Wie sicher ist eine Lernplattform auf Basis von WordPress?

Wie sicher ist eine Lernplattform auf Basis von WordPress?

“Ist eine Lernplattform auf Basis von WordPress sicher?”

Diese Frage hören wir oft. Und sie ist berechtigt. Denn hier zunächst die schlechte Nachricht: jedes Jahr werden hunderttausende WordPress-Seiten gehackt.

Das klingt erst einmal beunruhigend, oder?

Ist es aber nicht. Denn hier auch gleich die gute Nachricht: Hacker kommen nicht an die Core-Software von WordPress heran. Die meisten Webseiten werden gehackt, weil ein paar simple, aber grundlegende, Sicherheitsmaßnahmen nicht beachtet werden.

Welche Maßnahmen das sind, erfahren Sie im weiteren Verlauf des Artikels.

Schauen wir uns aber zunächst einmal an, warum WordPress so ein beliebtes Ziel für Hackerangriffe ist.

WordPress Sicherheit: was stimmt und was nicht?

Nicht selten habe ich schon von Kunden gehört, dass ihnen davon abgeraten wurde, WordPress zu nutzen, da es nicht sicher sei. Und meist stammen solche Bedenken aus der eigenen IT-Abteilung. Der Mythos WordPress sei unsicher hält sich hartnäckig. Doch woher kommt das?

WordPress ist mit über 60 Prozent Marktanteil das meistgenutzte Content Management System der Welt. Und das ist auch einer der Hauptgründe, warum WordPress gerne zur Zielscheibe von Hackern wird. Denn aus Sicht eines Angreifers macht es natürlich mehr Sinn, seine kriminellen Aktivitäten auf ein System mit hoher Verbreitung zu konzentrieren, als auf ein CMS, das nur für einige wenige Webseiten eingesetzt wird. Rein statistisch gesehen ist die „Erfolgsquote“ für den Hacker bei einer WordPress Seite einfach höher.

Das bedeutet aber nicht, dass WordPress unsicherer ist als andere Systeme – im Gegenteil. Durch die große Verbreitung ist die Wahrscheinlichkeit einfach nur höher, dass es sich bei einem gehackten CMS um eine WordPress-basierte Webseite handelt.

Ist die größte Stärke von WordPress gleichzeitig auch seine größte Schwäche?

WordPress ist überaus beliebt. Zum einen wegen der einfachen Bedienung. Zum anderen aber auch wegen der unendlichen Individualisierungsmöglichkeiten und dem großen Funktionsumfang. Für fast jede denkbare Funktion gibt es mittlerweile ein Plugin.

Die große Beliebtheit und damit Verbreitung scheint auf den ersten Blick ein Nachteil zu sein was die Sicherheit betrifft.

Das ist jedoch nicht der Fall. Denn mit der hohen Verbreitung wächst auch die Entwicklercommunity, die sich um die Weiterentwicklung – und damit auch Sicherheit – von WordPress kümmert.

Sobald mögliche Sicherheitsprobleme bekannt werden, behebt das WordPress-Team diese meist innerhalb weniger Stunden und stellt ein entsprechendes Update zur Verfügung.

Im Gegensatz dazu weisen Content Management Systeme mit geringerer Verbreitung oft über Wochen oder Monate Sicherheitslücken auf bis diese entdeckt werden.

Wie kann ich die Sicherheit meiner WordPress Seite erhöhen?

Wie am Anfang bereits erwähnt, werden die meisten WordPress Seiten gehackt, weil einige wesentliche Sicherheitsmaßnahmen nicht beachtet werden. Dadurch wird es potentiellen Angreifern sehr leicht gemacht, Zugang zu der entsprechenden Seite zu erlangen.

Schauen wir uns die größten Schwachstellen – und wie man diese absichern kann – einmal genauer an.

Schwachstelle #1: Die Login-Seite (WP-Admin)

Die Login-Seite erreicht man standardmäßig über das Suffix „wp-admin“. Daher gehört diese Seite auch zu den beliebtesten Zielen von sogenannten „Brute-Force-Angriffen“.

Diese Angriffe zählen zu den häufigsten WordPress Hacks, da sie sehr leicht automatisierbar sind. Bei einem Brute Force Angriff versucht der Angreifer mithilfe von spezieller Software die richtige Kombination aus Nutzername und Passwort herauszufinden.

Hat der Angreifer Erfolg und verfügt der gehackte Nutzer über Administrationsrechte, kann der Hacker ganz leicht die Kontrolle über die gesamte Webseite übernehmen und beispielsweise Spamnachrichten über den gehackten Account versenden.

Die gute Nachricht: auch wenn ein Angriff auf die Login-Seite für einen Hacker sehr leicht ist, lässt er sich auch genauso einfach abwehren.

Wie? Das schauen wir uns jetzt einmal genauer an:

Sicherheitsmaßnahme: Starke Passwörter verwenden

Bei Brute Force Angriffen handelt es sich um sehr stupide Attacken.  Es werden im Prinzip die häufigsten Nutzername-Passwort-Kombinationen erraten und ausprobiert.

Zu den beliebtesten Nutzernamen gehört der Begriff „admin“. Daher sollte man diesen auf gar keinen Fall verwenden.

Zu den häufigsten Passwörtern zählen zum Beispiel „123456“, „Hallo“ und „qwertz“ (Ja, tatsächlich).

Sie sehen, wie leicht es den Angreifern oft gemacht wird.

Daher ist ein starkes Passwort die erste und wichtigste Maßnahme, die Sie ergreifen sollten, um Angriffe ins Leere laufen zu lassen.

Ein starkes Passwort besteht aus mindestens 8 Zeichen und enthält eine Kombination aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen.

Die Wahl eines sicheren Passwortes ist vor allem für Nutzer mit Administrationsrechten Pflicht. Doch wie sieht es mit den Lernenden aus, die die Lernplattform nutzen und sich dafür einloggen?

Da diese Nutzer normalerweise keine Administrationsrechte haben, kann ein potentieller Angreifer nicht ins „Back-end“ Ihrer WordPress Seite gelangen und Änderungen vornehmen, wenn er die Anmeldedaten eines solchen Nutzers hat.

Gefährlich könnte es jedoch werden, wenn Ihre Nutzer die Möglichkeit haben, Dateien über die Lernplattform hochzuladen. Diese Lücke könnte der Angreifer ausnutzen und beispielsweise Schadsoftware hochladen.

Daher sollten Sie auch bei Ihren Nutzern auf sichere Passwörter bestehen. Es gibt dafür entsprechende Funktionen, die Nutzer dazu zwingen, ein sicheres Passwort zu verwenden.

Schwachstelle #2: WordPress Version ist nicht aktuell

Verschiedene Analysen von Angriffen auf WordPress Seiten zeigen, dass ein enger Zusammenhang zwischen dem Verwenden einer veralteten WordPress Version und einem Hackerangriff steht.

Wie weiter oben bereits beschrieben, werden Sicherheitslücken vom WordPress Team recht schnell entdeckt und behoben. Wenn man das entsprechende Update jedoch nicht installiert, bestehen diese Sicherheitslücken für die eigene Seite weiterhin. Und das Risiko für einen Angriff steigt.

Sicherheitsmaßnahme: WordPress regelmäßig aktualisieren

Zu den einfachsten – aber effektivsten – Sicherheitsmaßnahmen zählt das zeitnahe Aktualisieren von WordPress sobald ein neues Update zur Verfügung steht.

Und obwohl diese Maßnahme so einfach umzusetzen ist, wird sie von vielen Nutzern nicht befolgt. Laut kinsta haben nur 62% der WordPress-Seiten die neueste Version installiert.

Dies hat verschiedene Gründe, die von Inkompatibilitäten bei Themes und Plugins bis zu fehlender Zeit oder Unwissen reichen.

Schwachstelle #3: Veraltete Themes und Plugins

Ein Grund für die große Beliebtheit von WordPress ist sicherlich die große Auswahl an Themes und Plugins.

Doch die scheinbar unerschöpfliche Auswahl an Design- und Funktionserweiterungen birgt auch potentielle Gefahren.

Denn was viele nicht bedenken: Themes und Plugins stammen in der Regel nicht vom WordPress-Team selbst, sondern von Drittanbietern.

Die meisten Anbieter von WordPress Themes und Plugins befolgen die Code-Standards und bieten regelmäßig Updates an. Doch es kann auch -gerade bei kostenlosen Plugins und Themes – vorkommen, dass der Entwickler aufgehört hat, an dem Plugin oder Theme zu arbeiten, dieses aber dennoch weiterhin von Nutzern verwendet wird.

Potentielle Sicherheitslücken können so nicht geschlossen werden

Ein anderes –häufigeres Problem – ist jedoch, dass der Entwickler die Sicherheitsprobleme in seinem Plugin oder Theme behebt, der Webseitenbetreiber aber kein Update durchführt.

Veraltete Plugin- oder Themeversionen beinhalten fast immer Sicherheitslücken. Diese sind jedoch vermeidbar, indem man auf regelmäßige Updates achtet.

Sicherheitsmaßnahme: Themes und Plugins regelmäßig aktualisieren

Wie bei WordPress selbst, gilt auch für Themes und Plugins: regelmäßige Updates sind das A und O, wenn es darum geht, die eigene Webseite vor Angriffen zu schützen.

WordPress Sicherheit erhöhen

Neben den oben genannten Basis-Maßnahmen kann man seine WordPress-Seite noch zusätzlich noch mithilfe spezieller Sicherheitsplugins absichern. Inwieweit das Sinn macht, muss im Einzelfall entschieden werden. Es gibt mittlerweile auch spezielle WordPress-Hosting-Anbieter, die serverseitige Sicherheitsmaßnahmen in ihre Hostingpläne integrieren, sodass Sie kein weiteres Sicherheitsplugin benötigen.

Fazit

Wäre WordPress tatsächlich so unsicher wie oft behauptet, wäre es wohl kaum das beliebteste und weit verbreiteste Content Management System der Welt. Die meisten Angriffe auf WordPress-Seiten könnten verhindert werden, indem ein paar einfache Sicherheitsmaßnahmen eingehalten werden. Dazu zählen

  • die Verwendung starker Passwörter, insbesondere für Administratoren
  • regelmäßige WordPress Updates
  • regelmäßige Theme und Plugin Updates
  • gutes Hosting

Kein System ist zu 100% sicher. Doch im Falle von WordPress haben Sie es zumindest zu einem Großteil selbst in der Hand, wie sicher Ihre Lernplattform ist.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.