WordPress ist ein sicheres Stück Software. So sicher, wie Software mit einem Internetzugang eben sein kann. Werden Sicherheitslücken entdeckt, werden sie von den Entwicklern zeitnah geschlossen.
Diese Updates passieren aber nicht automatisch. Man muss sie installieren. Macht man das nicht, werden die Sicherheitslücken nicht geschlossen. Die Internetseite kann darüber gehackt werden.
Eine gehackte Webseite kann für verschiedene Zwecke missbraucht werden. Sie kann als Spam-Versender eingesetzt oder als Teil eines Bot-Netzes genutzt werden. Im schlimmsten Falle werden über die gehackte Internetseite sogar strafbare Handlungen vorgenommen.
Updates = Sicherheit
Updates müssen installiert werden. Es gibt zwar auch Fälle, in denen eine Internetseite auf völlig veralteter Software jahrelang „funktioniert“. Es ist aber immer nur eine Frage der Zeit, bis es dann doch knallt.
Informationen zu bekannten Sicherheitslücken findet man ganz einfach über die Google Suche. Ein potentieller Angreifer muss dann nur noch einen Code-Schnipsel ausführen und die Internetseite ist gehackt. Das ist so einfach, dass dafür nicht einmal besondere Fachkenntnis nötig ist. Es gibt dafür sogar Anleitungen mit Video-Tutorial.
Wird eine Internetseite gehackt, geschieht das meist aus zwei Gründen.
- Es geht um den Diebstahl der Nutzerdaten.
Das betrifft Internetseiten, die für Hacker nützliche Nutzerdaten speichern. Insbesondere Bezahlinformationen wie Bank- oder Kreditkartendaten sind wertvolle Beute. Davon sind am häufigsten Onlineshops betroffen und Internetseiten, die Bezahlvorgänge abwickeln. Aber auch Benutzername und Passwort sind für Hacker interessant.
Die meisten Internetnutzer sind zu faul, für jede Seite neue Passwörter zu verwenden. Das Passwort vom Pizzadienst funktioniert deswegen auch bei der Bank. Deshalb sind auch vermeintlich kleine und unbedeutende Internetseiten für Hacker eben auch interessant. Hier wird oft alte Software eingesetzt. Man nimmt es mit der Sicherheit der Daten nicht so genau. Mit den darüber erbeuteden Daten wird das Einloggen bei Banken und Onlineshops versucht. Und den Rest können Sie sich wahrscheinlich selbst vorstellen… - Der Angreifer möchte die gehackte Internetseite für seine eigenen Zwecke einsetzen. Ein häufiger Verwendungszweck ist die Eingliederung in ein Bot- oder Spammernetzes. Das kann verschiedene Auswirkungen haben. Ein Hacker kann den Quellcode einer Internetseite z.B. mit Links zu dubiosen Web-Adresse mit teilweise sogar strafbaren Inhalten versehen. Einem Besucher fällt das gar nicht auf, weil diese Links nicht sichtbar sind.
Die Internetseite kann aber z.B. auch als Datenspeicher für illegale Inhalte genutzt werden. Dann muss sich der Betreiber der Webseite vor Polizei und Staatsanwaltschaft rechtfertigen.
Von einer gehackten Seite können auch Spam-oder Phishing-Emails versandt werden. Der gute Ruf einerInternetseite wird ausgenutzt, um die Spam Filter der Email-Hoster zu überlisten. Außerdem lässt sich in einer gehackten Seite Schadcode verstecken, den ein Besucher mit einem bestimmten Webbrowser oder als PDF-Datei (manchmal sogar ohne sein Wissen) herunterlädt. Wird so etwas bekannt, wirft Google diese Seiten aus dem Suchindex oder blendet eine Warnmeldung vor Schadcode ein. Eine gehackte Internetseite kann auch in ein Bot-Netzwerk eingegliedert werden. Der Webserver kann z.B. als Proxy zur Verschleierung der Ursprungs-Adresse des Angreifers genutzt werden oder DoS-Attacken ausführen.
Kein Update ohne Backup
Wer eine WordPress Installation aktualisieren möchte, sollte davor immer ein Backup vom Webverzeichnis und der Datenbank anlegen. In den meisten Fällen geht zwar alles gut. Meistens aber genau dann nicht, wenn man das Backup mal vergessen hat.