Sicherheit: Warum man regelmäßig WordPress-, Plugin- und Theme-Updates machen sollte

carbine 7104 1920
Bildquelle: Pixabay, Hans

Alles sieht zur Zufriedenheit aus und funktioniert. Kann die Website dann nicht einfach bleiben wie sie ist?

Seit Monaten lese ich in ansteigender Zahl Meldungen über gehackte WordPress-Websites.

Das Sicherheitsrisiko gehackt zu werden liegt jedoch nicht explizit nur bei WordPress (es ist nur das am häufigsten verwendete System), sondern dass „Hackerbots“ heute so selbstverständlich nach Sicherheitslücken suchend im Web unterwegs sind wie Suchmaschinen- oder andere Bots. Betroffen sind auch andere CMS, die mit Erweiterung ihrer Funktionalität potentiell immer wieder neue Sicherheitslücken aufweisen können.

Die Folgeschäden einer Infektion durch eine Sicherheitslücke beschränken sich nicht auf den Zeit-(Kosten-)aufwand infizierte Websites zu säubern und / oder neu aufzusetzen, sondern entstehen auch durch den Effekt, dass Google infizierte Sites blockt. Manche Webistebetreiber merken erst dadurch (sinkende Besucherzahlen), dass sie von einem Befall betroffen sind.

Neu erkannte Sicherheitslücken werden von den WordPress-Entwicklern zeitnah behoben und ein Sicherheitsupgrade bereitgestellt. Um nicht selbst Opfer einer noch nicht bekannten Sicherheitslücke zu werden, kann man außerdem Vorkehrungen treffen (z.B. komplexen Usernamen und Passwort festlegen, wp-login.php schützen). Doch eine der wichtigsten Maßnahmen sein System zu schützen ist, Updates regelmäßig durchzuführen, um bereits bekannte Sicherheitslücken nicht über Wochen, Monate oder gar Jahre stehen zu lassen.

Bei Plugins oder einem Theme aus fremden Quellen kann man sich einer zeitnahen Behebung nicht in allen Fällen sicher sein. Was man von der WordPress-Plattform geholt hat, wird dort entfernt, wenn eine Sicherheitslücke bekannt und nicht zeitnah behoben wird, um durch unfällige Neuinstallationen keinen weiteren Websites zu gefährden.

Zwar werden im WordPress-Dashboard verfügbare Updates angezeigt und sind per Knopfdruck durchführbar. Was dabei leicht zu übersehen ist, sind jene Komponenten die keine Updates (mehr) bekommen. Wurde ein Plugin oder Theme über einen längeren Zeitraum nicht upgedated sollte der Sache nachgegangen und über einen Ersatz nachgedacht werden, der noch gepflegt wird.

Auf Dauer genügt es also nicht alleine, regelmäßig sämtliche Updates durchzuführen. Glückerweise sind Sicherheitsplugins üblicherweise auch mit dem Feature ausgestattet, veraltete Komponenten zu erkennen und darauf hinzuweisen.

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden. Die Angabe einer E-Mail-Adresse und eines Namens ist nicht erforderlich. Einen (Spitz)-Namen zu nennen wäre aber doch nett.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional, dafür werden alle Kommentare vor Veröffentlichung geprüft) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

publicly queryable