WordPress hat ein Problem. Ein sehr großes Problem sogar. Es ist unsicher geworden. Das hängt mit vielen verschiedenen Faktoren des Content Management Systems zusammen, auf die ich im Artikel etwas genauer eingehen möchte.
Viel wichtiger ist aber die Frage, wie wir dieses Problem umgehen oder sogar lösen können. Wie sicher ist WordPress? Wie werden typische Sicherheitslücken des Systems endgültig geschlossen und warum geschieht dies nicht von Haus aus?
Zeit für Antworten und Beispiele, Zeit für einen umfangreichen Artikel zum Thema WordPress Sicherheit. Am Ende seid ihr nicht nur schlauer, sondern habt euren WordPress Blog auch mit wenigen Handgriffen ein wenig sicherer gemacht. Fangen wir also sofort an.
Das Massenmarkt-Problem von WordPress
Zunächst einmal: Nichts im Internet ist zu 100 Prozent sicher. So eine Sicherheit gibt es nichts. Wann immer Fremde Zugriff erhalten und Inhalte im Internet nicht nur statisch veröffentlicht, sondern auch via CMS gepflegt werden, gibt es auch Angriffsstellen und potenzielle Sicherheitslücken. Verabschieden wir uns also erst einmal vom Aberglauben der totalen Sicherheit – die gibt es nicht.
Doch WordPress hat noch ein anderes Problem. Über das letzte Jahrzehnt ist das CMS zu einem Inbegriff für Blogs und Blogger geworden und in den letzten Jahren wird es dies auch immer mehr für normale Websites. Längst sind Blogs Schnee von gestern, längst entstehen ganze Portale, die als Unterbau WordPress und seine Struktur verwenden. Doch mit dem Massenmarkt kommen immer auch die Sicherheitslücken.
Denn wenn alle Websites das gleiche System benutzen, steigt auch das Interesse potenzieller Angreifer. Der Grund ist so simpel wie nachvollziehbar. Finden Sie eine Sicherheitslücke, gilt die für unzählige weitere Websites, die WordPress nutzen.
Genau das ist auch eines der großen Probleme von WordPress. Das System selbst ist für jeden Laien bedienbar, doch wer sich nicht auskennt und nicht auf die Sicherheit seines Blogs achtet, kann unter Umständen schnell Eindringlinge im System haben, die dann Schadcode verbreiten, Nutzer infizieren, Daten klauen oder gar den gesamten Blog übernehmen. Sich einfach auf WordPress zu verlassen, ist da eine heikle Angelegenheit.
Firewall per .htaccess einrichten
Um zu vermeiden, dass es im Falle von WordPress zu einer feindlichen Übernahme kommt, hilft eine Firewall. Diese wird mittels der .htaccess-Datei auf dem Server aktiviert.
Die Firewall hat dabei vor allem ein Ziel, sie soll Typische Parameter und Aufrufe blockieren, die oft dazu genutzt werden, Sicherheitslücken zu scannen oder sogar konkret ausnutzen. Dazu gehört das Cross-Site Scripting, das Cache Poisoning, aber auch Code Injections oder spezielle WordPress-Schwachstellen, wie Sicherheitslücken in Plugins oder das Auslesen der Autoren und Admins.
Mit einer relativ simplen .htaccess, können jedoch eine Vielzahl dieser Schwachstellen geschlossen und von Anfang an blockiert werden. Damit bekommen derartige Versuche einfach den Statuscode 403 serviert, also ein »verboten« und Angriffe kommen gar nicht mehr durch. Nur müssen solche Details eben von Hand eingefügt werden, weil sie meist nicht für alle Server gleich sind und daher hier und da mal angepasst werden müssen.
Die Firewall stammt übrigens von einem bekannten WordPress-Entwickler, nämlich Jeff Starr, der diese Jahr für Jahr verbessert, erweitert und anpasst. Aktuell ist es die 7G Firewall, die zum Download bereitsteht und sich aktuell in der Beta findet.
https://perishablepress.com/7g-firewall/#download
Firewall per Plugin integrieren
Wer sich nicht so gut mit der Technik im Hintergrund auskennt, kann zwar auch ein WordPress Plugin verwenden, muss sich dann aber im Klaren darüber sein, dass dies keine vollwertige Firewall ersetzt. Das Problem bei den Plugins ist nämlich, dass sie meist zu spät in den Prozess eingreifen.
Während die .htaccess beispielsweise noch vor dem eigentlichen Zugriff der Website abgearbeitet wird, also Angreifer aussperrt, bevor sie zur Website gelangen, ist dies bei einem WordPress Plugin nicht immer der Fall. Oft muss außerdem noch PHP gestartet werden, was wieder Ressourcen und Performance kostet.
Empfehlenswert sind Plugins wie NinjaFirewall. Sie setzen, ganz grob gesagt, das um, was auch die 7G Firewall umsetzt, gehen aber andere Wege. Allein die Verknüpfung mit WordPress, sowie das Monitoring, sorgen außerdem dafür, dass derartige Plugins eben deutlich mehr Ressourcen fressen, um die gleiche Funktion zu gewährleisten.
NinjaFirewall (WP Edition) – Advanced Security Plugin and Firewall
NinjaFirewall ist da eines der besseren Plugins, kostet dafür aber auch eine Kleinigkeit, wenn wirklich alle Funktionen genutzt werden sollen. Gleiches gilt für die Erweiterung BBQ (Block Bad Queries), die ebenfalls erst in der bezahlten Variante ihre Stärken ausspielen kann.
Ihr seht schon: Ohne Geld, funktioniert das mit der Sicherheit nur bedingt. Alles was eine höhere Qualität aufweist (z.B. Sucuri), kostet einen monatlichen Betrag.
https://sucuri.net/website-firewall/
Ist Sicherheit wirklich so wichtig?
Nun bleibt am Ende die Frage, ob Sicherheit wirklich so wichtig ist, wo WordPress selbst doch auch schon etwas dafür tut und allgemein nicht unbedingt als unsicher zu bezeichnen ist. Doch beim Thema Sicherheit ist es wie bei den Backups.
Eine zweite Festplatte zu kaufen und die eigene regelmäßig, im besten Fall sogar automatisch, zu spiegeln, ist praktisch. Doch das kostet auch viel Geld. Also sichert ihr die Daten jede Woche von Hand. Nach einem Jahr, nervt euch das Gefummel am Wochenende und es geschieht nur noch alle zwei Wochen, dann nur noch einmal im Monat. Und dann fällt euer Computer plötzlich aus und die Daten sind weg. Beim nächsten Computer kauft ihr auch also gleich ein Backup-System dazu.
Soll heißen: Sicherheit ist immer erst dann wichtig, wenn ihr schon einmal erlebt habt, was passiert, wenn jemand in euren Blog eindringt. Wenn er dort bösartige Links platziert, Umleitungen erstellt, eure Datenbank befällt oder Schadcode einfügt, der Nutzer infiziert.
Damit euch das nicht erst passieren muss, habe ich versucht euch hier ein wenig die Wichtigkeit solcher zusätzlichen Maßnahmen zu vermitteln. Natürlich muss diese niemand umsetzen. Es sollten aber alle etwas tun, um bei WordPress für zusätzliche Sicherheit zu sorgen.
Denn wie schon am Anfang erwähnt:
WordPress ist populär und populäre Systeme werden durchgehend angegriffen, um mit einer gefunden Sicherheitslücke, eine Vielzahl an Websites hacken zu können. Wartet also nicht erst darauf, dass etwas passiert, sondern verhindert es bereits vorab.
2 Kommentare
Sascha
Habe die Firewall via .htaccess eingebaut und sie scheint zu funktionieren. Man sollte abr aufpassen und kontrollieren, ob bei wordpress noch alles wie vorgesehen funktioniert.
Mario
Das ist natürlich klar. Gerade bei der htaccess kann man viel falsch machen. Da sollte man immer testen, testen, testen.