Blog Security Firewall
Wie steht es eigentlich um die Security für Corporate Blogs? Freiberufler nutzen Blogs für ihren Content. Agenturen aus dem Bereich PR, Marketing, Social Media und Beratung bleiben mit guten Blog-Inhalten im Gespräch. Für die Blogsoftware WordPress und für die Erweiterungen, die als WordPress Plugins bekannt sind, erscheinen ständig Updates, die Sicherheitslücken beseitigen. Professionelle Blogbetreiber haben sich daran gewöhnt. Sie wissen, dass die Updates in schneller Folge erscheinen, und bleiben am Ball. Doch wie kann man die Security eines Corporate Blogs darüber hinaus sicherstellen?

Nicht jeder kann oder will sich eine serverseitige Firewall leisten. Die Produkte sind für Freiberufler und Agenturen meist zu teuer. Oder wir können sie auf unserem gemieteten Webspace nicht selbst installieren. Eine Firewall allein reicht zudem nicht aus. Wir benötigen zusätzlich eine Erkennung (Detection) für Malware sowie Schadcode. Sie entspricht der Software, die wir auf unseren Rechnern als Virenscanner benutzen.

Wie kann man sich also optimal schützen, damit unsere Corporate Blogs sicher und zuverlässig laufen?

Die einhundertprozentige Sicherheit gibt es nicht und wird es wohl auch nie geben. Immer wieder werden Angriffe auf Webpräsenzen erfolgen. Immer wieder sind Sicherheitslücken vorhanden, die gestopft werden müssen. Doch es gibt mittlerweile einige Tools auf dem Markt, die das Erkennen von Angriffen recht nutzerfreundlich dokumentieren, so dass man auch ohne IT-Studium versteht, was zu tun ist. Somit kann man die Hacker-Angriffe besser abwehren. Vermeiden kann man sie nicht, aber mittels eines Blockings der IP-Adressen wird den Hackern der Spaß verdorben.

Meine Erfahrung mit der Security für Corporate Blogs

Vor circa zweieinhalb Jahren bin ich bei Recherchen über ein WordPress Security Plugin gestolpert, das mir von der Beschreibung gut gefiel. Ich probierte das Plugin zunächst in der kostenlosen Version auf einer WordPress Testinstallation aus, da ich nie sofort etwas in ein Produktiv-Blog einbinde. Das gefiel mir gut, und es kam nach ein paar Tagen auch in meinen Produktiv-Blogs zur Installation.

Kurze Zeit später hörte ich in einem Gespräch über Security vom Mitarbeiter einer PR-Agentur, dass sie dieses Plugin ebenso benutzen und sehr zufrieden sind. Das bestärkte mich zusätzlich, dieses Plugin weiter zu erproben. Gut finde ich außerdem, wenn man eine lauffähige kostenlose und eine Premium-Version eines Plugins vom Anbieter zur Verfügung gestellt bekommt. So konnte ich in Ruhe feststellen, ob ich die Premium-Features benötige und ob sich die Premium-Variante für mich lohnt. Für einige Kunden-Blogs und für meine eigenen haben wir dann etwas tiefer in die Tasche gegriffen. Es hat sich bisher gelohnt, denn die so abgesicherten Blogs waren bisher gut geschützt. Bei ihnen konnten wir stets den durch Angriffe eingeschleusten Code schnell erkennen und die Lücke in der Security wieder schließen, bevor mehr passierte.

Seit ein paar Wochen habe ich beobachten können, dass immer mehr Lücken in der Security von WordPress Blogs in den Blogger-Facebook-Gruppen thematisiert wurden. Mal ging eine WordPress-Installation durch Hackerangriffe kaputt oder es wurden „böse Links“ in die Blogartikel eingeschleust. Immer wieder ergab der Austausch unter den Bloggern und Betreibern von Corporate Blogs, dass Security Plugins eine wichtige Rolle spielen und dringend empfohlen werden. Dem schließe ich mich an. Exemplarisch für viele Plugins, die es gibt, greife ich das Plugin Wordfence heraus und beschreibe den Einsatzbereich.

Security Plugin Wordfence für Blogs

Wordfence Dashboard Security

Das ist nur der obere Teil des Dashboards von Wordfence (in der Premium-Version). Kleiner Nachteil: Es ist alles in englischer Sprache, aber ich finde, dennoch gut verständlich. Ich sehe auf einen Blick in den Benachrichtigungen (Notifications), dass ich zwei Dinge zu erledigen bzw. zu kontrollieren habe. Der regelmäßige Scan meines Blogs hat zwei Auffälligkeiten ergeben und ich sollte zwei Plugins aktualisieren.

Nachdem ich mein Backup erledigt habe, gehe ich die Plugin-Aktualisierung an. Das ist schnell erledigt. Nun schaue ich mir an, was die Scans ergeben haben. Hierbei geht Wordfence durch die gesamte Installation samt Theme und Plugins sowie Uploads.

Wordfence Security Lücke gefunden

Huch, hier hat sich etwas in den Webstatistiken eingeschmuggelt. Zum Glück war es nicht öffentlich in einem Artikel sichtbar, sondern nur eine fremde Webpräsenz, die als Referer einen Link auf meine Seite gesetzt hat. Ich habe das kontrolliert, indem ich „View the file“ aufgerufen habe und in einem neuen Fenster den Quelltext sehen konnte. Danach habe ich auf „Ignore this issue“ geklickt. Hier sieht man außerdem im Screenshot, dass ich mein Ignorieren auch wieder rückgängig machen kann (Stop ignoring …).

Das waren nur mal zwei kurze Beispiele, wie mir ein Security Plugin bei der täglichen Routine helfen kann. Es kann noch viel mehr. Im Bereich Live Traffic sehe ich, welche Requests (Anfragen) an meine Blogseiten eingehen und welche von Wordfence geblockt werden. Das Länder-Blocking ist übrigens ein Premium-Feature.

Wordfence Security Live Traffic

Erste Hilfe bei Lücken in der Security

Ein Tipp aus der Community, die sich über WordPress Blogs austauscht, lautet: Wenn man auf die Schnelle nicht herausfindet, wo Schadcode oder eine Sicherheitslücke sein könnte, dann installiert man Wordfence. Das funktioniert über das Plugin-Verzeichnis innerhalb der eigenen Installation.

Der Scan, der dann erfolgen kann, zeigt – wie oben der Screenshot mit dem roten Kreuz – mögliche gefährliche Dateien und Skripte an. Wenn man selbst nicht mehr weiter kommt, bietet Wordfence auch eine Säuberung (Cleaning) an, verbunden mit einer Premium-Lizenz für ein Jahr. Den Support (als Premium-Kunde) habe ich auch schon getestet und war damit sehr zufrieden. Meine Frage wurde zügig beantwortet.

Zum Download von Wordfence und zur Infoseite.

Alternative Security Plugins für WordPress

Es gibt noch weitere Plugins, diese habe ich allerdings nicht getestet und kann keine weiteren Hinweise dazu geben. Man sollte auf jeden Fall darauf achten, wie lange das Update eines Plugins her ist (bei manchen seltenen Angeboten sind das mehrere Jahre!) und wie viele Installationen vorgenommen worden sind. Hier ist Wordfence der Spitzenreiter mit über 2 Millionen Installationen. Die letzte Aktualisierung ist (beim Schreiben dieses Artikels) ein paar Stunden her.

  • iThemes Security, früher bekannt als Better WP Security (über 800.000 Installationen, Aktualisierung vor 4 Wochen)
  • All In One WP Security (über 500.000 Installationen, Aktualisierung vor 2 Monaten)
  • Sucuri Security (über 300.000 Installationen, Aktualisierung vor 5 Monaten)

Falls Sie sich weiter in das Thema WordPress Security einlesen möchten, ist für Sie sicher auch unser voriger Beitrag „Warum WordPress-Sicherheit so wichtig ist“ lesenswert.

Ein wichtiger Tipp bei der Auswahl eines Security Plugins zum Schluss: Ich bevorzuge Plugins, die eine definierte Aufgabe haben. Sogenannte Suiten, bei denen noch Backups und weitere Einstellmöglichkeiten (Baustellenseite oder Theme-Einstellungen) möglich sind, erscheinen mir nicht sinnvoll. Diese Plugins möchte ich nicht die ganze Zeit produktiv bei mir laufen haben, daher bevorzuge ich eher die modulare Auswahl und installiere lieber spezifische Plugins extra für die Dauer des Gebrauchs.

Security über das Bloggen hinaus

Wenn – über das Blog oder darüber hinaus (auf dem Computer) – Hacker-Angriffe oder Datendiebstahl erfolgen, dann kann es manchmal teuer werden. Mehr Informationen zur Absicherung bekommt man bei Hiscox, dem Cyber-Spezialversicherer.

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.