Attaken auf WordPress-Installationen geschehen täglich in großer Zahl ohne dass der Webseitenbetreiber davon etwas mitbekommt. Dass die Raffinesse der Hacker immer weiter zunimmt muss nicht extra erwähnt werden.
Bei der Sicherheit von WordPress geht es nicht ausschließlich darum dass nur die eigenen Daten geschützt sind sondern auch darum, dass die Besucher / Leser vor Schaden durch versteckte Scripts etc. verschont werden. Auch wenn ein Betreiber nicht pauschal verantwortlich gemacht werden kann wenn sein WordPress gehackt und zur „Gefahrenschleuder“ gemacht wurde so sollte er zumindest alle Sicherheitsmaßnahmen ausschöpfen um genau dies zu verhindern.
WordPress mit Wordfence sicher machen
Wordfence – ein Plugin für WordPress gibt es in einer Gratis- und Lizenzversion und stellt ein sehr mächtiges Werkzeug in Sachen Sicherheit dar. Es vereint etliche Funktionen anderer Plugins in einer Oberfläche. Für diesen Artikel wurde die Gratisversion näher betrachtet Das Plugin kann über das WordPress Plugin Portal bezogen werden.
Wordfence scannt Dateien und überprüft diese auf verdächtige Veränderungen. Hierbei findet ein Abgleich mit der Datenbank von Wordfence statt in der alle bekannten Schadcodes (Malware) erfasst sind. Besonders hervorzuheben ist, dass auch URLs in Artikeln und Kommentaren überwacht bzw. mit der Google SafeBrowsing List verglichen werden. Besonders in Kommentaren können sich Links einschleichen die auf Seiten mit Schadsoftware (Malware) etc. verweisen.
Ein guter Ansatz ist die integrierte Firewall von Wordfence, denn nicht nur die Besucher und echte Suchmaschinen-Bots verursachen Traffic auf einer Website. Letztere sollte man natürlich nicht aussperren, doch gewitzte Hacker verwenden Bots, die sich beispielsweise als Google Robot gegenüber dem Webserver ausweisen, in Wirklichkeit aber ganz „andere Absichten“ haben als nur unseren Content zu erfassen.
Die Wordefence Firewall erkennt diese „gefakten“ Bots und blockiert deren Zugriff sofort für einen vorher eingstellten Zeitraum von 1 Minute bis 1 Monat.
Weitere Sicherheitsüberprüfungen enthalten:
- Das Scannen des öffentlich zugänglichen Bereichs auf Schwachstellen (nur in der Lizenzversion)
- Die Überprüfung auf mögliche Backdoors und Trojaner
- Die Überprüfung auf unberechtige DNS-Änderungen
- Das Scannen von Dateien außerhalb der eigentlichen WordPress-Installation
- Die Überprüfung der Sicherheit der verwendeten Passwörter
Sicherheit im WordPress Login
Wichtig ist auch die Absicherung des Login-Bereiches von WordPress.
Hier bietet Wordfence eine Einschränkung für die Passwortanforderung (Passwort-vergessen-Funktion). Hier können sowohl die maximal zulässigen Versuche als auch die Dauer der Sperrzeit nach Erreichen der Fehlversuche festgelgt werden. Verwendet jemand den falschen Loginnamen wird dieser sofort für weitere Loginversuche gesperrt.
Findet der Scanner eine verdächtige Datei oder ein anderes Sicherheitsproblem, wird der Administrator per E-Mail benachrichtigt und kann entsprechend reagieren.
Ist alles in Ordnung wird dies in der Übersicht des Plugins dargestellt. Hier erscheinen auch die Probleme die beim Scan erkannt wurden.
Zwei Schwächen konnte ich bei Wordfence bisher ausmachen:
- es gibt keine deutsche Sprachdatei
- ein leistungsstarker Webserver ist empfohlen
Erweiterte Sicherheit in der Premiumversion
Die oben beschriebene Gratisversion hat gegenüber der Premiumversion Einschränkungen. Diese sind:
- Ganze Länder komplett blockieren
- Zeitfernster für den automatischen Scan bestimmen
- Die Anzahl an Auto-Scans pro Tag sind in der Gratisversion auf 1 beschränkt
- Scanoptionen fehlen: Spamvertising Checks, Spam Check, Blacklist Check
- Real-time IP Blacklist nicht verfügbar
- Real-time Firewall Rule Updates nicht verfügbar
- Real-time Malware Signature Updates nicht verfügbar
Die Jahreslizenz für eine Premium Version kostet 99 US $.
Wordefence konnte mich mit seiner Gratisversion durchaus überzeugen. Über ein Upgrade denke ich in jedem Falle nach.