Wordpress ist ein populäres Angriffsziel
Wordpress hat seit Jahren ein immer größer werdendes Problem. Spam nennt sich dieses Problem, denn Wordpress ist ein populäres Ziel von Spammern und zwar schon lange. Das wiederum ist wenig verwunderlich, denn Wordpress treibt inzwischen einen Großteil der Websites an, selbst große Portale nutzen im Hintergrund oft nichts anderes als Wordpress. Das bedeutet wiederum, dass mit einer Sicherheitslücke, oder eine Schwachstelle, gleich unfassbar viele Blogs angegriffen werden können. Vor allem weil nicht jeder sofort Sicherheitsupdates installiert, besteht für Angreifer immer die Chance, dass sie jemanden erwischen der bekannte Lücken noch nicht geschlossen hat. Spam in Wordpress läuft also automatisiert ab, denn es setzt sich niemand hin und versucht mit Spam-Kommentaren oder ähnliches eine Attacke von Hand auszulösen.
Sicherheitslücken durch Themes und Plugin
Angreifer haben ihre eigenen Roboter am laufen, die Wordpress permanent und massiv angreifen. Direkter Zugriff auf die wp-comments.php, es braucht nicht einmal ein sichtbares Formular. Die XML-RPC wird ebenfalls ausgenutzt, Attacken haben nichts mehr mit dem Herumprobieren von früher zu tun. Angreifer kennen die Schwachstellen von Plugins und Themes genau. Richtig gehört, denn Wordpress selbst hat nur ein paar Sicherheitsprobleme, Schwachstellen werden oft auch einfach durch Plugins hervorgerufen. Die ganzen automatisierten Angriffe nehmen seit Jahren übertriebene Formen an. Wer seine Logfiles mal durchsieht, entdeckt was für schwachsinnige Anfragen zum Teil generiert werden. Pro Tag gibt es da gerne mal 20 bis 100 Attacken, auch auf FastWP. Wohlgemerkt, obwohl die Registrierung hier komplett verboten ist, denn sonst gäbe es noch zahlreiche Brute-Force-Attacken auf den Login.
Spam ist ein großes Sicherheitsrisiko
Das alles ist eine potenzielle Gefahr, vor allem auch ein Nachteil in Sachen Performance. Ein Großteil des Traffics sind demnach gar keine Menschen. Der eigene Server macht nicht schlapp, weil so viele Besucher vorbeikommen, er macht schlapp, weil Wordpress so massiv angegriffen wird und quasi permanent unter Beschuss steht. Ein Server im Krisengebiet, der viele Kugeln abfängt, bei dem es aber nur eine Frage der Zeit ist, bis ihn mal ein Querschläger trifft. Dynamik, Spam und Hacks, damit lässt sich schnell mal die Performance herunterziehen, da braucht es nicht erst eine DDoS-Attacke. All das ist in den letzten Jahren immer massiver geworden, wie ich finde und allzu oft wird der Spam auch zum echten Sicherheitsproblem, sogar zum hauptsächlichen Problem, wie aktuelle Sicherheitsmeldungen immer wieder beweisen. Ohne Plugins wie Antispam Bee sind Kommentare innerhalb von Wordpress gar nicht mehr denkbar, doch auch mit ist ihr Nutzen heutzutage mehr als fragwürdig.
Kommentare und Login deaktivieren
Wäre es heute nicht sinnvoller, auf ein System wie Disqus zu setzten? Wordpress-Kommentare brauchen eine Ressourcenhungrige Antispam-Lösung und selbst dann besteht weiterhin die Gefahr, dass über sie irgendwie Schadcode in die Datenbank gelangt, wie es schon mehr als nur einmal der Fall war. Wordpress Spam ist eine echte Seuche, die Wordpress-Kommentare im Grunde nicht mehr nutzbar. Abschalten ist angesagt, nur dann hört der Spam weitgehend auf. Auch das Login sollte mit einer .htpasswd geschützt werden, um automatisierte Brutce-Force-Attacken weitgehend zu vermeiden. Erst dann hören die meisten Angriffe auf, wobei es immer noch mehr als genug geben wird, macht euch da keine Illusion. Wordpress ist ein weit verbreitetes CMS und damit auch das populärste Ziel von Hackern, Spammern und allen anderen Arten von Angreifern.
Automattic hat kein Interesse an Sicherheit
So richtig behoben wird das Ganze übrigens auch nicht und das wäre auch gar nicht so einfach. Dennoch besteht durchaus der Verdacht, dass Automattic Spam billigt, schließlich verkauft der Entwickler hinter Wordpress auch Akismet, eine kommerzielle Antispam-Lösung. Außerdem versucht Automattic Nutzer immer wieder von Wordpress.org in Richtung Wordpress.com zu drängen, wie es auch mit Jetpack geschieht. Wer also nicht gehackt werden will oder Spam-Probleme hat, soll doch bitte zu Wordpress.com wechseln. Ein bisschen entsteht bei mir also der Eindruck, dass gar nichts getan werden soll, denn die Resultate vom Ganzen sind doch durchaus positiv für Automattic. Klar, eine kontroverse Ansicht, aber so richtig im Interesse der Firma scheint es dennoch nicht, Spam und Angriffe zu verhindern, wo mit professionellem Service und Support doch Geld verdient wird.
CMS, nicht als Community-Plattform
Für mich war schon vor einigen Jahren klar, dass Wordpress so wie es ist keine super Sache mehr ist. Also blockte ich die XML-RPC komplett, verhinderte Kommentare und Trackbacks, sicherte das Login komplett via .htpasswd ab. So kommt kein Spam mehr in meine Datenbank, die meisten Angriffe gehen ins Leere und Brute-Force-Attacken auf das Login haben ebenfalls keine Chance mehr. Disqus war auf meinen Blogs übrigens immer Spamfrei, als Alternative für Kommentare kann ich es also durchaus empfehlen. Nur spiegelt die Comments dann bitte nicht mit Wordpress, sondern nutzt Disqus komplett ohne Plugin und baut es per Hand ein. Mehr lässt sich zu diesem Zeitpunkt nicht sagen. Nur eines sollte euch klar sein. Kommentare in Wordpress zu erlauben, bedeutet ein Sicherheitsrikso zu dulden. Gleiches gilt für das Login, denn auch da sind Angreifer fleißig dabei. Entweder also selbst eine Lösung entwickeln, oder für Kommentare und mehr in Richtung externer Service gehen. Wordpress selbst eignet sich als CMS nach wie vor super, als Community-Plattform aber schon lange nicht mehr. Laut dem letzten Report der Sicherheitsfirma Imperva, ist der viele Spam bei Wordpress jedenfalls Hauptursache für die vielen Sicherheitsprobleme.
