Der WordPress-Kern ist solide – installierte Themes & Plugins sind es vielleicht nicht.
Wie sicher ist WordPress? Vor dem Hintergrund zunehmender globaler Cyberangriffe und ausgeklügelter Cyberkriminalität, die auf mehr als die Hälfte aller kleinen und mittleren Unternehmen (KMU) abzielt, bietet der dominierende globale Marktanteil von WordPress (über 60 %) eine große Angriffsfläche für Hacker und Cyberkriminelle. Zu deren Werkzeugen gehören mittlerweile auch künstliche Intelligenz und maschinelles Lernen. Jedes Jahr werden neue Schwachstellen im WordPress-Ökosystem entdeckt, und 2022 war keine Ausnahme.
Die Sicherheit des WordPress-Kerns ist solide
Glücklicherweise wurden die Schwachstellen, die im Jahr 2022 im WordPress-Kernel auftauchten, von Mitgliedern des WordPress-Sicherheitsteams und anderen Forschern, die proaktiv nach ihnen suchten, entdeckt und schnell behoben. Ihre sorgfältigen Bemühungen führten zu vier WordPress-Sicherheitsversionen im Jahr 2022, die je nach Klassifizierung 20-30 potenzielle Sicherheitslücken schlossen. Mit der Sicherheitsversion 6.0.3 von WordPress wurden 16 dieser Schwachstellen auf einen Schlag behoben.
Von diesen potenziellen Sicherheitslücken stellte keine eine unmittelbare Gefahr für WordPress-Benutzer dar. Das gilt auch für die einzige noch ungepatchte Sicherheitslücke im Kern von WordPress, die Mitte Dezember auftauchte, als Sicherheitsforscher ein bekanntes Problem mit der Pingback-Funktion von WordPress veröffentlichten. Ein Patch ist möglicherweise für eine zukünftige Sicherheits- oder Wartungsversion in Arbeit, aber es besteht kein unmittelbarer Grund zur Sorge. Um ausgenutzt werden zu können, müsste eine zweite Schwachstelle ausgenutzt werden und der DNS-Dienst der betroffenen Website – in der Regel ein Host oder ein Domain-Registrar – müsste ebenfalls kompromittiert werden. Dieser seltene und extreme Fall wäre für sich genommen schon sehr schädlich.
Eine Möglichkeit zur Beseitigung dieser Schwachstelle ist die Deaktivierung von XML-RPC. Dies ist immer eine gute Idee, wenn Sie es nicht verwenden.
Zwei Prozent der WordPress-Plugins sind für 99 % der Sicherheitslücken verantwortlich
In den hier vorgestellten Daten zu Sicherheitslücken aus dem Jahr 2022 machen 23 Sicherheitslücken im Kernbereich 1 % aller von uns erfassten Sicherheitslücken (1.779) im Jahr 2022 aus. Das bedeutet, dass Plugins und Themes für 99 % (1.756) aller Schwachstellen verantwortlich sind. Dies entspricht dem Vorjahr, als wir 1.628 Schwachstellen feststellten, von denen 98 % mit Plugins in Verbindung gebracht wurden.
Das ist jedoch nicht nur schlecht. Tatsächlich würden wir uns nicht wünschen, dass wesentlich mehr Sicherheitslücken in Core oder Themes auftreten. Plugins sind die größte und attraktivste Angriffsfläche im WordPress-Ökosystem, aber die überwiegende Mehrheit von ihnen steht in keinem Jahr in Verbindung mit einer öffentlich gemeldeten Sicherheitslücke.
Zum Vergleich: Die Anzahl der einzelnen Plugins und Themes, die im Jahr 2022 von Woche zu Woche eine Sicherheitslücke aufwiesen (1.425), entspricht etwa 2 % des Gesamtpools von über 70.000 auf wordpress.org verfügbaren Plugins. Natürlich werden nicht alle WordPress-Plugins und -Themes dort gehostet, aber die große Mehrheit schon. Innerhalb des Gesamtuniversums der WordPress-Add-ons können wir sagen, dass weniger als 2 % von ihnen 99 % der im Jahr 2022 festgestellten Sicherheitslücken verursacht haben.
Mit Blick auf die Zukunft können wir hoffen, dass diese Zahl dank der Arbeit der WordPress-Sicherheits-, Performance- und Core-Teams sinken wird. Besonders vielversprechend ist ein Vorschlag, der Plugin-Entwicklern und dem Plugin-Review-Team dabei helfen soll, die Standards anzuheben und Plugins mit einem Plugin-Checker zu bewerten.
Alle Schwachstellen nach Quelle
| Quelle der Schwachstelle | Gemeldete Anzahl | Prozentsatz der Gesamtmenge (1,779) |
|---|---|---|
| WordPress-Kern | 23 | 1.29 % |
| Themes | 97 | 5.45 % |
| Plugins | 1,659 | 93.25 % |
Status der Plugin-Schwachstelle zum Zeitpunkt der Offenlegung (2022)
| Status | Gemeldete Anzahl | Prozentsatz der Gesamtmenge (1,779) |
|---|---|---|
| Patched | 1,231 | 69 % |
| No Known Fix | 456 | 26 % |
| Plugin Closed | 92 | 5 % |
Führen Sie Ihre Aktualisierungen zeitnah durch!
Alle Ergebnisse in diesem Bericht wiederholen die Trends der vergangenen Jahre und unterstreichen, wie wichtig es ist, eine WordPress-Website auf dem neuesten Stand zu halten. Viele Schwachstellen können nur dann ausgenutzt werden, wenn ein Angreifer Zugriff auf ein WordPress-Benutzerkonto mit erhöhten Rechten hat. Dies zeigt, dass Sie die Sicherheit Ihrer Benutzerauthentifizierung erhöhen und Ihre Benutzer regelmäßig überprüfen müssen. Vergeben Sie stets nur die notwendigsten Rechte.
Der WordPress-Kern ist solide. Es kommt darauf an, was Sie hinzufügen und wie Sie das gesamte System pflegen. Wenn Sie rechtzeitig Aktualisierungen einspielen, den Benutzerzugriff angemessen einschränken, eine mehrstufige Authentifizierung hinzufügen und Ihre Plugins mit Bedacht auswählen, wird Ihre WordPress-Website von Kopf bis Fuß solide sein.
Quelle: ithemes.com, wpscan.com
Beitragsbild: Cederic Vandenberghe // Unsplash ↗︎
