Word­Press Secu­rity 2024 in Zah­len – Wie sicher ist WordPress?

Die Ergeb­nisse des Secu­rity Reports 2024 von Word­fence sind durch­wach­sen und zei­gen, wie wich­tig das Thema Secu­rity für jeden Betrei­ber einer Word­Press Web­site ist. Wir haben ein paar der wich­tigs­ten Erkennt­nisse her­aus­ge­pickt und lei­ten dar­aus prak­ti­sche Emp­feh­lun­gen ab, wie die Sicher­heit von Web­sites und Woo­Com­merce Shops deut­lich ver­bes­sert wer­den kann.

Der Word­Press Secu­rity Report wird seit eini­gen Jah­ren jähr­lich vom Word­fence ver­öf­fent­licht, einem der füh­ren­den Sicher­heits-Plug-ins für Word­Press. Dabei wer­den nur Zugriffe und Angriffe auf Word­Press Instal­la­tio­nen ana­ly­siert, bei denen das Plug-in Word­fence in der kos­ten­lo­sen Free- oder der kos­ten­pflich­ti­gen Pre­mium-Ver­sion im Ein­satz ist. Die Free-Ver­sion ist bei über 5 Mio. Word­Press Web­sites aktiv, zur Pre­mium-Ver­sion gibt es keine offi­zi­el­len Zah­len. Zusam­men bie­ten die vie­len Instal­la­tio­nen auf jeden Fall eine solide Daten­ba­sis, um ein dif­fe­ren­zier­tes Bild der aktu­el­len Word­Press-Sicher­heit zu zeich­nen und eine fun­dierte Ein­schät­zung abzugeben.

Sicher­heits­lü­cken in Word­Press 2024

Das ver­gan­gene Jahr wurde geprägt von einer Zunahme der gemel­de­ten Sicher­heits­lü­cken und anhal­ten­den Her­aus­for­de­run­gen durch nicht beho­bene Schwach­stel­len. Aber es sind deut­li­che Fort­schritte bei der Bekämp­fung von Mal­ware und der Pass­wort-Sicher­heit zu erkennen.

Zahl der gemel­de­ten Sicher­heits­lü­cken in Word­Press nimmt zu

Im Jahr 2024 wur­den 68 % mehr Sicher­heits­lü­cken gemel­det als im Vor­jahr. Das klingt zunächst alar­mie­rend, aber das ist auch auf den gro­ßen Erfolg der Bug Bounty Pro­gramme zurück­zu­füh­ren, die unter ande­rem von Word­Press betrie­ben wer­den. Ent­wick­ler suchen also mehr als frü­her aktiv nach Sicher­heits­lü­cken und die Word­Press Secu­rity nimmt all­ge­mein einen höhe­ren Stel­len­wert bei der Ent­wick­lung von Plug-ins ein. Da ist sehr gut, denn nur wenn man von Sicher­heits­lü­cken weiß, kann man sie auch beheben.

Außer­dem han­delt es sich bei den meis­ten die­ser Lücken um Sicher­heits­lü­cken von mitt­le­rer Schwere und sie erfor­der­ten häu­fig zusätz­li­che Benut­zer­rechte (min. Con­tri­bu­tor), um aus­ge­nutzt zu wer­den. Das bedeu­tet, dass sie für die meis­ten Word­Press-Nut­zer ein gerin­ges Risiko dar­stel­len, ins­be­son­dere wenn grund­le­gende Sicher­heits­maß­nah­men getrof­fen wer­den oder eine Web Appli­ca­tion Fire­wall ein­ge­setzt wird, was grund­sätz­lich sehr zu emp­feh­len ist.

Sor­gen­kind: Nicht beho­bene Sicherheitslücken

Bedenk­lich ist aller­dings, dass rund 35 % der in 2024 gemel­de­ten Sicher­heits­lü­cken im Jahr 2025 immer noch nicht gepatcht sind. Fast immer han­delt es sich um Lücken in Plug-ins. Davon ent­fal­len rund 37 % auf Plug-ins mit 1.000 oder weni­ger Instal­la­tio­nen und 58 % auf Plug-ins mit weni­ger als 10.000 akti­ven Installationen.

Das zeigt, wie wich­tig es ist, bei der Aus­wahl von Plug-ins dar­auf zu ach­ten, dass diese regel­mä­ßig Updates erhal­ten. Auch ein Blick auf die Anzahl der bekann­ten Instal­la­tio­nen des Plug-ins kann ein wich­ti­ger Hin­weis auf den Rei­fe­grad und die Zuver­läs­sig­keit eines Plug-ins sein. Das soll nicht hei­ßen, dass Du nur Plug-ins mit tau­sen­den von akti­ven Instal­la­tio­nen nut­zen soll­test. Aber wenn ein Plug-in weni­ger als 100 aktive Installs hat und seit mehr als einem Jahr keine Updates mehr bekom­men hat, dann soll­test Du sehr sorg­fäl­tig abwä­gen, ob Du die­ses Plug-in wirk­lich benut­zen möchtest.

Zudem soll­test Du min­des­tens ein­mal im Jahr alle in Dei­nem Word­Press instal­lier­ten Plug-ins über­prü­fen und ver­waiste und schlecht gewar­tete Plug-ins iden­ti­fi­zie­ren und, wenn mög­lich, austauschen.

Die Top 10 der Schwachstellen-Typen

Die meis­ten Sicher­heits­lü­cken ermög­li­chen Angriffe mit­tels Cross-Site-Scrip­ting. Mit eini­gem Abstand fol­gen feh­lende Authen­ti­fi­zie­run­gen, Cross-Site Request For­gery und SQL-Injec­tion. Aber auch Infor­ma­tion Expo­sure, Arbi­trary File Upload, Local File Inclu­sion, PHP Object Injec­tion, Inse­cure Direct Object Refe­rence und Path Tra­ver­sal tre­ten häu­fig auf.

Sicher­heits-Plug-ins wie Word­fence kön­nen viele die­ser Schwach­stel­len über­wa­chen und Angriffe abweh­ren. Dar­über hin­aus sind Ser­ver-Secu­rity-Hea­der ein beson­ders wirk­sa­mer Schutz gegen Angriffe mit­hilfe von Cross-Site-Scripting.

Hoch­ri­siko-Sicher­heits­lü­cken

Rund 7,4 % der gemel­de­ten Sicher­heits­lü­cken wur­den als hoch­ris­kant ein­ge­stuft, was einem Anstieg von 149 % im Ver­gleich zum Vor­jahr ent­spricht. Die häu­figs­ten hoch­ris­kan­ten Sicher­heits­lü­cken waren Arbi­trary File Uploads und Pri­vi­lege Escala­tion. Diese Arten von Sicher­heits­lü­cken kön­nen zu schwer­wie­gen­den Kom­pro­mit­tie­run­gen füh­ren und soll­ten daher beson­ders ernst genom­men werden.

Am Bei­spiel der Schwach­stel­len­ka­te­go­rie Arbi­trary File Upload (Angrei­fer kön­nen über eine Sicher­heits­lü­cke belie­bige Dateien hoch­la­den) kann man sehen, wie wich­tig ein regel­mä­ßi­ger Scan des Word­Press-Ver­zeich­nis­ses ist. Der Scan fin­det ver­däch­tige Dateien, die nicht zum Word­Press Core und den instal­lie­ren Plug-ins und The­mes gehö­ren und durch­sucht zusätz­lich alle Dateien nach Schadcode.

Angriffe auf Word­Press Instal­la­tio­nen 2024

Das Jahr 2024 war geprägt von anhal­tend hohen Bedro­hun­gen durch Mal­ware und Pass­wort-Atta­cken. Dabei sollte man immer im Hin­ter­kopf behal­ten, dass sich die im Secu­rity Report von Word­fence genann­ten Zah­len nur auf Word­Press Instal­la­tio­nen bezie­hen, bei denen Word­fence in der Free- oder Pre­mium-Vari­ante im Ein­satz ist. Die Dun­kel­zif­fer dürfte um ein Viel­fa­ches dar­über liegen.

Mal­ware-Anfra­gen wei­ter auf hohem Niveau

Die Zahl der gelogg­ten und blo­ckier­ten Angriffe im Jahr 2024 sind wie immer jen­seits aller Vor­stel­lungs­kraft, aber den­noch inter­es­sant: 54 Mrd. Anfra­gen von 209 Mio. ver­schie­de­nen IP-Adres­sen wur­den erkannt, davon konn­ten 48 Mrd. von 142 Mio. IP-Adres­sen direkt geblockt und damit abge­wehrt wer­den, weil die Sicher­heits­lü­cken und/​oder die IPs schon Word­fence bekannt waren. Die Anzahl der Atta­cken bleibt über das Jahr gese­hen recht kon­stant, zum Jah­res-Ende gab es aber einen deut­li­che Peak.

Beglei­tend dazu zeigt die Sta­tis­tik der in der Word­fence Data­base ein­ge­tra­ge­nen Sicher­heits­lü­cken, wie zügig Gegen­maß­nah­men gegen die neuen Angriffe für Word­fence Nut­zer ver­füg­bar waren. Das ver­deut­licht aber, dass das kos­ten­pflich­tige Word­fence Pre­mium einen ent­schei­den­den Vor­teil bei der Abwehr bie­tet, denn für Pre­mium-Nut­zer sind Abwehr­maß­nah­men gegen neue Sicher­heits­lü­cken schnel­ler ver­füg­bar, wäh­rend Free-Nut­zer bis zu 30 Tage auf Updates für Fire­wall-Regeln war­ten müssen

Pass­wort-Atta­cken neh­men lang­sam ab

Gleich­auf mit den bös­wil­li­gen Anfra­gen sind die Ver­su­che, über Pass­wort-Atta­cken Zugriff zu Word­Press Web­sites zu erlan­gen. Über 55 Mrd. Ver­su­che, das Pass­wort zu hacken, hat Word­fence 2024 ent­deckt. Dazu gehö­ren Brute-Force-Angriffe, Cre­den­tial Stuf­fing (Nut­zung von Daten aus Daten­pan­nen und ander­wei­tig ergau­ner­ten Pass­wör­tern) und sons­tige Exploits, die in Zusam­men­hang mit Pass­wör­tern stehen.

Ein Hoff­nungs­schim­mer am Hori­zont ist, dass Pass­wort-Atta­cken wei­ter­hin lang­sam, aber ste­tig abneh­men. Damit setzt sich die­ser posi­tive Trend aus 2023 fort und das zeigt, dass sich Maß­nah­men zur Erhö­hung der Pass­wort­si­cher­heit und eine bes­sere Über­wa­chung von Login-Ver­such aus­zah­len. Gleich­zei­tig macht die hohe Zahl von Cre­ditial Stuf­fing Angrif­fen deut­lich, dass eine gute Pass­wort-Hygiene wei­ter­hin immens wich­tig ist. Also: Sichere und ein­zig­ar­tige Pass­wör­ter verwenden!

Fazit: Emp­feh­lun­gen für die Word­Press Secu­rity 2025

Da Angriffe über ganz unter­schied­li­che Mecha­nis­men ablau­fen kön­nen und oft meh­rere Sicher­heits­lü­cken erst in der Kom­bi­na­tion ein Ein­drin­gen ermög­li­chen, soll­test Du meh­rere Maß­nah­men ergrei­fen, um die Word­Press Secu­rity zu verbessern:

  • Prüfe regel­mä­ßig, wel­che User in Word­Press regis­triert und wel­che Zugriffs­rechte sie haben.
  • Halte den Word­Press Core, die Plug-ins und Dein Theme aktuell.
  • Ent­ferne nicht benö­tigte und ver­waiste Plug-ins und Themes.
  • Nutze eine Fire­wall, um Mal­ware-Angriffe abzuwehren.
  • Führe regel­mä­ßige Scans durch, damit Du Mal­ware fin­dest, bevor sie grö­ße­ren Scha­den anrich­ten kann.
  • Ver­wende Ser­ver-Secu­rity-Hea­der als zusätz­li­chen Schutz gegen Cross-Site-Scripting.

Es ist tech­nisch schon recht anspruchs­voll, die Word­Press Secu­rity einer Web­site oder eines Woo­Com­merce-Shops auf einem hohen Niveau zu hal­ten. Aber Du musst da nicht alleine durch: Mit unse­rem Secu­rity Paket für Word­Press sichern wir Deine Web­site umfas­send ab und Du brauchst Dich um nichts zu küm­mern. Sprich uns gerne an!