Wie sicher ist der WordPress Core?

Bei WordPress handelt es sich um die am weitesten verbreitete CMS-Software der Welt. Fast die Hälfte aller Websites werden damit betrieben. Kein Wunder, dass dieses kostenlose Open-Source- Content-Management-System deshalb auch ein beliebtes Angriffsziel von Hackern ist. Immer wieder berichten User davon, dass ihr WordPress-Account gehackt wurde. Eine wichtige Frage in diesem Zusammenhang lautet: Wie oft haben es die Hacker dabei auf den WordPress Core abgesehen und wie sicher ist dieser generell?

Worum handelt es sich beim WordPress Core?

Als WordPress Core werden in der Regel die Kern-Dateien dieses CMS bezeichnet. Es handelt sich dabei um den zentralen Teil der Software, der die grundlegende Funktion für eine Webseite bereitstellt.

Der WordPress Core besteht aus einer Sammlung unterschiedlicher PHP-Skripte wie beispielsweise wp-activate.php, wp-load.php und wp-cron.php, die die Kernfunktionen von WordPress ausführen. Sie ermöglichen es den Usern in weiterer Folge, entsprechenden Content zu erstellen und auf der eigenen Webseite zu veröffentlichen.

Der WordPress Core bietet zudem die Möglichkeit, Themes zu verwenden, mit dem das Design und das Layout von Webseiten angepasst werden können. Zudem kann der WordPress Core durch entsprechende Plugins gezielt im Funktionsumfang erweitert werden.

In vielen Fällen sind genau diese Themes und Plugins jedoch ein beliebtes Einfallstor für die Hacker und nicht der WordPress Core selbst. User können also selbst einige Maßnahmen setzen, um die Webseite abzusichern. Dazu zählen vor allem die Verwendung von sicheren Passwörtern sowie die Anfertigung von regelmäßigen eigenen Backups. Zudem sollte ein neuer Benutzername angelegt und der Benutzername „ADMIN“, der bei früheren Versionen automatisch vergeben wurde, in weiterer Folge gelöscht werden.

Ein veralteter WordPress Core ist eine große Gefahrenquelle

Nichtsdestotrotz ist auch ein veralteter WordPress Core ein beliebtes Einfallstor für Cyberkriminelle.

Der „Hacked Website Research Report 2021“ des Web-Security Unternehmens Sucuri zeigt, dass 52 Prozent aller gehackten WordPress-Webseiten eine veraltete Core-Software installiert hatten.

In den vergangenen Jahren kam es immer wieder zu groß angelegten Hackerangriffen auf den WordPress Core. Die Cyberkriminellen bedienen sich dabei unterschiedlicher Strategien. Sehr beliebt sind beispielsweise sogenannte Cross-Site-Scripting-Angriffe (XSS), bei denen die Angreifer schädlichen Code auf Webseiten einfügen, um an die Daten von Usern zu gelangen.

Auch SQL-Injection-Angriffe, bei denen schädlicher SQL-Code in die Datenbanken der WordPress-Seiten eingeschleust wird, um Daten zu stehlen und Webseiten zu übernehmen sowie Brute-Force-Angriffe, bei denen versucht wird, sich mit verschiedenen Benutzernamen und Passwörtern Zugang zum Dashboard zu erhalten, stehen bei den Hackern auf der Tagesordnung.

Deshalb sollte der WordPress Core in regelmäßigen Abständen aktualisiert werden. Die Möglichkeit dazu besteht ausschließlich über das Dashboard „Aktualisierungen“. Administratoren der WordPress-Software erhalten jedoch eine Benachrichtigung im Admin-Dashboard, sobald eine neue Version verfügbar ist. Falls sie automatische Hintergrund-Updates aktiviert haben, erhalten sie nach Abschluss eines Updates eine Nachricht in ihr E-Mail-Postfach.

WordPress verfügt zwar über ein engagiertes Entwicklungs- und Sicherheitsteam, das ständig daran arbeitet, Sicherheitslücken zu identifizieren und entsprechende Updates und Patches bereitzustellen, um WordPress sicherer zu machen. Doch die Verantwortung, regelmäßige Aktualisierungen vorzunehmen, liegt letztlich bei den Usern selbst.

Was unternimmt WordPress für die Sicherheit seiner Software?

Bei WordPress kümmert sich ein Team von rund 50 Experten um die Sicherheit des CMS. Darunter befinden sich zahlreiche Entwickler und Sicherheitsforscher, die auch oftmals mit anderen Sicherheitsteams zusammenarbeiten, um gemeinsame Probleme im Hinblick auf die Sicherheit der Systeme zu lösen.

Gemeinsam mit dem Sicherheitsteam von Drupal konnte auf diese Art und Weise zum Beispiel eine Schwachstelle im HP-XML-Parser, zu der es bei der WordPress-Version 3.9.2 kam, behoben werden.

Für die Core-Entwicklung selbst ist das Führungsteam von WordPress unter der Leitung von Co-Gründer und Entwickler Matt Mullenweg verantwortlich. Neben Mullenweg besteht das Team aus fünf Lead-Entwicklern und rund einem Dutzend Core-Entwicklern.

Der Release-Zyklus bei WordPress besteht aus fünf Phasen

Damit es erst gar nicht zu Sicherheitslücken kommt, folgt der Release-Zyklus bei WordPress einem ganz klar geregelten Prozedere.
Jeder Release-Zyklus wird dabei von einem oder mehreren Entwicklern geleitet. Vom ersten Beratungsgespräch bis zum Start einer neuen Version vergehen rund vier Monate. Der Zyklus besteht dabei aus insgesamt fünf Phasen:

• Phase 1: Diskussion der Funktionen für die nächste WordPress-Version
• Phase 2: Beginn der Entwicklungsarbeiten durch Teamleiter und ihre Teams
• Phase 3: Veröffentlichung von Beta-Versionen und Durchführung von Beta-Tests
• Phase 4: Beseitigung von Schwachstellen und Durchführung von Regressions-Tests
• Phase 5: Veröffentlichung der WordPress-Version im Dashboard zum Update für WordPress-Admins

Trotz aller Sorgfalt bei der Entwicklung kann es dennoch zu Sicherheitslücken kommen. Im ewigen Katz-und-Maus-Spiel zwischen Entwicklern und Hackern machen es sich die Cyber-Ganoven zum Teil zum Sport, mögliche Schwächen nach dem Release einer neuen WordPress-Version zu finden, um so Ruhm und Anerkennung in der Szene zu erlangen.

Hacker, die ihren Job dabei besonders gut machen, werden oftmals auch von großen Entwicklerfirmen engagiert, um entsprechende Lücken oder Schwachstellen im System beziehungsweise im Programm zu finden. Ob WordPress diese Strategie ebenfalls verfolgt und selbst Hacker in sein Sicherheitsteam integriert hat, ist jedoch nicht bekannt.

Auch die Hosting-Anbieter stehen in der Verantwortung beim Thema Sicherheit

Nicht nur Entwickler, Sicherheits-Experten und die User selbst können zur Sicherheit von WordPress beitragen, sondern auch die Hosting-Anbieter.
Die Möglichkeiten dazu sind vielfältig und reichen von der Inkludierung entsprechender Firewall-Software bei allen verkauften Webhosting-Paketen mit WordPress über die generelle Zertifizierung des Rechenzentrums nach ISO 27001 bis zu täglichen Backups, die idealerweise an unterschiedlichen Standorten gespeichert werden.

Je besser die einzelnen Protagonisten ihren Teil zur Sicherheit des WordPress-Cores beitragen, desto schwerer wird es generell für die Hacker, die Systeme zu knacken.

Zusammenfassung

• Beim WordPress-Core handelt es sich um den zentralen Teil der CMS-Software.
• Ein eigenes Team bei WordPress mit rund 50 Personen kümmert sich um die Sicherheit des WordPress-Core und arbeitet ständig daran, Sicherheitslücken zu beseitigen.
• Ein Gutteil der Hackerangriffe kommt aufgrund von veralteten Versionen des WordPress-Core zustande.
• Für die Installation der Updates sind die User selbst verantwortlich.
• Auch die Qualität des Hosting-Anbieters ist ein entscheidender Aspekt für die Sicherheit von WordPress

Quellen:

• https://de.wordpress.org/about/security/
• https://wp-bibel.de/glossar/wordpress-core/
• https://sucuri.net/reports/2021-hacked-website-report/
• https://www.webricks.net/sicheres-wordpress-hosting-worauf-es-ankommt/
• https://www.websennsation.ch/blog/wordpress-aktualisieren-und-pflegen/
• https://praxistipps.chip.de/hacken-lernen-die-besten-tipps-und-ideen-fuer-anfaenger_51472