Ich hatte das Glück in Bulgarien beim WordCamp Europe dabei zu sein und habe mich ein Wochenende lang mit anderen WordPress Benutzern und Entwicklern unterhalten und mir spannende Vorträge angehört. Einer der Redner war Tony Perez, mit seinem Vortrag “WordPress Security – It starts with posture”.
Ich wusste von Tony Perez dass er sich kommerziell mit WordPress-Administration und Sicherheit beschäftigt, und so rechnete ich mit den neusten Informationen über Gefahren, Schutzmassnahmen und etwas Panikmache, denn ein Mensch der sein Geld mit Sicherheitsdienstleistungen verdient wird wohl stets versuchen seine Zuhörer von der Notwendigkeit seiner Tätigkeit zu überzeugen. Ich sollte mich wundern, auch im Gespräch nach dem Vortrag. Aus diesem Grund habe ich den Vortrag sinngemäss versucht zusammenzufassen
Sicherheit ist wichtig. Jeder der etwas von Wert besitzt möchte diese Dinge beschützen, und ist bereit dafür Dinge zu tun. Dennoch wird Gefahr erst realistisch wahrgenommen wenn sie einen selbst betrifft. Bis zu dem Punkt an dem man selber in die Situation kommt dass die eigene Webseite Korrumpiert wurde, Daten gestohlen oder Server gehackt wurden, möchte man gar nicht glauben dass diese Dinge einem selber passieren können.
Wenn dieser Punkt erreicht wurde ist es generell schon zu spät um etwas zu schützen. Hier kann lediglich Schadensbegrenzung betrieben werden und im besten Fall der Originalzustand wiederhergestellt werden.
Warum wird WordPress so stark angegriffen?
WordPress ist gross. Es ist eine gewaltige Community von Benutzern aus unzähligen Bereichen, die alle das gleiche System benutzen. Weil es einfach ist. Weil es schnell ist. Das ist die grosse Stärke von WordPress – und seine grösste Schwäche. Wenn eine grosse Marke wie WordPress langfristig funktionieren soll, muss sie sich entsprechend Ihrer Grösse weiterentwickeln, und das ist nur möglich wenn alle Benutzer ihren Teil dazu beisteuern.
Was wurde vergessen?
Der normale Internetbenutzer kennt sich nicht mit Sicherheit aus. Es ist auch nicht seine Pflicht, sich damit auszukennen. Er möchte nur eine schnelle Lösung, und im Detail interessiert es ihn nicht. Er möchte es lediglich haben. Er möchte die Sicherheit und er möchte sie schnell. Leider ein Widerspruch in sich. Wenn jemand wirklich auf eine Webseite zugreifen möchte dann wird er es sicherlich früher oder später hinkriegen, egal welche Sicherheitsvorkehrungen getroffen wurden. Aber die Realität sieht meist anders aus. Kompromittierungsversuche sind für gewöhnlich automatisierte Angriffe auf mehrere Server zugleich. Dies sind simple Angriffe die nicht versuchen die Sicherheitsvorkehrungen einer Seite zu brechen, sondern Lücken in dieser zu suchen.
Rückmeldung>Sicherheit>Ermittlung
Wie wird man auf Gefahr aufmerksam? Entweder weil man sie selbst miterlebt, oder weil man davor gewarnt wurde. Der erste und wichtigste Schritt in WordPress-Sicherheit ist Kommunikation. Die eigenen Erfahrungen mit anderen WP-Benutzern teilen, vor Gefahren warnen, und umgekehrt von den Erfahrungen anderer lernen und sich weiterentwickeln.
Nachdem man die Gefahr kennt kann man sich dagegen Schützen. Es gibt für jeden Angriff eine Gegenmassnahme, und wenn nicht, dann kann er entwickelt werden. nachdem also die Sicherheit nach bestem Gewissen erzeugt wurde muss eben diese geprüft werden. Gab es Angriffsversuche? Wurden diese Abgewehrt? Wer hat sich eingeloggt? Ein Zugriff aus Russland, obwohl alle bekannten Benutzer in Amerika sitzen, sollte jeden stutzig machen.
Die wohl bekanntesten Angriffsformen sind:
- Brute-force attacks – das massive durchprobieren von Account- und Passwortkombinationen
- DDoS attacks – künstlich erzeugte Spitzen von Anfragen um einen Server ausser Betrieb zu setzen und ein Sicherheitssystem zu umgehen
- Malware – Das einführen von Schadcode über installierte Applikationen, Plugins, Themes oder JavaScript und Cookies
Worauf geachtet werden sollte
- Passwörter: Wer einen Passwortmanager benutzt braucht keine Passwörter die man sich merken kann. Es ist also möglich viele, sehr schwer zu knackende Passwörter zu erstellen und sich nur ein einziges Master-Passwort merken zu müssen.
- Drittanbieter-Software: Es ist unsinnig 50 Themes zu installieren und über Performanceprobleme zu klagen, oder 200 Plugins zu installieren, von denen 150 deaktiviert sind. Jedes einzelne ist eine Schwachstelle, eine Möglichkeit mehr auf die Seite zu kommen, Schadcode einzufügen, oder Daten abzugreifen.
- Zugriffsbeschränkung: Eine Seite braucht keine 20 Administratoraccounts. Sicher, es ist sehr bequem wenn jeder Benutzer alles machen kann ohne eine zweite Person benachrichtigen muss, und Dinge ausprobieren ohne lange warten zu müssen. Doch, ist ein Account kompromittiert der Zugriff auf die gesamte Seite hat, ist die ganze Seite gefährdet. Besitzen die Accounts allerdings lediglich Rechte für die Dinge die sie wirklich benötigen, ist nur ein Teil betroffen, und die wichtigen Bereiche sind geschützt. Wenn jemand wirklich vollen Zugriff auf etwas benötigt, so kann man diesem temporär vergeben und das Risiko minimieren.
Schluss
WordPress ist ein sehr gutes CM-System das schnell und ohne Vorkenntnisse Ergebnisse liefern kann. Diese allgegenwärtige Einfachheit wiegt schnell in eine gewisse Sicherheit, da beinah jedes Problem aus dem Weg geräumt wurde. Dennoch sollte man für ein langfristig funktionierendes System auch sorgfältig planen und gewissenhaft damit umgehen. Selbst das ist mit WordPress sehr einfach. Es ist lediglich eine Frage der Einstellung.
Sein Name ist Tony Perez, und er hat mich am 28. September in Bulgarien sehr beeindruckt:
Schreibe einen Kommentar