Plugins, Updates und richtiges Userverhalten sind die Grundlage

WordPress sicher betreiben? Aber sicher.

Nicht nur uns bei POWER+RADACH hat WordPress überzeugt. Der weltweite Marktanteil des CMS liegt im Juli 2019 bei über 60 Prozent. Das ist einerseits ein Beweis für die Attraktivität für Programmierer und Anwender. Andererseits aber auch ein Hinweis darauf, dass WordPress aufgrund seiner Verbreitung ein beliebtes Ziel für Hacker und Virenangriffe ist. Der sichere Betrieb eines WordPress-Systems ist für die bleibende Performance der Programmierung von essentieller Bedeutung. Wir geben in diesem Blogpost einen kurzen Überblick, was darunter zu verstehen ist.

Folgen von Hacker- und Malware-Angriffen: Was kann passieren?

  • Beeinträchtigung von Funktionalität & Performance,
    bis hin zur „Nicht-Erreichbarkeit“ der Seite.
  • Verlust/Herabstufung des SEO-Rankings,
    bis hin zu Ausschluss aus Suchen-Maschinen-Indices („Blacklisting“ der Domain).
  • Verlust von personenbezogenen und „sensiblen“ (Kunden-)Daten,
    mit entsprechenden Konsequenzen aus den juristischen Auflagen der EU-DSGVO für den Website-Betreiber.

Angriffsarten und -stellen: Wie und wo wird angegriffen?

  1. Brute-Force-Attacken (automatisiert durch Programm)
    Erraten eines Admin-Zugangs durch systematisches Durchprobieren „möglichst aller Kombinationen“ (Wörterbuch) -> WordPress-Backend
  2. „Offene Fenster“ (automatisiert durch Programm oder manuelle Hackerangriffe)
    I) Word-Press-Core- und (II) Plugin-Core- Dateien. Da beides in der Regel „Open-Source“ ist, ist der Quellcode den Angreifern bekannt und somit auch eventuelle Schwachstellen.
    Besonders veraltete Versionen sind sprichwörtliche „offene Fenster“, da sie bekannte Schwachstellen beinhalten, die in Folge-Versionen in aller Regel behoben wurden.

Maßnahmen: Was können Programmierer und User dagegen tun?

  1. Starke Passwörter
    Programme arbeiten ganze Wörterbücher ab und finden Passwörter aus dem allgemeinen Sprachgebrauch somit mühelos innerhalb geringer Zeit. Erst Nutzung von Zahlen & Sonderzeichen (Erweiterung des nutzbaren Alphabets) erschwert bzw. verzögert den Rateprozess derart, dass er zu zeitintensiv wird oder höchstwahrscheinlich scheitert. Nachteil: Sichere Passwörter sind sehr schlecht merkbar durch Menschen.
  2. Login-Versuche beschränken
    (Temporäre) Sperrung von IP-Adressen können vom Administrator der Seite ausgelöst werden. Zusatzfunktionen in WordPress beobachten IP-Adress-Cluster, von denen verstärkt Angriffe ausgehen können und schlagen teilweise vor, ganze Länder zeitweilig abzuschalten. Von diesen Ländern aus ist dieSeite dann nicht mehr erreichbar.
  3. XML-RPC-Schnittstelle blockieren
    Die Funktion der „Fernsteuerung“ von WordPress über die eingebaute Standardschnittstelle kann abgeschaltet werden. Da einige sinnvolle Plugins diese Schnittstelle aber nutzen, ist hier eine Einzelfallbetrachtung von Nöten.
  4. WordPress-Core aktuell halten
    Der von der internationalen WordPress-Community gepflegte Kern (WordPress-Core) des CMS wird von der großen Zahl der Entwickler kontinuierlich Mit jedem offiziellen Update wird auch auf aktuelle Bedrohungen reagiert – der Kern wird gesichert. Daher ist das regelmäßige Überwachen der Core-Updates ein wichtiges Sicherheitsfeature. Funktionalitäten, die über eine Veränderung des Kerns hergestellt werden, unterliegen dem Risiko von Nicht-Kompatibilität bei Updates. Daher ist ein Verzicht auf solche Funktionalitäten von Beginn an anzuraten.
  5. WordPress-Core Editierung im Backend ausschalten
    Die Standardfunktionalität des WordPress-Editors, auch den Core aus dem Backend editieren zu können, ist ein Einfallstor, dass durch Ausschalten der Editing-Funktion geschlossen werden kann. So kann selbst bei einem gehackten Admin-Account keine Veränderung des Kerns vorgenommen werden.
  6. Plugins immer aktuell halten und Abhängigkeiten testen
    Nutzt die Seite Plugins (von Lizenzgebern angebotene programmierte Funktionen, die in das CMS eingebunden werden können), unterliegen diese einer eigenen Update-Routine durch ihre Entwickler und Lizenzgeber. Updates von Plugins können aber Konflikte mit der weiteren WordPress-Programmierung auslösen, in die sie eingebettet wurden. Daher sind Plugin-Update aus Sicherheitsgründen unerlässlich, sollten aber immer mit einem Test der sonstigen Funktionen der Seite nach einem Plugin-Update einhergehen.
  7. Serverseitige Updates fahren und Auswirkungen prüfen
    Die Software-Umgebung des Servers, auf dem das CMS-System samt Schnittstellen, Plugins und weiterer programmierter Funktionalitäten betrieben wird, unterliegt eigenen Update-Routinen. In der häufig anzutreffenden und für WordPress geeigneten Serverkonfiguration LAMP – benannt nach den Anfangsbuchstaben ihrer Bestandteile Linux (Betriebssystem), Apache (Webserver), MySQL (Datenbank) und PHP (Skriptsprache) – sind dies vier potenzielle Quellen für eventuell nach Updates nicht mehr verfügbare Funktionen der Seite oder Sicherheitsprobleme.

Und nun? Unsere Sicherheitspakete für den Website-Betrieb.

Der sichere Betrieb einer Website ist – gleichgültig in welchem Content-Management-System – bereits eine Frage der technischen Architektur. Der weitestmögliche Verzicht auf Plugins bereits in der Programmierung ist ein Bestandteil der Philosophie bei POWER+RADACH – ebenso, wie Funktionalitäten über Veränderungen des WP-Cores zu erzielen. Die Ausstattung des Backends mit zusätzlichen Sicherheitsmerkmalen und Überwachungstools bieten wir ebenso an, wie einen aktiven Check relevanter Funktionalitäten auf der Seite nach Updates.

Die POWER+RADACH Sicherheitspakete „Basic“, „Standard“ und „Comfort“ kombinieren Update, Security und Backup in verschiedenen Intensitätsstufen. Alle bieten Core-Updates und regelmäßige Backups – in der Stufe „Comfort“ auch den Plugin-Check.

Also alles gut und alles sicher? Nein. Eine totale Sicherheit gibt es nicht. Zum einen, weil im immerwährenden Wettstreit zwischen Malware-Produzenten, existierenden Viren und cleveren Hackern auf der einen und Sicherheitsexperten auf der anderen auch einmal die falsche Seite gewinnen kann. Zum anderen, weil auch der User-Faktor nicht ausgeschlossen werden kann. Unser Ziel ist die bestmögliche Sicherheit für die Geschäfts- und Kommunikationsprozesse der jeweiligen Website und eine angepasste Backup-Routine, die für den Fall der Fälle eine schnelle Wiederherstellung garantiert.

(c) POWER+RADACH werbeagentur aachen