Attaken auf einen Blog gibt es über einen Tag betrachtet in großer Zahl ohne dass der Admin davon etwas mitbekommt. Über das Plugin Limit Login Attempts und dessen Schutzmöglichkeiten hatte ich diesbezüglich schon berichtet.
Dass der Schutz dieses Plugins ggf. schnell an seine Grenzen kommen kann und weitere Sicherheitsmechanismen wichtig sind möchte ich an dieser Stelle der Vollständigkeit halber nicht verschweigen. Dass die Raffinesse der Hacker immer weiter zunimmt muss denke ich nicht extra erwähnt werden.
Bei der Blogsicherheit geht es mir nicht ausschließlich darum dass meine eigenen Daten geschützt sind sondern insbesondere auch darum, dass meine Besucher / Leser vor Schaden durch versteckte Scripts etc. verschont werden. Auch wenn ein Blogautor nicht pauschal verantwortlich gemacht werden kann wenn sein Blog gehackt und zur „Gefahrenschleuder“ gemacht wird so sollte er zumindest alle Sicherheitsmaßnahmen ausschöpfen um genau dies zu verhindern.
Inhaltsverzeichnis zum Beitrag
WordPress mit Wordfence absichern
Wordfence – ein Plugin für WordPress das es in einer Gratis- und Lizenzversion gibt – stellt ein sehr mächtiges Werkzeug in Sachen Sicherheit für den Blog dar und vereint etliche Funktionen anderer Plugins in einer Oberfläche. Für diesen Artikel habe ich mir die Gratisversion näher angesehen. Download des Plugins über das WordPress Plugin Portal.
Wordfence scannt Dateien und überprüft diese auf verdächtige Veränderungen. Hierbei findet ein Abgleich mit der Datenbank von Wordfence statt in der alle bekannten Schadcodes (Malware) erfasst sind. Besonders hervorzuheben ist, dass URLs in Artikeln und Kommentare überwacht bzw. mit der Google SafeBrowsing List verglichen werden. Speziell in Kommentaren können sich Links einschleichen die auf Seiten mit Schadsoftware (Malware) etc. verweisen.
Ein guter Ansatz ist auch die integrierte Firewall bei Wordfence. Wer auf unseren Seiten alles Traffic verursacht sind nicht nur die Besucher und echte Suchmaschinen-Bots. Letztere sollte man natürlich nicht aussperren. Doch gewitzte Hacker schicken auch Bots auf die Reise die sich beispielsweise als Google Robot gegenüber dem Webserver ausweisen, in Wirklichkeit aber ganz „andere Absichten“ haben als nur unseren Content zu erfassen.
Wordefence Firewall erkennt diese „gefakten“ Bots und blockiert deren Zugriff sofort für einen vorher in den Einstellungen festgelegten Zeitraum von 1 Minute bis 1 Monat.
Weitere Überprüfungen zur Blogsicherheit sind:
- Scannen des öffentlich zugänglichen Bereichs auf Schwachstellen (nur in der Lizenzversion)
- Überprüfung auf mögliche Backdoors und Trojaner
- Überprüfung auf unberechtige DNS-Änderungen
- Scannen von Dateien außerhalb der eigentlichen WordPress-Installation
- Überprüfung auf Sicherheit der verwendeten Passwörter
Verwendet jemand ein privates Netzwerk von dem er auf WordPress zugreift, so kann die jeweilige IP in eine Whitelist eingetragen werden, dass es nicht irrtümlich zu einer Blockierung komt.
WordPress Login Sicherheit
Ein wichtiger Punkt ist auch die Absicherung des Login-Bereiches von WordPress. Der Einsatz des Plugins Limit Login Attempts (LLA) lässt sich dadurch komplett „einsparen“. Dies kommt unter dem Strich wieder der Performance zu Gute.
Die Einstellungen hier sind denen von LLA sehr ähnlich. Zusätzlich gibt es eine Limitierung für den Punkt Passwortanforderung (Passwort vergessen). Für beide Funktionen können sowohl maximal zulässige Versuche als auch die Dauer der Sperrzeit nach Erreichen der Fehlversuche festgelgt werden. Wordfence setzt hier noch einen sehr interessanten Punkt gegenüber LLA oben drauf. Verwendet jemand den falschen Loginnamen wird dieser sofort für weitere Loginversuche gesperrt.
Verwendet jemand ein privates Netzwerk von dem er auf WordPress zugreift, so kann die jeweilige IP in eine Whitelist eingetragen werden, dass es nicht irrtümlich zu einer Blockierung kommt.
Stößt der Scanner auf eine verdächtige Datei oder gibt es ein anderes Sicherheitsproblem wird der Administrator sofort per E-Mail benachrichtigt und kann entsprechend reagieren.
Ist alles in Ordnung wird dies in der Gesamtübersicht des Plugins entsprechend dargestellt. Hier erscheinen auch Probleme die beim Scan erkannt wurden. Eine ggf. notwendige Editierung eines Artikels ist direkt von hier aus möglich.
Fehlermeldungen
Wer eine deutsche Installation von WordPress nutzt wird bei einem Scan pauschal immer drei Warnungen zu sehen bekommen:
Comparing core WordPress files against originals in repository
Comparing open source themes against WordPress.org originals
Comparing plugins against WordPress.org originals
Alle drei Meldungen beruhen darauf, dass es durch die Sprachübersetzung ins Deutsche Veränderungen zur Originalversion existieren. Sie können somit irgnoriert werden.
Zwei Mankos die ich bei Wordfence bisher ausmachen konnte sind:
- für das Plugin gibt es leider keine deutsche Sprachdatei
- für leistungsschwache Webserver nur bedingt geeignet
Lizenzversion
- Die getestete Gratisversion hat gegenüber der Lizenzversion einige Einschränkungen. Zu diesen zählen:
- Diverse Länder komplett blockieren
- Einstellung eines Zeitfernsters für den Scanner
- Anzahl der Scans pro Tag (Gratisversion 1x pro Tag)
- Überprüfung auf Remotezugänge zum Blog
Die Jahreslizenz für einen Blog kostet 39 US $.
Wordefence konnte mich durchaus überzeugen auch wenn hier momentan „nur“ die Gratisversion läuft. Über ein Upgrade denke ich in jedem Falle nach.
Hi Thomas
Ich hatte letzte Woche das erste Mal von Wordfence in den Kommentaren bei Fulano gelesen und hatte es dann auch mal im Test.
Wei du bereits oben geschrieben hast, konnte ich so schon einmal 2 Kommentare ausknipsen und hatte dann noch folgende Meldungen:
4x WordPress core file modified
13x Modified plugin file
Die kann man dann deiner Meinung nach vernachlässigen?
Ansonsten noch ein guter Hinweis mit dem ersetzen der Limit Login Attempts. Werde ich dann wohl ebenfalls so vornehmen.
Danke dir für deinen in die Tiefe gehenden Artikel zu diesem Plugin!
@Alex: 13 modifizierte Plugins…..hm. Modifiziert hört sich natürlich relativ an. Das können eigene Anpassungen sein, natürlich auch böswillige. Da möchte ich pauschal jetzt nichts dazu sagen wobei meine Tendenz stark zu angepassten Plugins (Sprachdateien etc.) geht. Solange unten „der grüne Daumen“ erscheint sollte nichts Böses im Busch sein.
@Nils: Ja und nein. Ja, was den Virenscan betrifft. Nein was so manch andere Funktion von Wordfence angeht. Gut finde ich hier wie gesagt die Vereinigung mehrerer Plugins in einem einzigen. 100% Sicherheit bekommt man eh nicht, egal wie und mit was man auch absichert. Aber so ein bisschen denke ich kann man schon tun. Scheunentore sind allerdings nicht abzusichern. Hätte jetzt nicht gedacht dass 1&1 da so lasch verfährt.
Also ist Wordfence mit dem Anti-Virus Plugin von Sergej zu vergleichen?
Benutze aktuell BulletProof Security für die Blockierung von Zugriffen auf den Server. Dann natürlich Limit Login für den Dashboard Zugriff und beide haben schon laut Log wirklich gute Arbeit geleistet.
Wenn man sein Theme und sein WordPress auch kennt und sich damit auseinander setzt dann kann ein da relativ wenig passieren. Außer man hat einen Hacker der einfach die komplette Seite löscht und seine eigene dort hinpflanzt und sowas kann in wenigen Minuten passieren.
Ist mir mal bei einem 1und1 V-Server für 5 Jahren passiert aber die waren auch sicher wie ein Scheunentor!
Hi Thomas,
danke für den guten Artikel. Nur eine Frage: Du schreibst: „für leistungsschwache Webserver nur bedingt geeignet“. Kannst du kurz erklären, warum? Der Haken ist m.E. bei allen Security-PlugIns, dass man dazu neigt sie alle reinzustopfen (viel hilft viel), aber keine Ahnung hat, was das mit der Performance macht.
Wordfence gefällt mir daher ganz gut, weil es in einem Rutsch viel abdeckt.
Wer aber eben doch einen langsamen Server hat, was würdest du dem empfehlen?
@Jens: Willkommen bei Nicht-spurlos. Je nach Konfiguration des Plugins (Filterung nach Ländern, einzelner IPs etc.) kann die Rechenleistung und somit Belastung der Datenbankabfragen schon größer werden. Wenn sich dazu noch etliche Besucher auf der Seite tummeln kann dies einen schwächeren Server in die Knie zwingen. Letztlich muss man es wirklich probieren, pauschal würde ich jetzt keinen Server als leistungsschwach aburteilen. Webhosting, bei dem sich 50 und mehr Seiten auf einem Server befinden sind sicherlich am ehesten betroffen.
Eine echt gute Alternative ist schwer auszumachen, weil Wordfence eben wie Du selbst schreibst viel abdeckt. Einzigstes Plugin das ich noch empfehlen könnte ist Better WP Security.
@Thomas
Danke für die schnelle Antwort! die Erklärung leuchtet mir ein, Better WP Security werde ich mir nun auch mal ansehen.
(Das Blog, bei dem ich Wordfence getestet habe, liegt auf einem kleineren virtuellen Server, und da macht es sich von der Performance her nicht bemerkbar. Allerdings blocke ich auch keine IPs.)
Hatte Infos über Wordfence gesucht und bin dabei auf Ihrer Seite gelandet. Tolle Seite. (Habe sie in die Blogroll genommen.) Wollte Wordfence als Premium nehmen, sind aber 39,00$. Nur zur Info. Gibt es ja woanders günstiger? Viele Grüße Michael
@Michael: Willkommen bei Nicht-spurlos. Den Preis werde ich gleich ändern, sind eben teurer geworden. Ist hierbei ja keine Ausnahme. Gruß back ;-) .
Hallo Thomas,
der Artikel ist ja schon etwas her. Trotzdem war Wordfence für mich neu und ich habe es (vorläufig) mal installiert. Was ich nicht finden konnte:
Wie lange oder bis zu welcher Datenmenge werden die Daten in die Datenbank geschaufelt?
Wie kann ich alte Daten/Protokolle löschen?
Irgendwann läuft´s ja mal über…
Weist Du mehr?
Gruß Tom
Hi auch ich Antworte obwohl der Beitrag schon etwas her ist.
Ich habe bei der Sache ein paar bedenken.
Habe auch die Gratisversion einmal getestet.
Dabei musste ich feststellen das die Scans so ablaufen das alle Dateien von der Wordfence seite aus gescannt wurden.
Mein Problem hierbei ist, es werden erhebliche mengen an daten an Wordfence übermittelt.
Wie ich vermute auch die config dateien usw.
Desweiteren werden die Datenbank Strukturen der WordPress Installation für Wordfence komplett offengelegt.
Ich sehe hierbei ein erhebliches Sicherheitsrisiko.
Auf der einen Seite verwendet man Wordfence um sein WordPress abzusichern auf der anderen Seite kann WordFence sich alles ansehen wozu es lust hat.
Nehmen wir mal an ich habe eine Datenbank die offenen Zugriff hat mit dem entsprechenden Login.
Dann kann der Macher von Wordfence sich alles holen inkl. der evtl. Kundendaten usw.
Ich sehe das etwas Kritisch.
Da nehme ich lieber eine Serverseitige Lösung her, die meine Daten auf dem Server scannt und etwaigen schadcode erkennt in .js und .php usw.
MfG
Deine Sicherheitsbedenken sind an verschiedenen Punkten sicherlich nachvollziehbar. Du setzt lieber auf serverseitige Lösungen – auch in Ordnung. Doch hierbei vergisst Du Nutzer, die keinen Server haben bzw. auf diesen nicht in der Form zugreifen können. Für all diejenigen gibt es keine serverseitigen Lösungen und sie sind ggf. froh diese Möglichkeit einsetzen zu können.