Warum wird WordPress so oft gehackt? – Content Management Systeme im Vergleich

  • Lesedauer:10 min Lesezeit

Gleich vorne weg, eine hundertprozentige Sicherheit gibt es nicht, v.a. nicht im Internet. Deshalb ist es keine Überraschung, dass jedes Content Management System (CMS) schon mal Sicherheitslücken hatte. Und Hacker werden leider nicht müde solche Lücken zu suchen und Webseiten zu hacken. Auch WordPress-Webseiten bleiben davon nicht verschont.

Wenn es um Content Management Systeme geht, dann ist das seit 2003 existierende WordPress das dominierende CMS. Viele Webseiten-Betreiber, aber auch Affiliates, Blogger, Shop-Betreiber und andere nutzen WordPress, da es sehr leistungsfähig und dennoch recht einfach zu nutzen ist. Mit seinen zahllosen Themes und kostenlosen Plugins (auch vielen kostenpflichtigen) kann man nahezu jede Idee und gewünschte Funktion umsetzen. Und wem das nicht reicht, kann zusätzlich eigene Funktionen programmieren. Im Prinzip ein unschlagbares Baukastensystem, mit dem mittlerweile mehr als 42% aller Webseiten weltweit erstellt worden.

Leider hat diese Popularität einen Nachteil: Es macht die Plattform interessant für Hacker. Jedes Jahr werden hunderttausende Seiten der Plattform angegriffen und mehrere tausend gehackt. Deshalb ist die Frage, nach der Sicherheit und wie sicher unterschiedliche CMS im Vergleich sind, durchaus berechtigt.

Ein kurzer Überblick – WordPress, Joomla & Drupal

Bevor wir zur Sicherheit von Content Management Systemen kommen, stellt sich wohl jeder die Frage, welches CMS soll ich nutzen. Eine Entscheidung die v.a. für Einsteiger nicht einfach ist, da die Wahl des passenden CMS entscheidend für den Erfolg eines Webauftritts ist. Das aktuell etwa 300 verschiedene Lösungen auf dem Markt sind, macht da die Entscheidung nicht grad leichter. Deswegen hier ein kurzer Überblick der 3 größten Anbieter.

WordPress

Gegründet 2003, hat sich die kostenlose Plattform WordPress zum weltweiten Marktführer der CMS entwickelt. Ursprünglich zur Erstellung und Verwaltung von Blogs gedacht, lassen sich durch unzählige Erweiterungen, Plug-ins und Themes eine Vielzahl an Webprojekten mit der Software verwirklichen.

Ein großes Pro von WordPress ist seine aktive Community, welche in Hilfsforen stets mit Lösungsvorschlägen weiterhilft. Zudem ist die große Anzahl an verfügbaren Erweiterungen und Designvorlagen einfach bestechend.

Die Open-Source-Software kann man unter wordpress.org herunterladen und auf dem eigenen Hosting Paket installieren. Ein kommerzielles Angebot erhält man auf wordpress.com. Berücksichtigen sollte man hier jedoch, dass der Administrationsaufwand bei WordPress hoch ist, da Updates häufig ausgeführt werden sollten, um Sicherheitslücken zu vermeiden.

Joomla!

Joomla ist die englische Schreibweise des Swahili-Wortes jumla, das so viel bedeutet wie „alle zusammen“ oder „als Ganzes“. 2005 ist diese Plattform aus dem Projekt Mambo hervorgegangene und gehört derzeit zum Joomla! Leadership Team.

Joomla! ist Zweiter in der Reihe der beliebtesten CMS. Es basiert auf PHP und verwendet als Datenbank MySQL. Es überzeugt mit einer großen Auswahl an Plug-ins, Erweiterungen und unterschiedlich anpassbaren Themes. Zudem punktet es mit einer umfassenden Nutzerverwaltung. Es ermöglicht Administratoren Benutzerrechte für Gruppen zu verwalten und neue Funktionen wie etwa Newsletter, Foren oder Gästebücher über Erweiterungen hinzuzufügen. Dadurch lassen sich mit Joomla! umfangreiche Projekte, an denen mehrere Nutzer arbeiten, sehr gut umsetzen.

Es ist kostenlos erhältlich, gilt als relativ sicher und bietet, nachdem man sich intensiv eingearbeitet hat, eine hohe Funktionalität inklusive einfacher Betreuung und Wartung bestehender Webseiten.

Drupal

Drupal ist mittlerweile seit 10 Jahren im Umlauf und damit das älteste CMS, welches derzeit noch auf dem Markt verfügbar ist. Es ist ein auf PHP und MySQL basierendes Open Source Content Management System, das auf vollständige Modularität ausgelegt ist. Insgesamt gibt es hier gut 40.000 Module, mit denen man die unterschiedlichsten Anwendungen realisieren kann.

Drupal glänzt vor allem mit ausgereiften Community-Funktionen wie Blogs und Foren. Neben allen grundlegenden Content Management Funktionen, bietet einem Drupal mit seinen stark ausgeprägten Community Features die optimale Grundlage, um seine eigene Community zu betreuen und gemeinsam an Projekten bzw. Blogs zu arbeiten. Das bereits enthaltenen Rechte- und Rollen-System machen Inhalts- sowie die Benutzerverwaltung besonders leicht.

Ein großer Vorteil für den laufenden Betrieb ist, dass die Implementierung neuer Funktionen durch Hinzufügen von Modulen das Kernsystem nicht verändert. Im Gegenzug ist Drupal aber auch ziemlich Hardwareintensiv und die allgemeine Benutzerfreundlichkeit ist eingeschränkt.

Sind CMS sicher?

Nachdem ich die Pros und Cons abgewogen und das CMS gefunden habe, dass am besten zu meinen Bedürfnissen passt, bleibt die Frage wie sicher ist meine Webseite. Hier gibt es eine recht einfache Antwort: Solange das CMS immer auf dem neuesten Stand gehalten wird und neue Updates zeitnah installiert werden, kann man davon ausgehen, dass es sicher ist. Natürlich sind der Umfang und Inhalt der Daten, die ich einbinde, stark ausschlaggebend für die Sicherheit meines CMS. Auch Plug-ins und Erweiterungen können ein Risiko sein. Zum einen kann hier Schadsoftware eingebunden werden, die man dann mit installiert, zum anderen werden nicht alle dieser Plug-ins von Profis entwickelt und dann ggf. nicht zeitnah oder überhaupt nicht aktualisiert.

Wie bleibt meine Webseite sicher?

Egal für welches CMS man sich entscheidet, das A und O ist es, seine Seite ständig zu pflegen und immer aktuell zu halten. Damit ist man auf der sicheren Seite.

Merke: Immer darauf achten, dass die neuesten Updates installiert sind!

Außerdem sollte man möglichst darauf verzichten, dubiose Plug-ins oder Erweiterungen zu installieren. Cyberkriminelle können hier mit Leichtigkeit Schadsoftware implementieren und darüber ihre Webseite hacken.

Wir bieten sichere Webentwicklung & Gestaltung Ihrer Webseite von Grund auf an.
Sie haben eine Webseite und sind sich unsicher, ob ihre Seite sicher ist?
Mit unserem Webcheck erfahren Sie, wo dringender Handlungsbedarf besteht, um die Sicherheit ihrer Seite zu gewährleisten. Selbstverständlich schauen wir in unserer Analyse auch auf die Performance, die Auffindbarkeit in Suchmaschinen und ob es technische Probleme gibt. Fragen Sie uns jetzt an.

Da die Pflege einer Webseite schnell wirklich zeitintensiv werden kann, ist es durchaus angebracht, die Wartung und ggf. auch die Erstellung einer Webseite vollständig einer professionellen Agentur zu überlassen. Sollten Sie hier Fragen haben, oder suchen Sie Hilfe zur Pflege und / oder Erstellung ihrer Webseite, dann ist AwesomeDesign der professionelle Partner an ihrer Seite. Werfen Sie gerne einen Blick in unsere Referenzen und überzeugen Sie sich selbst von unserer Arbeit.

Warum wird gerade WordPress so oft gehackt?

Schaut man sich im Netz ein wenig um, so gewinnt man schnell den Eindruck, dass das CMS WordPress im Vergleich zu Joomla!, Drupal oder anderen Systemen das anfälligste CMS ist. Laut Sucuri war WordPress im Jahr 2018 das Ziel von 90 % aller Hacking-Versuche auf Content-Management-Systeme. Andere CMS erreichten nicht einmal die 5%-Marke. Das sind ca. 90.000 Angriffe pro Minute. Jedoch sollte man hier keine voreiligen Schlüsse ziehen, denn die Statistik ist hier irreführend.

Rücken wir die hohe Anzahl an Hacks bzw. an Hack-Versuchen mit ein paar Fakten in den richtigen Kontext, ohne dabei zu sehr ins Detail zu gehen.

Word Press ist und bleibt das lukrativste Ziel für Hacker. Dabei ist die Erklärung dafür jedoch denkbar einfach: Wie bei Betriebssystemen am Computer wird Windows deutlich häufiger das Ziel von Hackerangriffen als beispielsweise das Mac OS von Apple. Das liegt daran, dass wesentlich mehr Menschen Windows nutzen, wodurch der prozentuale Anteil aller Angriffe deutlich höher ist als bei Apple. Dasselbe gilt für WordPress. Da mehr als 40 % aller Webseiten weltweit auf dieser Plattform beruhen, ist es kein Wunder, dass prozentual gesehen hier mehr Angriffe passieren als bei anderen CMS.

Außerdem ist WordPress nicht nur das beliebteste CMS, sondern auch große Webseiten z.B. Tagesschau, CNN, Spotify, USA Today, Playstation, New York Post, Forbes, Facebook Blog, Time Magazin, The Walt Disney Company und viele weitere nutzen WordPress für ihre Inhalte. Selbstverständlich sind diese für Hacker äußerst attraktiv. Etwaige Angriffe hier sind aber nicht gegen WordPress gerichtet, sondern gegen die konkrete Website. Trotzdem fließen solche Angriffe mit in die Statistik ein. Da die wenigsten von uns in der Liga CNN & Co spielen, bekommen wir als Privat Personen, bzw. unsere Unternehmen es eher nicht mit gezielten manuellen Angriffen zu tun, sondern mit automatisierten bot-basierten Attacken, die blind alles angreifen. Die Qualität der Gefahr ist dabei weitaus niedriger. Aber auch dieser automatisierte Spam wahlloser Angriffe geht in die Statistik ein.

Was die einfache Statistik, die man bei einer schnellen Suche im Netz findet, ebenfalls nicht abbildet, ist der Grund, der viele Hacks ermöglicht. Hat WordPress wirklich gravierende Sicherheitsmängel oder gibt es eine Reihe anderer Ursachen? Laut dem State of the Internet – Bericht von Verisign werden 52% aller WordPress-Schwachstellen durch veraltete Plugins verursacht. Das bedeutet, dass mehr als die Hälfte aller WordPress-Probleme entstehen, weil Nutzer Plugins nicht updaten. Laut WPManageNinja werden 8 % der WordPress-Seiten aufgrund schwacher oder gestohlener Passwörter gehackt. Und die Gegenmaßnahme ist simple: Ich wähle ein komplexes Passwort, dass ich natürlich nirgends offensichtlich notiere. Laut WordPress.org werden nur 38% der WordPress-Webseiten mit der neuesten Version der Software (WordPress 5.8) geführt. Und laut einem aktuellen Bericht von Malwarebytes wurden z.B. über 4.000 WordPress-Webseiten mit gefälschten SEO-Plugins infiziert, die von den Benutzern selbst installiert wurden. Hacker konnten diese dann einfach als Hintertür nutzen, um die Webseiten zu kompromittieren und bösartige Skripte zu installieren.

Fazit:

Statistik ist nur so gut, wie man weiß sie in Kontext zu setzen. Soll heißen, dass in vielen Fällen die Aussagekraft der Statistik zur Sicherheit von WordPress eher gering ist. Man sollte sich also nicht durch die zum Teil irreführenden Presseinformationen zu diesem Thema verrückt machen lassen.

Ja es stimmt, dass laut Analysen viel mehr WordPress Seiten gehackt wurden als Seiten anderer Content Management Systemen. Berücksichtigt man aber, dass allein schon aufgrund der Popularität von WordPress um ein Vielfaches mehr WordPress Seiten in diese Analysen einfließen, ist das Ergebnis kaum überraschend. Rechnet man den Marktanteil aus dem Ergebnis heraus, ist WordPress bei Weitem nicht mehr das Problemkind unter den CMS. Die Frage sollte also nicht lauten: Warum wird WordPress so oft gehackt?

Die Frage sollte lauten: Ist WordPress sicher? Und die klare Antwort ist: WordPress ist eines der sichersten Content Management Systeme. Dazu nur ein Beispiel: Allein im Jahr 2020 blockierte Wordfence, ein WordPress-Sicherheits-Plugin, 4,3 Milliarden Versuche, Schwachstellen von über 9,7 Millionen eindeutigen IP-Adressen auszunutzen. Oder anders gesagt: 99,6 % aller Angriffe auf Schwachstellen wurden von Wordfence gestoppt, noch bevor sie erfolgreich waren. Der Rest wurde dann durch andere Sicherheitsmaßnahmen neutralisiert, die auf Webseiten vorhanden waren, auf denen dieses must-have Plugin ausgeführt wurde.

Das CMS WordPress ist sicher und sorgt mit regelmäßigen Updates und Sicherheits-Plugins dafür, dass es auch so bleibt. Im Endeffekt kommt es ab hier auf mich bzw. Sie als Webseiten Besitzer an, die Webseite sowohl für Sie selbst als auch für ihre Besucher sicher zu machen und nicht durch Unachtsamkeit oder Unkenntniss Schwachstellen für Hacker zu schaffen.

Nutzen Sie möglichst die neueste Version ihres CMS! Achten Sie immer darauf, ihre Webseite, die Plugins und Themes aktuell zu halten! Und halten Sie sich von Plugins fern, deren Quelle nicht vertrauenswürdig erscheint!