Wer von euch nutzt WordPress? Oder hat sogar ein WooCommerce Webshop auf WordPress am Laufen? Unterschiedlichen Quellen nach laufen momentan etwas über 40 % aller Webseiten auf WordPress. Bei den Webshops sind die Zahlen etwas schwankender: Hier sind es wohl 24 - 39 % aller Webshops, welche mit WooCommerce auf WordPress betrieben werden. Die Zahl schwankt, je nachdem ob man die Anzahl aller Shops oder nur die aktiven, verkaufenden Shops zählt.
Egal, die Aussage ist ziemlich eindeutig: Bei Webseiten sind wir bei irgendwo zwischen einem Drittel und der Hälfte, bei Webshops dürften es mindestens ein Viertel sein, welche auf WordPress laufen. Wer also gerade eine neue Webseite erstellt oder seine vorhandene Seite auf eine neue Plattform migrieren will, wird, sofern er nicht bereits pro WordPress entschieden hat, zumindest darüber nachdenken auf WordPress zu setzen bzw. zu wechseln.
Bei der Menge sollte klar sein, dass das Admin-Panel ein Lieblingsziel von Angreifern ist. Dabei passieren die meisten Hacks nicht wegen irgendwelcher komplexer Zero-Days, sondern durch einfache Versäumnisse: schwache Passwörter, veraltete Plugins und eine Login-Seite, welche jeder Bot kennt.
✅ Natürlich sind wir alle pflichtbewusst und verwenden nur Plugins aus verlässlichen Quellen und spielen sämtliche Updates regelmäßig ein.
Das hilft aber nicht, bei schwachen Passwörtern oder, wenn die Admin-Zugänge auf Passwortlisten im Internet verfügbar sind.
✅ Schon einmal über MFA nachgedacht? Dass, was dein VPN, dein Bankkonto usw. absichert, kann auch WordPress sichern.
🎯 Ein Punkt wird aber häufig übersehen: Eine Login-Seite, welche jeder Bot kennt. Viele Angriffe auf WordPress laufen im ersten Schritt automatisch via Bot ab. Du hast Zugriff auf deinen Webserver? Dann ändere doch die Login-Seite auf eine andere URL. Dir fehlt der Zugriff oder das ist zu kompliziert? Es gibt WordPress-Plugins, welche die Login-Seite auf jede andere beliebige URL umziehen lassen.
💡 Ich selbst gehe oftmals noch einen Schritt weiter - egal ob per Reverse Proxy auf zum Beispiel einer OPNsense Firewall oder via dem Webserver selbst: Man kann den Zugriff beschränken, in dem man eine zusätzliche Authentifizierung vorschaltet. Selbst wenn ein Bot die Login-Seite finden würde, so scheitert er an dieser zusätzlich eingefügten Hürde.
👉 Für einen geübten Admin sind das keine 10 Minuten Einrichtungsaufwand, mit welcher ihr das Risiko um über 90 % reduzieren könnt. Und das war nur ein einfaches Beispiel - OPNsense kann noch viel mehr bieten als das hier gezeigte.
PS: WordPress war nur ein Beispiel. Das funktioniert sinngemäß bei vielen anderen Webplattformen genauso.
#WordPress #WooCommerce #CyberSecurty #WebSecurity #OPNsense