Das Thema „WordPress und Sicherheit“ ist in aller Munde. Beinahe täglich tauchen neue Sicherheits-Rezepte für WordPress-Seiten auf. Viele davon sind – leider – ziemlich nutzlos und gehen von völlig falschen Vorstellungen aus. Dabei ist das Absichern von WordPress gar nicht so schwer, wenn man sich an ein paar einfache Regeln hält.


Der folgende Artikel ist eine Übersetzung von Konstantin Kovshenin’s Blogpost Don’t Hide the Fact That You’re Using WordPress
Konstantin lebt in Moskau und ist einer der führenden WordPress-Entwickler weltweit. (Thanks, Konstantin, for allowing me to translate your post)


Zurzeit gibt es eine Menge Blogartikel und Plugins, in denen die Autoren dazu raten, die Versionsnummer von WordPress zu verbergen. Oder man solle gleich ganz verschleiern, dass WordPress im Spiel ist. Leute, lasst es bleiben – es ist ziemlich sinnlos.

Es gibt hunderte wenn nicht tausende Möglichkeiten herauszufinden, dass eine Webseite auf WordPress aufgebaut ist. Man kann sogar die exakte Versionsnummer herausfinden, egal ob irgendwelche Hacks oder PlugIns die Meta-Tags, die readme-Datei oder sonst etwas verbergen. Mein Bruder Gennady beschreibt das sehr gut in seinem Artikel The WordPress Meta “generator” Tag Paranoia.

[Kurzzusammenfassung des Artikels von Gennady: Jede WordPress-Version hat ihre Eigenheiten, die sich leicht herausfinden lassen. So gibt es spezifische Dateien, die jeweils nur die eine spezielle WordPress-Version mitbringt, z.B. bei WordPress 2.8 ist es die Datei swobject.js, bei WordPress 3.3 die Datei plupload.js]

Sicherheit

Die meisten dieser „Wir-Verstecken-WordPress“-Lösungen werden unter dem Etikett „Sicherheit“ angepriesen – vor dem Hintergrund der letzten Botnet-Attacken auf WordPress-Seiten. Die Wahrheit ist: Den Angreifern ist es völlig egal, welche WordPress-Version auf Eurer Seite läuft. Es ist ihnen sogar egal, ob Eure Seite überhaupt unter WordPress läuft. Wie das? Na ja, sie nehmen einfach Eure Domain ins Visier und feuern ohne Rücksicht auf Verluste POST Requests auf eine Datei namens wp-login.php. Auch dann, wenn Eure Seite eine reine HTML-Seite ist und gar kein Redaktionssystem installiert ist.

Dasselbe gilt für bekannte Sicherheitslücken in Themes und PlugIns. Schaut Euch mal die Log-Dateien von Eurem Server an, gute Chance Ihr findet Requests nach einer Datei namens timthumb.php. Auch dann, wenn keines Eurer Themes oder PlugIns die TimThumb Bibliothek einsetzt.

Wenn es um Sicherheit geht, ist der beste Geheimtipp ein sicheres Passwort – und alle Themes, PlugIns und das WordPress-System auf dem neuesten Stand zu halten. PlugIns wie Google Authenticator und Limit Login Attempts bieten noch ein bisschen zusätzlichen Schutz.

Der Ferrari-Vergleich

Manchmal wollen die Leute die Tatsache, dass sie WordPress nutzen auch deshalb verschleiern, weil sie Angst haben, andere könnten das herausfinden und denken, ihre Webseite sei „unprofessionell“ oder irgendwie billig. WordPress ist das professionellste Redaktionssystem überhaupt, einige der größten Unternehmen in der ganzen Welt vertrauen WordPress. WordPress ist kostenlos und OpenSource, aber ganz bestimmt nicht „billig“.

Wenn Ihr Euch einen Ferrari kauft, schraubt Ihr dann das Ferrari-Logo ab bevor Ihr Euer neues Auto Euren Freunden vorführt? Nein. Denn selbst wenn Ihr das tun würdet, jeder würde den Ferrari erkennen.

Kurz zusammengefasst: Verwendet ein starkes Passwort, sorgt für regelmäßige Updates und seid stolz auf Eure WordPress-Seite. Und falls Ihr gerade ein “hide my WordPress”-Premium-PlugIn gekauft habt, verlangt Euer Geld zurück und kauft Euch statt dessen etwas Nützliches.