Statistiken heben die größte Quelle von WordPress-Schwachstellen hervor
Veröffentlicht: 2020-10-08Wir alle wissen, dass viele WordPress-Seiten jedes Jahr gehackt werden. Liegt es daran, dass WordPress ein unsicheres System ist? Ist es ein globales WordPress-Problem oder kommt es von den Aktionen dieser Webmaster? Wie und warum passiert es?
Unabhängig davon, ob Sie einen persönlichen Blog, eine Unternehmenswebsite oder eine E-Commerce-Website auf WordPress betreiben, sollte die Sicherheit Ihrer Website Priorität haben. Es kann viele Gründe geben, aus denen die Sicherheit Ihrer Website gefährdet ist. Die häufigsten Gründe sind schwache Passwörter, Benutzerfehler, veraltete Software und fehlende Sicherheitsupdates.
In diesem Artikel verwenden wir die neuesten Statistiken aus der WPScan-Schwachstellendatenbank, um hervorzuheben, welche WordPress-Komponenten am anfälligsten sind, und um die Wichtigkeit hervorzuheben, aktuelle Software auszuführen und die erforderlichen Sicherheitspatches zu installieren.
Sie können auch einige interessante Statistiken und Fakten über WordPress-Schwachstellen sowie einige Empfehlungen finden. Lassen Sie uns gleich eintauchen.
Inhaltsverzeichnis
- Was ist die WPScan-Schwachstellendatenbank?
- Überblick über Schwachstellen in WordPress, Plugins und Themes
- Warum gibt es so viele WordPress-Core-Schwachstellen?
- Art der Schwachstellen im WordPress-Kern, Plugins und Themes
- Statistik der WordPress-Core-Schwachstellen
- Top 10 der anfälligsten WordPress-Plugins
- Top 10 der anfälligsten WordPress-Themes
- Was sagen uns diese WordPress-Schwachstellen?
- So gewährleisten Sie die WordPress-Sicherheit (Best Practices für die Sicherheit)
Was ist die WPScan-Schwachstellendatenbank?
Bevor wir in die Statistiken eintauchen, lassen Sie uns erklären, woher wir diese Zahlen haben. Alle Daten werden aus der WPScan-Schwachstellendatenbank abgerufen, einer online durchsuchbaren Version der Datendateien von WPScan.
WPScan ist ein automatisierter Open-Source-Blackbox-Sicherheitsscanner für WordPress. Dieser Scanner verwendet diese Daten, um bekannte Sicherheitslücken in WordPress-Cores, Plugins und Themes auf WordPress-Websites zu erkennen.
Bis heute enthält die WPScan-Schwachstellendatenbank 21.755 Schwachstellen, von denen 4.154 eindeutige Schwachstellen sind.
Überblick über Schwachstellen in WordPress, Plugins und Themes
Laut der WPScan Vulnerability Database befinden sich ~80 % der bekannten Schwachstellen, die sie protokolliert haben, in der WordPress-Kernsoftware. Aber hier ist der Kicker – die Versionen mit den meisten Schwachstellen sind alle weit zurück in WordPress 3.X.
Bisher gibt es 17.467 WordPress-Core-Software-Schwachstellen in der WPScan-Schwachstellendatenbank. Dann gibt es 3.846 (17 %) WordPress-Plugin-Schwachstellen und 442 (3 %) WordPress-Themes-Schwachstellen.
Warum gibt es so viele WordPress-Core-Schwachstellen?
Die Anzahl der Schwachstellen im WordPress-Kern wird in der Schwachstellendatenbank aufgrund der vielen Versionen von WordPress aufgeblasen. Nachfolgend finden Sie eine Erklärung, warum dies geschieht;
In einer Komponente der WordPress-Version 5.4.2 wurde eine Cross-Site-Scripting-Schwachstelle gefunden. Diese Komponente wird in WordPress seit Version 3.7 verwendet. Daher sind auch alle zuvor veröffentlichten Versionen von WordPress anfällig.
Daher gibt es in der WPScan-Schwachstellendatenbank eine eindeutige Schwachstelle und 256 Schwachstellen!
Der WordPress-Kern als solcher ist also nicht unsicher. Es ist sehr wichtig, darauf hinzuweisen, dass der WordPress-Kern einen sehr langen Weg zurückgelegt hat und eine viel bessere und sicherere Software ist als je zuvor.
Art der Schwachstellen im WordPress-Kern, Plugins und Themes
Die beliebtesten Arten von Sicherheitslücken im Kern, in Plugins und Themes von WordPress sind Cross-Site-Scripting und SQL-Injection.
Dies ist nicht überraschend, wenn man bedenkt, dass diese 2 Schwachstellen seit ihrer Einführung in der OWASP-Top-10-Liste der häufigsten Web-Sicherheitsprobleme aufgeführt sind.
Statistik der WordPress-Core-Schwachstellen
Die folgende Grafik zeigt die Top 10 der anfälligsten WordPress-Core-Versionen, wobei die Versionen 3.7.1 und 3.8.1 mit jeweils 92 Schwachstellen das Feld anführen. An zweiter Stelle steht mit 91 Schwachstellen die WordPress-Version 3.9.
Seitdem ist WordPress jedoch definitiv sicherer geworden. Werfen wir einen Blick auf die Anzahl der Schwachstellen in den letzten 5 Versionen von WordPress. Wie Sie sehen können, ist der Unterschied ziemlich groß.
Top 10 der anfälligsten WordPress-Plugins
Hier sind einige Fakten über die Top 10 der anfälligsten WordPress-Plugins:
NextGEN Gallery, NinjaForms und WooCommerce führen das Feld mit jeweils 22 Schwachstellen an.
Wir waren überrascht, All In One WP Security & Firewall, ein WordPress-Sicherheits-Plugin, in den Top 10 der anfälligsten WordPress-Plugins zu sehen. Ich sage nicht, dass solche Plugins kugelsicher sind. Obwohl ich erwarten würde, dass ein Plugin, das von Sicherheitsleuten geschrieben wurde, weniger Schwachstellen aufweist oder zumindest nicht in der Top-10-Liste steht.
Top 10 der anfälligsten WordPress-Themes
Die folgende Grafik zeigt die Top 10 der anfälligsten WordPress-Themes. Die höchste hat nur 5 Schwachstellen unter ihrem Namen.
Themes haben in der Regel viel weniger Schwachstellen als Plugins, weil sie in Bezug auf die Funktionalität viel weniger leisten. Während beispielsweise die meisten Plugins mit Daten und Benutzereingaben umgehen und Benutzerdaten manipulieren, verändern Themes meistens das Look & Feel von WordPress-Websites.
Was sagen uns diese WordPress-Schwachstellen?
Die Leute lieben WordPress wegen der riesigen Auswahl an verfügbaren Plugins und Themes. Während ich dies schreibe, gibt es über 57.000 Plugins und mehr als 7.000 Themes im WordPress-Repository und Tausende von zusätzlichen Premium-Plugins, die über das Web verstreut sind.
Während all diese Optionen großartig sind, um Ihre Website zu verbessern, sollten Sie immer ein wenig recherchieren, bevor Sie ein Plugin oder Design auf Ihrer WordPress-Website installieren. Während die meisten WordPress-Entwickler gute Arbeit leisten, Codestandards zu befolgen und gemeldete Sicherheitsprobleme zu patchen, sobald sie bekannt werden, gibt es immer noch ein paar potenzielle Probleme:
- Das Plugin oder Theme wird nicht mehr gepflegt,
- Entwickler brauchen lange, um einen Sicherheitspatch herauszugeben oder reagieren nicht,
- Ein Plugin oder Theme hat jedoch eine Schwachstelle, da nicht viel darauf geachtet wird, dass die Schwachstelle unentdeckt bleibt.
Weitere Informationen zu diesem Thema und wie Sie feststellen können, ob ein Plugin eine gute Wahl für Ihre WordPress-Website ist, finden Sie unter So wählen Sie das beste WordPress-Plugin für Ihre Anforderungen aus.
Also, was ist der Imbiss?
Kurz gesagt, halten Sie Ihre gesamte Software auf dem neuesten Stand!
WordPress ist eines der beliebtesten CMS der Welt, und wenn Sie die bewährten Sicherheitsverfahren befolgen und auf dem neuesten Stand halten, ist es sehr unwahrscheinlich, dass auf Ihrer Website Probleme auftreten.
Sind diese WordPress-Schwachstellenstatistiken genau?
Diese Statistiken basieren auf den Informationen, die in der WPScan Vulnerability Database gespeichert sind. Obwohl es häufig aktualisiert wird, ist es keineswegs vollständig.
Es gibt viele andere anfällige WordPress-Plugins und -Themen, die hier nicht aufgeführt sind. Dies gibt uns jedoch einen guten Überblick über den Zustand der WordPress-Schwachstellen.
Melden Sie bekannte WordPress-Sicherheitslücken
Das WPScan-Team ermutigt alle, die über WordPress-Kern-, Plugin- oder Theme-Schwachstellen Bescheid wissen, ihnen die Details zu übermitteln.
Bevor Sie eine neue Schwachstelle melden, führen Sie eine Suche in der Datenbank durch, um sicherzustellen, dass das Problem nicht schon einmal gemeldet wurde. Dadurch wird sichergestellt, dass wir über eine zentrale und zuverlässige Informationsquelle verfügen.
So gewährleisten Sie die WordPress-Sicherheit (Best Practices für die Sicherheit)
Nachdem wir nun alle potenziellen und bekannten Schwachstellen behandelt haben, werfen wir einen Blick auf die verschiedenen Möglichkeiten, Ihre Website zu sichern.
Als Erstes sollten Sie Ihre WordPress-Version regelmäßig aktualisieren. Sie sollten auf jeden Fall die Praxis entwickeln, Ihre WordPress-Version zu aktualisieren, und vergessen Sie auch nicht, Ihre Plugins und Themes zu aktualisieren.
Hier sind einige zusätzliche Aktionen, die Sie ausführen können, um Ihre WordPress-Website zu sichern:
- Vermeiden Sie die Verwendung allgemeiner Passwörter
Mit einem starken Passwort kann jeder Hacking-Versuch vermieden oder zumindest hinausgezögert werden.
- Richten Sie eine Anmeldung mit Zwei-Faktor-Authentifizierung ein
Jeder, der sich auf Ihrer WordPress-Website anmelden möchte, muss einen weiteren Schritt durchlaufen, bevor er Zugriff auf Ihr Konto erhält.
- Verwenden Sie keine nulled Plugins und Themes
Es verführt fast jeden, aber diese kostenlosen Kopien von Premium-Plugins und -Designs sind meistens mit bösartiger Malware geladen. Unterstützen Sie die Entwickler der von Ihnen verwendeten Plugins, indem Sie die Premium-Edition kaufen. Es hilft, das Produkt weiterzuentwickeln, neue Funktionen hinzuzufügen und es sicher zu halten.
- Verwenden Sie WordPress-Sicherheits-Plugins
Heutzutage gibt es eine Vielzahl von Sicherheits-Plugins, die erstellt wurden, um Ihre Website vor verschiedenen Angriffen zu schützen. Die besten werden regelmäßig aktualisiert, wodurch sie jeden Hacking-Versuch und jede Ergänzung Ihres Codes erkennen können. Wir entwickeln eine Reihe von WordPress-Sicherheits- und Site-Management-Plugins. Schau sie dir an!
Einwickeln
Die Sicherung Ihrer Website ist äußerst wichtig. Es ist von entscheidender Bedeutung, einen klaren Überblick über die Bedrohungen und die Tools zu haben, die Sie verwenden können, um mit den potenziellen Angriffen fertig zu werden. Ihre oberste Priorität sollte es sein, eine sichere Website zu haben und zu pflegen.
Aufgrund seiner Popularität ist WordPress ein großes Ziel für Hacker. Aus diesem Grund müssen Sie noch einen Schritt weiter gehen, um die Sicherheit Ihrer Website zu gewährleisten. Eine gesicherte Website wird sicherlich das Vertrauen Ihrer potenziellen Kunden stärken und somit das Wachstum Ihres Unternehmens unterstützen.
Schützen Sie Ihre Website und bleiben Sie sicher!