Wie sicher findet ihr WordPress?
(Titel) also ich hodge WordPress selbst auf meinem homeserver vllt noch dazu.
Das Ergebnis basiert auf 12 Abstimmungen
4 Antworten
Es kommt wie überall darauf an wie du damit arbeitest.
Sicherheit ist ein Prozess und nichts was man einmalig herstellt. Deine Installation ist so lange sicher bis Sicherheitslücken bekannt werden. Dann ist Sie so lange unsicher bis du entsprechende Updates einspielst!
Du musst so etwas also täglich warten. Vor allem kann es nicht schaden sich die Zugriffe anzusehen und auf Angriffsversuche zu achten. Du kannst diese IPs dann zB sperren, Abuse-Reporte an die Provider senden, etc.
Außerdem hängt Sicherheit Großteils auch von dir ab. Du musst verstehe welche möglichen Angriffe es gibt und wie man das System dagegen schützt - dazu einige Beispiele:
Der primitivste Angriff wäre Bruteforce. Dabei werden alle möglichen Passwörter ausprobiert bis eines passt. Ist dein PW lang und komplex genug, dauert so ein Angriff Jahrhunderte und macht dann keinen Sinn. Außerdem sollte das System so konfiguriert sein, dass nach zB 5 versuchen der User für 5 oder 10 Minuten gesperrt wird. SO verlängerst du die Brutforce-Zeit nochmals von 5 Versuchen in 10-15 Sekunden auf 5 Versuche in 610 - 615 Sekunden.
Ein möglicher Angriff auf dich selber wäre Phishing - du solltest diese Erkennen und nicht darauf reinfallen und dein PW preisgeben.
Außerdem könnte man mit Schadware deine Passwörter oder Cookies stehlen. Gegen gestohlene Cookies kann man zB bedingt etwas tun - konfiguriere das System so, dass du automatisch nach zB 10 Minuten Inaktivität ausgeloggt wirst. Dann wären gestohlene Cookies bald wertlos. Oder achte darauf dich immer sauber auszuloggen.
Usw.
Ich entwickle nur noch mit Wordpress (selbstgehostet, fuer Kunden) und man sollte nie nie nie vergessen dass Wordpress Open Source ist. Das bedeutet auf der einen Seite viele Vorteile, aber auch dass Hacker den Code kennen.
Auf einem guten Server gehostet, mit Wordfence und automatischen Updates angestellt hatte ich noch nie Probleme. Wenn ich gehackte Websites getroffen habe, dann immer weil
a) Updates lange nicht gemacht wurden
b) und/oder der Nutzer ein bescheuertes Passwort hatte. Admin123 habe ich mindestens viermal getroffen!
Und ganz wichtig, regelmaessig Backups machen, das geht auch automatisch wo sie dir einmal die Wochen / den Monat, was auch immer, auf Google Drive geschickt werden (z.B. mit Updraft Plus). Was ich gelernt habe: niemals in Sachen Backup auf den Hosting-provider verlassen - auch die koennen gehackt werden oder technologische Probleme haben, und Websites "verlieren".
Ja, eigentlich JEDER sollte sich mit IT Sicherheit beschaeftigen!
Aber ich glaube so eine persoenliche Attacke passiert nicht besonders oft - vielleicht wenn man wirklich harte Konkurrenten hat, aber fuer durchschnittliche Business Websites ist das nicht die Regel. Das viel groessere Problem sind bots.
Falsch! Das läuft auch unter automatischem Angriff. Du brauchst ja nur Spam Mails mit Anhang verschicken und dann finden sich ein paar die drauf reinfallen.
Am Ende schaust du was dabei raus kommt - mal sind es Amazon- und Ebay-Zugangsdaten, mal eine Kreditkartennummer und wieder ein anderes mal sind es Zugangsdaten zum Admin-Bereich von einer Webseite...
Dann nutzt du was ich als krimineller interessiert und den Rest verkaufst du im Darknet.
Oder warum glaubst du gibt es so viel Spam/Scam Emails?
Meist sind die Angriffe nicht zielgerichtet da hast du recht aber wenn ich irgendwem eine Schadware unterjuble (egal ob mit einem Download oder mit Spam Mails) finden sich alle möglichen brauchbaren Dinge:
- Tastatureingaben vom Keylogger (Passwörter, Kreditkartendaten, etc.)
- Gespeicherte Passwörter in diversen Browsern
- Cookies aktiver Login-Sessions
- usw.
Manche Angriffe passieren auch schon wenn du nur einen Link öffnest. Das setzt gewisse Dinge voraus aber auch das liefert viele Treffer denn am Ende muss der Angreifer nur einige kleine Rechner dazu nutzen Emails zu versenden oder auf diversen Erotik- und Streaming-Webseiten tausende Forced Klicks für kleines Geld zukaufen und schon läuft die Sache.
Ja, aber gerade bei Wordpress sind die Plugins das groessere Problem. Ist doch einfacher da eine Schwachstelle zu finden und die auszunutzen.
Ja aber beim Haus sperrst du ja auch nicht die Tür ab und schließt dann alle Fenster bis auf 2 wenn du weg gehst oder?
Es gibt genug Angriffsmöglichkeiten von Bruteforce auf ein schlechtes PW über Angriffe auf den PC des Admin bis hin zu Angriffe auf die Webseite selber bei denen verschiedenste Lücken durchprobiert werden.
Egal ob nun ein Bot die Seite selber findet und eine Lücke ausnützt oder ob jemand das PW der Webseite für 3 USD im Darknet kauft nachdem es von einer Schadware geklaut wurde - das Ergebnis ist immer das Selbe!
Und wenn du mich fragst ist das ganze Wordpress und osCommerce Zeugs eine Schwachstelle an sich da es Leute befähigt etwas zu tun wovon Sie keine Ahnung haben. Das ist für mich als dürften Leute plötzlich ohne Führerschein Auto fahren wenn ein Auto mit Automatik, Parkassistent und einer akustischen Ansage der Verkehrzeichen ausgestattet ist...
Gilt übrigens auch für vieles andere - zB offene Smarthomes im Internet oder diverse IoT Geräte mit dem Default-Passwort offen im Internet, usw.
Wir sollten langsam umdenken und Leuten etwas beibringen anstatt alles immer einfacher zu machen und jedem ohne Wissen etwas zu ermöglichen. Die Anzahl der Angriffe explodiert ja von Jahr zu Jahr weil alles so einfach ist und keiner mehr etwas zu wissen braucht um Server und Webseiten zu betreiben.
Du müsstest dich mal einige Stunden im Darknet umsehen - da bekommst du für wenige Euro
- Wordpress-Accounts um sonst was zu hosten,
- SSH-Zugangsdaten zu IoT Geräten und Servern um zB deren IP zu verwenden (SSH Tunnel)
- RDP-, VPN-, AnyDesk- oder Teamviewer-Zugangsdaten zu Rechnern die von außen erreichbar sind um deren IP zu nutzen oder mit denen sonst was anzustellen
- etc.
Von PayPal-, eBay-, Amazon- und sonstigen Accounts oder Kreditkartendaten rede ich nicht einmal.
Dass das existiert - keine Frage.
Wordpress accounts sind irrelevant bei Wordpress.org (selbst gehostet)
SSH und remore Desktop Zugangsdaten - das setzt einen persoenlichen Angriff vorraus. Nach hunderten von WP Websites die ich entwickelt oder unterstuetzt habe ist das nie der Fall gewesen.
Das nennt sich Wordpress-Accounts bzw. wird so verkauft. Sind aber auch Accounts diverser Blogs auf eigenem Hosting oder auf Wordpress - mit oder ohne Domain, etc.
SSH und remore Desktop Zugangsdaten - das setzt einen persoenlichen Angriff vorraus. Nach hunderten von WP Websites die ich entwickelt oder unterstuetzt habe ist das nie der Fall gewesen.
Dann hattest du glück, das kommt noch oder es wurde noch nicht entdeckt. Ich mache IT-Forensik und habe jeden Tag mit schlecht gewarteten Servern, Webseiten, etc. zu tun und mit Leuten deren PC gehackt wurde. Ich habe in den letzten Jahren hunderte Hosting-Pakete und Server gesehen die gehackt wurden und auch die diversen Angriffsmethoden recherchiert und herausgefunden. Schadware ist da weit vorne. Eine falsche Email geöffnet und schon ist es passiert...
Außerdem mache ich Pentests und auch da wären derartige Angriffe die vielversprechendsten wenn man zB die Arbeitsrechner der Mitarbeiter testen darf. Denn da ist meist das Homeoffice die größte Schwachstelle.
Und natürlich bekomme ich SSH- oder remote Desktop Zugangsdaten über pers. Angriffe auf private Rechner oder schwache PW an Servern. Nur sind wie genau da - wenn der Seitenbetreiber auf freeporn.ru das neueste Filmchen von MarryBusenwunder betrachtet fängt der sich dabei eventuell was ein. Und diese Schadware verwertet dann alles mögliche von Cookies über Accounts bis hin zu Kreditkartendaten und Email-Adressen.
Genau davon spreche ich die ganze Zeit. Dann ist es nur eine Frage der Zeit bis einer die gespeicherten Zugangsdaten zum Wordpress-Blog im Darknet kauft nachdem diese vom PC des Admin gestohlen wurden.
Darum ist die Sicherheit nicht nur auf die Webseite einzuschränken sondern muss auch die User, deren Rechner und einiges weitere umfassen.
Keinem interessiert tante-ernis-blog.com und keiner will den gezielt hacken aber viele brauchen irgendeine Webseite auf der die Ransomware zur Auslieferung bereitstellen oder Kinderpornos und Kreditkartendaten verkaufen können! Und denen ist es egal ob die dann tante-ernis-blog.com/.kipo an ihre Kunden versenden oder steuerberater-mueller.com/.kipo!
Hauptsache keiner achtet genauer auf die Accesslogs, loggt sich per FTP ein oder dergleichen damit der versteckte Ordner lange unentdeckt bleibt. Und mit derartigen Fällen habe ich täglich zu tun. Oft fliegt es erst auf wenn zB der Anwalt einer Bank dann eine Abmahnung wegen der Phishingseite schreibt und der Betreiber fällt dann aus allen Wolken...
Naja, okay, du hast natuerlicherweise eher mit den gehackten zu tun, und ich mit dem Rest.
Du versteht es glaube ich immer noch nicht ganz - er werden zehntausende gehackte Seiten im Darknet angeboten und die Dunkelziffer will ich gar nicht erst wissen...
Schau dir mal Firewall-Logs und Spamfilter dann siehst du wie viele Angriffe täglich auf Server und Postfächer hereinprasseln.
Ich betreibe zB ein paar Blogs auf denen nicht viel los ist weil ich eher selten etwas neues Poste aber diese basieren bewusst nicht auf Wordpress und Sie sind so geschrieben, dass sie wie ein Honeypot fungieren und ich habe trotzdem dutzende Hackversuche / Monat.
User stehen permanent unter Beschuss und diverse dubiose Streaming- und Porn-Seiten verkaufen Forced-Klicks mit allen möglichen Abzock-Maschen und Angriffen weil die kaum seriöse Werbepartner finden.
Ich habe zB für einen Test für ein Buchprojekt einen harmlosen Cryptominer in eine Software eingebaut und diese dann kostenlos zum Download zur Verfügung gestellt. Abgesehen davon, dass ich so ein paar Moneros gemint habe, wurde dieses Programm über 30.000 mal heruntergeladen.
Wäre das echte Schadware gewesen hätte ich mit dem Programm das ich in einem Abend zusammengebastelt hatte ein Botnet von über 30.000 Rechnern aufgebaut und ich wette da wären die ein- oder anderen Zugangsdaten zu WP-Blogs dabei gewesen.
Wenn ich glück habe und jemanden wie dich erwische dann habe ich eventuell gleich hunderte gespeicherte Zugangsdaten zu hunderten Webseiten.
Virenscanner erkennen oftmals derartige Schadware nicht wenn diese noch unbekannt ist. Und so lange ich zB nur gespeicherte PW und dergleichen abgreifen würde hätte ich diese Woche mit nur einem Programm schon 26 Opfer gefunden.
Schadware hat es schon in die Stores von den großen IT-Giganten geschafft und auf Download-Seiten der diversen IT-Zeitschriften.
Ja, ich sehe die versuchten Angriffe natuerlich. Ich gehe auch davon aus dass alles gehackt werden kann, daher - regelmaessige Backups, dann tut es nicht so weh.
Ja das schon aber deine Backups nutzen wenig wenn ich in deinem Namen ein Bankkonto und eine Offshore-Firma eröffne und dann 100 Betrugsfälle damit produziere.
Die Backups helfen genauso wenig wenn über deine IP Adresse Leute erpresst werden oder über dein PayPal-Konto Geld gewaschen wird.
Das sind nämlich alles Dinge die man nicht von der eigenen IP oder auf den eigenen Namen machen sollte sofern man keinen Besuch der Polizei und einen längeren Urlaub auf Staatskosten will. Darum sind RDP-Zugänge, PayPal-Konten, eBay-Konten und viele andere Dinge im Darknet beliebt.
Ich brauche dein PayPal Konto zB nur für 10 Minuten um 2 oder 3 Transkationen zu tätigen. Das mache ich über 3 Länder und ich weiß die Polizei braucht mal zig Wochen um mit Rechtshilfe das alles aufzudröseln.
So gewinnen kriminelle Zeit - wenn dann auch noch andere Bezahldienste und Exchanges involviert sind, wird es noch aufwendiger.
Auch das ist gelebte Praxis. Dank Dingen wie Postident läuft das mit den Konten auf andere mit gefälschten Ausweisen recht einfach. Dur würdest dich wundern wie schnell ich mit deinem Namen und deiner Personalausweisnummer ein Konto auf deinen Namen in verschiedensten Ländern offen hab!
Sicherheit ist mehr als nur Backups, Updates, etc. Und meiner Meinung nach sollten Dinge wie Security Awareness in Schulen unterrichtet werden und in Firmen verpflichtend sein.
Dann hätten wir binnen weniger Jahre 90% der Angriffe weg denn dann könnten 90% der Cyberkriminellen mit Ihren primitiven Tricks nichts mehr verdienen.
Bei mir ist es auch so sicher, Updates werden IMMER gemacht und Backups ebenso sehr oft. Was den Nutzernamen angeht nutze ich auch einen komplett anderen sowie ein sehr sicheres und langes Passwort
Wordpress kann sicher gemacht werden. Dazu muss man aber selbst einiges verändern. Standardmäßig gibt es zu viele Sicherheitslücken. Das fängt beim Ändern der wp-admin Adresse an und geht über Security Header und co. Übrigens sind insbesondere PlugIns das Hauptproblem. Darüber kommen die meisten Angriffe.
Da Wordpress die am meisten genutzte Basis im Web ist, sind Hacker entsprechend darauf spezialisiert. Allerdings gibt es auch viele Profis, die sich mit Abwehrmaßnahmen beschäftigen und viel Blogbeiträge zum Thema Sicherheit.
WP hat den mit Abstand größten Marktanteil unter den CMS. Es ist im CMS Bereich damit das, was Windows bei den Betriebssystemen ist. Hacker stürzen sich immer auf den Platzhirsch. Als Ergebnis der Misere ist Windows das unsicherste Betriebssystem und WP das unsicherste CMS auf dem Markt.
Genauso, wie man bei Windows mehr Aufwand investieren und mehr Vorsicht walten lassen muss, um es genau so sicher zu halten wie weniger prominente Systeme, gilt dies ebenso bei WP.
Da gebe ich dir recht dennoch sollte der Betreiber sich mit IT Sicherheit beschäftigen - siehe mein Post in Puncto Phishing und gestohlene Cookies.