Sicherheitsfloskel: Tabellen-Präfix von WordPress ändern

Wir müssen jetzt ganz stark sein. Sie haben uns gesagt, dass das Tabellen-Präfix von WordPress geändert werden muss. Das ist irgendwie völliger Quatsch. Millionen von Betreibern eines Blogs auf Basis von WordPress werden nun am Boden zerstört sein. Wofür haben sie sich denn die ganze Arbeit gemacht? War denn alles umsonst? Zählen denn die Anleitungen der Gurus und Ninjas und sonst irgendwelchen Experten überhaupt nichts mehr?

Lassen wir alles so, wie es ist

Wir brauchen uns gar nicht die Mühe machen und das Tabellen-Präfix unserer WordPress-Installation ändern. Wenn ein Angreifer daher kommt, bekommt der das eh heraus. Denn irgendwie gibt es da diesen lustigen MySQL-Befehl, der da gern mal angewendet wird. Und der scheint der erste Befehl zu sein, den ein Angreifer hernimmt. Es ist genau dieser:

SELECT DISTINCT SUBSTRING(`TABLE_NAME` FROM 1 FOR ( LENGTH(`TABLE_NAME`)-8 ) ) 
FROM information_schema.TABLES WHERE 
`TABLE_NAME` LIKE '%postmeta';

Wer kann, sollte mal diesen Befehl ausführen. Er gibt das Tabellen-Präfix im Klartext aus. Und ob da das von WordPress vorgegebene „wp“ oder „Rumpelstilzchen“ oder sonstwas als Präfix vorhanden ist, ist völlig egal. Es wird ausgegeben. Dieses ganze Sicherheitsgerede der Experten bringt dann so gar nichts, wenn mit einem allseits bekannten Befehl alles bekannt wird.

Kommt ein Einbrecher ohne Taschenlampe?

Es ist eigentlich sehr einfach und deshalb auch einleuchtend. Das Umbenennen des Präfix ist in etwa so, als würden wir zuhause das Licht ausschalten in der Hoffnung, dass der Einbrecher dann nicht zu uns kommt, weil er ja in der Dunkelheit nichts sieht. Das ist aber Unfug. Der oben genannte Befehl ist die Taschenlampe eines Einbrechers. Haben Sie schon mal gehört, dass ein solcher keine Funzel mitbringt?

Das Hauptproblem ist doch, dass dem Einbrecher außer dem Haupteingang auch noch die Kellertür zur Verfügung steht. Oder vielleicht steht irgendwo ein Fenster offen. Mit anderen Worten: Wir machen selbst unsere WordPress-Installation anfällig. Mit umbenannten Präfix oder nicht. Wir bieten dem Einbrecher die offene Kellertür, indem wir unsere Plugins nicht aktualisieren und nicht auf Warnungen Acht geben und im Prinzip viel zu viele Plugins im Einsatz haben.

Es ist herzlich egal, ob wir im Haus das Licht ausschalten, wenn die Kellertür offen steht. Und so ist es auch herzlich egal, ob wir ein Tabellen-Präfix namens „bundesverdienstkreuz“ eingeführt haben, wenn wir Unmengen von Uralt-Plugins nutzen. Denn der beste Schutz ist immernoch die Nutzung von so wenigen Plugins wie möglich, aber so viel wie nötig, und die absolute Aktualität von Plugins, WordPress und Themes. Sonst können wir alle Inhalte offen hinstellen, so wie wir Omas Schmuckschatulle auf den Fußweg vor das Haus stellen können.

Solche Tipps sind Floskeln

Das Umbenennen des Tabellen-Präfix bringt absolut überhaupt gar nichts. Die Sicherheit einer WordPress-Installation wird dadurch nicht verbessert. Diese Umbenennung erfolgt mit irgendwelchen Plugins, die wir zusätzlich installieren müssen, was dann meinem Sicherheitsgedanken entgegen spricht. Und am Ende haben wir nichts anderes als ein beruhigendes Gefühl, etwas für die Sicherheit getan zu haben. Dennoch bringt der Lichtschalter nichts, wenn die Kellertür immernoch offen steht. Aber wem erzähle ich das?

2 Replies to “Sicherheitsfloskel: Tabellen-Präfix von WordPress ändern”

  1. Das Umbenennen des Präfix mit Plugins? Wo hast Du denn das bloß recherchiert? :) Auch sonst ist die Argumentationsgrundlage leider etwas dünn und zudem unzureichend, da das Ändern schon sehr wohl etwas bringt, wenn man die Erwartungshaltung nicht künstlich überstrapaziert. Insgesamt ein Artikel, den ich eher nochmal überarbeiten würde :)

    1. Hallo Uwe,

      ich habe dir schon via Facebook geantwortet. Es ist leider die Erwartungshaltung. Wenn jemand bemerkt, dass in den Blog trotz Umbenennen eingebrochen wurde, wird man schnell unruhig. Deshalb lege ich sehr viel Wert darauf, dass man nach anderen Einfallstoren schaut. Und hierzu habe ich einige genannt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert