Das Thema „WordPress und Sicherheit“ ist in aller Munde. Beinahe täglich tauchen neue Sicherheits-Rezepte für WordPress-Seiten auf. Viele davon sind – leider – ziemlich nutzlos und gehen von völlig falschen Vorstellungen aus. Dabei ist das Absichern von WordPress gar nicht so schwer, wenn man sich an ein paar einfache Regeln hält.
Der folgende Artikel ist eine Übersetzung von Konstantin Kovshenin’s Blogpost Don’t Hide the Fact That You’re Using WordPress.
Konstantin lebt in Moskau und ist einer der führenden WordPress-Entwickler weltweit. (Thanks, Konstantin, for allowing me to translate your post)
Zurzeit gibt es eine Menge Blogartikel und Plugins, in denen die Autoren dazu raten, die Versionsnummer von WordPress zu verbergen. Oder man solle gleich ganz verschleiern, dass WordPress im Spiel ist. Leute, lasst es bleiben – es ist ziemlich sinnlos.
Es gibt hunderte wenn nicht tausende Möglichkeiten herauszufinden, dass eine Webseite auf WordPress aufgebaut ist. Man kann sogar die exakte Versionsnummer herausfinden, egal ob irgendwelche Hacks oder PlugIns die Meta-Tags, die readme-Datei oder sonst etwas verbergen. Mein Bruder Gennady beschreibt das sehr gut in seinem Artikel The WordPress Meta “generator” Tag Paranoia.
[Kurzzusammenfassung des Artikels von Gennady: Jede WordPress-Version hat ihre Eigenheiten, die sich leicht herausfinden lassen. So gibt es spezifische Dateien, die jeweils nur die eine spezielle WordPress-Version mitbringt, z.B. bei WordPress 2.8 ist es die Datei swobject.js, bei WordPress 3.3 die Datei plupload.js]
Sicherheit
Die meisten dieser „Wir-Verstecken-WordPress“-Lösungen werden unter dem Etikett „Sicherheit“ angepriesen – vor dem Hintergrund der letzten Botnet-Attacken auf WordPress-Seiten. Die Wahrheit ist: Den Angreifern ist es völlig egal, welche WordPress-Version auf Eurer Seite läuft. Es ist ihnen sogar egal, ob Eure Seite überhaupt unter WordPress läuft. Wie das? Na ja, sie nehmen einfach Eure Domain ins Visier und feuern ohne Rücksicht auf Verluste POST Requests auf eine Datei namens wp-login.php. Auch dann, wenn Eure Seite eine reine HTML-Seite ist und gar kein Redaktionssystem installiert ist.
Dasselbe gilt für bekannte Sicherheitslücken in Themes und PlugIns. Schaut Euch mal die Log-Dateien von Eurem Server an, gute Chance Ihr findet Requests nach einer Datei namens timthumb.php. Auch dann, wenn keines Eurer Themes oder PlugIns die TimThumb Bibliothek einsetzt.
Wenn es um Sicherheit geht, ist der beste Geheimtipp ein sicheres Passwort – und alle Themes, PlugIns und das WordPress-System auf dem neuesten Stand zu halten. PlugIns wie Google Authenticator und Limit Login Attempts bieten noch ein bisschen zusätzlichen Schutz.
Der Ferrari-Vergleich
Manchmal wollen die Leute die Tatsache, dass sie WordPress nutzen auch deshalb verschleiern, weil sie Angst haben, andere könnten das herausfinden und denken, ihre Webseite sei „unprofessionell“ oder irgendwie billig. WordPress ist das professionellste Redaktionssystem überhaupt, einige der größten Unternehmen in der ganzen Welt vertrauen WordPress. WordPress ist kostenlos und OpenSource, aber ganz bestimmt nicht „billig“.
Wenn Ihr Euch einen Ferrari kauft, schraubt Ihr dann das Ferrari-Logo ab bevor Ihr Euer neues Auto Euren Freunden vorführt? Nein. Denn selbst wenn Ihr das tun würdet, jeder würde den Ferrari erkennen.
Kurz zusammengefasst: Verwendet ein starkes Passwort, sorgt für regelmäßige Updates und seid stolz auf Eure WordPress-Seite. Und falls Ihr gerade ein “hide my WordPress”-Premium-PlugIn gekauft habt, verlangt Euer Geld zurück und kauft Euch statt dessen etwas Nützliches.
Kommentare
•
Eine gute Maßnahme ist es auch, die Login-Seite zu schützen um Angriffe auf die wp-login.php abzufangen, die dann als Ziel nicht mehr zur Verfügung steht. Zum Beispiel hiermit: http://wordpress.org/plugins/stealth-login-page/
•
Hallo, Ingo,
Meines Wissens bringt das nicht viel, weil man auf viele Wege ins Dashboard gelangen kann. Es gibt eine gute Serie zum Thema WordPress und Sicherheit von Mike Kuketz. Er listet solche Tricks unter „Snake Oil“, ist also eher eine Placebo-Maßnahme.
Schöne Grüße von Kirsten
•
Ein „starkes“ ist leider schwammig ausgedrückt und könnte, so der Zufall will, auch per Brute-Force-Attacke geknackt werden. Da braucht es noch ein wenig mehr.
Weitere Möglichkeiten WordPress abzusichern ist mit dem Cloudflare-Plugin (http://wordpress.org/plugins/cloudflare/), mit dem Better-WP-Plugin (http://wordpress.org/plugins/better-wp-security/) oder auch mit einem sehr einfachen Plugin wie dem Limit-Login-Attempts (http://wordpress.org/plugins/limit-login-attempts/).
Hier findet man auch eine schöne Sammlung an Security-Plugins: http://www.elmastudio.de/wordpress/14-security-plugins-die-deine-wordpress-installation-sicherer-machen/
•
Hallo, Pavlos,
mit „stark“ ist ein ausreichend langes Passwort gemeint. Je mehr Zeichen ein Passwort hat, desto schwerer ist es per Brute Force zu knacken.
Limit Login-Attempts ist nicht wirklich ein Schutz, sondern eher eine Art erweitertes Log-File.
Die Brute-Force-Scripts versuchen es gar nicht so oft hintereinander mit derselben IP-Adresse. Das heisst, sie wechseln blitzschnell die IP-Adressen durch und können so ein schwaches Passwort (weniger als 9 Zeichen) knacken. Limit Login Attempts kann dagegen nichts ausrichten, es sei denn man limitiert die Anmeldeversuche auf einen. Das ist aber unpraktisch, wenn man sich mal vertippt. ;o)
Better WP-Security hatte ich auch mal eine Zeit in Betrieb, aber mir wurden die Einträge in der htaccess (geblockte IP-Adressen) irgendwann zuviel.
Die Absicherung über den Ausschluß von IP-Adressen ist halt so ein bisschen fruchtlos, weil man nie hinterherkommt.
Schöne Grüße von Kirsten