Wie steht es eigentlich um die Security für Corporate Blogs? Freiberufler nutzen Blogs für ihren Content. Agenturen aus dem Bereich PR, Marketing, Social Media und Beratung bleiben mit guten Blog-Inhalten im Gespräch. Für die Blogsoftware WordPress und für die Erweiterungen, die als WordPress Plugins bekannt sind, erscheinen ständig Updates, die Sicherheitslücken beseitigen. Professionelle Blogbetreiber haben sich daran gewöhnt. Sie wissen, dass die Updates in schneller Folge erscheinen, und bleiben am Ball. Doch wie kann man die Security eines Corporate Blogs darüber hinaus sicherstellen?
Nicht jeder kann oder will sich eine serverseitige Firewall leisten. Die Produkte sind für Freiberufler und Agenturen meist zu teuer. Oder wir können sie auf unserem gemieteten Webspace nicht selbst installieren. Eine Firewall allein reicht zudem nicht aus. Wir benötigen zusätzlich eine Erkennung (Detection) für Malware sowie Schadcode. Sie entspricht der Software, die wir auf unseren Rechnern als Virenscanner benutzen.
Wie kann man sich also optimal schützen, damit unsere Corporate Blogs sicher und zuverlässig laufen?
Die einhundertprozentige Sicherheit gibt es nicht und wird es wohl auch nie geben. Immer wieder werden Angriffe auf Webpräsenzen erfolgen. Immer wieder sind Sicherheitslücken vorhanden, die gestopft werden müssen. Doch es gibt mittlerweile einige Tools auf dem Markt, die das Erkennen von Angriffen recht nutzerfreundlich dokumentieren, so dass man auch ohne IT-Studium versteht, was zu tun ist. Somit kann man die Hacker-Angriffe besser abwehren. Vermeiden kann man sie nicht, aber mittels eines Blockings der IP-Adressen wird den Hackern der Spaß verdorben.
Meine Erfahrung mit der Security für Corporate Blogs
Vor circa zweieinhalb Jahren bin ich bei Recherchen über ein WordPress Security Plugin gestolpert, das mir von der Beschreibung gut gefiel. Ich probierte das Plugin zunächst in der kostenlosen Version auf einer WordPress Testinstallation aus, da ich nie sofort etwas in ein Produktiv-Blog einbinde. Das gefiel mir gut, und es kam nach ein paar Tagen auch in meinen Produktiv-Blogs zur Installation.
Kurze Zeit später hörte ich in einem Gespräch über Security vom Mitarbeiter einer PR-Agentur, dass sie dieses Plugin ebenso benutzen und sehr zufrieden sind. Das bestärkte mich zusätzlich, dieses Plugin weiter zu erproben. Gut finde ich außerdem, wenn man eine lauffähige kostenlose und eine Premium-Version eines Plugins vom Anbieter zur Verfügung gestellt bekommt. So konnte ich in Ruhe feststellen, ob ich die Premium-Features benötige und ob sich die Premium-Variante für mich lohnt. Für einige Kunden-Blogs und für meine eigenen haben wir dann etwas tiefer in die Tasche gegriffen. Es hat sich bisher gelohnt, denn die so abgesicherten Blogs waren bisher gut geschützt. Bei ihnen konnten wir stets den durch Angriffe eingeschleusten Code schnell erkennen und die Lücke in der Security wieder schließen, bevor mehr passierte.
Seit ein paar Wochen habe ich beobachten können, dass immer mehr Lücken in der Security von WordPress Blogs in den Blogger-Facebook-Gruppen thematisiert wurden. Mal ging eine WordPress-Installation durch Hackerangriffe kaputt oder es wurden „böse Links“ in die Blogartikel eingeschleust. Immer wieder ergab der Austausch unter den Bloggern und Betreibern von Corporate Blogs, dass Security Plugins eine wichtige Rolle spielen und dringend empfohlen werden. Dem schließe ich mich an. Exemplarisch für viele Plugins, die es gibt, greife ich das Plugin Wordfence heraus und beschreibe den Einsatzbereich.
Security Plugin Wordfence für Blogs
Das ist nur der obere Teil des Dashboards von Wordfence (in der Premium-Version). Kleiner Nachteil: Es ist alles in englischer Sprache, aber ich finde, dennoch gut verständlich. Ich sehe auf einen Blick in den Benachrichtigungen (Notifications), dass ich zwei Dinge zu erledigen bzw. zu kontrollieren habe. Der regelmäßige Scan meines Blogs hat zwei Auffälligkeiten ergeben und ich sollte zwei Plugins aktualisieren.
Nachdem ich mein Backup erledigt habe, gehe ich die Plugin-Aktualisierung an. Das ist schnell erledigt. Nun schaue ich mir an, was die Scans ergeben haben. Hierbei geht Wordfence durch die gesamte Installation samt Theme und Plugins sowie Uploads.
Huch, hier hat sich etwas in den Webstatistiken eingeschmuggelt. Zum Glück war es nicht öffentlich in einem Artikel sichtbar, sondern nur eine fremde Webpräsenz, die als Referer einen Link auf meine Seite gesetzt hat. Ich habe das kontrolliert, indem ich „View the file“ aufgerufen habe und in einem neuen Fenster den Quelltext sehen konnte. Danach habe ich auf „Ignore this issue“ geklickt. Hier sieht man außerdem im Screenshot, dass ich mein Ignorieren auch wieder rückgängig machen kann (Stop ignoring …).
Das waren nur mal zwei kurze Beispiele, wie mir ein Security Plugin bei der täglichen Routine helfen kann. Es kann noch viel mehr. Im Bereich Live Traffic sehe ich, welche Requests (Anfragen) an meine Blogseiten eingehen und welche von Wordfence geblockt werden. Das Länder-Blocking ist übrigens ein Premium-Feature.
Erste Hilfe bei Lücken in der Security
Ein Tipp aus der Community, die sich über WordPress Blogs austauscht, lautet: Wenn man auf die Schnelle nicht herausfindet, wo Schadcode oder eine Sicherheitslücke sein könnte, dann installiert man Wordfence. Das funktioniert über das Plugin-Verzeichnis innerhalb der eigenen Installation.
Der Scan, der dann erfolgen kann, zeigt – wie oben der Screenshot mit dem roten Kreuz – mögliche gefährliche Dateien und Skripte an. Wenn man selbst nicht mehr weiter kommt, bietet Wordfence auch eine Säuberung (Cleaning) an, verbunden mit einer Premium-Lizenz für ein Jahr. Den Support (als Premium-Kunde) habe ich auch schon getestet und war damit sehr zufrieden. Meine Frage wurde zügig beantwortet.
Zum Download von Wordfence und zur Infoseite.
Alternative Security Plugins für WordPress
Es gibt noch weitere Plugins, diese habe ich allerdings nicht getestet und kann keine weiteren Hinweise dazu geben. Man sollte auf jeden Fall darauf achten, wie lange das Update eines Plugins her ist (bei manchen seltenen Angeboten sind das mehrere Jahre!) und wie viele Installationen vorgenommen worden sind. Hier ist Wordfence der Spitzenreiter mit über 2 Millionen Installationen. Die letzte Aktualisierung ist (beim Schreiben dieses Artikels) ein paar Stunden her.
- iThemes Security, früher bekannt als Better WP Security (über 800.000 Installationen, Aktualisierung vor 4 Wochen)
- All In One WP Security (über 500.000 Installationen, Aktualisierung vor 2 Monaten)
- Sucuri Security (über 300.000 Installationen, Aktualisierung vor 5 Monaten)
Falls Sie sich weiter in das Thema WordPress Security einlesen möchten, ist für Sie sicher auch unser voriger Beitrag „Warum WordPress-Sicherheit so wichtig ist“ lesenswert.
Ein wichtiger Tipp bei der Auswahl eines Security Plugins zum Schluss: Ich bevorzuge Plugins, die eine definierte Aufgabe haben. Sogenannte Suiten, bei denen noch Backups und weitere Einstellmöglichkeiten (Baustellenseite oder Theme-Einstellungen) möglich sind, erscheinen mir nicht sinnvoll. Diese Plugins möchte ich nicht die ganze Zeit produktiv bei mir laufen haben, daher bevorzuge ich eher die modulare Auswahl und installiere lieber spezifische Plugins extra für die Dauer des Gebrauchs.
Security über das Bloggen hinaus
Wenn – über das Blog oder darüber hinaus (auf dem Computer) – Hacker-Angriffe oder Datendiebstahl erfolgen, dann kann es manchmal teuer werden. Mehr Informationen zur Absicherung bekommt man bei Hiscox, dem Cyber-Spezialversicherer.
Autorin dieses Beitrags:
Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.
Der Artikel ist an den Laien gerichtet, das sollte erwähnt werden.
Sorry, aber diese Plugins (PHP Ebene) schützen nur sehr bedingt vor Angriffen auf PHP Ebene. Sie schützen vor offensichtlichen einfach erkennbaren Angriffsarten, die über bekannte Wege gehen und bekannte Muster aufweisen (das ist nichts anderes als Mustererkennung). Ich empfehle mal jedem technisch versierten eine Sicherheitslücke einzubauen, die vom Typ PHP Object Injection ist und sie mal auszunutzen – bei aktiviertem WordFence. Da wird man staunen und schnell die Grenzen von „Ich verwende ein PHP Plugin zum Schutz vor Angriffen auf PHP“ sehen.
Man darf sich auch mal die letzten paar Sicherheitslücken im WP Core anschauen und fragen, warum so etwas wie WordFence niemanden vor geschützt hat? Eben… diese Plugins schützen nur so lange, bis man eben gehackt wurde 😉
Ich will damit nicht sagen, dass man auf solche Dinge verzichten soll – besser als nix, sagt man so schön. Aber es gibt deutlich effizientere Wege seine Website – oder die des Kunden – zu schützen und das auf Serverebene (Dateirechte, Ausführung, Nutzerrechte). Wessen Seite wichtig ist, der sollte sowieso Spezialisten anheuern, die nach Lücken suchen. Da findet man wunderschönes Zeug (ich habe diese Woche zwei Sicherheitslücken in Plugins gefunden und gemeldet, bei denen hunderttausende betroffen sind bzw sein werden.)
Ich hab mittlerweile im Wochentakt mit gehackten Seiten zu tun, muss sie säubern und absichern. Bisher wurde keine mehr gehackt – und keine verwendet WordFence und Co. Die Auswahl des Serveranbieters ist da viel wichtiger.
Was leider ebenfalls oft mit richtiger Sicherheit verwechselt wird, ist Security by Obscurity – ebenfalls so ein Ding, worauf man verzichten kann.
Wen das Thema interessiert, findet bei mir eine techniklastige Anleitung, wie man viele Backdoors und Probleme findet. Hier sollte man aber immer jemanden ranlassen, der garantieren kann, dass wirklich alles an Backdoors nach einem Hack gefunden wird und der im besten Fall selbst in dem Bereich tätig ist, d.h. Sicherheitslücken sucht, findet, weiß wie Hacker denken, was es für Möglichkeiten gibt (schonmal einen Backdoor als WordPress Binärsprachdatei gesehen?) etc. pp.
Details: https://www.damianschwyrz.de/php-backdoors-und-shells-finden-eine-kurze-anleitung/
Grüße,
Damian
Hallo Damian,
es hat leider etwas gedauert, bis ich deinen Kommentar durchlesen konnte. Zwischendrin habe ich Geburtstag gehabt. Da hoffe ich mal auf dein Verständnis für die kleine Verzögerung bis zu meiner Antwort. Vorab: Danke für deinen langen Kommentar, super!
Du schreibst: „Ich will damit nicht sagen, dass man auf solche Dinge verzichten soll – besser als nix, sagt man so schön.“ Und genau das war meine Intention für diesen Artikel. Kleine Geschichte dazu: Ich habe bei einem meiner Kunden, der ziemlich viel selber machen möchte, auf seinen Wunsch das Wordfence installiert. Er experimentiert gern herum, hat dutzende Plugins und ist dann gehackt worden. Er hätte das ohne Wordfence nicht gemerkt! Dann konnte ich eingreifen. Eines der Plugins war „durchlässig“ geworden. Naja, keine weiteren Details. Aber hier war es wirklich sehr sinnvoll.
Auch viele Blogger, mit denen ich mich unterhalte, nutzen es zum Finden von „malicious code“ und empfehlen es weiter. Natürlich – da hast du völlig Recht – reicht das Wordfence alleine nicht aus. Dieser Artikel war dafür gedacht, dass eben „besser als nix“ besser ist. Für einen megatechnischen Fachartikel würde ich das Hiscox-Blog auch nicht sehen, eher zum „Anteasern von Tech-Themen“. Da gibt es ja Blogger wie dich für. Habe mir auf jeden Fall deinen Blog in meine Lesezeichen genommen.
Hi Nicole,
kein Ding und alles Gute nachträglich 😉
Ich habe mir deinen Artikel und meine leider immer wiederkehrenden Erfahrungen mit Corporate-Kunden zu Herzen genommen und zu dem Thema einen Fachartikel verfasst, der im Grunde die Grenzen von WordFence und Co. zeigt. Abschließend gibt es noch eine eher unbekannte, aber genutzte Methode, Backdoors so zu verstecken, dass WordFence sie nicht finden kann. Zum Schluss gibt es dann noch das ein oder andere als Tipps auf den Weg.
Sicherlich auch für dich/euch lesenswert: https://www.damianschwyrz.de/schuetzen-wordfence-ithemes-security-meine-wordpress-seite-so-gut-wie-alle-behaupten-nein/
Die Intention dahinter ist nicht, das Plugin schlecht zu machen, aber zu zeigen, dass es für Unternehmenskunden (Reputation, Sicherheit, Daten, …) fahrlässig ist, sich auf so etwas zu verlassen. Für den kleinen Blogger sieht die Sache anders aus, aber auch der kann mit wenig Hilfsmitteln seine Seite wirklich sicher bekommen – oder zumindest auf ein Niveau bringen, was schon enormes Wissen in dem Bereich bedarf, um trotzdem „rein zu kommen“.
Grüße,
Damian