Posted on 5 Kommentare

WordPress-Sicherheit #4 – Was man nicht machen sollte

Wir können nun mit wenig Aufwand unsere WordPress-Installation abgesichert halten, aber selten bleibt eine Installation immer gleich. Neue Funktionen müssen her, vielversprechende Plugins werden installiert und ähnliches. Dabei kommt man häufig auch an Plugins vorbei, die man eigentlich nicht (mehr) installieren sollte. Aber auch andere Fallstricke gibt es noch. Nachfolgend einige Bereiche, in welchen man besonders aufpassen muss, um die Sicherheit der eigenen Website nicht verschlechtern.

Eigene Zugangsdaten weitergeben

Eigene Zugangsdaten, egal ob das Administrator-Konto oder aber auch Login-Daten per MySQL oder (S)FTP sollte man niemals herausgeben. Wenn es notwendig ist, jemand anderem einen Zugang zu solchen Inhalten zu geben, sollte man immer davon Gebrauch machen, ein zusätzliches Konto einzurichten. Das verhindert, dass die eigenen Zugangsdaten geändert werden und man selbst nicht mehr auf die Website zugreifen kann.

Wenn die Arbeit des anderen dann erledigt ist, kann man einfach dessen Zugänge komplett löschen, sodass sie mit hundertprozentiger Wahrscheinlichkeit nicht mehr funktionieren werden.

Firewall-Plugins installieren

Sie suggerieren Sicherheit, bringen effektiv jedoch genau das Gegenteil. Firewall-Plugins werben selbst damit, Angriffe abzuwehren, die darauf basieren, dass eine bestimmte Art oder Menge von Daten zum Server zu leiten und damit selbigen zu überlasten, sodass er keine anderen Anfragen mehr verarbeiten kann.

Das Problem dabei ist, dass eine Firewall auf Plugin-Ebene erst viel zu spät greift. Denn zu diesem Zeitpunkt hat bereits der Server die Anfrage verarbeitet, zu WordPress durchgereicht und das Plugin aktiv werden lassen. Bei einem ernsthaften Angriff führt das nur dazu, dass der Server umso schneller ausgelastet ist.

Normalerweise ist es die Aufgabe der Hosting-Anbieter, derartige Angriffe zu erkennen und bereits zu blockieren, bevor sie auch nur in die Nähe eurer WordPress-Installation kommen. Dann hat das Firewall-Plugin sowieso keine Arbeit mehr und wird auch nicht benötigt.

„All in one“-Plugins installieren

Sucht man im WordPress Plugin Repository nach „all in one“, so findet man dort viele Ergebnisse von SEO-Plugins, die alles mögliche können, über Sicherheits-Plugins bis hin multifunktionellen Shortcodes. Sie alle haben das „all in one“ irgendwo im Namen oder in der Beschreibung. In den meisten Fällen jedoch haben sie vor allem eines gemeinsam: sie stecken voller Code.

Je mehr Code ein solches Plugin hat, desto komplexer wird es auch praktisch zwangsläufig, desto mehr Rechenkraft benötigt der Server, um es auszuführen, aber umso mehr Angriffsfläche bietet es auch gegenüber Sicherheitslücken. Ganz zu schweigen von der Fehleranfälligkeit allgemein, die damit wesentlich wahrscheinlicher ist. Oftmals benötigt man auch gar nicht alle – geschweige denn viele – dieser Funktionen, sondern nur einen kleinen Teil. Gerade dann ist es besser, sich nach einem anderen Plugin umzusehen, das eventuell weniger kann, aber die Sicherheit weniger beeinträchtigt.

„All in one“-Themes installieren

Eine ähnliche Argumentation wie bei „All in one“-Plugins kann man auch bei „All in one“-Themes führen. Allerdings ist hier das Problem oftmals noch weitaus dramatischer, denn viele dieser „All in one“-Themes werden mit Funktionen ausgestattet, die von Plugins stammen, welche bereits ins Theme integriert sind. Das führt dazu, dass im Falle eines Plugin-Updates der Theme-Ersteller auch das Theme aktualisieren muss. Das geschieht zum einen nicht nur langsamer – wobei der zeitliche Faktor bei Sicherheitsupdates sehr wichtig ist – sondern leider immer wieder auch gar nicht. Da man das Plugin selbst auch gar nicht nutzt bzw. sich dessen nicht bewusst ist, realisiert man oft auch gar nicht, dass es für selbiges ein Update gibt und somit auch ein Update für das Theme veröffentlicht werden müsste.

Besser ist es, sich ein Theme zu suchen, das zwar nicht alles kann, sondern spezifisch die Anforderungen erfüllt, die man selbst an ein Theme hat. Das setzt natürlich voraus, dass man sich im Voraus Gedanken darüber gemacht hat, was das Theme können muss.

Lange nicht mehr aktualisierte Plugins installieren

Wurde ein Plugin aus dem WordPress Plugin Repository schon lange nicht mehr aktualisiert, wird eine entsprechende Meldung über der Plugin-Beschreibung angezeigt. Dann sollte man sich zweimal überlegen, ob man dieses Plugin noch installieren will oder nicht, denn es kann bedeuten, dass der Entwickler das Plugin nicht mehr pflegt. Sollte dann eine Sicherheitslücke bekannt werden und sich kein anderer Entwickler finden, der diese schließt und das Plugin in Zukunft pflegt, so wird diese offen bleiben – und damit auch in der eigenen WordPress-Installation.

Es kann auch sein, dass ein Plugin schlichtweg seit mehreren Jahren kein Update benötigt und nach wie vor so funktioniert wie damals. Das erkennt man dann häufig allerdings auch durch eine entsprechende Beschreibung oder durch die Aktivität des Entwicklers im Support-Bereich des Plugins.

Fazit

Auch wenn man bei der ersten Installation alles bedacht hat und regelmäßig Updates macht, so gibt es doch Dinge, die dazu führen, dass die Sicherheit leidet oder nur scheinbar erhöht wurde. Dennoch sind natürlich nicht alle Plugins, die die Sicherheit verbessern, schlecht. Einige davon werde ich im nächsten Teil der Reihe „WordPress-Sicherheit“ hier vorstellen. 📦

5 thoughts on “WordPress-Sicherheit #4 – Was man nicht machen sollte

  1. […] dem Wissen, nicht jedes Plugin oder Theme blind zu installieren, können wir uns nun einige Plugins aussuchen, die durchaus positiv für die Sicherheit sind, […]

  2. Eine Web Application Firewall kann aus Sicherheitsgründen durchaus sinnvoll sein, da sie vor jeden PHP-Aufruf gesetzt wird. Aber man sollte eben die Vor- und Nachteile kennen. In der Natur der Sache liegend, kann so eine Firewall nur relativ konkrete Probleme abwehren und hinkt damit immer zwangsläufig hinterher. Und da es auf alle Probleme testet (obwohl die entsprechenden Plugins vielleicht gar nicht installiert sind), geht viel Performance flöten, denn das bedeutet die erwähnte Rechenkraft konkret. Wer also auf einem etwas langsameren Shared Hosting ist, der sollte sich so eine WAF lieber zweimal überlegen …
    Und diese All-in-one-Sicherheitsplugins haben keine Konsistenzprüfungen. Die Konfiguration ist meist recht kompliziert und für Laien meist überfordernd. Selbst wenn man sich auf die Standardeinstellungen beschränkt, kann eine Unachtsamkeit oder ein Fehler im Plugin den gesamten Blog zerschießen, den User aussperren oder die Lücke selbst darstellen … Ich würde davon auch abraten.

    1. Das kann ich bestätigen. Ich hatte ein All-in-one-Security… und mich mal eben selbst – und jeden anderen verbannt. Glücklicherweise gab es ein Gegenmittel (weiteres Plugin), das speziell für dieses All-in-one… alle Einstellungen zusetzte.
      Beispielsweise solche Tachometer im Überblick dürften unbedarfte User in Panik versetzen, wenn sie sehen das die vorgenommenen Sicherheitseinstellungen bei unter 100 von ca. 400 möglichen Stundenkilometern liegt.
      Man probiert dann genau von dir beschriebenen – völlig – unbekannten und kryptischen Einstellungen aus um auf ein besseres „Tuning“ zu kommen… und Zack, hat man sich selbst ausgesperrt.

  3. Bin gerade eben via WP-Letter auf diese Zusammenstellung gestossen – danke! Was die Firewall-Plugins betrifft: Als WP-Nutzer mit erweiterten Grundkenntnissen betreibe ich u.a. drei Sites, für die ich vor bald einem Jahr ein Abo bei sucuri.net abgeschlossen habe. Das funktioniert inzwischen gut, wobei es im Zusammenspiel mit dem Hoster Anlaufschwierigkeiten gab. Der Service ist allerdings gut. Das hat freilich seinen Preis: Rund 200 Franken pro Seite. Für zwei Seiten habe ich drum das Abo gekündigt mit der Absicht, Wordfence oder Cloudflare zu installieren. Das wäre immerhin etwas, dachte ich. Nun lese ich, dass ihr davon wenig hält. Was würdest du denn für einen „Halblaien“ wie unsereins empfehlen?
    Danke und Grüsse, Dominik

    1. Das kommt natürlich darauf an, was du genau erreichen möchtest. Cloudflare ist für DDoS-Schutz gut, allerdings bieten das viele Hoster mittlerweile auch selbst bereits an und filtern netzwerkseitig. Das ist auch die einzige Möglichkeit, um wirklich die Last von deinem System fernzuhalten und daher auch für alle der beste Weg.
      Wenn es dir um gezielte Angriffe wie das Ausprobieren von Passwort-Kombinationen geht, sind Dinge wie Deaktivierung der XMLRPC-Schnittstelle in Verbindung mit dem Plugin „Limit Login Attempts“ (siehe Teil #5 meiner WordPress-Sicherheit-Reihe) vermutlich der wesentlich performantere Weg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.