Attaken auf einen Blog gibt es über einen Tag betrachtet in großer Zahl ohne dass der Admin davon etwas mitbekommt. Über das Plugin Limit Login Attempts und dessen Schutzmöglichkeiten hatte ich diesbezüglich schon berichtet.

Dass der Schutz dieses Plugins ggf. schnell an seine Grenzen kommen kann und weitere Sicherheitsmechanismen wichtig sind möchte ich an dieser Stelle der Vollständigkeit halber nicht verschweigen. Dass die Raffinesse der Hacker immer weiter zunimmt muss denke ich nicht extra erwähnt werden.

Bei der Blogsicherheit geht es mir nicht ausschließlich darum dass meine eigenen Daten geschützt sind sondern insbesondere auch darum, dass meine Besucher / Leser vor Schaden durch versteckte Scripts etc. verschont werden. Auch wenn ein Blogautor nicht pauschal verantwortlich gemacht werden kann wenn sein Blog gehackt und zur „Gefahrenschleuder“ gemacht wird so sollte er zumindest alle Sicherheitsmaßnahmen ausschöpfen um genau dies zu verhindern.

WordPress mit Wordfence absichern

Wordfence – ein Plugin für WordPress das es in einer Gratis- und Lizenzversion gibt – stellt ein sehr mächtiges Werkzeug in Sachen Sicherheit für den Blog dar und vereint etliche Funktionen anderer Plugins in einer Oberfläche. Für diesen Artikel habe ich mir die Gratisversion näher angesehen. Download des Plugins über das WordPress Plugin Portal.

Wordfence scannt Dateien und überprüft diese auf verdächtige Veränderungen. Hierbei findet ein Abgleich mit der Datenbank von Wordfence statt in der alle bekannten Schadcodes (Malware) erfasst sind. Besonders hervorzuheben ist, dass URLs in Artikeln und Kommentare überwacht bzw. mit der Google SafeBrowsing List verglichen werden. Speziell in Kommentaren können sich Links einschleichen die auf Seiten mit Schadsoftware (Malware) etc. verweisen.

Ein guter Ansatz ist auch die integrierte Firewall bei Wordfence. Wer auf unseren Seiten alles Traffic verursacht sind nicht nur die Besucher und echte Suchmaschinen-Bots. Letztere sollte man natürlich nicht aussperren. Doch gewitzte Hacker schicken auch Bots auf die Reise die sich beispielsweise als Google Robot gegenüber dem Webserver ausweisen, in Wirklichkeit aber ganz „andere Absichten“ haben als nur unseren Content zu erfassen.

Wordefence Firewall erkennt diese „gefakten“ Bots und blockiert deren Zugriff sofort für einen vorher in den Einstellungen festgelegten Zeitraum von 1 Minute bis 1 Monat.

Weitere Überprüfungen zur Blogsicherheit sind:

  • Scannen des öffentlich zugänglichen Bereichs auf Schwachstellen (nur in der Lizenzversion)
  • Überprüfung auf mögliche Backdoors und Trojaner
  • Überprüfung auf unberechtige DNS-Änderungen
  • Scannen von Dateien außerhalb der eigentlichen WordPress-Installation
  • Überprüfung auf Sicherheit der verwendeten Passwörter

Verwendet jemand ein privates Netzwerk von dem er auf WordPress zugreift, so kann die jeweilige IP in eine Whitelist eingetragen werden, dass es nicht irrtümlich zu einer Blockierung komt.

WordPress Login Sicherheit

Ein wichtiger Punkt ist auch die Absicherung des Login-Bereiches von WordPress. Der Einsatz des Plugins Limit Login Attempts (LLA) lässt sich dadurch komplett „einsparen“. Dies kommt unter dem Strich wieder der Performance zu Gute.

Die Einstellungen hier sind denen von LLA sehr ähnlich. Zusätzlich gibt es eine Limitierung für den Punkt Passwortanforderung (Passwort vergessen). Für beide Funktionen können sowohl maximal zulässige Versuche als auch die Dauer der Sperrzeit nach Erreichen der Fehlversuche festgelgt werden. Wordfence setzt hier noch einen sehr interessanten Punkt gegenüber LLA oben drauf. Verwendet jemand den falschen Loginnamen wird dieser sofort für weitere Loginversuche gesperrt.

Verwendet jemand ein privates Netzwerk von dem er auf WordPress zugreift, so kann die jeweilige IP in eine Whitelist eingetragen werden, dass es nicht irrtümlich zu einer Blockierung kommt.

Stößt der Scanner auf eine verdächtige Datei oder gibt es ein anderes Sicherheitsproblem wird der Administrator sofort per E-Mail benachrichtigt und kann entsprechend reagieren.

Ist alles in Ordnung wird dies in der Gesamtübersicht des Plugins entsprechend dargestellt. Hier erscheinen auch Probleme die beim Scan erkannt wurden. Eine ggf. notwendige Editierung eines Artikels ist direkt von hier aus möglich.

wordfence security

Fehlermeldungen

Wer eine deutsche Installation von WordPress nutzt wird bei einem Scan pauschal immer drei Warnungen zu sehen bekommen:

Comparing core WordPress files against originals in repository

Comparing open source themes against WordPress.org originals

Comparing plugins against WordPress.org originals

Alle drei Meldungen beruhen darauf, dass es durch die Sprachübersetzung ins Deutsche Veränderungen zur Originalversion existieren. Sie können somit irgnoriert werden.

Zwei Mankos die ich bei Wordfence bisher ausmachen konnte sind:

  1. für das Plugin gibt es leider keine deutsche Sprachdatei
  2. für leistungsschwache Webserver nur bedingt geeignet

Lizenzversion

  • Die getestete Gratisversion hat gegenüber der Lizenzversion einige Einschränkungen. Zu diesen zählen:
  • Diverse Länder komplett blockieren
  • Einstellung eines Zeitfernsters für den Scanner
  • Anzahl der Scans pro Tag (Gratisversion 1x pro Tag)
  • Überprüfung auf Remotezugänge zum Blog

Die Jahreslizenz für einen Blog  kostet 39 US $.

Wordefence konnte mich durchaus überzeugen auch wenn hier momentan „nur“ die Gratisversion läuft. Über ein Upgrade denke ich in jedem Falle nach.