WordPress ist mittlerweile eines der am häufigsten eingesetzten Blog-Systeme, was nicht zuletzt daran liegt, dass es auch für webtechnisch eher ungeübte Anwender sehr einfach zu installieren und zu bedienen ist. Ausserdem ist es durch die Plugin-Architektur extrem erweiterbar und lässt sich so für fast jedes Webseiten-Projekt verwenden. Mit der zunehmenden Beliebtheit des Systems rückt es aber auch naturgemäss in das Blickfeld von Leuten, die sich mal ganz gerne Zugang zum Server verschaffen möchten.

Die Vielzahl von Plugins vervielfachen dabei die Chancen, eine Sicherheitslücke aufzureissen. Hinzu kommt auch noch, dass die "offiziellen" WordPress-Entwickler nicht gerade sehr gesprächig sind, wenn es um entdeckte Lücken geht, und es so trotz der eigentlich sehr flinken Patcherei der Entwicklergemeinde teilweise recht lange dauern kann, bis eine gefixte neue Version herauskommt.

Stefan Esser, der sich eingehend mit Security und php auseinandergesetzt hat (hardened-php Project), beklagt dies in einem Interview mit BlogSecurity.

Auf ebendieser Seite, BlogSecurity, findet sich auch ein Tool, mit dem man seine WordPress-Installation auf Lücken testen kann, sowie ein Artikel, wie man die Installation ziemlich dicht machen kann.

blogsecurity.net ist hiermit in den Feedreader aufgenommen und auf jeden Fall eine Leseempfehlung.