Blog-Software: Wordpress unter Beschuss

Millionen Weblogs laufen mit der kostenlosen Software Wordpress. Doch die hat in älteren Versionen Sicherheitslücken, die gerade massiv ausgenutzt werden.

Unterschiediche Wordpress-Versionen auf den Servern - sicher ist nur die 2.8.4. Bild: Nikolay Bachiyski (Lizenz: CC-BY)

Eine gigantische Erfolgsgeschichte: Millionen von Weblogs auf der ganzen Welt laufen mit der kostenlosen Open-Source-Software Wordpress, die sich auf nahezu jedem angemieteten Serverplatz mit wenigen Handgriffen installieren lässt.

Das seit 2003 angebotene Programmpaket erlaubt es, seine Gedanken im Netz schnell zu publizieren, das Aussehen der Seite mit unendlich vielen Layouts ganz nach eigenem Geschmack einzurichten und hat ansonsten alle Features, die man als Blogger so braucht. Einfachheit und Installationserfolg von Wordpress wird von manchem Netzprofi inzwischen auch schon mal heruntergeputzt: Die Software sei "das Windows unter den Blog-Systemen", heißt es da beispielsweise.

Und der Vergleich ist gar nicht so verkehrt: Wie sich in den letzten Jahren immer wieder herausstellte, wird Wordpress von Crackern und Scriptkiddies besonders gerne attackiert, ähnlich wie das für Microsofts Betriebssystem gilt. Der Grund ist simpel: Der Erfolg der Blog-Software und ihre damit einhergehende weite Verbreitung.

Aktuell läuft einmal mehr eine solche Angriffswelle: Wie das Wordpress-Team auf seiner Website mitteilt, ist allein die jüngste Version 2.8.4 vor der Attacke geschützt. Die Angreifer gehen dabei besonders clever vor: Sie bauen sich ihre eigene Hintertür ein und nutzen den so unter Kontrolle gebrachten Server beispielsweise zur Verbreitung von Spam-Links oder nutzen ihn, um andere Rechner im Internet anzugreifen.

In den gemeinsten Fällen merkt der Wordpress-Nutzer von dem Angriff erst etwas, wenn es bereits zu spät ist - beispielsweise, indem sein Weblog bei Google als Suchmaschinen-Vermüller aus dem Index genommen wurde.

Von Angriffen auf Wordpress sind nicht nur Otto-Normal-Nutzer betroffen - in letzter Zeit hat es auch einige Online-Promis erwischt. So berichtete IT-Blogger-Star Robert Scoble von einem Überfall auf seine Site "Scobleizer". Die Attacke, bei dem die Angreifer gleich zweimal vorbeischauten, habe ihn viele Nerven und insgesamt zwei Monate an Inhalten gekostet.

"Ich fühle mich mit Wordpress nicht mehr sicher", lautet sein Fazit. Der bekannte amerikanische Computerjournalist Andy Ihnatko stößt ins gleiche Horn, gibt sich aber vor allem selbst die Schuld: "Warum habe ich Wordpress nicht aktualisiert? Weil das einfach eine ganz große Sache gewesen wäre."

Wordpress-Erfinder Matt Mullenweg drängte seine Nutzer unterdessen, regelmäßig auf den "Update"-Knopf zu drücken. Tatsächlich ist das seit einigen Versionen gar nicht mehr so schwer: Das Blog-System kommt inzwischen mit einer automatischen Aktualisierungsfunktion. Musste man vorher archaisch per SFTP-Software noch einzelne Dateien auf seinen Server schieben, erledigt die Software das Update inzwischen nahezu selbständig.

Allerdings garantiert auch dieser Prozess nicht, dass bei der Aktualisierung alles glatt geht, weshalb der ein oder andere Wordpress-Nutzer wohl auch nach der jüngsten Angriffswelle nicht bereit sein wird, seine Installation anzupassen: "Never change a running system", lautet hier ein altbekanntes Motto. Wenn eine Software so häufig angegriffen wird wie Wordpress, sollte man es schleunigst vergessen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.