WordPress-Sicherheitsstatistik: Wie sicher ist WordPress wirklich?

Ist WordPress wirklich sicher? Diese Frage beschäftigt wahrscheinlich viele neue Benutzer, insbesondere wenn sie hören, dass es sich um ein Open-Source-Projekt handelt. Gibt es Statistiken zur WordPress-Sicherheit, die eine Antwort geben können?

Tatsächlich gibt es sie, und in diesem Beitrag haben wir versucht, so viele aussagekräftige Zahlen wie möglich zu diesem Thema zusammenzustellen. Im Folgenden untersuchen wir Branchenberichte und Statistiken zur Sicherheit des WordPress-Kerns, der Themes und Plugins, der Anmeldeinformationen und der Hosting-Umgebungen.

Letztendlich möchten wir, dass Sie nicht nur einen guten Überblick über die Sicherheitslage von WordPress haben, sondern auch genau wissen, wo die Risiken liegen, damit Sie diese angehen können.

Statistisch gesehen ist WordPress das beliebteste Ziel für Hacker

Der erste wichtige Datenpunkt, wenn es um WordPress-Sicherheit geht, ist 43 %. Laut W3Techs ist das der weltweite Anteil an Websites, die auf WordPress laufen. Beachten Sie, dass es sich dabei nicht um den Marktanteil bei Content-Management-Systemen handelt (der höher ist), sondern um den Marktanteil an allen Websites im Internet.

Das ist eine ziemlich große Zahl. Und das ist wichtig, denn WordPress-Fans können zwar darauf stolz sein, haben aber auch eine Kehrseite – die Bekanntheit.

Die schiere Anzahl an Websites, die auf WordPress laufen, macht die Plattform zu einem Hauptziel für Hacker. Tatsächlich machten WordPress-Websites im Bedrohungsforschungsbericht 2022 von Sucuri 96,2 % aller infizierten Websites aus.

Klingt nicht wirklich sicher, oder?

Wenn Sie solche Statistiken isoliert betrachten, könnte Ihr erster Gedanke sein, dass WordPress tatsächlich ein Sicherheitsproblem hat. Warum sonst sollte es eine so große Mehrheit erfolgreicher Hacks ausmachen?

Deshalb haben wir mit der ersten Nummer begonnen. WordPress ist einfach ein viel prominenteres und lukrativeres Ziel. Die Entscheidung für ein System, mit dem Sie versuchen können, buchstäblich Hunderte Millionen Websites anzugreifen, ist viel wirtschaftlicher und effizienter als eines mit einer viel kleineren Benutzerbasis. Das denken offenbar auch Hacker.

Die schlechte Nachricht ist, dass sie oft Erfolg haben. Jedes Jahr werden Hunderttausende WordPress-Websites erfolgreich gehackt. Die gute Nachricht ist, wie Sie weiter unten sehen werden, dass dies nicht daran liegt, dass WordPress von Natur aus unsicher ist. Tatsächlich sind viele dieser erfolgreichen Hacks völlig vermeidbar. Sie müssen nur wissen, wie Sie sich schützen können.

WordPress-Core-Schwachstellenstatistik

Um die Frage zu beantworten, ob WordPress sicher ist oder nicht, beginnen wir mit Statistiken über die Sicherheit der WordPress-Kernsoftware.

Die meisten gehackten Websites wurden nicht aktualisiert

Dem Sucuri-Bericht zufolge sind die meisten gehackten WordPress-Websites veraltet. Im Jahr 2022 liefen mehr als die Hälfte der mit Malware infizierten Personen nicht auf der neuesten Version von WordPress.

Das ist keine Überraschung. Einige ältere Versionen des CMS weisen bekannte Sicherheitsprobleme auf, die öffentlich bekannt gegeben wurden. Wenn Sie Ihre Website also weiterhin auf einem dieser Anbieter betreiben, laden Sie lediglich jemanden ein, davon zu profitieren.

Tatsächlich sind die WordPress-Editionen mit den meisten Sicherheitsproblemen alle bis zur Version 4.0. Seitdem ist die Zahl der Schwachstellen stetig zurückgegangen.

Auch der Sucuri-Bericht spiegelt dies wider. Im Vergleich zu früheren Zahlen ist der Anteil der WordPress-Seiten, die aufgrund fehlender Updates gehackt wurden, zurückgegangen.

Tatsächlich wies WordPress von allen CMS, auf die es stieß, den geringsten Anteil an Infektionen aufgrund veralteter Versionen auf.

Dies ist bereits seit zwei Jahren in Folge der Fall und der Anteil von WordPress ist in dieser Zeit leicht gesunken. Hier ist 2021 zum Vergleich.

Dies ist ein Benutzerproblem, kein WordPress-Problem

Wie steht es also damit, dass WordPress-Benutzer ihre Websites auf dem neuesten Stand halten? Nun ja, viele tun das nicht. Hier sind die WordPress-Versionen, die laut WordPress.org auf Websites in freier Wildbahn laufen.

Wie Sie sehen, sind nur etwa 60 % % auf der allerneuesten Version. Die gute Nachricht ist jedoch, dass zumindest die überwiegende Mehrheit auf WordPress 4.0 oder höher läuft, wo sich die Schwachstellensituation deutlich verbessert. Darüber hinaus haben drei Viertel auf die neueste Hauptversion aktualisiert, was eine Verbesserung gegenüber zuvor darstellt. Im Jahr 2016 lag dieser Anteil lediglich bei etwa 50 %.

Einer der Gründe dafür dürften automatische Updates sein, die in Version 5.6 eingeführt wurden. Sie müssen sich nicht mehr darauf verlassen, dass Benutzer manuell auf die Schaltfläche „Aktualisieren“ klicken. Stattdessen können Websites automatisch neue WordPress-Versionen installieren, was offenbar zu diesem positiven Trend beigetragen hat.

Die WordPress-Sicherheitsinfrastruktur funktioniert

Trotz der Zurückhaltung der Benutzer, ihre Websites zu aktualisieren, erfüllt das Sicherheitssystem für WordPress Core seine Aufgabe sehr gut. Das WordPress-Sicherheitsteam findet und behebt schnell Probleme in jeder neuen WordPress-Version.

Im Jahr 2023 hatten wir bereits drei Sicherheitsversionen, die 20 bis 30 potenzielle Schwachstellen behoben haben. Allein WordPress 6.0.3 enthielt 16 Sicherheitsfixes. Außerdem gab es im Jahr 2022 vier Sicherheits-Releases im Projekt, die insgesamt 26 Sicherheitslücken behoben haben.

Darüber hinaus erstreckt sich diese Wachsamkeit auch auf andere Teile des Ökosystems. Elementor stieß auf eine kritische Sicherheitslücke, die schnell behoben wurde, Ninja Forms erhielt ein erzwungenes Update von WordPress.org und BackupBuddy hat ebenfalls eine Sicherheitslücke mit hohem Schweregrad behoben und die aktualisierte Version an seine Benutzer weitergegeben.

Auch wenn WordPress wie jede andere Software Sicherheitsprobleme aufweist, verfügt es über Ausfallsicherungen, die schnell darauf reagieren. Eine der größten Hürden besteht nach wie vor darin, Benutzer dazu zu bringen, die Lösungen anzuwenden.

Statistiken zur WordPress-Theme- und Plugin-Sicherheit

Als beliebtestes CMS verfügt WordPress über eine große Anzahl an Erweiterungen, viele davon kostenlos. Zum Zeitpunkt des Schreibens dieses Artikels gibt es allein im WordPress-Verzeichnis fast 60.000 Plugins sowie mehr als 11.000 Themes.

Dabei sind die Tausenden anderer Plugins, die in anderen Teilen des Webs häufig als Premium-Lösungen verfügbar sind, noch nicht einmal mitgerechnet. Das ist das Coole an WordPress. Was auch immer Sie suchen, es gibt höchstwahrscheinlich bereits eine Lösung dafür.

Gleichzeitig ist jede Erweiterung, die Sie auf Ihrer Site installieren, ein potenzieller Einstiegspunkt für einen Angreifer. Für Themes und Plugins sind die einzelnen Entwickler verantwortlich. Sie werden nicht so streng getestet wie der WordPress-Kern und weisen daher mit größerer Wahrscheinlichkeit Sicherheitslücken auf. Darüber hinaus hören Entwickler manchmal einfach auf, ihre Arbeit zu unterstützen, und diese ist veraltet.

Daher ist es nicht verwunderlich, dass sie eine große Rolle in den WordPress-Sicherheitsstatistiken spielen, insbesondere Plugins. Tatsächlich enthalten sie laut WPScan.com die überwiegende Mehrheit der WordPress-Schwachstellen.

Patchstack kam zu ähnlichen Zahlen.

Offenbar stellen vor allem kostenlose Plugins ein Problem dar. Sucuri berichtet, dass Premium-Themes und Plugins 8,62 % aller Schwachstellen von Drittanbietern ausmachen, während kostenlose Erweiterungen 91,38 % ausmachen.

Auch hier besteht ein häufiges Problem darin, dass Website-Betreiber veraltete Versionen mit bekannten Sicherheitsproblemen verwenden. Sucuri berichtet weiter, dass bei 36 % aller kompromittierten Websites während der Reparatur mindestens ein anfälliges Plugin oder Theme vorhanden war.

Beliebte Erweiterungen machen die Mehrheit der Hacks aus

Interessant ist auch die Verteilung, welche Plugins und Themes Probleme verursachen. Laut Sucuri gehörten zu den am häufigsten erkannten anfälligen Komponenten veraltete Versionen von Contact Form 7 (27,44 %), Freemius Library (20,85 %) und WooCommerce (14,51 %). Es gibt noch ein paar andere.

Warum lassen wir diese Plugins also immer noch existieren, wenn sie in puncto Sicherheit so schlechte Arbeit leisten? Hier gilt das Gleiche wie für WordPress allgemein. Es ist nicht unbedingt so, dass diese Plugins unsicherer sind, sie erfreuen sich einfach großer Beliebtheit. Allein Contact Form 7 hat über fünf Millionen Installationen.

Außerdem leisten diese Entwickler tatsächlich gute Arbeit bei der Behebung von Sicherheitsproblemen, sobald sie bekannt werden. Das Problem tritt nur auf, wenn Benutzer sie nicht anwenden. Darüber hinaus gibt es bereits Bemühungen, die Mängel von Plugins zu beheben. Es gab kürzlich einen Vorschlag für einen Plugin-Checker, der dem in Arbeit befindlichen Theme-Check-Plugin ähnelt.

Was lernen wir also daraus? Halten Sie Ihre Themes und Plugins auf dem neuesten Stand, genau wie den Rest Ihrer WordPress-Site.

Sicherheitslücken bei der Anmeldung

Anmeldedaten sind ein weiterer Faktor bei erfolgreichen Hackerangriffen auf Websites. Schwache Benutzernamen und Passwörter stellen ein ernstes Sicherheitsrisiko dar. Sie können leicht durch Brute-Force-Angriffe und Credential Stuffing kompromittiert werden.

Wenn so etwas passiert, spielt es keine Rolle, wie aktuell Ihre Website ist oder wie sicher Ihre Plugins und Themes sind. Sobald jemand vollen Zugriff auf Ihre Website hat, sind seinen Möglichkeiten nur noch wenige Grenzen gesetzt.

So fand Sucuri böswillige WordPress-Administratorbenutzer auf 32,69 % der infizierten Websites. Nur zum Spaß, hier sind die Benutzernamen und E-Mails, die sie am häufigsten verwendet haben.

Andererseits ist dies einer der Teile, die am stärksten unter der direkten Kontrolle der Benutzer stehen. WordPress verfügt beispielsweise über einen automatischen sicheren Passwortgenerator. Warum nicht davon profitieren?

Sie müssen jedoch dasselbe für andere Konten im Zusammenhang mit Ihrer Website tun, z. B. Hosting- und FTP-Anmeldeinformationen. Darüber hinaus gibt es zusätzliche Maßnahmen zum Schutz Ihrer Anmeldeseite, z. B. die Begrenzung von Anmeldeversuchen und die Zwei-Faktor-Authentifizierung.

Hosting-Sicherheitsstatistiken

Auch die Hosting-Umgebung und die darin vorhandenen Technologien spielen eine Rolle für die Sicherheit, insbesondere die PHP-Version, auf der WordPress läuft. Beispielsweise führte PHP 7 bessere Sicherheitsfunktionen ein als sein Vorgänger PHP 5.

Außerdem haben die PHP-Entwickler eine ziemlich strenge End-of-Life-Richtlinie für ihre älteren Versionen. Zum Zeitpunkt des Verfassens dieses Artikels erhalten alle Versionen vor 8.0 keinen Support oder Sicherheitsupdates mehr und sollten daher langfristig vermieden werden.

Hier sieht WordPress nicht so toll aus. Während die überwiegende Mehrheit der WordPress-Websites mindestens auf PHP 7.0 läuft und fast die Hälfte auf 7.4, nutzt nur etwas mehr als ein Viertel die aktiv unterstützten Versionen.

Es gibt sogar etwa 6 %, die noch auf PHP 5.x-Versionen laufen, die seit Jahren keinen Support mehr erfahren haben. Wenn Sie es noch nicht getan haben, aktualisieren Sie Ihre PHP-Version.

WordPress-Sicherheitsstatistiken auf den Punkt gebracht

Kein CMS ist 100 % sicher, tatsächlich ist nichts mit dem Internet verbunden. Doch trotz allem, was Sie woanders vielleicht hören, sind die Sicherheitsstatistiken von WordPress insgesamt sehr gut. Ja, es gibt Probleme, die behoben werden müssen, aber die meisten davon werden aktiv angegangen.

Wenn Sie dazu beitragen möchten, die Zahlen noch weiter zu verbessern, können Sie dies tun, indem Sie die folgenden Best Practices befolgen:

• Halten Sie WordPress und seine Plugins und Themes auf dem neuesten Stand
• Verwenden Sie nur Erweiterungen aus seriösen Quellen
• Verwenden Sie sichere Passwörter und Anmeldeinformationen für alles, was mit Ihrer Website zu tun hat
• Erwägen Sie die Verwendung einer Firewall und/oder eines CDN
• Beschränken Sie Anmeldeversuche
• Verwenden Sie ein SSL-Zertifikat, um den Datenverkehr auf Ihrer Website, einschließlich Ihres Dashboards, zu verschlüsseln
• Wählen Sie einen Host, der es Ihnen ermöglicht, Ihre PHP-Version auf dem neuesten Stand zu halten

Wenn Sie diese befolgen, sollten Sie zumindest für Ihre eigene WordPress-Site positive Sicherheitsstatistiken haben.

Welche Statistiken zum Stand der WordPress-Sicherheit finden Sie am interessantesten? Lass es uns unten in den Kommentaren wissen!