Netzgeflüster: WordPress Security Tipps

Der Oktober ist ja der Monat wo alle die es mögen und abkönnen Horrorfilme gucken. Willst du als Blogger*in aber mal so richtigen Horror, dann denk an Hacks und Kontrollverlust über deinen Blog. Jaja. So geschehen bei mir im Blog vor wenigen Wochen. Was da war verrät der Beitrag. Wie man sich (vielleicht) dagegen schützen kann auch. Lasst uns mal über Security reden. (Dieser Beitrag richtet sich an Leser*innen, die eine WordPress-Installation selber administrieren oder generelles Interesse an dem Thema haben. WordPress.com-Nutzer haben so weit ich weiß keine Möglichkeit in ihr System einzugreifen. Nutzer eines durch einen Provider verwalteten WordPress teils teils.)

Vor ein paar Wochen habe ich in der Kaffeepause auf Arbeit mal meine Blogs aufrufen wollen, so wie ich das aus Gewohnheit heraus meist einmal am Tag tue. Überraschenderweise waren meine anderen Seiten unauffällig, aber ausgerechnet Miss Booleana war sogar sehr auffällig. Statt mein gewohntes Theme und meine Beiträge zu sehen, wurde ich wie wild umgeleitet, was mein Browser dankbarerweise als auffällig erkannte und blockte.  Glücklicherweise konnte ich mich auf Arbeit abmelden und das Problem erstmal untersuchen, durch Ausschlussverfahren eine Idee bekommen, was hier los ist; nochmal Backups ziehen, den Blog dann erstmal beim Provider vom Netz nehmen um es später zu fixen. Die Ursache lag nicht bei mir, sondern bei einem Plugin, das offen für eine Sicherheitslücke war. Hacker fanden die, publizierten die und danach hatten natürlich noch mehr eine Idee wie man in Blogs reinkommt – fatal. An diesen Tagen wurden enorm viele Blogs angegriffen. Hier half das installieren eines Updates des Plugins, das noch am selben Tag veröffentlicht wurde (so man den Urhebern noch genug vertraut) oder das Deinstallieren des Plugins. Das mag nun noch ein erschreckender, wenn auch verhältnismäßig glimpflicher Fall sein. Der Schaden in solchen Fällen kann hingegen enorm sein. Verlust der Arbeit, Ausnutzung und Kompromittierung der Daten, finanzieller Schaden, Gesichtsverlust oder auch rechtliche Konsequenzen, falls Nutzer*innen der Webseite zu Schaden kommen (Installation von Malware, Phishing, etc.) Was tun?

Die Essentials

Darüber haben schon andere so hilfreiche und allumfassende Artikel geschrieben, dass es mehr Sinn macht und fair ist auf sie zu verweisen. Sehr empfehlen kann ich den Artikel The Ultimate WordPress Security Guide – Step by Step (2021) von wpbeginner (vom 1. Januar 2021) und WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website von Kinsta (7. Mai 2021). Wer ein TLDR; braucht, findet das bei Suse:

Ergänzend zu Suses Liste noch ein paar Kommentare. Macht Backups. Es braucht im Grunde keine fancy Backup-Plugins dafür. Die Lösungen sind mehr für Nutzer*innen die so gar keine Zeit oder Unsicherheit im Umgang mit den Technologien empfinden. Die einfachste Option um Backups zu machen sind 1. der klassische WordPress-XML-Export. Nicht enthalten sind hier die Mediendateien as-is, Themes genauso wie die WordPress-Installation an sich. Es kann sein, dass die Export-XML so groß wird, dass ihr die nicht ohne Weiteres mit einem Editor anschauen könnt. Fraglich, ob WordPress so große XMLs dann wieder importieren kann. 2. ein Datenbank-Update. Das sichert eure Beiträge, Kommentare und bringt sie in eine Form, die ihr direkt wieder in eine Datenbank (und ein WordPress) einspielen könnt. Nicht enthalten sind Mediendateien as-is oder eure WordPress-Installation. 3. ein Backup des Inhalts eures Servers, auf dem WordPress installiert ist via FTP, besser SFTP. Das enthält nicht eure Beiträge, aber quasi die gesamte WordPress-Installation und alle eure Medieninhalte. Die optimalste Backuplösung wäre 2. und 3, mindestens aber 2.

Wenn Suse von sichere Passwörter spricht, möchte ich noch hinzufügen, dass das nicht nur euer WordPress an sich betrift. Sondern auch die von Datenbank, (S)FTP und Provider-Logins. Updates betrifft auch nicht nur die WordPress-Installation und Plugins selber, sondern allgemein aktuelle Versionen von beispielsweise PHP und Datenbank zu verwenden. Es ist hilfreich Quellen zu abonnieren, die auf Sicherheitslücken hinweisen oder ggf Hashtags und Keywords zu abonnieren, um frühstmöglich auf diese aufmerksam zu werden. Die typischen Riesen wie Hackernews, Golem oder Heise sind hier sicherlich eine Anlaufstelle, aber die Nachrichten können auch schnell in der Masse verschwinden. Security Advisory ist für die potentielle Masse an Plugins schwierig. Für WordPress selber ist die Security und Releases Seite von WordPress.org eine Anlaufstelle. Ansonsten empfiehlt sich: so wenig Plugins und Themes wie nötig und nur Plugins aus vertrauenswürdigen Quellen, die offenbar auch noch gewartet werden. Nostalgie schön und gut, aber eigentlich braucht ihr ja nur ein Plugin, oder? 😉 Nicht mehr benötigte Plugins UND Themes nicht nur deaktivieren, sondern deinstallieren. Und ein Tipp am Rande: sprich nicht online über dein Setup. Es könnte jemand mitlesen, der darüber mehr weiß als du.

… und das traurige daran

Und? Sind wir jetzt gewappnet? Hmmmm. Nicht zwingend. Auch ich habe dem Plugin vertraut und hatte die aktuellste Version davon installiert. Mir hätte das alles nicht geholfen. Es hilft eben wirklich nur Sparsamkeit (in Hinblick auf Pugins, Themes, …), Vorausschauen (Backups, …) und Sicherheit (Passwörter, Updates, …) zu beachten. Wenn ihr ein Problem bekommt: Don’t Panic. Schließt aus, was es sein kann, was nicht. Denkt an alle Quellen: die Installation selber, Plugins, die Datenbank, den Server. Macht, wenn es noch geht ein Backup. Holt euch Hilfe. Was ihr tun könnt, wenn ihr einen Hack bei einem anderen Blog beobachtet: melden und so spezifisch wie möglich sein um bei der Fehlersuche nicht auf falsche Fährten zu locken.

Bevor jetzt alle WordPress verdammen: die Tipps gelten im Grunde für alles, was sich online abspielt. Wenigstens zum teil. 🙂 Ich erwarte nicht von anderen Blogsystemen, dass die signifikant sicherer sind. WordPress leidet an der Stelle unter dem, was auch ein Pluspunkt ist: die Masse an Plugins. Hoffentlich hilft der Beitrag ein Stück weiter oder sensibilisiert. Falls ihr eine gute Seite für WordPress Security Advisory kennt (die nicht nur Werbung für tausende oder eigene Sicherheitsplugins macht), teilt die gern mit mir. Ich habe noch keine gefunden mit der ich zufrieden bin. Welche Erlebnisse und Lessons Learned habt ihr im Laufe der Zeit gehabt?

Netzgeflüster ist eine Kategorie meines Blogs in der ich mich immer zwischen dem 10. und 15. eines jedes Monats Themen aus IT, Forschung, Netzwelt und Internet widme genauso wie Spaß rund um die Arbeit mit Bits und Bytes. 🙂

2 Antworten

  1. Avatar von voidpointer
    voidpointer

    Das einzige was einen von solchen Problemen wohl sicher befreit, ist die Verwendung eines Blogging-Dienstes (mit allem wenn und aber). Was stört Dich am meisten an wordpress.com? Ich vermute, dass man z.B. den Datenschutz bei Self-Hosting besser im Griff hat.

    1. Avatar von Miss Booleana
      Miss Booleana

      Was meinst du mit Blogging-Dienst? Ich vermute, wenn man bei einem Hoster ein Webspace+CMS-Paket bucht? Zumindest ist es dann am Hoster sich um solche Probleme zu kümmern.
      Genau das was du erwähnt hast stört mich an wordpress.com und das man eben keine Kontrolle über beispielsweise die Plugins hat. Dort ist man dann bspw. auf Gutenberg angewiesen statt des alten Editors. Die Auswahl an Themes ist begrenzt. Klassischer Fall von „Freiheit oder Sicherheit“. Ich selber bin außerdem ein gebranntes Kind, weil WordPress.com mal ohne Angabe von Gründen meinen Blog gesperrt hat. Als ich den Support angeschrieben habe, wurde der auch ohne Angabe von Gründen „irgendwann“ wieder freigeschalten. Fand ich sehr … mies.

Schreibe einen Kommentar zu Miss Booleana Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert