteil: Den Benutzern von Wordpress fehlt es oft am Sicherheitsbewusstsein.

Einfallstor: Plug-ins und Themes

Wordpress wird von seinen Entwicklern oft aktualisiert, die zeitnah auf Sicherheitslücken und Bugs reagieren. 2015 gab es bereits ein Update auf die Version 4.1.1 mit Fehlerbehebungen. Gravierende Sicherheitslücken treten in Wordpress seltener auf, zuletzt gab es im November 2014 mit Version 4.0.1 ein kritisches Update. In der Verwaltungsoberfläche informiert stets ein Hinweis über neue Versionen, die sich auf Standardinstallationen sogar über eine automatische Update-Funktion einspielen lassen. Soweit ist Wordpress hier vorbildlich. Wer außerhalb der Verwaltungskonsole von Wordpress über wichtige Aktualisierungen informiert werden will, kann dazu übrigens den Feed https://wordpress.org/news/feed abonnieren.

Die aktive Community macht das Projekt zum Selbstläufer, denn es gibt Themes und ein Plug-in-System, das Wordpress mit wenig Aufwand aus einem Fundus von rund 20 000 Plugins erweitern kann. Genau diese Flexibilität, die Wordpress mit Themes und Plug-ins von Fremdanbietern gewinnt, schlägt aber immer wieder Sicherheitslücken in Wordpress-Installationen. Ein Check aller Erweiterungen und sogar Themes auf der eigenen Wordpress-Site ist deshalb Pflicht.

Übersicht: Datenbank der Sicherheitslücken

Bei den Plug-ins und fremden Themes gibt es zügige Updates nicht immer, und die Auto-Update-Funktion von Wordpress kümmert sich nicht um Erweiterungen. Eine schlecht gewartete Kollektion von fremden PHP-Code ist neben groben Konfigurationsfehlern die Hauptursache für Einbrüche in Wordpress. Das letzte prominente Beispiel in der Reihe angreifbarer Plug-ins war Ende Februar 2015 die Erweiterung „WP-Slimstat“, welche Besucherzahlen für Statistiken auswertet. Eine mangelhafte Chiffrierung der gesammelten Benutzerdaten beim Schreiben in die Wordpress-Datenbank machte das Plug-in anfällig für SQL-Injections und gefährdete die gesamte Wordpress-Installation.

Zweischneidiges Schwert: Eine gut gepflegte Datenbank zu Lücken von Wordpress, Themes und Plug-ins hilft nicht nur Wordpress-Betreibern, sondern auch den Angreifern.
Zweischneidiges Schwert: Eine gut gepflegte Datenbank zu Lücken von Wordpress, Themes und Plug-ins hilft nicht nur Wordpress-Betreibern, sondern auch den Angreifern.

Eine Überprüfung, ob eine der aktiven Erweiterungen bekannte Sicherheitslücken hat, gestaltete sich bisher schwierig, da es keine zentrale Stelle gab, die Lücken systematisch sammelt. Der Sicherheitsspezialist Ryan Dewhurst startete deshalb vor einigen Monaten die Online-Datenbank https://wpvulndb.com. Es handelt sich dabei um ein laufend aktualisiertes Nachschlagewerk zu Sicherheitslücken in Wordpress selbst, in Plug-ins und Themes. Mittlerweile ist diese englischsprachige Datenbank das ergiebigste Werkzeug, um die verwendeten Plugins auf bekannte Anfälligkeiten zu prüfen: Geben Sie dazu im Suchfeld rechts oben den Namen des Plug-ins oder Themes ein. Die Resultate liefern, falls vorhanden, eine chronologische Liste der bekannten Lücken. Ein Klick auf einen Eintrag bietet Details wie die verwundbare Version, die Versionsnummer, die das Problem behebt, sowie Links zu Artikeln mit Erläuterungen zur Sicherheitslücke.

Datenbanken dieser Art sind aber ein zweischneidiges Schwert: Einerseits ist https://wpvulndb.com eine legitime Hilfe für Wordpress-Betreiber, Sicherheitslücken zu finden oder Hintergründe in Erfahrung zu bringen. Andererseits finden hier auch Angreifer ohne großen Aufwand viele verwertbare Informationen zu Lücken auf schlecht gewarteten Wordpress-Sites. Wie auch immer man den Nutzen dieser Datenbank sieht: Es muss jedem klar sein, dass solche Datenbanken die Pflicht forcieren, möglichst zeitnah auf Lücken zu reagieren.