Penetrationstests von WordPress-Webseiten

Wir untersuchen Ihre WordPress-Installation auf Schwachstellen - dabei legen wir den Fokus auf alle Eigenentwicklungen - sei es das Theme oder Plugins.

WordPress ist der Platzhirsch unter den CMS - weltweit! Entsprechend ist das Interesse von Cyberkriminellen. Ein schneller WordPress Security-Audit kann in kurzer Zeit dabei helfen, Sicherheitslücken zu schließen und die Angriffsfläche zu minimieren.

WordPress Pentest

Warum sollte man eine WordPress-Anwendung auf Schwachstellen prüfen?

Ganz ehrlich - WordPress muss man nicht mögen. Man muss aber akzeptieren, dass es das weltweit am meisten genutzte Content Management System ist. Und das hat auch seine Gründe. WordPress ist einfach in der Bedienung, selbst Anfänger bekommen es auf einem beliebigen Webhoster installiert und es lässt sich ebenso einfach erweitern. Die Anzahl an kostenlosen Plugins und Themes ist riesig. Auch im Enterprise-Bereich sieht man WordPress immer häufiger - sei es um Online-Shops mit Hilfe von WooCommerce zu realisieren oder um eine interne Wissensdatenbank aufzubauen. Speziell in diesen Fällen werden oft eigene Themes und Plugins programmiert - und hier findet man aus Pentest-Anbieter Perspektive die meisten Sicherheitslücken. WordPress hat seine Tücken und Schwächen - nicht jeder Entwickler liest sich das WordPress-Codex durch und so schleichen sich Sicherheitslücken immer mal ein. Das schöne ist, dass diese mit relativ kleinem Zeitaufwand gefunden und behoben werden können. Bei einem normalen WordPress-Pentest wird eigentlich NIE das Kern-System "WordPress" getestet - dieses ist relativ sicher und es gab seit langem keine kritischen Sicherheitslücken mehr.

WordPress Pentest zusammen mit WordPress Hardening

DSecured bietet neben einem klassischen Penetrationstest auch WordPress Hardening an. Hierbei liegt der Fokus auf dem gesamten System inklusive Webserver - wir schauen uns an, was man optimieren kann und mit welchen Maßnahmen man verhindern kann, dass ein Angreifer das System übernehmen kann. Hierbei lohnen sich oft die einfachsten Mittel schon sehr. Zu erwähnen wären hier die htaccess im Admin-Bereich oder die Installation und Einstellung (!) von WordPress-Sicherheitsplugins.

Wie viel kostet ein WordPress Pentest?

80% unserer WordPress-Kunden haben nicht wirklich viel, was geprüft werden muss. Meist haben wir eine Kombination eines mehr oder weniger komplexen Themes (oder Child Themes) vor uns, das eine Eigenentwicklung ist. Dazu kommen noch einige Custom-Plugins, die man sich anschauen muss. In der Regel liegt der Rechnungsbetrag bei 1000€ - 2000€. Bei größeren Projekten kann es auch mal 5000€ werden. Der Preis ist außerdem stark davon abhängig, wie komplex das Reporting sein soll. In den meisten Fällen ist kein kompletter Pentest-Bericht notwendig, dann kann man 10-20% sparen. Allgemein: Fragen Sie uns - wir machen gerne ein Angebot.

Damian Strobel

"Genauso einfach wie es mit WordPress ist eine Website aufzubauen, genauso einfach ist es Sicherheitslücken einzubauen. Vorsicht ist geboten!"

Damian Strobel - Gründer von DSecured

Prüfen Sie die Sicherheit Ihrer WordPress-Plugins und Themes.

Angebot anfordern

Relevantes für WordPress-Pentests

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Pentest: Dienstleistungen

Web Application Penetrationstest

Große Teile des Internets basieren auf Websites und Webapplikationen.

API Penetrationstest

Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Lohnt sich ein WordPress-Pentest?

Ehrlicherweise würden wir sagen, dass für 80% der Fälle sich ein kompletter Penetrationstest nicht lohnt. Viele WordPress-Seiten basieren auf Standardkomponenten, die relativ sicher sind. Hier reicht ein kurzes Hardening vollkommen aus. Wer dann noch auf das Thema Updates und Backups achtet, fährt relativ sicher. Interessanter wird es, wenn man einen Online-Shop (WooCommerce) betreibt und dort ggf. diverse Teile der Seite selbst programmiert hat.

Wenn Sie sich nicht sicher sind, fragen Sie sich selbst:

  • Was passiert, wenn mein WordPress plötzlich nicht funktioniert? Verliere ich dann Geld?
  • Was mache ich, wenn meine Seite defaced wird? Was denken meine Kunden dann?
  • Was mache ich, wenn ich erpresst werde, weil jemand die Nutzerinformationen aus der WordPress-Datenbank gestohlen hat?

Wurde eine der Fragen mit "ja" beantwortet? Dann lohnt sich der Blick von einem IT-Sicherheitsexperten!

Penetrationstests für WordPress-Entwickler und WordPress-Agenturen

Wir bieten einen spezielle Service für WordPress-Entwickler und WordPress-Agenturen an. Wir prüfen relevante Teile - meist Theme oder Plugins - die Sie für Ihre Kunden entwickeln oder entwickeln lassen. So können wir, und damit auch Sie, sicherstellen, dass Ihre Kunden keinen Code mit Sicherheitslücken erhalten. Hierbei geht es um Schnelligkeit - wir verzichten hierbei auf lange Kickoff Meetings, komplexe Berichte. Wir schauen uns den Code an, suchen und melden Sicherheitslücken auf dem kürzesten Weg an den verantwortlichen Entwickler.

Lohnt sich ein WordPress-Pentest?

Welche Sicherheitslücken findet man während eines WordPress-Pentests?

Ein WP-Pentest ist im Grunde nichts anderes als ein normaler Webapplikations-Pentest - der Fokus liegt auf einer PHP-Anwendung. Entsprechend sieht man hierbei die klassischen PHP-Sicherheitslücken, wie Local File Inclusions, SQL Injections, Authorization Bypasses und XSS. Speziell bei WordPress sieht man häufig die falsche Verwendung von Ajax-Requests - oft werden keine Zugriffsrechte geprüft. Deserialisierungsprobleme sieht man auch recht häufig.

Fakt ist aber auch, dass die Qualität von vielen - nicht allen - WordPress-Plugins und Themes zu wünschen übrig lässt. Die Anzahl an Sicherheitslücken in Plugins und Themes ist erschreckend hoch - es gibt sogar spezielle Portale, die nur Sicherheitslücken in WordPress Plugins listen. Das führt dazu, dass wir während eines WordPress Pentest/Hardenings feststellen, dass die Seite bereits gehackt ist und man überall PHP-Shells findet. Wir helfen diese zu entfernen.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton

Weitere Fragen samt Antworten zum Thema
"WordPress Penetrationstest"

Wie lange dauert ein typischer WordPress Penetrationstest?

Bei WordPress liegt der Fokus mehr auf der technischen Sicherheit von einzelnen Komponenten, weniger auf Compliance. Entsprechend werden die meisten WordPress-Penetrationstests in weniger als 3 Tagen beendet.

Wie bereitet sich mein Team auf einen WordPress Penetrationstest vor?

Bei WordPress sollten die Teile, die getestet werden sollen, als Quellcode vorliegen. Wir freuen uns auch über ein entsprechendes Demo-System, an dem wir uns austoben können.

Wie oft sollte ich einen Sicherheitsüberprüfung für meine WordPress-Site durchführen lassen?

Je nachdem, was wie wichtig die Daten in Ihrer Installation sind. Mindestens jährlich, besser aber bei größeren Änderungen.

Kann ich während des WP Pen Tests an meiner Website Änderungen vornehmen?

Das sollte kein Problem sein, da wir eigentlich immer nur gegen Test-Systeme testen oder Quellcodeanalysen machen. Jedoch sollte nicht unbedingt ein ganzer Relaunch während des Tests stattfinden.

Was geschieht nach Abschluss des Pentests für meine WordPress-Site?

Wir besprechen alle Sicherheitslücken und zeigen, wie man sie beheben kann. Gerne übernehmen wir auch das Schließen - wir haben diverse PHP-Entwickler in unserem Team. Bei Bedarf können wir auch einen normalen Bericht verfassen.

Kontaktieren Sie DSecured

WordPress-Pentest anfragen