WordPress Security – Nachgang zum 10. WP-Meetup

In überschaubarer Runde – wohl im wesentlichen der Urlaubszeit geschuldet – haben wir uns mal ein paar Dinge zum Thema Sicherheit, Hardening von WordPress-Installationen angeschaut.

Einen ersten Überblick über die bekannten Sicherheitslücken bietet CVE Details. Nach ausgiebiger Lektüre lässt sich festhalten:

  1. der Löwenanteil der Sicherheitslücken besteht aus Klassikern wie Code Execution, SQL-Injection und Cross-Site-Scripting
  2. nicht immer ist die Core-Installation von WordPress verantwortlich, sondern vielmehr sind die Lücken in PlugIns zu finden
  3. der überwiegende Teil der dokumentierten Lücken bezieht sich auf ältere Versionen von WordPress oder WP-Plugins

Die wichtigste Empfehlung daher: Update, Update, Update! Eine gepflegte Installation bietet einen geringeren Ansatzpunkt für Angriffe. Die zweite wichtige Erkenntnis: PlugIns sollten aus vertrauenswürdigen Quellen stammen und nur im notwendigen Umfang eingesetzt werden. Was nicht aktiv ist, gehört schlicht deinstalliert.

Typische Angriffsszenarien beschreibt u.a. Kaspersky in einem 7seitigen Whitepaper: »WORDPRESS UND CO. VOR HACKERN SCHÜTZEN«. Eines der dort geschilderten Szenarien der Massenattacken konnte Bruno mit Screenshots seiner Installation sehr hübsch belegen:

Hier wurde über das PlugIn »Limit Login Attempts« der Zugriff durch Brute-Force Attacken verhindert. Eine andere Möglichkeit vor solchen Attacken zu schützen, besteht darin gleich komplette IP-Adressbereiche von unerwünschten Regionen (Russland, Südostasien, Amerika, …) per .htaccess auszuschliessen. Ein Vorgehen, das sich allerdings nur dann empfiehlt, wenn man von dort in der Tat keine gewünschten Anfragen (Zielgruppe!) zu erwarten hat. Eine solche Länderliste auf der sich entsprechende Regeln aufbauen lassen, findet sich z.B. bei http://www.nirsoft.net/countryip/.

An der Stelle die zweite Empfehlung des Abends: Loginname klug wählen (eben nicht »admin«) und ein starkes Passwort verwenden. Hilfestellung auch in dieser Angelegenheit bietet – man ahnt es – wiederum diverse PlugIns. Auf BloggingPro.com fand sich jüngst eine Auflistung der 15 beliebtesten WordPress Security PlugIns. Ich habe mir im Vorfeld unseres Meetups mal eine frische (3.6er) WP-Installation aufgesetzt und die dort gelisteten PlugIns der Reihe nach durchgetestet. Als Kurzfazit lässt sich festhalten:

  • nicht alles ist uneingeschränkt empfehlenswert.
    Z.T. liefern die PlugIns als kostenfreie Version nur Basisfunktionalitäten, verweisen für die spannenden Sachen, dann aber auf »pricing plans«, die z.T. recht erheblich sind. Andere, wie z.B. SI Captcha Anti-Spam braucht für den korrekten Betrieb Akismet, welches in Deutschland datenschutzrechtlich alles andere als unumstritten ist.
  • Apropos Captcha: ich pers. empfinde sie als äußerst lästig und wenig sicher. Die Listungen aus der Abteilung konnten mich folglich alle nicht wirklich überzeugen.
  • In der Liste fanden sich PlugIns, die nur mittelbar dem Thema Security zuzurechnen sind. Natürlich braucht es ein Backup und selbstverständlich hilft eine solche Datensicherung beim Desastermanagement, aber zur Gefahrenabwehr trägt es nicht bei. Thema verfehlt, setzen, 6 ;-).
  • Ein kompletter Totalausfall war WP-DBManager der nach der Installation unter 3.6 zu einem fatalen Fehler führte und gar nicht erst aktiviert werden konnte. Ebenso wie das Backup gehört für mich ein DB-Manager aber auch nicht unmittelbar in die Abteilung Security.
  • Ein für mich wesentliches und bei mir auch eingesetztes PlugIn fand sich nicht in der o.g. Liste: WordPress File Monitor Plus. Damit werden die Dateien der WP-Installation – inklusive Themes und PlugIns auf Veränderungen (Datum, Dateigröße, Hash) überwacht. Auch dort gilt es die Meldungen lesen zu lernen um die Spreu vom Weizen zu trennen. Ein klassisches Szenario bei dem sich Dateien (gewollt) verändern ist z.B. ein Update!
  • Als sehr komplett und daher empfehlenswert empfand ich Better WP Security. In einer Übersicht werden gängige Lücken gelistet und die aktuelle Installation in einer Ampellogik bewertet. Dazu gibt es Hinweise und Tools mit denen eine Verbesserung umzusetzen ist. Hierin findet sich u.a. auch die File Monitoring Funktion, sowie die von Limit Login Attempts. Echte Alleinstellungsmerkmale sind die Erkennung von gehäuften Aufrufen die zu 404-Fehlern führen (durchprobieren von URLs, auch wenn diese gar nicht vorhanden sind) und ein Blacklisten der IPs die das tun sowie ein zeitgesteuertes Abschalten des Backends (Arbeitest Du wirklich 7/24?).
  • Grundsätzlich gilt: ein PlugIn macht alleine noch keine Sicherheit. Vielmehr sind die dort aufgezeigten Dinge ein Denkanstoss für weitere Sicherheitsüberlegungen und eine Bewusstseinsschaffung für die Daueraufgabe die Installation abzusichern. Wer nur ein PlugIn installiert und dann die Seite sich wieder selbst überlässt, hat nichts gekonnt! Auch ein so umfängliches Paket wie Better WP Security ist kein »rundum-sorglos-Angebot«!

Einen sehr guten ScreenCast zum Thema bietet die Aufzeichnung des Vortrag von Thorsten Landsiedel vom letztjährigen WPCamp in Berlin auf den uns Christian Fuchs in den Kommentaren zur Ankündigung aufmerksam gemacht hat. Wer weitere gute Quellen oder zusätzliche Empfehlung zur Absicherung von WP beitragen kann, darf dies gerne in den Kommentaren tun!

Im weiteren Verlauf des Abends kamen noch zwei Links auf’s Tapet, die ich hier gerne dokumentieren möchte. Zum einen wies Bruno auf das sehr mächtiges Theme »Enfold« hin. Die dort gebotenen Möglichkeiten schauen in der Tat sehr spannend aus und der aufgerufene Preis von $55 klingt mehr als fair. Da auch ein paar PlugIn-Funktionen drin stecken, bleibt noch etwas Restskepsis, die es auszuräumen gilt. Vielleicht nehmen wir uns das Teil mal bei einem Meetup mal etwas genauer unter die Lupe.

Ich bin kürzlich über einen »SneekPeek« von einem neuen Screendesign Tool namens »macaw« gestolpert. Das Teil schaut sehr vielversprechend aus, ist selbst wohl komplett in HTML5, CSS und JS geschrieben und soll demnächst erscheinen. Schaut euch das Video einfach selbst einmal an, damit ihr eine Idee bekommt, was mit dem Teil gehen kann.

4 Kommentare Schreibe einen Kommentar

  1. Vielen Dank für diesen Artikel, Herr Kremer!

    In Sachen Sicherheit macht es Sinn, sich auch mit Zwei-Faktor-Authentifizierung (2FA) auseinanderzusetzen. Zuletzt hat Vint Cerf (einer der Väter des Internets) Entwickler gebeten, 2FA bei jedem Loginsystem zu verwenden. In Singapur ermöglichen Banken den Login in Online-Banking-Systeme nur noch per 2FA. Die größten amerikanischen Portale ermöglichen es ihren Nutzern bereits, ihre Accounts mit 2FA zu schützen, um gegen Phishing, Bruteforce-Attacken und Passwortdiebstahl immun zu sein.

    Betreibern von WordPress-Webseiten möchte ich Rublon empfehlen, weil es die weltweit einfachste 2FA Lösung ist:
    http://wordpress.org/plugins/rublon/

    Rublon schützt Ihren Account vor Zugriff von unbekannten Geräten, sogar wenn Ihr Passwort gestohlen wird. Das ist unsichtbare Zwei-Faktor-Authentifizierung. Im Vergleich zu anderen Lösungen, müssen Sie mit Rublon Ihr Smartphone nur ein mal verwenden, um Ihre Vertrauenswürdigen Geräte zu definieren. Besuchen Sie unsere Webseite, um mehr zu erfahren: http://www.rublon.com/de.

    Unsere Kunden sind begeistert und schreiben 5-Sterne Empfehlungen:
    https://rublon.com/de/clients
    http://wordpress.org/support/view/plugin-reviews/rublon

    Bei Fragen stehe ich jederzeit zur Verfügung 🙂

    • Auch wenn das eindeutig unter „Werbung“ einzusortieren ist, werd‘ ich mir das mal anschauen. Das letzte Plugin in Sachen 2FA, das ich getestet hatte war großer Müll.