In den vergangen Monaten geriet WordPress immer wieder in die negativen Schlagzeilen. Stets war von angeblich großen Sicherheitslücken die Rede und wie Unsicher und anfällig WordPress eigentlich ist. Wie es dann meistens so ist, stimmt der Pöbel sich gleich darauf ein und jagt die Sau durch das Dorf. Was mir immer wieder dabei auffällt, der Mob liest diese Nachrichten über Hack Angriffe auf das ach so unsichere WordPress, nicht bis zum Ende durch. Zumindest nicht mit Sinn und Verstand. Höhepunkt war nun eine Meldung von Sonntag auf Heise mit dem reißerischen Titel "Breite Attacke auf WordPress".
Heise – Low Level Journalismus?
Heise berichtete in seiner Meldung über eine groß angelegte Hack Attacke wovon hauptsächlich ausländischen Hoster betroffen waren. Die betroffenen Hoster gelten fast allesamt zu den Führenden und auch Bekanntesten im englischsprachigen Bereich. In dem Bericht von Heise, ist dann sehr schnell davon die Rede, das diese Attacke nicht gezielt auf ein CMS gerichtet ist, sondern alle auf PHP basierende Systeme. WordPress ist also nicht alleine betroffen und ein Sicherheitsproblem ist auch nicht vorhanden. Bis Heute weiß keiner von den Experten, wie es möglich war, solch ein breite Attacke durchzuführen und mit welchen Mitteln diese wirklich statt gefunden hat. Allerdings ist man sich einig, das hier wohl Malware für die Sicherheitslücken verantwortlich war. Malware, die von unachtsamen User selbst verschuldet wurde indem man nicht auf spezielle Sicherheitsaspekte geachtet hat. Ein interessanter Fakt: Betroffen waren ausschließlich Webseiten, die Shared Hosting nutzten. Vieles deutet auch darauf hin, das Betroffene WordPress Blogs durch so genannte 1-Klick-Installationen automatisch installiert worden sind. Bei dieser Methode wird WordPress installiert aber keine Sicherheitseinstellungen vorgenommen. Dies muss immer von Hand gemacht werden. Wie bei fast jeder anderen Software auch.
Heise nutzt WordPress scheinbar als Zugpferd und rückt damit die Blog Software gleich ins negative Licht. Gewollt oder nicht, das soll jeder für sich entscheiden. Auf jeden Fall springen ein Haufen selbsternannter "Experten" darauf an und lassen gleich alle an ihrer unsäglichen Dummheit in den Heise Kommentaren teilhaben. Was da teilweise geschrieben wird, ist für halbwegs klar denkende Menschen nicht mehr nachvollziehbar. Bei einigen erkennt man sofort, das die den Artikel nicht wirklich gelesen haben.
Sicherheitslücken in WordPress – Oftmals selbst verschuldet
Natürlich hat WordPress hin und wieder ein Sicherheitslücke, das will ich auch gar nicht bestreiten. Diese wird aber in der Regel, und auch glücklicherweise, zuerst von den WordPress User entdeckt und gemeldet. Binnen kürzester Zeit ist dann auch ein Update vorhanden, was diese Lücke wieder schließt. Die Reaktionszeit ist hier schon sehr gut, da gibt es wirklich nichts zu meckern. Dennoch liest man immer wieder von gehackten WordPress Seiten und es kommt nicht selten vor, das WordPress als Übeltäter dargestellt wird. In Wahrheit, sind es aber eigene gemachte Fehler, die zu so einem Desaster geführt haben. Da wurden schon bei der Installation grobe Fehler gemacht oder man war einfach zu Faul, ein ordentliches Passwort, Username oder Verzeichnisrechte vorzunehmen. Keine 5 Minuten dauert so etwas. Außerdem werden dann fröhlich ein Haufen Plug-ins installiert und aktiviert, die nicht aus dem sicheren, weil geprüften Plug-in Verzeichnis von WordPress.org stammen, sondern von irgendwelchen dubiosen Anbieter. Zu guter letzt besorgt man sich noch ein Theme welches einen codierten Footer aufweist und wovon keiner weiß, was da eigentlich drin versteckt worden ist. Irgendwann fliegt einem der komplette Müll um die Ohren und das Geheule ist groß. Denjenigen den das passiert ist, findet man als Kommentatoren bei Heise wieder. Nichts gelernt, schuld sind immer andere.
Gefährliche Ignoranz
Eine weitere Gefahrenquelle ist die Weiterentwicklung fremder Plug-ins von WordPress oder die Modifikation von Themes. Individuelle Änderungen um damit den eigenen Ansprüchen bzw. Bedarf zu decken ist absolut legitim. Problematisch wird es allerdings dann, wenn diese Modifikationen und Code Hacks auch noch Öffentlich gemacht werden. Wer hier nicht 100% alle Sicherheitsaspekte beachtet hat oder zu wenig Kenntnisse über diese verfügt, kann sich schnell in große Schwierigkeiten bringen. Einen Hinweis bezüglich der “Nutzung auf eigene Verantwortung” der erstellten Modifikation, wäre schon aus reinem Selbstschutz desöfteren angebracht.
Eine enge Zusammenarbeit mit dem Entwickler, bewahrt einen eventuell ebenfalls vor bösen Überraschungen. Zumindest sollte hier im Vorfeld eine Absprache, Hinweise sowie Bedenken vom Urheber respektiert werden. Funktioniert der Code Hack auf einmal nicht wie gewünscht, wird nämlich auch mal gerne auf den eigentlichen Entwickler oder Designer verwiesen. Den zusätzlichen Aufwand für Support oder Fehlerbereinigung der durch dritte entstanden ist, das ist ein wachsendes Problem, mit dem sich recht viele Entwickler und Designer konfrontiert sehen. Wenn es dann mal richtig knallt weil durch eine Modifikation eine Sicherheitslücke entstanden ist, schlagen wohl die Hilfesuchenden bei dem ursprünglichen Entwickler auf. Da kann es dann mal schnell passieren, das der faslche den Fehler ausbaden muss oder gar am Ende als vermeintlicher Übeltäter ins Gespräch kommt. So wie im aktuellen Fall von WordPress.
Fazit
Ich persönlich bin der Meinung, das WordPress immer noch ein recht sicheres CMS darstellt. Es kommt natürlich auch darauf an, das man selber verantwortungsvoll handelt und sich Plug-ins, Themes und Code Hacks nur von sicheren und verifizierten Quellen besorgt. Ich habe auch so einige typische Anfängerfehler gemacht und daraus gelernt. Mit wenig Aufwand und ein Grundlegenden Einstellungen bei der Installation von WordPress, kann man sich viel ärger ersparen. Angriffsflächen gibt es bei jeder Software, diese lassen sich aber oftmals auf ein Minimum reduzieren.
Empfehlenswerte Seiten mit Tipps zur Sicherheit rund um WordPress:
http://playground.ebiene.de (WordPress Verzeichnisse schützen, Antivirus Plug-in)
http://www.perun.net (WordPress sicher installieren, richtige Einstellungen)
http://bueltge.de (Viele hilfreiche Code Hacks und Tipps auch zum Schutz des RSS Feeds)
http://forum.wordpress-deutschland.org (Gute Anleitungen im Archiv, Support)
http://de.selfhtml.org/servercgi/server/htaccess.htm (Ausführliche Tipps zu .htaccess)
Autor: Andreas
Sehr treffend zusammengefasst.
Der Punkt mit dem Überfliegen eines Artikels stimmt voll und ganz. Selbst bei mir im Blog, wo es eigentlich sehr tief in die Materie geht, ich ausgetestete Lösungen anbiete und daher eine Aufmerksamkeit erwarte, schreiben Menschen in den Kommentaren komische Sachen. Behaupten, es würde so nicht funktionieren, hat Nebenwirkungen. Aber eigentlich steht alles im Artikeltext, man muss ihn nur genau durchlesen, dann erübrigen sich auch viele Fragen, Vermutungen, Falschbehauptungen.
Daher meine Empfehlung an die Blog-Konsumenten: Lest unsere Artikel aufmerksam und mit eingeschaltetem Verstand. Mit unserem Fachwissen versuchen wir euch zu helfen, doch da müsst ihr aktiv mitwirken. Danke.
Hey Andreas. Volle Zustimmung zu deinem Artikel. Jede Software ist angreifbar, so auch WordPress. Die gravierenden Sicherheitslücken schaffen wir uns aber vermutlich meist selbst durch leichtfertigen Umgang mit Plugins oder eigenen Basteleien.
In diesem Zusammenhang denke ich auch immer wieder über die Vorstellung von Plugins nach die man einsetzt. Auch wenn diese Artikel und Unterseiten immer wieder sehr interessant sind, in gewisser Weise zeigt man so doch auch ganz brav mögliche Hintertürchen auf.
Ich werde mich auf jeden Fall möglichst bald nochmal mit den Artikeln von Sergej auf Playground.ebiene befassen und schauen wo ich noch nachbessern kann.
LG Piet
Ich seh es auch so ähnlich. Die Größte Gefahr bei WordPress liegt eindeutig beim Nutzer. Wenn der richtig aufpasst, lassen sich sicherlich mindestens 80% der Lücken schließen.
Vielen Dank für den Artikel, er bringt es auf den Punkt.
Ist dem Nutzer die Sicherheit egal, ist er schon verloren, da kann WordPress, oder jedes andere CMS, noch so gut gebaut sein.
@Sergej
Deine Artikel muss ich meistens immer 2x lesen um alle Infos zu verarbeiten, die Zeit muss man sich dann halt nehmen. Ich würde mal behaupten, das speziell Code Hacks immer wieder für Fragen und Probleme sorgen da man hier keine Schritt für Schritt Anleitung für jedes Theme geben kann.
@Piet
Bevor ich etwas Online stelle, teste ich es vorher auf Lokaler Ebene mit xampp. Das hat mich schon so einige male vor einer zerschossenen Datenbank oder defekten Blog bewahrt. Kann ich nur empfehlen.
@Andreas
Ich hoffe, das liegt nicht an meiner Schreibweise, sondern an der meist technischen Tiefe der Artikel.
Sergej, sei beruhigt. Es liegt eindeutig an der technischen Tiefe. Bisher habe ich auch alles umsetzen können und das soll schon etwas heißen
@Andreas Das muss ich mir bei Gelegenheit mal anschauen. Allerdings bin ich da noch recht unbedarft, mal schauen ob ich mit dem Programm klar komme.
@Sergej Ich muss Andreas zustimmen. Ich muss auch mindestens 2x lesen, aber das liegt an der angesprochenen technischen Tiefe. Man merkt beim Lesen dass da jemand schreibt der alltäglich mit solchen Dingen im WordPress Code Umgang hat. Und ich merke dann beim lesen dass ich noch ganz viel lernen muss. *g*
Jungs, dann bin ich beruhigt.
Piet, ist nicht schwer. Einmal xampp installiert, verhält sich das ganze im Browser wie gehabt. Nur steht da eben http://localhost
Mit Xampp selber muss man sich kaum beschäftigen. Das läuft schön im Hintergrund.
Hier ist auch eine gute Schrittweise Anleitung um xampp und WordPress zu installieren:
http://blogshop.de/wordpress/wordpress-unter-xampp-installieren/
Ein sehr richtiger Artikel. Es ist eigentlich unglaublich, wofür Leute WordPress die Schuld geben. Und nicht irgendwelche Leute, man erinnere sich nur daran wie Robert Scoble einen Shitstorm gegen WP losgetreten hat, weil sein Blog von einer Sicherheitslücke betroffen war, für die es zu dem Zeitpunkt bereits einen Fix gab, aber seine Installation von seinem Hoster nicht aktualisiert wurde…
Guter Artikel! Bin ja selber Worpdress-Neuling, aber eines der ersten Themen mit denen ich mich beschäftigt habe, war die Sicherheit und da gibt es ja genügend Informationen was man tun kann.
Und wie schon gesagt… 100%ig ist nichts… jedes neue Sicherheitsschloß oder irgendeine neue Verschlüsselung werden meistens in Kürze doch auch wieder geknackt.
Viele Grüße,
Marco
Es ist doch immer das Gleiche. Es wird nur oberflächlich gelesen und man springt auf den reißerischen Zug auf. Man liest ja auch keine Bedienungsanleitungen, Tutorials, Forenbeiträge und sonstige Informationen zum richtigen Umgang mit Software, Themes, Plugins oder Staubsaugern. Und wenn es dann nicht klappt, ist natürlich der Entwickler schuld…wer sonst?
Oder man besorgt sich kostenpflichtige Software (z.B. Themes im unerschwinglichen Bereich zwischen 20 und 40 Euro) lieber über dubiose Quellen…man ist ja nicht blöd…das bekommt man schon irgendwo für lau. Und wenn dann der dort möglicherweise versteckt Schadcode einem die Seite lahm legt, kann man ja immer noch auf den ursprünglichen Entwickler zugehen und ihm die Hölle heiß machen. Schließlich ist man nicht irgendwer, sondern ein ganz ausgeschlafener Hund…
Sicherheit ist letztendlich nichts weiter als eine Wahrscheinlichkeit. Eine Wahrscheinlichkeit, dass ein negatives Ereignis eben nicht eintritt. Und das existiert, wie schön im Artikel beschrieben ist, praktisch in jeder Software. Ich rege mich über solche überspitzen Artikel zwar innerlich auch auf, aber mit solchen Artikeln wie diesem kann man das Ganze ja auch mal “entkräften” – gut gemacht!
Ganz ehrlich erinnert mich das an den Trojaner, den ich mir am ersten Weihnachtsfeiertag gefangen hatte. Schwupps ging meine Firewall an, aber da war es auch schon zu spät, der Trojaner hat sich meine FTP Daten gepackt, ins Ausland geschickt und Minuten später waren alle meine Webseiten infiziert. Seitdem werden keine Passwörter mehr im FTP Programm gesichert… selbst schuld kann ich da nur zusammenfassen
Hätte ich wohl auch lieber mal auf da böse böse WordPress schieben sollen *lacht*.