Attacke auf WordPress-Blogs & Sicherheitstipps

Am Donnerstag letzter Woche hatten in den Staaten einige Hoster wohl nicht viel Spaß. Wurden an diesem Tag zahlreiche Attacken gegen WordPress-Blogs gefahren. Das Problem scheint offenbar jedoch nicht an WordPress direkt zu liegen, sondern viel mehr am Server selbst bzw. der Verbindung zwischen diesen. So ist man sich noch nicht schlüssig, ob es nun an älteren WordPress-Versionen liegt oder an der allgemeinen ‚Sicherheit‘, von denen so viele WordPress-Admins ausgehen.

Diese ‚Sicherheit‘ spüre ich auch immer wieder, selbst wenn ich mit anderen Web-IT’lern spreche und dort Aussagen wie ‚WordPress? Ne mir zu unsicher‘ kommen und man dann nachfragt, selbst der Login noch über den Benutzer ‚admin‘ erfolgt oder gar über Passwörter mit sagenhaften 6 Stellen und teilweise gar ohne Zahlen & Co. Das ist natürlich noch lange nicht alles, zeigt aber einen Blick, den man eigentlich von genau diesen Personen noch weniger erwartet, wie vom Normalbetreiber. Aber nunja, ich setze nichts mehr daran diese Profis zu belehren oder gar bekehren.

Um aber mehr auf das Thema zurück zu kommen: dass ihr euren Blog möglichst absichern solltet, muss jedem Betreiber klar sein. In der Regel liegen die Blogs auf Webpacks oder auch mal VPS‘, aber selten auf wirklich eigenen Root-Servern, bei denen ihr den Zugriff auf die volle Konfiguration habt. Darauf verließen sich wohl auch die Kunden von GoDaddy, Dreamhost, Media Temple und Bluehost. Aber es war eine neue Attacke, eine neue Möglichkeit und oftmals kann man dabei halt erst hinterher reagieren. Klar fuhren die Anbieter Backups und stellten so auch das System wieder her, doch erst mal waren die Seiten platt und der Ärger groß. Davon abgesehen wurden bei den von der Attacke betroffenen Seiten auch schädliche Scripte untergeschoben, die potentiellen Besuchern der Websites tolle Malware unterjubeln. (via)

In diesem Sinne guckt ruhig auch mal im Backend bei eurem Hoster vorbei. Guckt ob auch alles auf dem neuesten Stand ist, geht auch kritisch und nicht blauäugig mit ihrer Sicherheitspolitik um. Eine Homepage kann oftmals ohne großartigen Aufwand zu einem anderen Hoster umziehen, denn heute muss sich niemand mehr mit weniger Sicherheit oder dummen Ausreden zufrieden geben – auch nicht bei Webpacks oder ähnlichen Produkten, also sehr günstigen Webhosting-Angeboten. (Auch bei sehr großen und namhaften Webhostern in Deutschland braucht man sich nicht als ‚dumm‘ und ‚Lügner‘ beschimpfen zu lassen, vor allem schon gar nicht, wenn man die teuersten ihrer Server mietet und es der blaue Anbieter nicht mal gerallt bekommt seine Backups vertragsgemäß zu fahren. Aber das ist eine andere Geschichte.)

Unabhängig von den Attacken die nun in Amerika gefahren wurden, solltet ihr bei eurem WordPress-Blog ein paar Punkte zum Thema Sicherheit checken und sicherstellen, zumindest gegen das größte Übel im Netz bestmöglich gewappnet zu sein:

  • Suchmaschinen das Indexieren von Systemverzeichnissen verbieten. Als kleines Beispiel meine Standard robots.txt
  • Die WordPress-Version nicht im meta-Tag ausgeben. (header.php)
  • Den wp-admin-Order mit einer htaccess schützen.
  • Aufruf der config-Datei via htaccess zusätzlich verbieten.
  • Verzeichnis-Index für Systemverzeichnisse á la wp-content/plugins via htaccess verbieten.
  • Mit dem chmod vorsichtig umgehen und nicht einfach pauschal mal alle PlugIns auf 777 stellen, nur weil ein PlugIn im Backend meint man sollte es einfach mal ‚freigeben‘.
  • Sichere Passwörter (und vor allem verschiedene) für Webspace, WordPress-Login etc. verwenden. Mindestens (!) 8 Zeichen, Zahlen und Groß- & Kleinschreibung. (Passwörter wie: Passwort123, Ficken123, 123666, F1ck3n, PizzaPizza und Co. sind nicht sicher, auch und gerade weil sie so gerne verwendet werden. Fällt euch nichts ein, nutzt einen Passwort-Generator.)
  • Überlegen wie viele PlugIns man wirklich braucht, ob man etwas nicht auch nativ lösen kann und auch deaktivierte PlugIns vom Webspace schmeißen.
  • Wenn ihr es nicht unbedingt braucht, deaktiviert in den Einstellungen die Möglichkeit, dass sich Benutzer registrieren können.
  • Wenn bei eurem Webhoster möglich, dann nutzt in jedem Fall sFTP! Wenn nicht möglich sprecht ihn auf die Dringlichkeit an.
  • Die neueste offizielle Final-Version von WordPress & PlugIns verwenden!
  • Haltet euren Rechner Viren, Trojaner … einfach Dreckfrei. Die beste Absicherung nützt nichts, wenn ihre eure Daten breitwillig selbst ins Netz schleust. Wenn ihr euch keine Sicherheitssoftware leisten könnt (überlegt mal was ihr ggf. für Kippen und Alkohol ausgebt…), dann installiert euch wenigstens Gratissoftware.
  • Gebt niemals Passwörter weiter und wenn es doch nötig ist, dann ändert diese danach. Gebt ihr sie doch weiter, achtet darauf worüber ihr dies macht. Skype bspw. ist vollständig verschlüsselt … einige andere bekannte Anbieter nicht. Leichtfertigkeit kann schmerzen.
  • Lieber einmal absichern, wie das Problem irgendwann an der Backe zu haben.

    Mehr Lesestoff zum Thema der Attacken auf GoDaddy, Dreamhost, Media Temple und Bluehost:
    Exploit on WordPress Returns – Go Daddy Responds!
    New attack today against WordPress
    Breaking News: WordPress Hacked with Zettapetta on DreamHost

    • Chrissy

      Und wie macht man das via htaccess?

    • Aloha Chrissy :)

      Was ist eine htaccess: http://de.wikipedia.org/wiki/Htaccess
      Weitere Infos: http://de.selfhtml.org/servercgi/server/htaccess.htm
      Generatoren für den einfachen Weg: und http://www.homepage-kosten.de/htaccess/

      Solltest du noch Fragen haben, schreib einfach hier :)

    • Pizzapizza. Woher kennst Du mein Passwort?!

    • Pingback: So geht’s sicher: Gurken StC | Andi Licious' Blogosphäre()