WordPress ist das mit Abstand beliebteste Content-Management-System weltweit und betreibt über 40 Prozent aller Websites im Internet. Diese enorme Verbreitung macht WordPress zu einem bevorzugten Ziel für Cyberkriminelle. Bei unseren Penetrationstests finden wir regelmäßig kritische Schwachstellen in WordPress-Installationen – selbst bei Unternehmen, die glauben, ihre Website sei gut abgesichert. In diesem Artikel zeigen wir die häufigsten Schwachstellen und wie Sie Ihre WordPress-Website effektiv schützen können.
Warum WordPress ein beliebtes Angriffsziel ist
Die Popularität von WordPress ist zugleich Segen und Fluch. Einerseits profitieren Nutzer von einem riesigen Ökosystem an Themes und Plugins, einer aktiven Community und regelmäßigen Updates. Andererseits macht genau diese Verbreitung WordPress zu einem lukrativen Ziel: Ein einziger funktionierender Exploit kann potenziell Millionen von Websites betreffen. Automatisierte Angriffs-Bots scannen das Internet kontinuierlich nach verwundbaren WordPress-Installationen, und die Open-Source-Natur des Systems ermöglicht es Angreifern, den Quellcode auf Schwachstellen zu analysieren.
Die häufigsten Schwachstellen aus unseren Penetrationstests
1. Veraltete Core-Version, Plugins und Themes
Dies ist mit Abstand das häufigste Problem, das wir bei WordPress-Pentests identifizieren. Veraltete Software enthält bekannte Schwachstellen, für die oft öffentlich verfügbare Exploits existieren. Besonders kritisch sind veraltete Plugins von Drittanbietern, da diese häufig weniger rigoros gepflegt werden als der WordPress-Core. In einer typischen WordPress-Installation finden wir durchschnittlich drei bis fünf Plugins mit bekannten, ungepatchten Sicherheitslücken.
2. Schwache Authentifizierung
Einfache Benutzernamen wie „admin" in Kombination mit schwachen Passwörtern sind nach wie vor weit verbreitet. Ohne Rate-Limiting oder Account-Lockout-Mechanismen können Angreifer Brute-Force-Angriffe auf die WordPress-Anmeldeseite durchführen. Die Standard-Anmelde-URL /wp-admin ist allgemein bekannt und wird von Angriffs-Bots automatisch angegriffen. Die fehlende Implementierung von Zwei-Faktor-Authentifizierung verschärft das Problem zusätzlich.
3. XML-RPC-Missbrauch
Die XML-RPC-Schnittstelle (xmlrpc.php) ist bei vielen WordPress-Installationen aktiviert, obwohl sie für die meisten Anwendungsfälle nicht benötigt wird. Diese Schnittstelle kann für verstärkte Brute-Force-Angriffe, DDoS-Amplification-Attacken und SSRF-Angriffe (Server-Side Request Forgery) missbraucht werden. Besonders die system.multicall-Methode ermöglicht es Angreifern, Hunderte von Passwort-Versuchen in einer einzigen HTTP-Anfrage zu bündeln.
4. Fehlende Sicherheitsheader
Bei nahezu jeder WordPress-Pentest-Prüfung fehlen wichtige HTTP-Sicherheitsheader wie Content-Security-Policy, X-Frame-Options, X-Content-Type-Options und Strict-Transport-Security. Diese Header bieten eine zusätzliche Schutzschicht gegen Cross-Site-Scripting (XSS), Clickjacking und andere clientseitige Angriffe und sind mit minimalem Aufwand zu implementieren.
5. Information Disclosure
WordPress gibt standardmäßig zahlreiche Informationen preis, die Angreifern helfen, gezielte Angriffe vorzubereiten. Dazu gehören die WordPress-Version im HTML-Quellcode, eine Liste installierter Plugins und deren Versionen, Benutzer-Enumeration über die REST-API, die Readme.html des WordPress-Cores und detaillierte PHP-Fehlermeldungen in der Produktion. Jede einzelne dieser Informationen hilft einem Angreifer, seinen Angriff zu verfeinern.
6. Unsichere Plugin-Konfigurationen
Selbst wenn Plugins aktuell sind, können unsichere Konfigurationen Angriffsflächen bieten. Kontaktformular-Plugins ohne CAPTCHA laden zum Spam-Missbrauch ein, Datei-Upload-Funktionen ohne Typvalidierung ermöglichen die Einschleusung von Web-Shells, und schlecht konfigurierte SEO-Plugins können sensible Informationen in Suchmaschinen-Ergebnissen exponieren.
Konkrete Schutzmaßnahmen
Grundlegende Absicherung
- Regelmäßige Updates: Aktivieren Sie automatische Updates für den WordPress-Core und implementieren Sie einen Prozess für zeitnahe Plugin- und Theme-Updates.
- Starke Authentifizierung: Erzwingen Sie komplexe Passwörter, implementieren Sie 2FA, begrenzen Sie Anmeldeversuche und erwägen Sie die Umbenennung der Anmelde-URL.
- Minimale Plugin-Nutzung: Deinstallieren Sie nicht benötigte Plugins vollständig. Jedes zusätzliche Plugin vergrößert die Angriffsfläche.
- Dateiberechtigungen: Stellen Sie sicher, dass Dateiberechtigungen korrekt gesetzt sind: 644 für Dateien, 755 für Verzeichnisse, und wp-config.php sollte 400 oder 440 haben.
Erweiterte Schutzmaßnahmen
- Web Application Firewall (WAF): Eine WAF filtert bösartigen Traffic und blockiert bekannte Angriffsmuster, bevor sie WordPress erreichen.
- Content Security Policy: Implementieren Sie eine strikte CSP, um XSS-Angriffe und andere Injektionsangriffe zu verhindern.
- Datenbankpräfix ändern: Das Standard-Präfix wp_ macht SQL-Injection-Angriffe einfacher. Verwenden Sie einen individuellen Präfix.
- REST-API einschränken: Beschränken Sie den Zugriff auf die WordPress REST-API auf authentifizierte Benutzer, um Benutzer-Enumeration zu verhindern.
- Monitoring und Logging: Implementieren Sie ein Security-Monitoring, das verdächtige Aktivitäten wie ungewöhnliche Anmeldeversuche, Dateiänderungen und Plugin-Installationen erkennt.
Fazit
WordPress kann sicher betrieben werden – wenn die richtigen Maßnahmen ergriffen werden. Ein professioneller Penetrationstest deckt die spezifischen Schwachstellen Ihrer Installation auf und liefert klare Handlungsempfehlungen. SecTepe führt spezialisierte WordPress-Pentests durch, die sowohl automatisierte als auch manuelle Prüfungen umfassen und Ihnen ein detailliertes Bild Ihrer Sicherheitslage liefern. Investieren Sie in die Sicherheit Ihrer WordPress-Website, bevor es ein Angreifer tut.