Vulnerability
Was ist eine Vulnerability (Sicherheitslücke) in WordPress?
Eine Vulnerability – auf Deutsch Sicherheitslücke oder Schwachstelle – ist ein Fehler im Code, der Angreifern ermöglicht, unautorisierten Zugriff auf eine Website zu erlangen, Daten zu manipulieren oder schädlichen Code einzuschleusen. WordPress-Vulnerabilities können im Core, in Plugins oder in Themes auftreten.
Die häufigsten Vulnerability-Typen in WordPress
- SQL Injection – Angreifer schleusen manipulierte Datenbankbefehle ein und können so Daten auslesen, verändern oder löschen
- Cross-Site Scripting (XSS) – schädliches JavaScript wird in Seiteninhalte eingebettet und im Browser anderer Benutzer ausgeführt
- Cross-Site Request Forgery (CSRF) – Angreifer bringen eingeloggte Benutzer dazu, ungewollte Aktionen auszuführen
- Broken Access Control – Benutzer können auf Inhalte oder Funktionen zugreifen, für die sie keine Berechtigung haben
- Remote Code Execution (RCE) – die gefährlichste Kategorie: Angreifer können beliebigen Code auf dem Server ausführen
Wo Vulnerabilities gemeldet werden
Bekannte WordPress-Sicherheitslücken werden in Datenbanken wie WPScan oder dem CVE-System (Common Vulnerabilities and Exposures) öffentlich dokumentiert. Das WordPress Security Team koordiniert die Behebung von Core-Schwachstellen. Plugin-Vulnerabilities werden meist vom Plugin-Entwickler gepatcht – sofern das Plugin noch aktiv gepflegt wird.
Schutzmaßnahmen
Die wirksamste Schutzmaßnahme ist konsequentes Aktualisieren: Core, Plugins und Themes immer auf dem aktuellen Stand halten. Dazu kommen ein Web Application Firewall (WAF), die Deinstallation ungenutzter Plugins, starke Passwörter, Zwei-Faktor-Authentifizierung und regelmäßige Backups. Nicht gepflegte Plugins mit bekannten Sicherheitslücken gehören sofort deinstalliert.
