Wordpress Pentest

Wir untersuchen Ihre WordPress-Installation auf Schwachstellen - dabei legen wir den Fokus auf alle Eigenentwicklungen - sei es das Theme oder Plugins.

WordPress ist der Platzhirsch unter den CMS - weltweit! Entsprechend ist das Interesse von Cyberkriminellen. Ein schneller WordPress Security-Audit kann in kurzer Zeit dabei helfen, Sicherheitslücken zu schließen und die Angriffsfläche zu minimieren.

WordPress Pentest

Warum sollte man eine WordPress-Anwendung auf Schwachstellen prüfen?

Ganz ehrlich - WordPress muss man nicht mögen. Man muss aber akzeptieren, dass es das weltweit am meisten genutzte Content Management System ist. Und das hat auch seine Gründe. WordPress ist einfach in der Bedienung, selbst Anfänger bekommen es auf einem beliebigen Webhoster installiert und es lässt sich ebenso einfach erweitern. Die Anzahl an kostenlosen Plugins und Themes ist riesig. Auch im Enterprise-Bereich sieht man WordPress immer häufiger - sei es um Online-Shops mit Hilfe von WooCommerce zu realisieren oder um eine interne Wissensdatenbank aufzubauen. Speziell in diesen Fällen werden oft eigene Themes und Plugins programmiert - und hier findet man aus Pentest-Anbieter Perspektive die meisten Sicherheitslücken. WordPress hat seine Tücken und Schwächen - nicht jeder Entwickler liest sich das WordPress-Codex durch und so schleichen sich Sicherheitslücken immer mal ein. Das schöne ist, dass diese mit relativ kleinem Zeitaufwand gefunden und behoben werden können. Bei einem normalen WordPress-Pentest wird eigentlich NIE das Kern-System "WordPress" getestet - dieses ist relativ sicher und es gab seit langem keine kritischen Sicherheitslücken mehr.

WordPress Pentest zusammen mit WordPress Hardening

DSecured bietet neben einem klassischen Penetrationstest auch WordPress Hardening an. Hierbei liegt der Fokus auf dem gesamten System inklusive Webserver - wir schauen uns an, was man optimieren kann und mit welchen Maßnahmen man verhindern kann, dass ein Angreifer das System übernehmen kann. Hierbei lohnen sich oft die einfachsten Mittel schon sehr. Zu erwähnen wären hier die htaccess im Admin-Bereich oder die Installation und Einstellung (!) von WordPress-Sicherheitsplugins.

Wie viel kostet ein WordPress Pentest?

80% unserer WordPress-Kunden haben nicht wirklich viel, was geprüft werden muss. Meist haben wir eine Kombination eines mehr oder weniger komplexen Themes (oder Child Themes) vor uns, das eine Eigenentwicklung ist. Dazu kommen noch einige Custom-Plugins, die man sich anschauen muss. In der Regel liegt der Rechnungsbetrag bei 1000€ - 2000€. Bei größeren Projekten kann es auch mal 5000€ werden. Der Preis ist außerdem stark davon abhängig, wie komplex das Reporting sein soll. In den meisten Fällen ist kein kompletter Pentest-Bericht notwendig, dann kann man 10-20% sparen. Allgemein: Fragen Sie uns - wir machen gerne ein Angebot.

Damian Strobel

"Genauso einfach wie es mit WordPress ist eine Website aufzubauen, genauso einfach ist es Sicherheitslücken einzubauen. Vorsicht ist geboten!"

Damian Strobel - Gründer von DSecured

Prüfen Sie die Sicherheit Ihrer WordPress-Plugins und Themes.

Lohnt sich ein WordPress-Pentest?

Ehrlicherweise würden wir sagen, dass für 80% der Fälle sich ein kompletter Penetrationstest nicht lohnt. Viele WordPress-Seiten basieren auf Standardkomponenten, die relativ sicher sind. Hier reicht ein kurzes Hardening vollkommen aus. Wer dann noch auf das Thema Updates und Backups achtet, fährt relativ sicher. Interessanter wird es, wenn man einen Online-Shop (WooCommerce) betreibt und dort ggf. diverse Teile der Seite selbst programmiert hat.

Wenn Sie sich nicht sicher sind, fragen Sie sich selbst:

  • Was passiert, wenn mein WordPress plötzlich nicht funktioniert? Verliere ich dann Geld?
  • Was mache ich, wenn meine Seite defaced wird? Was denken meine Kunden dann?
  • Was mache ich, wenn ich erpresst werde, weil jemand die Nutzerinformationen aus der WordPress-Datenbank gestohlen hat?

Wurde eine der Fragen mit "ja" beantwortet? Dann lohnt sich der Blick von einem IT-Sicherheitsexperten!

Penetrationstests für WordPress-Entwickler und WordPress-Agenturen

Wir bieten einen spezielle Service für WordPress-Entwickler und WordPress-Agenturen an. Wir prüfen relevante Teile - meist Theme oder Plugins - die Sie für Ihre Kunden entwickeln oder entwickeln lassen. So können wir, und damit auch Sie, sicherstellen, dass Ihre Kunden keinen Code mit Sicherheitslücken erhalten. Hierbei geht es um Schnelligkeit - wir verzichten hierbei auf lange Kickoff Meetings, komplexe Berichte. Wir schauen uns den Code an, suchen und melden Sicherheitslücken auf dem kürzesten Weg an den verantwortlichen Entwickler.

Lohnt sich ein WordPress-Pentest?

Welche Sicherheitslücken findet man während eines WordPress-Pentests?

Ein WP-Pentest ist im Grunde nichts anderes als ein normaler Webapplikations-Pentest - der Fokus liegt auf einer PHP-Anwendung. Entsprechend sieht man hierbei die klassischen PHP-Sicherheitslücken, wie Local File Inclusions, SQL Injections, Authorization Bypasses und XSS. Speziell bei WordPress sieht man häufig die falsche Verwendung von Ajax-Requests - oft werden keine Zugriffsrechte geprüft. Deserialisierungsprobleme sieht man auch recht häufig.

Fakt ist aber auch, dass die Qualität von vielen - nicht allen - WordPress-Plugins und Themes zu wünschen übrig lässt. Die Anzahl an Sicherheitslücken in Plugins und Themes ist erschreckend hoch - es gibt sogar spezielle Portale, die nur Sicherheitslücken in WordPress Plugins listen. Das führt dazu, dass wir während eines WordPress Pentest/Hardenings feststellen, dass die Seite bereits gehackt ist und man überall PHP-Shells findet. Wir helfen diese zu entfernen.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

WordPress-Pentest anfragen