Post Format
2. June 2009

Ist mein WordPress sicher?

Mit dieser Frage begab ich mich heute auf den Weg ins Inter­net. Ich meine wir wis­sen, dass jeder Rech­ner der ins Inter­net geht, zumin­d­est einen Viren­scan­ner an Bord haben sollte und im besten Fall eine Fire­wall, aber wie schütze ich am besten meinen Blog, bei sicher­heit­stech­nis­chen Fragen?

Einen Hack­eran­griff auf die Home­page, das wün­sche ich noch nicht mal meinem ärgsten Feind. Vor zwei Jahren, als ich noch mit dem CMS — Sys­tem PHPKIT meine Home­page betrieb, hatte sich ein Hacker, durch eine bekan­nte Sicher­heit­slücke, Zugriff zu meinem Sys­tem ver­schafft. Er hatte mein Admin Pass­wort raus­bekom­men und mich kurz­hand mit­tels Änderung des­sel­bi­gen, aus­ges­perrt. Nach zwei Stun­den Diskus­sion mit meinem Dien­stleis­ter, hatte der das Sys­tem mit einem Mas­ter­pass­word wieder geöffnet. Allerd­ings denke ich heute, hätte ich die Seite ein­fach abschreiben sollen.



Das Bild das mir der Hacker lies!

Ich kann den Schaden, den der Hacker in kürzester Zeit angerichtetet hatte, gar nicht in Worte fassen. Alle Artikel mehr oder min­der gelöscht, die Themes ver­hauen, durch neues Cod­ing, was er imple­men­tiert hatte, usw. Kurz gesagt, total im Ar… !

Über die Moti­va­tion der Hacker läßt sich reich­lich spekulieren und lei­der, wenn man einem solchen Angriff mal zum Opfer gefallen ist, bringt das einen auch nicht wieder auf bessere Gedanken. Aus diesem Grund sei jedem Admin ger­aten, regelmäßige Back­ups, von Daten­banken und den Dateien zu ziehen. Wer sich hierüber noch keine Gedanken gemacht hat, hier ein kleiner Denkanstoss!

Mir ging es aber auch um generelle Sicher­heits­fra­gen, z.B. ist mein Pass­wort sicher genug, welche Zugriff­s­rechte, sollte ich auf den Ord­ner des FTP ein­richten, habe ich alle möglichen Sicher­heit­slücken, die in meiner Ver­ant­wor­tung als Admin liegen, geschlossen?

Das Bild das mir der Hacker lies!

Also habe ich mich heute auf den Weg gemacht und ein Tool gefun­den, dass den oben genan­nten Ansprüche, abso­lut genügt: WP Secu­rity Scan

Mein Ein­druck

  1. Instal­la­tion:

    Wie bei den meis­ten Plu­g­ins gestal­tet sich die Instal­la­tion auch hier sehr ein­fach: Über FTP hochladen und in den Ein­stel­lun­gen für Plu­g­ins aktivieren. Fertig!

  2. Erschei­n­ung­bild:

    Es erscheint auf der linken Seite des Admin­con­tents ein neuer Layer mit Namen “Secu­rity”. Wenn man hier draufk­lickt, bekommt man eine übersichtliche Auf­stel­lung der eventuellen Ein­stiegspunkte für Hacker.

    1. All­ge­meine Übersicht:

      Hier wird eine all­ge­meine Übersicht, über gängige Fehler bei der Instal­la­tion von Word­Press in sicher­heit­stech­nis­cher Hin­sicht, gegeben. Zum Beispiel, den User Admin umbe­nen­nen. Aber auch das Pre­fix für die Daten­bank Tabellen wird hier geprüft.

    2. Scan­ner:

      Mit Hilfe des Scan­ners wer­den die Schreibrechte auf den einzel­nen Ord­nern geprüft und mit­tels Farbe (rot/grün) als kri­tisch oder unkri­tisch markiert.

    3. Pass­word Tool:

      Hier wird die Stärke eures Pass­wortes gemessen. Soll heißen, wie leicht ist dieses Pass­wort zu ermit­teln. Außer­dem wird ein Vorschlag gemacht, wie ein sicheres Pass­wort ausse­hen kann, was von Hack­ern nicht so schnell ermit­telt wer­den kann.

    4. Data­base:

      Hier wird ein Tool ange­boten, mit dessen Hilfe das Pre­fix der Daten­bank Tabellen geän­dert wer­den kann. Vorher natür­lich die Daten­bank sichern.

    5. Sup­port:

      Hier wer­den die Punkte Changelog, Doc­u­men­ta­tion, Change Word­Press Databse Table Name Pre­fix genauer abge­han­delt und es gibt die Möglichkeit Anmerkun­gen zu dem Plu­gin zu machen.

  3. Zusam­men­fas­sung:

    Dieses Plu­gin ist genau das was ich gesucht habe. Dem Admin wer­den klas­sis­che Sicher­heit­slücken, leicht ver­ständlich erk­lärt und auch eine Lösungsmöglichkeit direkt an die Hand gegeben, die leicht umzuset­zen sind.

Ich kann euch nur empfehlen, dieses Tool ein­fach mal auszupro­bieren. Der Plu­gin WP Secu­rity Scan kann hier gedown­loadet werden.

Wie schützt ihr eigentlich euer Sys­tem vor Hack­ern und welche Erfahrun­gen habt ihr mit eurem Sys­tem gemacht?

Alter­na­tive Artikel:

  1. MIt­tels Plu­g­ins euren Word­Press Blog beschle­u­ni­gen und opti­mieren um euer Pager­ank zu verbessern
  2. schneller Arbeiten mit einge­blende­ter Admin­bar in eurem Word­Press Blog
  3. Word­Press entschlanken und beschle­u­ni­gen leicht gemacht — 3 Tipps
  4. Word­Press und der ver­flixte weiße Bild­schirm — vielle­icht hier eine Lösung
  5. Fehler­seite 404 sin­nvoll ein­set­zen und die 5 let­zten Artikel anzeigen in WordPress

7 comments

  1. Matze

    06/06/2009 @ 11:25

    Hallo Mac_betH,
    ja, ja! Hacker, das sind diese ungeliebten Typen, die alles an dem du gear­beitet hast aus reiner Lust kaputt machen!
    Ich hatte auch mal einen Hack­eran­griff gehabt und seit­dem ver­suche ich alles was ich in der Hin­sicht habe, zu schützen!
    Ich finde dieses Plu­gin hier klasse, muss aber auch zugeben, dass ist wirk­lich nur für das abso­lut notwendig­ste gedacht. Allerd­ings für jeman­den, der ger­ade erst anfängt mit Word­Press, genau das Richtige!

    Reply
  2. Michael

    27/04/2010 @ 08:45

    Danke dir für den Denkanstoß. Ja an die Back­ups sollte man immer denken, vor allem das sie auch regelmäßig gemacht wer­den. Denn wenn mal was passiert, dann ist schnell die Kacke am dampfen.

    Hab gle­ich mal aktuelle Back­ups gemacht und auf meinen lokalen Rech­ner gezo­gen, sowie auf eine externe Fest­platte und auf dem FTP belassen. Denn sicher ist sicher ;-)

    Hoffe das wir vor solchen Hack­eran­grif­fen ver­schont bleiben.

    Micha

    Reply
    • Mac_BetH

      27/04/2010 @ 19:25

      freut mich dass ich dir beim Denken helfen kon­nte! ;-)

      Ich will auch keinen Hack­eran­griff mehr erleben!

      Glaub mir!

      Gruß

      Matthias

      Reply
  3. thomas57

    08/05/2010 @ 16:09

    Ich hatte vor ca. 2 Jahren ein­mal einen Hack­eran­griff einer türkischen Gruppe. Diese hatte zu meinem Glück nur die Start­seite verän­dert. Dies hätte sicher­lich auch anders aus­ge­hen kön­nen, seit­dem ich aber mit Word­Press unter­wegs bin hat es noch keiner geschafft. (Toi Toi mal schnell auf Holz klop­pen)
    Ich ver­wende unter anderem auch AntiVirus von Sergej Müller.
    Gruß aus dem Nor­den von
    Thomas

    Reply
    • Mac_BetH

      10/05/2010 @ 06:38

      Hallo Thomas,

      dann schnell auf Holz klopfen, seit­dem ich mit Word­Press unter­wegs bin ist Gott sei Dank auch nichts mehr passiert.

      Zur zusät­zlichen Sicher­heit, lade ich aber regelmäßig die Dateien und die Daten­bank runter!

      Und du?

      Gruß

      Matthias

      Reply
  4. Sven

    26/07/2011 @ 09:28

    Ich weiß, der Artikel ist schon alt, aber die meis­ten Prob­leme gibt es eben immer mit ver­al­teten Sys­te­men. Ich hatte auch ein­mal einen Angriff, welches das Quiz-Script, welches ich damals auf dem Server hatte, nicht überlebt hat. Zum Glück wurde nur das Quiz gehackt und nicht das Sys­tem an sich, womit der Schaden rel­a­tiv ger­ing war, aber das Script war halt zu ver­al­tet, weswe­gen Tipp Num­mer eins wohl immer nur sein kann, die PHP-Programme immer auf dem laufenden zu hal­ten. Das gilt für Word­Press genauso, wie für die ganzen Plu­g­ins die instal­liert sind.

    Reply
    • Mac

      26/07/2011 @ 22:15

      Und? Auch alte Artikel kön­nen noch wichtige Infor­ma­tio­nen enthal­ten, oder?

      Und ja du hast Recht, um solchen Prob­le­men vorzubeu­gen, ist es immer rat­sam das Sys­tem auf dem aktuell­sten Stand zu hal­ten. Und dann kann man auch solche Prob­leme umge­hen! ;-)

      Reply

Leave a Reply

Required fields are marked *.

*


This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg