Plugins machen WordPress angreifbar

Plugins machen WordPress angreifbar

- in Plugins
126
Comments Off on Plugins machen WordPress angreifbar

Image result for Plugins machen WordPress angreifbarEine kritische Schwachstelle im WP Statistics Plugin öffnet WordPress-Installationen für Angreifer. Betroffen sind zwar vergleichsweise wenige Installationen, allerdings zeigt die Lücke, wie viel Gefahr von Plugins ausgehen kann.

Die Sicherheitsforscher von Sucuri haben eine kritische Lücke in WP Statistics gefunden, einem Analysetool, das auf knapp 300 000 WordPress-Installationen läuft. Das ist tatsächlich nicht viel, immerhin setzen etwa 25 Prozent aller Seiten weltweit das CMS ein. Allerdings zeigt es sehr gut, wo das Problem in WordPress steckt. Verwundbar ist oft nicht das System selbst, oft werden kritische Schwachstellen über Fehler in Plugins eingeschleppt.

Das ist kein Wunder. Die Plugins machen es so angenehm einfach, WordPress richtig einzurichten, anzupassen und mit neuen Funktionen auszustatten. Auswertungstools, bessere Bilderstrecken, datenschutzkonforme Social Media Plugins, E-Mail-Newsletter oder sonstige Features – mit einem Klick kann man neue Funktionen nachrüsten. So sammeln sich allerdings schnell zahlreiche Erweiterungen an. Zwar lässt sich jeder Erweiterung mit einem Klick aktualisieren. Ähnlich wie bei WordPress selbst ist es aber im kommerziellen Umfeld nicht einfach. Updates und Patches müssen getestet werden, gerade wenn manuelle Anpassungen vorgenommen werden. Mit jedem Plugin erhöht sich diese Arbeit exponentiell.

Sicherheitstipps für WordPress

WordPress-Installationen lassen sich dennoch auch sicher betreiben, allerdings muss man einige Punkte beachten.

  • Weniger ist mehr: Je weniger Plugins und je weniger Anpassungen vorgenommen werden, desto einfacher ist die Aktualisierung. Es lohnt sich durchaus, regelmäßig auszumisten und nicht mehr benötigte Plugins zu deaktivieren.
  • Updates zügig installieren. Je schneller Sicherheitslücken geschlossen werden, desto geringer ist die Angriffsfläche. Gerade bei Fehlern in populären Plugins machen sich automatisierte Scanner- und Angriffstools ans Werk und suchen großflächig nach anfälligen Installationen.
  • Rollenverteilung nutzen. Nicht jeder Nutzer muss Admin-Rechte haben. Idealerweise sollte der Admin-Account nicht selbst aktiv schreiben, ein extrem starkes Kennwort sowie eine 2-Faktor-Authentifizierung nutzen.
  • Nur aus bekannter Quelle installieren. Premium-Plugins gibt es nicht kostenlos. Wer Erweiterungen aus unbekannten Quellen installiert, fordert eine Attacke geradezu heraus.
  • Pflege beachten. Wird ein Plugin nicht mehr gepflegt und weiterentwickelt, kann es langfristig zu Problemen kommen. Gefundene Lücken werden nicht mehr gepatcht, Nutzer sind entsprechend in Gefahr.

Es macht Sinn, die Sicherheitslücken in Auge zu behalten. Die Webseite der WPScan Vulnerability Database gibt einen guten Überblick, sie erlaubt zudem das Einrichten von E-Mail-Alarmen.

[“Source-security-insider”]