Manchmal kann man den Eindruck bekommen dass WordPress ein nicht sehr sicheres CMS ist. Aber ist das so?

WordPress ist das weltweit weitverbreiteste Content Management System, und das nicht ohne Grund. Die Entwicklung von Webseiten ist mithilfe fertiger Themes auch von Laien (bis zu einem gewissen Grad) möglich, für Redakteure ist die Bedienung sehr einfach. Zudem gibt es sehr viele Plugins für fast jeden Anwendungszweck, mit WordPress lassen sich also sehr flexibel Webseiten am Puls der Zeit umsetzen.

Allerdings werden WordPress Webseiten auch häufig angegriffen und gehackt, einige Agenturen vertreten mittlerweil sogar die Meinung, dass WordPress zu unsicher sei und man es als CMS nicht mehr einsetzen kann.

WordPress selbst ist nicht unsicher

Die Software WordPress selbst ohne Plugings oder externe Themes kann man nicht als unsicher bezeichnen. Nach über 10 Jahren ist der Programmcode mittlerweile sehr ausgereift, wenn doch noch Sicherheitslücken oder Fehler im Code auftauchen werden diese durch Updates sehr schnell behoben. Ein Hackerangriff auf eine einfache WordPress Website ist daher fast ausgeschlossen.

Einziges (kleines) Sicherheitsrisiko ist die XMLRPC-Schnittstelle, über diese lässt sich von extern auf die Seite zugreifen und man kann damit beispielsweise Seiten oder Beiträge erstellen. Allerdings auch nur wenn Benutzername UND Passwort bekannt sind – und das ist oft auch die häufigste Quelle für Angriffe: unsichere Passwörter. Viele Seitenbetreiber setzen keine sicheren Passwörter, und diese können dann von externen Bots auch leichter ermittelt werden. Das bedeutet aber nicht, dass WordPress selbst deswegen ein unsicheres CMS ist.

Themes und Plugins enthalten häufig Sicherheitslücken

Themes und Plugins für WordPress gibt es wie Sand am Meer, kostenlose und kostenpflichtige. Da gibt es viele die sehr gut und sicher programmiert wurden, aber auch andere, die nicht perfekt gegen Angriffe von außen abgesichert sind.

Laien tun sich da oft schwer gute von schlecht programmierten zu unterscheiden, daher werden dann oft Plugins oder Themes installiert die Hackern Angriffspunkte bieten (und die Hacker suchen auch gezielt nach diesen Plugins).

Updates werden oft nicht gemacht

Ein weiterer Aspekt fehlender Sicherheit bei WordPress sind nicht durchgeführte Updates. Viele Seitenbetreiber führen Updates sehr selten oder gar nicht durch, gerade das sollte man aber unbedingt tun damit die WordPress Website sicher ist. WordPress selbst schließt Sicherheitslücken sehr rasch, auch viele Plugin- oder Themeentwickler tun das. Wenn die Updates aber nicht eingespielt werden hilft das nichts, daher sollte eine WordPress Website immer am aktuellen Stand gehalten werden.

Natürlich kann man WordPress durch zusätzliche Maßnahmen noch weiter absichern, die angeführten Punkte sind aber die Hauptgründe warum WordPress Webseiten gehackt werden. Dazu kommt natürlich auch, dass WordPress Webseiten deswegen häufiger gehackt werden als andere, weil WordPress als CMS einfach um ein vielfaches häufiger eingesetzt wird als andere CMS wie TYPO3 oder Joomla.

Für sich gesehen ist WordPress aber zweifelsohne ein sicheres CMS und kann bedenkenlos für Firmenwebseiten, aber auch für private Homepages genutzt werden.