WordPress Sicherheit: Der Alltag mit den Hackern
30
Der Alltag mit den Hackern Auswertung einer Umfrage unter WordPress-Nutzern
-
Upload
wp-wartung24 -
Category
Internet
-
view
77 -
download
1
Transcript of WordPress Sicherheit: Der Alltag mit den Hackern
Der Alltag mit den HackernAuswertung einer Umfrage unter WordPress-Nutzern
Eine Umfrage zur WordPress Sicherheit
Online-Umfrage via Google FormsVerbreitet über Xing, Facebook, Newsletter14 Fragen62 TeilnehmerDutzende Antworten
Frage 1: Wie schätzen Sie sich selbst in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein?
Jeder Zweite sieht sich als Fortgeschrittener
Nur 16% Anfänger
Zeigt sich die hohe Expertise auch in den folgenden Fragen?
Expertise nicht nur allgemein zu WordPress, sondern auch in Sicherheitsfragen?
Lassen wir uns überraschen… :-)
Frage 2: Welche Quellen nutzen Sie, um sich über das Thema WordPress Sicherheit zu informieren?
Häufigste Informationsquelle sind Blogs und Feeds (24)
Social Media (10)
Hoher Print-Anteil:Bücher & Zeitschriften (14)
Security-Dienstleister quasi nicht vertreten
Klassischer Journalismus wird auch noch wichtig: Zeitschriften & Online-News-Seiten (je 11)
Frage 3: Wurde Ihre Website oder Blog auf WordPress-Basis bereits angegriffen oder gehackt?
Knapp 60% hatten schon Angriffe auf die Website (erfolgreich oder erfolglos)
Sicherheit ist kein Randthema!
Teile der 40% ohne Angriffe könnten nichts mitbekommen haben (keine Überwachung eingerichtet)
Nicht immer ist eine gehackte Seite einfach zu bemerken (oder nur, wenn schon großer Schaden angerichtet ist)
Angriffe können verschiedenster Art sein, siehe nächste Frage
Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits?
Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits?
Fast die Hälfte der Nutzer kennt Angriffsversuche über den LoginUnd das, obwohl die meisten erfolgreichen Angriffe über das Einschleusen von Schadcode in Plugins und Themes stattfinden
Überraschend ist die geringe Nennung von Angriffen, die außerhalb von WordPress stattfinden (z.B. im Betriebssystem). Ein Grund hierfür könnte die Nutzung von Shared Hostern sein. Hier müssen sich die Kunden um solche Themen nicht selbst kümmern
Nicht nur Login-Versuche sind an der Tagesordnung, sondern auch die Suche nach Lücken durch Aufrufen (vermeintlich) verwundbarer URLs, teils sogar CMS-unabhängig. Die geringe Nennung deutet daraufhin, dass dadurch entstehende 404-Fehler nicht intensiv ausgewertet werden
Frage 5: Wie haben Sie auf die Angriffe reagiert?
Auffallend ist, dass fast niemand einen Dienstleister mit der Absicherung oder Bereinigung beauftragt
Viele andere begnügen sich mit der Installation eines Sicherheits-Plugins
Ein großer Teil der Befragten jedoch traut sich Änderungen an der Seite und der Konfiguration zur Absicherung zu
Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe gesperrt oder blockiert?
In den meisten Fällen ist der Hoster derjenige, der als erstes reagiert
Wenn Google die Seite blockt, dann hat der Angriff schon verheerende Auswirkungen (Ranking, Vertrauen, …)
Auch wenn die äußeren Auswirkungen gering sind oder nicht offensichtlich spürbar sind, sollte ein Angriff nicht auf die leichte Schulter genommen werden. Je länger der Angriff geht (oder bereits erfolgreich ist), desto mehr Schaden kann angerichtet werden
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert?
32 Nennungen
Nicht mehr nutzen - veraltet!
12 Nennungen
https://wordpress.org/plugins/wordfence/
10 Nennungen
https://wordpress.org/plugins/better-wp-security/
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress.org/plugins/antivirus/
5 Nennungen
https://wordpress.org/plugins/sucuri-scanner/
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress.org/plugins/jetpack/
5 Nennungen
https://wordpress.org/plugins/bruteprotect/
Datenschutz-Hinweise auf nächster Seite beachten!
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert?
Jetpack beinhaltet die Sicherheitsfunktionen von BruteProtectBeide Plugins prüfen die IP des Benutzers und sperren diesen, falls die IP bereits auffällig wurde (auch auf anderen Seiten)In Deutschland aus Datenschutz-Sicht kritisch zu sehen:das Versenden der IP-Adresse an einen Server in den USA ist nicht mit deutschem Recht konform (da keine Genehmigung dafür eingeholt wird)
Von einer Verwendung in Deutschland kann zum aktuellen Zeitpunkt nur abgeraten werden! (siehe dazu auch den Tweet von Thomas Schwenke)
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert?
Weitere genannte Plugins (in Klammern die Anzahl der Nennungen):● WP Security Audit Log (4)● Login LockDown (4) - Alternative zum veralteten “Limit Login Attempts”!● WP Password Policy Manager (3)● All In One WP Security & Firewall (3)● BadBehavior (2)● Fail2Ban, z.B. WP fail2ban (2)● 2-Faktor-Authentifizierung, z.B. Google Authenticator (2)● Hide My WP (kostenpflichtig) (2)● Snitch (1)● Stop Spammers (1)● Ninja Firewall (1)
Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt?
Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt?
Wie zu erwarten, sind die häufig im Internet zu findenden Sicherheits-Tipps auch häufig umgesetzt wordenStärker technisch orientierte Maßnahmen, insbesondere im Zusammenwirken mit anderen Webserver-Komponenten, werden seltener umgesetzt
Überraschend ist jedoch, wie viele verschiedene Maßnahmen die einzelnen Nutzer umsetzen. Andererseits übernehmen diese Arbeiten auch die Sicherheits-Suiten (Wordfence, iThemes Security)
Sehr wirksame Schutzmaßnahmen werden aber überraschend selten durchgeführt (2-Faktor-Authentifizierung, SSL, Dateirechte, IP-Adressen blocken).Tipps zu wirksamen Methoden im kostenlosen Newsletter unter https://www.wp-sicherheit.info
Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum?
Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum?
Eine große Mehrheit der Anwender setzt auf regelmäßige Updates - eine der wichtigsten Aufgaben für den sicheren Betrieb von WordPressImmerhin noch 20% der Nutzer machen keine regelmäßigen Updates und sind damit potentiell verwundbar und angreifbar
Mindestens einmal die Woche sollten alle WP-Installationen auf notwendige Updates überprüft werden. Bei einer Vielzahl an Installationen gibt es für diese Aufgabe Helferlein dafür (siehe nächste Frage)
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen?
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen?
Überraschend selten werden Tools und Dienste für die Update-Tätigkeiten genutzt. Von den bekannten Anbietern (InfinteWP, ManageWP, MainWP) ist nur InfinteWP relevant genannt.Neben den WP-spezifischen Tools werden auch allgemeine Dienste genannt (Pushbullet, Installatron) oder eigene Lösungen bevorzugt
Auch das Sicherheitstool Secdash taucht in der Liste auf, obwohl hier Funktionen zur Updateunterstützung fehlen (Secdash liefert Warnungen zu Sicherheitslücken für diverse CMS)
Unterstützung beim Update vieler Seiten kann auch ein externer Dienstleister bieten, der neben Updates auch Backups und Sicherheitsüberwachung übernimmt.
Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups?
Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups?
Fast Dreiviertel aller Umfrageteilnehmer machen regelmäßige Backups über WP-eigene Lösungen oder eigene ScripteEtwas mehr als 25% aller Teilnehmer machen keine oder unzureichende Backups. Ohne Backup ist der Aufwand der Wiederherstellung der Seite (nach einem Angriff oder auch nur nach Problemen) deutlich höher!
Auf die Backups des Hosters sollte man sich nicht verlassen. Diese sind unter Umständen nicht sofort zugreifbar oder nur gegen Kostenerstattung
Frage 12: Wohin werden die Backups gesichert?
Frage 12: Wohin werden die Backups gesichert?
Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein definitiv nicht kompromittiertes Backup zu haben. Speicherung auf dem Webserver selbst greift dabei zu kurzZusendung per E-Mail kann je nach Größe der Installation und Konfiguration des E-Mail-Servers auch zu Schwierigkeiten führen bzw. das Postfach schnell füllen
Am sichersten ist die Speicherung von Backups auf externen Servern (FTP-Server, Backupserver) oder in der Cloud (auch auf eigenen Servern, z.B. OwnCloud)
Die Speicherung auf dem lokalen System setzt voraus, dass dieses automatisiert von außen zugreifbar ist. Ein regelmäßiges manuelles Kopieren ist zu fehleranfällig
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es?
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es?
Klarer Favorit ist BackWPUp von Inpsyde, welches es sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version gibtVaultPress, die kostenpflichtige Cloud-Backup-Lösung von Automattic, wurde überhaupt nicht genannt
Bei Backup-Services scheint eine Bereitschaft zu kostenpflichtigen Anbietern zu bestehen (z. B. auch BackupBuddy)
Generell werden Plugins jedoch Dienstleisterangeboten vorgezogen
Fazit
Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind vorbereitet und haben zumindest mit einem Grundschutz ihrer WP-Installation vorgesortImmer noch gibt es Nutzer, die ihr WordPress unzureichend absichern und sich damit einer Angriffsgefahr aussetzen, die nicht nur theoretischer Gefahr ist
Sicherheits-Plugins können einen Grundschutz bieten. Hier zeichnet sich ein Trend hin zu den “All-in-One”-Lösungen ab, obwohl diese für den Anfänger auch Risiken beinhalten
Einzelmaßnahmen zur Absicherung gibt es viele, die in unterschiedlichster Art umgesetzt und eingesetzt werden.
Backups werden zu weiten Teilen regelmäßig durchgeführt.
Mehr zu WordPress Sicherheitals Newsletter oder E-Book:
Kostenloser Newsletter rund um WordPress Sicherheit alle zwei Wochen:https://www.wp-sicherheit.info
Das E-Book mit noch mehr Tipps und Tricks erscheint noch 2015.
Jetzt zum Newsletter anmelden und immer über den Erscheinungstermin informiert sein
Exklusive Vorab-Kapitel als PDF oder E-Book bei Anmeldung zum Newsletter!
https://www.wp-sicherheit.info
Wartungsservice für Ihr WordPress
● Regelmäßige Updates von WordPress, Plugins und Themes● Regelmäßiges Backup auf externen Server● Regelmäßige Sicherheitsüberwachung auf Angriffe und Auffälligkeiten● Regelmäßige Warnung vor Sicherheitslücken in Plugins● Überwachung der Website auf Serverausfälle● Kostengünstige Monatspauschale
Mehr erfahren:https://www.wp-wartung24.de
WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von:
Web- und IT-ConsultingMarc NiliusKarweg 5157537 Mittelhof
E-Mail: [email protected]: www.marcnilius.de
