WordPress Updates gehören zum Betrieb eine WordPress-Webseite wie die Erstellung der Seiten und Beiträge. Dabei spielt es im Grunde auch eher eine untergeordnete Rolle, ob Sie nun WordPress oder eine andere Software verwenden. Updates und Backups sollten hier in den Grundüberlegungen bereits mit eingeplant und entsprechende Intervalle berücksichtigt werden.
Denn auch hier gilt: Unwissenheit schützt vor Strafe nicht.
Die Technik entwickelt sich und das in einem enormen Tempo. Hierbei bringen Updates nicht nur die verwendete Software auf den aktuellen Stand der Technik (z.B. auf aktuelle Programmiersprachen) sondern liefern auch immer sicherheitsrelevante Codeupdates mit.
Da WordPress mittlerweile das beliebteste CMS mit über 36 % Marktanteil aller Webseiten ist, ist es für Angreifer natürlich hochinteressant. Zudem handelt es sich hierbei auch um ein Open-Source System und der Quellcode kann daher auch von Jedem eingesehen und geprüft werden.
Das ist aber auch den Programmieren von Worpress bewusst, die hierbei auch große Anstrengungen unternehmen, die Software so sicher wie möglich zu halten. Das WordPress Sicherheitsteam besteht bereits aus über 50 Experten. Darunter befinden sich auch führende Entwickler und Sicherheitsexperten.
Welche Angriffsmöglichkeiten gibt es:
- SQL-Injektion: Hierbei handelt es im Eingaben von SQL-Abfragen in Eingabefelder auf der Webseite wie z.B. in Loginformulare oder auch Kontaktformularen.
- Cross-Site-Scripting (XSS): Hierbei versuchen Angreifer über Sicherheitslücken eigenen Code in die Webseite einzuschleusen um damit z.B. die Webseite zu übernehmen und andere Systeme z.B. mittels DDoS anzugreifen oder Viren und andere Schadsoftware zu verteilen.
- Cross-Site-Request-Forgery (CSRF): Dies sind Angriffe auf Sessions, welche nach einem Login auf einer Webseite erfolgen können und von dritten manipuliert werden, so dass dies z.B. Zugriff auf euer Bankkonto oder den Account in einem Onlineshop erlangen können.
- Es gibt hierzu noch einige mehr, aber das sind im großen und ganzen die gängigsten Methoden
Da hierzu weitreichend Informationen und Erläuterungen im Internet zu finden sind, möchte ich in dem Artikel auch nicht tiefer darauf eingehen. Es ist aber eben wichtig, dass man schon einmal von entsprechenden Angriffsmethoden gehört hat und sich dazu etwas sensibilisiert.
Wie oft sollten WordPress Updates erfolgen?
Da ich eben auch im Beruf immer wieder die Aussagen höre: „Aber letzten Monat hat es ja noch funktioniert“. Das mag sein, aber wenn Sie eben einen Monat lang keine Updates einspielen, kann es bereits zu spät sein. WordPress macht es Ihnen hierbei auch über die Automatismen und Funktionen zur Aktualisierung im Dashboard recht einfach. Es gibt einfach keine Ausreden.
Wer hierbei noch etwas weiter gehen möchten, da auch durchaus Probleme auftreten können und das nach einem Update nichts mehr „geht“, der legt sich unter einer Subdomain (z.B. test.domain.xy) eine zweite WordPressinstallation mit gleichem Theme und Plugins an und prüft dort zuerst alle Funktionen nach einem Update.
Meist liegen Probleme bei Updates aber weniger an Codingfehlern. Es kann sein, dass z.B. auch die Serverkonfiguration veraltet ist, bzw. eine Umstellung dieser nötig wird oder das es beim Aktualisieren der Komponenten (WordPress Core, Plugins, Themes) zu Problemen kam und etwas nicht korrekt heruntergeladen werden konnte oder aber auch, dass sich z.B. 2 Plugins plötzlich untereinander stören.
Nützliche Links
- Hostrpress Blog: Hostpress ist ein Dienstleister welcher sich auf Managed WordPress Webhosting spezialisiert hat. Managed heisst hierbei, dass dort auch automatisch sicherheitskritische Updates etc. für euch auf euren Webseiten eingespielt werden. Darüber hinaus informiert Hostpress in seinem Blog auch über viele WordPress Themen und Sicherheitslücken. Auch die Facebookseite dieses Dienstleisters ist es in dem Bereich durchaus Wert abonniert zu werden 😉
- WordPress Vulnerability Database: Dies eine Datenbank, welche alle bekannten WordPress Sicherheitslücken aufführt.
- Wordfence Blog: Wordfence ist ein Security-Plugin für WordPress. Im Blog werden dann auch immer wieder Informationen zu Sicherheitsproblemen mit WordPress, Plugins und Theme geschildert.