Für Blogger ist es immer wieder wichtig, sich mit der WordPress-Sicherheit auseinanderzusetzen. Denn es gab da eine ganz heftige Angriffswelle in letzter Zeit. Problematisch war hierbei, dass Konfigurationsdateien aus einer WordPress-Installation heruntergeladen wurden. Das gab es irgendwie noch nicht so verstärkt wie in letzter Zeit. Oder ich habe es nicht mitbekommen. Jedenfalls muss man sich mit der WordPress-Sicherheit beschäftigen. Es hilft ja alles nichts.
Heftige Angriffswellen?
Vielmehr waren es zwei Probleme. Einerseits gab es das Problem, dass bösartiger Code eingeschleust wurde. Das wurde über Cross-Site-Scripting-Schwachstellen realisiert. Damit wollten Angreifer Besucher auf manipulierte Webseiten umleiten und Anmeldungen von Administratoren scannen, um Hintertüren zu schaffen. Damit wollten sie es schaffen, weitere Angriffswellen durchzuführen.
Andererseits war es so, dass 130 Millionen Angriffsversuche gegen rund 1,3 Millionen Webseiten gefahren wurden, um Schwachstellen Plugins auszunutzen und die Kontrolle über die Datenbank zu erlangen. Dabei hat man versucht, an die Konfigurationsdatei wp-config.php zu gelangen. Dort stehen die Verbindungsdaten zur Datenbank drin, sowie Kennwörter und Hash-Werte etc.
War ich betroffen?
Beide oben verlinkte Artikel beziehen sich auf die WordPress-Sicherheitsexperten WordFence. Und da schauen wir doch mal, wer betroffen war. Man solle nämlich mal in die Serverlogs schauen, ob dort Einträge mit dem Abfrage-Wert „wp-config.php“ und dem Antwort-Code „200“ zu finden sind. In der Tat, das war bei mir der Fall:
123.123.123.123 - - [31/May/2020:04:01:49 +0200] "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.1" 301 381 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:28.0) Gecko/20100101 Firefox/28.0" www.henning-uhle.eu
123.123.123.123 - - [31/May/2020:04:01:49 +0200] "GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:28.0) Gecko/20100101 Firefox/28.0" www.henning-uhle.eu
So, bämm! Mein Blog ist also infiltriert worden. Oder etwa nicht? Denn wir sehen nach der „200“ – nun ja – nichts. Es wurde also nichts heruntergeladen. Es wurde kein einziges Byte transferiert. Sollte es einen Angriff gegeben haben, hat man also keine Daten erlangt. Greift meine WordPress-Sicherheit also oder nicht? Es bleiben da einige Fragen offen.
Was bedeutet das für die WordPress-Sicherheit?
Oft genug liest man es: Kein Backup, kein Mitleid. Aber es ist schon so: Um die WordPress-Sicherheit zu gewährleisten, muss man sich schon um Backups kümmern. Ich schrieb immer wieder darüber. Denn so kann ich notfalls auf ältere Daten zurückgreifen und habe meinen Blog schnell wieder zurück. Man kann dies mit Hilfsmitteln machen. Andererseits kann man auch manuell ein Backup automatisieren.
Darüber hinaus gibt es aber auch andere Gesichtspunkte. Da meine ich noch gar nicht mal so sehr super-komplizierte Passwörter. Sondern eher sowas wie eine 2-Faktor-Authentifizierung. Und wie ist denn das mit den Plugins? Wie oft bekommt man mit, dass Plugins einfach nicht mehr weiterentwickelt werden oder gar aus dem Plugin-Verzeichnis verschwinden. Das muss man von Zeit zu Zeit schon mal überprüfen.
Im Hinblick auf Plugins und Themes gilt ja ohnehin: So viel wie nötig, so wenige wie möglich. Und darüber hinaus muss man aber auch echt sagen: Es gibt keine absolute Sicherheit. Das ist in Sachen WordPress-Sicherheit auch nicht anders. Haltet die Augen offen, aber macht euch dahingehend auch nicht allzu sehr verrückt.
Was ist von Firewalls zu halten?
Wenn ich oben von den „WordPress-Sicherheitsexperten WordFence“ erzähle, muss ich aber noch ein Wort zu solchen Dingen wie WordPress-Firewalls verlieren. Die gibt es ja von allerlei Anbietern. Was ist davon zu halten? Oder ist es im Hinblick auf die WordPress-Sicherheit nicht doch besser, sich darauf zu verlassen, dass das eigene Handeln es schon richten wird?
Ich bin mir darüber nicht so richtig einig. Ich habe aufgrund der enormen Angriffswellen in letzter Zeit (die beiden genannten waren ja nur ein Teil) zum Test die Firewall von WordFence im Einsatz. Das könnt ihr auch machen. Aber fragt vorher mal euren Hosting-Anbieter, ob das möglich ist. Bei manchen ist das eben nicht erwünscht. Vielleicht sollte man dann über einen Wechsel nachdenken (Partnerlink).
Vielleicht schafft man sich ja mit so einer Firewall ein trügerisches Sicherheitsgefühl. Ich werde deshalb erstmal schauen, ob das mit dieser Firewall so eine gute Idee ist. Am Ende gilt eben: Es gibt keine absolute WordPress-Sicherheit. Da kann man sich auf den Kopf stellen. Aber man kann alles daran setzen, dass solche Angriffswellen für den eigenen Blog nicht so schlimm werden. Darum die Frage: Wie macht ihr das denn?
Ich habe nach einem Austausch mit @nullbyte Wordfence bei mir entfernt. Wegen dem Login habe ich jetzt 2FA aktiviert. Zusätzlich noch Login Attempt.
Wegen der alten Plugins muss ich Dir heute Abend nochmal ein Plugin geben, welches im Backup die letzte Aktualisierung und die Kompatibilität anzeigt.
Hallo Thomas,
Naja, so richtig einig bin ich mir noch nicht. Ich zweifle zum Beispiel daran, dass man das wirklich braucht. Aber selbst wenn nicht, kann man damit vielleicht auch was lernen.
Mit Limit Logon Attempts habe ich so meine Probleme. Das lief mal Amok und hatte mich selbst ausgesperrt. Dann lieber eine vernünftige 2FA-Lösung.
Das Limit Login brauche ich wahrscheinlich nicht. Allerdings gibt es bei uns User ohne 2FA. Da muss ich nochmal schauen, wie ich sichere Passwörter erzwingen.
Das ist bestimmt auch nur eine Funktion, die von Tools wie Wordfence genutzt wird. Ich denke auch, dass du mit 2FA eigentlich gut aufgestellt bist.