Heute möchte ich ein paar Plugins vorstellen, die dabei helfen den eigenen WordPress-Blog besser abzusichern.
Das ist heute leider notwendig, da es doch immer wieder Angriffe auf Blogs gibt, um z.B. dem Blog zu schaden oder einfach nur Links im Code zu platzieren.
Und so ist es ratsam, dass man die „Mauern“ um seinen Blog etwas höher zieht. :-)
Verhindern bevor etwas passiert
Im Gegensatz zu den gestern vorgestellten Sicherheits-Plugins sind die heute vorgestellten Plugins nicht dazu da, bereits stattgefundene Angriffe aufzudecken. Viel mehr geht es darum, es erst gar nicht so weit kommen zu lassen.
Diese Plugins setzen an ganz unterschiedlichen Stellen an und sorgen so für mehr Sicherheit, indem es einfach weniger Angriffspunkte gibt.
Schauen wir uns mal die Plugins an.
Plugins zur WordPress-Absicherung
Mit den folgenden Plugins kann man vor allem den Admin-Bereich des eigenen WordPress-Blogs besser schützen. Gerade der Admin-Bereich ist natürlich ein Hauptangriffspunkt. Aber auch andere Bereich gilt es zu schützen.
Limit Login Attempts
Von Hause aus erlaubt WordPress unbegrenzt viele Versuche, sich im WordPress Admin anzumelden. Dass ist natürlich für einen Brute Force Angriff wie geschaffen. Dabei werden automatisch unzählige Kombinationen aus Benutzername und Passwort ausprobiert.
Dieses Plugin begrenzt die Anmelde-Versuche und sperrt den Admin-Login dann für eine bestimmte Zeit. Damit wird verhindert, dass Angreifer zu viele Anmeldeversuche unternehmen.
Secure WP
Frank Bueltge hat ein sehr nettes Plugin geschrieben, welches gleich mehrere Sicherheitsrisiken angeht.
So verhindert das Plugin z.B. die Ausgabe von Fehlermeldungen auf der Admin-Login Seite, da solche Fehlermeldungen sehr „aufschlussreich“ sein können.
Des weiteren erstellt es eine virtuelle index.html im Plugin-Verzeichnis und verhindert so die Auflistung der Inhalte des Plugin-Verzeichnisses.
Das Plugin bietet noch ein paar weitere Features und sollte auf jeden Fall installiert werden.



Anonymous WordPress Plugin Updates
Seit kurzem kann WordPress eine automatische Aktualisierung von Plugins vornehmen. Dabei wird allerdings eine Liste mit aktiven Plugins übermittelt und auch die WordPress-Version übergeben.
Diese Infos sollte man aber nicht unbedingt raus geben und hier kommt dieses Plugin ins Spiel. Es verhindert die Übermittlung dieser Daten.
AskApache Password Protection
Dieses Plugin installiert zusätzlich HTTP Basic oder Digest Authentication Checks. Damit werden verschiedene Verzeichnisse der eigenen WordPress Installation mit zusätzlichen Passwort-Abfragen geschützt, wenn jemand direkt darauf zugreift.
Dies stellt also eine weitere Sicherheitsebene dar, die allerdings den Apache-Server voraussetzt.
WordPress Database Backup
Mit diesem WordPress-Plugin sorgt man für regelmäßige Backups seiner Blog-Datenbank. Ich habe dieses Plugin natürlich auch laufen und erhalte einmal in der Woche per Mail das aktuelle Backup auf meinen Rechner.
Natürlich kann man das Backup auch auf dem Server selber speichern lassen. Sollte jemand die Daten des Blogs löschen oder ändern, kann ich eine relativ aktuelle Version wieder einspielen.
Es ist ebenfalls möglich manuelle Backups durchzuführen. Aber man sollte auf jeden Fall die Automatik nutzen, da man es sicher sonst vergisst und erst wieder an ein Backup denkt, wenn es zu spät ist.
Allgemeine Tipps
Die meisten Probleme treten aber durch ein falsches Verhalten des Bloggers selber auf.
So sollte man immer darauf achten, die aktuelle WordPress Version zu installieren.
Zudem sollte man sich ein längeres und nicht zu erratendes Passwort zulegen. Also lieber „Hds7dje92N“ und nicht den Namen der Freundin oder ähnliches.
Zudem sollte man keine Daten an Dritte raus geben und sind sie auch noch so nett. Es ist auch sehr kritisch seinen Blog in einem Internet-Cafe zu aktualisieren. Die Login-Daten bleiben dort evtl. im Browser-Cache und können von anderen gefunden werden.
Hier sollte man sich eine leichte Paranoia angewöhnen und lieber etwas vorsichtiger sein. Wenn der Blog erstmal in die falschen Hände gelangt, dann bedeutet das viel Arbeit und Ärger.
Guter Artikel, einige PlugIns davon kannte ich noch gar nicht.
Ich find es gut, dass hier auch Artikel über die Sicherheit erscheinen. Allgemein wird dieses sehr wichtige Thema von vielen Webentwicklern und Unternehmen massiv unterschätzt.
Ja, ein Grundwissen über Sicherheit gehört dazu. Sonst kann die ganze Arbeit schnell für umsonst sein.
Sich das Backup nur einmal wöchentlich schicken zu lassen, ist aber auch ein wenig optimistisch, meinst du nicht? Ich bekomme es jeden Tag per Mail – kostet ja nichts und mit nem gescheiten Posteingangs-Filter stört es nicht mal. Selbst wenn man die Beiträge sowieso in einem Textverarbeitungsprogramm vorschreibt, ist es doch praktischer, einfach das Backup einzuspielen, als die Beiträge wiederherzustellen.
Wer einen (v)Server sein Eigen nennt, kann noch (zusätzlich) einen Schritt weiter vorn ansetzen. So setze ich auf allen meinen Root-Server ModSecurity ein. Dabei handelt es sich um ein Modul für den Apache Webserver, welches mit dem entsprechenden Regelsatz ausgestattet u.a. typische Angriffsmuster die via HTTP reinkommen erkennt und darauf reagiert – bevor überhaupt PHP gestartet und irgendwas verarbeitet wird. So kann man im Extremfall gleich auf TCP-Ebene die Verbindung kappen.
Sowas kann man etwa mit fail2ban noch weiter zur temporären Aussperrung von „bösen“ IPs, Benachrichtung des Admins und damit zur Abwehr von DoS Attacken nutzen.
Muss man sich aber schon ein wenig mit beschäftigen, die eigenen Anwendungen gut durchtesten und Regeln die Fehlalarme produzieren auskommentieren. So kann etwa das Posten von Quellcode fälschlicherweise als Angriffsversuch „erkannt“ werden. Wenn man aber mim Log sieht was da den ganzen Tag über so alles an Anfragen reinkommt, wird man ohne ModSecurity nicht mehr ruhig schlafen können.
Das ist richtig. Mit einem eigenen Server hat man natürlich auch viel mehr Möglichkeiten und Kontrolle. Wegen ModSecurity: Man sollte aber auch bedenken, dass ModSecurity selber Sicherheitslücken enthält. Vor ein paar Tagen wurden erst wieder welche geschlossen. Und wie du ja schon sagtest könnte es Probleme mit Falschmeldungen geben. Deshalb würd ich das nur welche empfehlen, die sich auch gut damit auskennen.
Und Schutz gegen DoS, ja. Aber Schutz gegen DDoS sieht wieder anders aus. Die sind ja mittlerweile an der Tagesordnung. Ich weiß sogar, wo man für ein paar Euro solche DDoS-Attacken mit riesen Botnetzen beantragen könnte… es wird immer heftiger mit der Online Kriminalität.
Schutz gegen DDoS gibt es auf dieser Ebene gar nicht, da muss man ne Ebene weiter oben loslegen (z.B. beim Hoster und dessen Core Routern).
Ein halbwegs brauchbares Sicherheitskonzept sollte beinhalten, dass auf jeder möglichen Ebene Maßnahmen getroffen werden. Zu sagen „Ich kann nix gegen DDoS tun, also muss ich mir um Sicherheit eh keine Gedanken machen.“ ist ja nun nicht eben clever.. ;-)
Natürlich bringt ModSecurity auch eigene potenzielle Sicherheitslücken mit sich. Das tun die Plugins für WP ebenso. Jede Systemerweiterung (egal ob Hardware oder Software) erhöht die Komplexizität und hat seine ganz eigenen Risiken.
Es kommt aber doch auch niemand ernsthaft auf die Idee seienen Airbag zu deaktivieren, weil er in einer Verkettung von Umständen und Fehlfunktionen fälschlicherweise loslegen könnte, oder den Sicherheirtsgurt nicht anzulegen, weil wenn man mit dem Wagen in ein tiefes Gewässer verunfallt, man in Panik den Gurt vielleicht nicht gelöst bekommt…
Sprich: Wenn ich 1000 potenzielle Löcher mit einem System abdichten kann, dass selbst potenziell 5 Löcher mitbringt, warum sollte ich dann nicht dieses Plus von 995 Fixes mitnehmen?
@ Alexander und Security Planet
Ihr habt sicher recht. Aber für >95 % der Blogger ist es keine Option einen eigenen Server zu betreiben. Die meisten habe ad keine Ahnung von und wollen einfach nur bloggen.
Ich werde in nächster Zeit zum Thema Hosting, Webspace, Server etc. mal einen Artikel schreiben.
@ Alexander
Ich sehe es genau so wie du.
Deshalb schrieb ich ja, dass es bei DDoS anders aussieht, als bei DoS. Der Schutz dafür muss weitaus komplexer sein. Und wie du sagtest mindestens eine Ebene höher.
Und mit ModSecurity sehe ich genau so. Ich wollte halt nur einen Hinweis geben, dass man bedenken sollte, dass diese Erweiterung eben auch Sicherheitslücken enthält und man sich deswegen nicht darauf vollkommen verlassen kann.
Also nicht falsch verstehen mein Posting oben ;-)
@ Peer
Das stimmt allerdings auch :-)
Bin gespannt auf weitere Artikel.
Man kann natürlich die Sicherheit und die Fehlerfreiheit eigenes Blogs auch unbewusst vernachlässigen und kaputt spielen, indem man auf fremde Tipps hört und vertraut, die aber nicht stimmen. So macht dein Kommentator „Security Planet“ in seinem Blog. Und wenn man ihn darauf via Kommentar hinweist, dann wird der Kommentar einfach gelöscht. Also von solchen „Weltverbesserer“ sollte man lieber Abstand halten. Wenn man’s nicht besser weiß und die Tipps nur zusammengeklaut sind, da soll man zumindest auf Andere hören, die sich damit auseinander gesetzt haben. Nur blockieren, Unwahrheiten verbreiten und mit der Blogsicherheit der anderen Blogger spielen – hmm, ab das der Sinn der Sache ist? Man hat als Autor auch gewisse Verantwortung… Schade so was und schade um die naiven Kunden, die soclhe „Sicherheitstipps“ (nicht deine, Peer) zu Herzen genommen haben.
@ Sergej
Ich kann dies in diesem speziellen Fall nicht beurteilen.
Aber du sprichst einen wichtigen Punkt an.
Ich grundsätzlich 2 Vorgehensweisen, wenn ich „kritische“ Tipps und Tricks finde. Also Tipps, die ein gewisses Risiko beinhalten.
1) Entweder ich kenne den Tippgeber seit längerem und habe Vertrauen in seine Aussagen. Also z.B. Blogs, die ich seit langem lese.
2) Oder ich schaue im Web nach, ob andere Quellen einen ähnlichen Tipp geben und dieser nicht nur von einer, nicht ausreichend vertrauenswürdigen Quelle stammt.
Ich nutze solche Tipps also nur, wenn sie einen bestimmten Trust ausstrahlen.
Daran sieht man, wie wichtig es für Blogger ist, Vertrauen aufzubauen oder besser gesagt sich zu erarbeiten.
So sieht’s aus, Peer. Den aktuellen Fall habe ich lediglich zum Anlass genommen, um auf das Problem hinzuweisen. Denn, sonst drehen wir uns ewig im Kreis und mein Engagement für die WordPress-Community mit all meinen Recherchen, Entwicklungen und Forschungen geht zunichte, weil an anderer Stelle Menschen Tipps in Anspruch nehmen, die entweder veraltet oder mehr schaden als nützen. Dann kann ich es gleich sein lassen. Qualität soll weiterhin über der Quantität herrschen.
Ich finde noch DigoWatchWP erwähnenswert. Es meldet einem jede Veränderung am Blog!
Gut daß ich deine Feeds immer lese. :) Über das Thema Sicherheit hab ich mir bisher wenig gedanken gemacht aber wo ich das jetzt hier lese sollte ich dem Thema vielleicht doch mal mehr aufmerksamkeit schenken. Und solange die Plugins die Funktionalität von WordPress nicht einschränken spricht wohl auch wenig dagegen die zu installieren.
Finde es immer wieder faszinierend welche Passwörter sich manche Leute ausdenken. Wer mehrere Projekte und Logins zu verwalten hat, dem kann ich ein PW-Manager bzw. Verwaltungstool empfehlen. „keypass“ o.ä.
Bei der Wahl des Backup-Plugins muss jeder im Vorfeld prüfen, ob das der Hoster auch hergibt. Manche Billiganbieter lassen AFAIK kein Dumping zu.
Danke Peer für die Auflistung – immer wieder nützlich.
Gruß,
Tobias