Wordpress Sicherheit geht vor
Wordpress Security ist in den letzten Jahren zu einem ziemlich großen Thema mutiert, was kein Wunder ist, wenn man sich all die Hacks, Sicherheitslücken und veralteten Plugins innerhalb der Wordpress-Szene mal genauer ansieht. Seit Wordpress endgültig im Mainstream angekommen ist, leidet die Qualität der einzelnen Themes und Plugins zunehmend, vor allem weil die unerfahrenen Neulinge die größte Kaufkraft darstellen und sich nur zu gerne von Feature-Versprechen und wagemutigen Funktionen täuschen lassen. Davon abgesehen kann quasi jeder mit der Hilfe eines Tutorials auch ein kleines Plugin oder Theme zusammenschustern und anbieten, dessen Qualität dann allerdings recht fragwürdig ist.
Als Nutzer ist das nicht immer ersichtlich, gerade als unerfahrener Anwender weiß man oft nicht, wer und wie für das Plugin tatsächlich verantwortlich ist und wie gut sein Ruf oder seine Reputation sind. Doch die meisten Blogger erwachsen nach einer Weil und stellen fest, dass Funktionen und Features nicht alles sind, das Sicherheit und Performance am Ende doch vorgehen sollten und von großer Bedeutung sind. Wordpress sicher machen, ist jedenfalls zum neuen Volkssport unter den Bloggern geworden und das vermutlich sogar mit Recht.
Standards der Wordpress Security
Weil Wordpress von Haus aus relativ sicher ist, sind es meist die Nutzer selbst, die durch zweifelhafte Einstellungen und merkwürdige Plugins für ein Sicherheitsrisiko in ihrem Wordpress Blog sorgen. Das muss nicht sein und kann umgangen werden, indem ihr euch als Blogger entsprechend einlest und einige grundlegende Standards beachtet. Hier habe ich einfach mal ein paar der wichtigsten Artikel aus meinem verlinkt, die euch weitere Infos zum Thema Wordpress Sicherheit geben und bestimmt auch ein Gespür für das Wesentliche vermitteln. Einlesen, lernen, umsetzten und danach zum nächsten Absatz springen.
- Wordpress Security Test
- WordPress Admin umbenennen
- MD5-Passwörter mit Bcrypt ersetzten
- WordPress Spam: Risiko für Sicherheit und Performance
- 8 Schritte zur ultimativen WordPress Sicherheit
- Admin-Bereich für normale User sperren
- XML-RPC komplett deaktivieren
- Was ist eigentlich HTTPS?
- 12 Tipps, um deinen WordPress Block vor Hackern zu schützen
Wordpress Security Plugins
Wer auf Nummer sicher gehen möchte und es nicht bei dem Standard belassen will, der sollte sich die verschiedenen Wordpress Security Plugins mal ein wenig genauer ansehen. Dabei handelt es sich zum Teil um echte Firewalls, aber auch um Sammlungen von nützlichen Funktionen, die Profis und Fortgeschrittene Nutzer lieber von Hand einbauen, umsetzten und aktivieren, auf die Anfänger aber gerne zurückgreifen können, um sich genau diesen “Ärger” zu ersparen und Wordpress auf einfache Art und Weise sicherer zu machen.
Dennoch haben Security Plugins heute durchaus ihren Wert, da inzwischen viele Attacken vollkommen automatisiert ablaufen. Wordpress-Installationen werden also auf bestimmte Schwachstellen oder bekannte Plugins hin gescannt, um diese dann gezielt anzugreifen und eventuelle Sicherheitslücken auszunutzen.
Das geschieht heutzutage am laufenden Band und quasi 24 Stunden am Tag. Eine Firewall für Wordpress kann eine große Anzahl dieser Angriffe aber bereits frühzeitig abwehren und dafür sorgen, dass der Server am Ende sogar spürbar entlastet wird.
Firewall für Wordpress bleiben Angreifer einfach draußen. Der Server wird effektiv geschützt und die meisten Angriffe, vor allem auch die vielen automatisierten Attacken, werden gnadenlos verbrannt. Damit erhöht sich gleichzeitig die Performance, da der Server keine Ressourcen mehr für die Zugriffe aufbringen muss und die Firewall alles schädliche sofort abblockt.
Hier kommt es auch ein wenig darauf an, wie gut euer Blog gefunden wird und wie viele Nutzer täglich darauf zugreifen. Große Blogs sind häufig auch Ziel größerer Attacken, während die kleinen Blogs natürlich nicht ganz so schnell in den automatisierten Listen landen. Das bedeutet aber nicht, dass unbekannte oder kleine Blogs keine Vorsichtsmaßnahmen in Sachen Sicherheit aufstellen sollten, denn gerade sie sind gefährdet und nutzten oft allerlei Plugins die als unsicher gelten. Letzteres weiß aber eben nur der große Blogger, der sich aktiv mit Entwicklung, Sicherheit, Performance und Co beschäftigt und immer entsprechend informiert. Bei der Auswahl eines passenden Wordpress Security Plugins, hilft meine Artikelserie zum Thema.
- Security Plugins für WordPress: #1 Sicherheit ist wichtig
- Security Plugins für WordPress: #2 Wordfence Security
- Security Plugins für WordPress: #3 iThemes Security
- Security Plugins für WordPress: #4 NinjaFirewall
- Security Plugins für WordPress: #5 Sucuri Security
- Security Plugins für WordPress: #6 All In One WP Security
- Security Plugins für WordPress: #7 VaultPress
- Security Plugins für Wordpress: #8 BBQ/6G Firewall
- Security Plugins für WordPress: #9 Sitelock
- Security Plugins für WordPress: #10 Ende
Keine Kommentare und Registrierungen
Der Spam innerhalb von Wordpress ist ein echtes Problem geworden und damit sind nicht nur die vielen Spam-Kommentare, sondern auch die Spam-Registrierungen gemeint. Dieser Spam ist potenziell gefährlich und in der Vergangenheit gab es durchaus ernstzunehmende Sicherheitslücken, bei denen über das Kommentarfeld Schadcode innerhalb von Wordpress eingeschleust und ausgeführt werden konnte. Außerdem sind die Kommentare und Registrierungen in Wordpress recht datenbankintensiv und eingeloggte Nutzer bekommen meist nicht einmal den Cache zu sehen, was die Performance massiv herunterdrücken kann. Meine persönliche Empfehlung lautet daher: Ein externes Kommentarsystem nutzen und Registrierungen komplett abschalten bzw. sogar wirklich verbieten. Das Backend von Wordpress außerdem per .htpasswd sperren, weil es sonst unzählige Fake Login-Versuche pro Minute geben kann, die ebenfalls viel Leistung fressen und eine potenzielle Schwachstelle darstellen, da sie per Brute-Force-Attacke versuchen das Admin-Passwort etc. zu knacken.
Alles was ihr dazu wissen müsst, gibt es in den Artikel unten. Viele wollen trotzdem weiterhin die nativen Kommentare von Wordpress nutzten. Ich kann da wirklich nur abraten, sowohl aus Sicherheits und Performance-Gründen. Die Unterschiede sind zu extrem und die Abschaltung bringt viel mehr als es die Kommentare jemals könnten. Außerdem wird Disqus etc. von den Meisten Nutzern sowieso sehr gerne genutzt.
- WordPress Admin mit .htpasswd sichern
- WordPress Login sperren und die Registrierung verbieten
- Registration Honeypot: Gegen Fake-Registrierungen
- WordPress Spam: Risiko für Sicherheit und Performance
- Wordpress Kommentare deaktivieren (ohne Plugin)
- Disqus auf Performance optimieren
Honigfalle für bösartige Bots einrichten
Jeff Starr gilt als echter Wordpress-Experte und programmierte unter anderem das sehr geniale BBQ Plugin (siehe oben bei Security Plugins), sowie die 6G Firewall. Seine Lösungen sind solide und haben stets eine perfekte Performance im Hinterkopf, weshalb sie meist auch die Serverlast deutlich reduzieren und damit für einen Geschwindigkeitsvorteil sorgen. Sein Plugin Blackhole for Bad Bots ist eine Falle für bösartige Bots und damit ein direkt Hilfe für mehr Sicherheit in Wordpress. Im Grunde funktioniert diese Honigfalle ganz einfach.
Das Wordpress Plugin fügt einen zufällig generierten Link hinzu, versteckt diesen und bittet Bots via “nofollow” und robots.txt dem Link nicht zu folgen. Doch böse Bots können dem Honig (also dem Link) trotzdem nicht widerstehen und um Regeln kümmern sie sich eigentlich auch nicht. Also ignorieren sie die Bitten der Markierungen und folgen dem Link trotzdem. Das Resultat: Sie werden fortan komplett von der Seite ausgesperrt, also total geblockt. So lassen sich über Nacht schnell einige böse Bots fangen, die fortan keinen Zugriff mehr erhalten und demnach auch keine Serverlast verursachen können.
Das ist ziemlich praktisch, zumal diese Bots entweder auf der Suche nach Sicherheitslücken sind, oder eben die Website kopieren bzw. Artikel klauen. Mit dem schwarzen Loch können zumindest die Bots, die sich nicht an Regeln halten, ausgesperrt werden. Böse Buben müssen eben draußen bleiben. Effektiv und einfach umgesetzt als simples Wordpress Security Plugin.
Plugin und Themes sind ein Risiko
Um innerhalb von Wordpress für eine gewisse Sicherheit zu sorgen, ist es auch ratsam nur Plugins, Themes und Snippets aus vertrauenswürdigen Quellen zu verwenden. Gerade bei sogenannten “nulled” Versionen, also geklauten und illegal angebotenen Themes, wird oft Schadcode eingeschleust, der von den unerfahrenen Nutzern meist gar nicht bemerkt wird.
In diese Falle tappen auch viele Jugendliche mit ihrem ersten Wordpress blog, die wenig Geld haben und vor dem Kauf ein Theme testen wollen, es sich also illegal besorgen. Gleiches gilt selbstverständlich auch für die illegalen Wordpress Plugins. Grundsätzlich ist auch die Anzahl durchaus entscheidend, wobei die Qualität natürlich weitaus wichtiger ist. Wer wenig Plugins einsetzt und installiert, läuft rein statistisch gesehen nämlich auch weniger Gefahr, ein Plugin mit einer Sicherheitslücke zu installieren. Davon gibt es übrigens eine ganze Menge, nicht zuletzt auch deshalb, weil eine Vielzahl der Plugins im offiziellen Verzeichnis veraltet ist. Abhilfe schaffen Verzeichnisse für Premium Plugins, die dann zwar eine Kleinigkeit kosten, meist aber auch dauerhaften Support, also regelmäßige Updates gewährleisten oder sogar garantieren.
So könnt ihr sicher sein, dass viele Premium Plugins an neue Standards angepasst und bei Bekanntwerden von eventuellen Sicherheitslücken schnell erneuert oder verbessert werden. Da der Faktor Support seit jeher eine Schwachstelle ist, garantiert nun auch der große Marktplatz von Envato Supportzeiten. Es gibt aber auch abseits davon ein paar Punkte, die euch dabei helfen können, hochwertige Plugins von minderwertigen zu unterscheiden. Diese Punkte gelten im Wesentlichen natürlich auch für Wordpress Themes und fassen sich wie folgt zusammen.
Updates: Sichere und hochwertige Wordpress Plugins und Themes erhalten auch immer regelmäßige Updates. Vertrauenswürdige Entwickler lassen ihre “Babys” nicht einfach hängen, sie updaten regelmäßig, pflegen den Code und im Falle einer Einstellung der Entwicklung, wird diese zumindest offen und vorab kommuniziert, sodass ihr eine Chance zum Wechseln habt. Das letzte Update sollte daher im Idealfall nur einige Wochen her sein, schaut euch also unbedingt mal das Changelog des jeweiligen Themes oder Plugins an. Themes brauchen hier gewohnt weniger Updates als Plugins, nichtsdestotrotz ändert sich bei Wordpress viel und das sollte auch entsprechend angepasst werden.
Support: Hochwertige Plugins und Themes für Wordpress liefern immer auch Support. Selbst kostenlose. Wie ihr Support am besten testet? Stellt eine Anfängerfrage und schaut wie lange es dauert, bis der Entwickler reagiert und vor allem in welchem Ton er das tut. Schlechte und überhebliche Entwickler reagieren auf Anfängerprobleme oft genervt und gleichgültig, gute Entwickler nehmen sich Zeit und erklären euch alles in Ruhe, ganz egal wie nervig oder typisch die Frage auch sein mag. Wer sich kümmert und bemüht, der geht auch verantwortungsvoll mit dem Code um. Zumindest ist das meine Meinung. Wer arrogant ist, hört oft irgendwann genervt auf, gerade wenn es um kostenlose Erweiterungen oder Themes geht.
Rating: Bei Wordpress ist es mit den Bewertungen zwar ein wenig wie bei Amazon (sie treffen also nicht immer zu), doch sie liefern trotzdem einen ungefähren Überblick über die Gesamtlage bzw. den Gesamteindruck eines Plugin oder Themes. Im Durchschnitt (typisch Internet) werden entweder 1 Stern oder 5 vergeben. Lest euch die Bewertungen unbedingt durch und schaut ob eventuelle Kritikpunkte auch für euch negativ sind. Manchmal meckern die Nutzer auch einfach nur über Kleinigkeiten, die in eurem Fall gar nicht von Bedeutung sind und manchmal wird nur 1 Stern gegeben, nur weil irgendetwas nicht geklappt hat, der Fehler aber auf Nutzerseite lag. Bewertungen daher unbedingt durchlesen, zumindest einige. Nur so wisst ihr was Sache ist und habt ein paar Anhaltspunkte für eventuell auftretende Fehler oder Probleme, die auch euch stören könnten.
Installationen: Seit einiger Zeit, zeigt wordpress.org auch die Anzahl der Installationen an. So seht ihr nicht mehr nur die Anzahl an Downloads (eine einfach manipulierbare Zahl), sondern tatsächliche Installationen, also auf wie vielen Blogs ein Plugin wirklich aktiv ist. Das sagt zwar noch lange nichts über dessen Qualität aus, ist aber ein echtes Indiz für ein populäres Plugin, welches so schnell sicherlich nicht eingestellt werden wird, also auch mit Updates versorgt sein dürfte. Was häufig genutzt wird, hat meist auch eine große Anzahl an Nutzer und die helfen sich, gerade bei Wordpress, häufig auch gegenseitig.
Wordpress sicher nutzen
Wer sich an diese einfachen Grundregeln hält und ein paar Punkte beachtet, hat im Normalfall auch eine sichere Wordpress-Installation. Die meisten Sicherheitslücken bringen nach wie vor Plugins mit, gerade die aufwändigen, die allerlei Funktionen und Scripte integrieren und Wordpress um unzählige Features erweitern. Also nicht immer nur nach neuen Features und Funktionen für den eigenen Blog suchen, sondern dabei auch mal ganz bewusst auf die Qualität achten und immer bedenken, dass ein potenzielles Risiko entstehen könnte.
Fragt euch auch vorher schon: Was passiert, wenn die Entwicklung eingestellt wird? Ist ein Wechsel auf ein anderes Plugin möglich, funktioniert meine Seite auch ohne das Plugin? Wer sich all diese Hinweise zu Herzen nimmt und jedes neue Plugin, Theme etc. mehrmals hinterfragt, der lebt innerhalb der Wordpress-Szene meist auch relativ sicher. Wer dann trotzdem noch Angst hat, kann zusätzlich eine entsprechende Wordpress Firewall aktivieren, um vor allem die vielen automatisierten Attacken erfolgreich auszusieben und das Risiko eines Hacks weiter zu minimieren.
