WordPress Sicherheitsplugins sind Quatsch! Was du stattdessen tun solltest!

Brauchst du wirklich ein Sicherheitsplugin für deine WordPress Seite?

Meiner bescheidenen Meinung nach (fast) nicht. Die meisten sind unnötiger Quatsch mit unnötigen Features. Für mich sind WordPress Sicherheitsplugins nicht notwendig.

  • Sie machen deine Seite langsamer (und eine schnelle Seite ist das A und O bei der User Experience)
  • Du bekommst ein falsches Gefühl von Sicherheit
  • Sie können nicht alles entdecken
  • Sie können nicht alles sicher machen
  • Eine gute Funktion gibt es aber doch (zeige ich dir)

Aber ist WordPress nicht ein oft gehacktes System und daher von Haus aus unsicher?

Wird oft gehackt? Ja, weil die Zahl der Websites, die WordPress verwenden so unglaublich groß ist. Laut W3Techs werden 43% aller Internetseiten mit WordPress erstellt. Betrachtet man nur Seiten mit Content-Management-System (CMS) sind es sogar 65%.
Ist WordPress daher unsicher? Nein, im Gegenteil. WordPress ist so weit verbreitet und wird im Kern stetig weiterentwickelt und durch die große Community überwacht und verbessert. Wenn eine Seite gehackt wurde liegt das meistens daran, dass WordPress, das (schlecht gecodete) Theme oder die verwendeten Plugins nicht regelmäßig upgedatet wurden und entdeckte Sicherheitslücken zu lange offen blieben. Oftmals liegt es auch daran, dass zu schwache Passwörter gewählt wurden, die von Bots leicht zu erraten sind oder die Seite auf einem unsicheren Server liegt.

Aber selbst bei guten und top aktuellen Systemen können Hacks passieren. Wie sonst könnte dies auch bei Regierungen und Banken vorkommen. Totale Sicherheit gibt es nicht! Aber man kann es so schwer machen, dass der Aufwand es nicht wert ist und für den Hack ein leichteres Ziel gesucht wird. Dazu braucht es aber kein Security Plugin, auch wenn deren Marketing es dir weismachen will.

Was sind die gängigsten Attacken auf Websites?

Die meisten Angriffe auf Websites lassen sich auf 3 Prinzipien zurückführen. Im Grunde zielen alle Angriffe darauf ab Zugang zur Seite oder dem Server zu erhalten, sensible Daten zu klauen und die Seite zum eigenen Vorteil abzuändern (auffällig oder subtil).

Brute-Force

  • Ein Bot probiert sehr schnell hintereinander verschiedene Passwörter auf deiner Loginseite aus, bis er das richtige erraten hat. Einmal drin kann Schaden unterschiedlichster Art angerichtet werden. Die Website kann verändert werden um überall Spamlinks zu platzieren, hinterlegte Accounts zur Bezahlung in Shops geändert werden, Verschlüsselung aller Dateien, nutzen des Servers für Angriffe auf andere,…
  • Selbst wenn die Bots es nicht schaffen dein starkes Passwort zu erraten, erzeugen sie eine dauerhafte Belastung für deinen Server. Dadurch wird er mit der Zeit überlastet und deine Seite wird langsam.
  • Bots können ebenfalls über das XML-RPC Protokoll versuchen einzudringen. Wenn XML-RPC nicht gebraucht wird, empfehle ich die Schnittstelle daher komplett zu blockieren (z.B. über die .htaccess Datei)

DDOS (Distributed-Denial-of-Service)

  • Viele Server fluten deinen Server mit einer Unmenge an Anfragen, bis dieser nicht mehr hinterherkommt sie zu beantworten und folglich in die Knie geht und nicht mehr erreichbar ist. Es wird nichts an der Seite modifiziert oder geklaut. Es geht nur darum die Seite lahmzulegen.
  • Diese Art Attacke wird of gegen Institutionen oder geschäftliche Konkurrenten eingesetzt. Wird auch oft aus persönlichen Gründen gegen Organisationen, Firmen oder Einzelpersonen eingesetzt. Beispiele: https://de.wikipedia.org/wiki/Denial_of_Service#Beispiele

Code injection

  • Schwachstellen der Website Software (meisten das Theme oder die Plugins) oder Server Software (Betriebssystem, Module) werden genutzt um Schadcode in deine Seite zu injizieren. Deshalb ist es so wichtig sein Theme und die Plugins sorgfältig auszuwählen und stets auf dem neuesten Stand zu halten.
  • Die Auswirklungen reichen von merkwürdigem Seitenverhalten über Malware Werbung, Weiterleitungen und Datendiebstahl bis zur Integration von Hintertüren um auch nach Schließen der ursprünglichen Lücke noch ins System zu kommen.
  • So eventuell gestohlene Passwörter werden bei anderen System probiert, um sich Zugang z.B. zu E-Mails, PayPal oder dem ebay Account zu beschaffen.

Aber was ist denn das Problem mit Sicherheitsplugins für WordPress?

  1. Sie machen deine Seite langsamer
    Niemand mag eine langsame Website. Deshalb solltest du unbedingt darauf achten, dass deine Seite schnell lädt und reagiert. Die zusätzlichen Sicherheitsplugin nehmen zusätzliche Rechenpower deines Servers in Beschlag und sorgen für Verzögerungen bei der Ladezeit.
    Das lässt sich gut mit den Sicherheitskontrollen z.B. bei einem Musikkonzert vergleichen. In 99% der Fälle findet die Personenkontrolle keine Gefahr, die den Einlass des Besuchers verhindert. So gut wie alle Besucher müssen Schlange stehen und Wartezeit in Kauf nehmen, obwohl sie ganz normale, harmlose Besucher sind. Da es bei deiner Website wahrscheinlich nicht um die Gefährdung von Menschenleben wie bei einer Massenveranstaltung geht, ist eine Benachteiligung so gut wie aller Besucher einfach eine schlechte Nutzererfahrung. Das muss doch nicht sein!
    Außerdem sorgt die zusätzliche Überprüfung deiner Besucher noch dafür, dass bei DDOS-Attacken dein Server noch schneller in die Knie geht und für alle nicht mehr erreichbar ist.

  2. Sie wiegen dich in Sicherheit
    Du denkst mit den Security Plugins bist du vor Hacks geschützt? Mitnichten!
    Die meisten Hacks entstehen durch Schwachstellen in Themes und Plugins. Dein Security Plugin schließt diese Lücken nicht. Es kann unsichere Plugins oder Themes schlicht nicht sicher machen. Auch wenn es 99% aller Hacks entdecken kann, ist bereits jemand eingedrungen und dir bleibt nur zu hoffen, dass bei der anschließenden automatischen Reinigung nichts zurückbleibt. Außerdem sind die 99% bekannte Hacks ein Blick in die Vergangenheit. Wenn Lücken geschlossen wurden, werden neue gesucht und das alte wird gar nicht mehr angewendet. Eine immens hohe Zahl an bekannten Hacks oder Viren bei Anti-Viren-Programmen soll den Käufer beeindrucken. Deine Sicherheit wird dadurch so gut wie gar nicht erhöht. Auch wenn du das bisher geglaubt hast.

  3. Sicherheitsplugins kosten Geld und enthalten unnötige und überflüssige Features
    Dass die Entwicklung eines Plugins Geld kostet und dafür bezahlt werden soll ist natürlich erst einmal nichts schlechtes. Das bedeutet aber oftmals auch, dass sie entwickelt werden um mehr Geld zu verdienen und nicht um deine Sicherheit zu erhöhen. Ängste schürendes Marketing fängt unsichere Kunden ein und nutzt ihren Glauben an die Sicherheit durch das Plugin aus.
    Das führt dann dazu, dass die Entwickler immer mehr Features einbauen, um ihren Preis für die Lizenz zu rechtfertigen oder für laufende Subscriptions zu erhöhen. Diese zur Vermarktung eingebauten „Features“ erhöhen den Bloat auf eurer Seite und machen sie wiederum langsamer (siehe Problem 1). Oftmals sind die Zusatzfeatures nur am Rande mit Sicherheit verbunden und bieten keinen Mehrwert gegenüber besseren, spezialisierten Plugins.

Welche üblichen (unnötigen) Security Features gibt es für WordPress?

Schauen wir uns einmal die gängigsten Features von WordPress Sicherheitsplugins an und wie sie gegen die meisten Angriffe versagen oder überflüssig sind.

  • Brute-Force Schutz: Kann man einfach mit einer .htpasswd Datei erledigen. Ich verstehe, dass für den typischen Laienanwender das eine etwas seltsame Anmutung hat und nicht so richtig akzeptiert wird. Das Plugin Limit Login Attempts Reloaded ist ein guter Ersatz und wird auch von mir genutzt und empfohlen.
  • IP Blacklisting: Jeder ernsthafte Angriff wird über einen Proxy eine vertrauenswürdige IP nutzen, die nicht auf kuratierten Blacklists steht.
  • Firewall: Kann nur bekannten bösartigen Traffic blocken. Neue, unbekannte Angriffe können nicht abgewehrt werden. Die Firewall hinkt den Hackern immer hinterher. Siehe mein Punkt „sie wiegen dich in Sicherheit“
  • Starke Passwörter erzwingen: Sollte jeder sowieso machen und nicht durch ein Plugin erzwungen werden müssen.
  • WP-admin Seite verstecken: Wenn der Angreifer die Login Seite nicht findet kann das durchaus funktionieren. Andererseits erzeugen die Bots eine hohe Anzahl an Aufrufen der 404-Fehler Seite, die im schlimmsten Fall nicht gecached ist.
  • Malware Scanner: Wie bei der Firewall können nur bekannte Hacks erkannt werden oder neue, die alten sehr ähnlich sind. Für diese falsche Sicherheit wird dein Server dauerhaft belastet.
  • Prüfung WordPress Core Dateien: Wenn hier was verändert wurde, merkst du das an deiner Seite sicherlich direkt und solltest bei einem Hack die Dateien austauschen. Wenn du deine Seite selbst nicht regelmäßig besuchst, kann das nützlich sein, belastet aber natürlich deinen Server eigentlich unnötigerweise.
  • Unnötige Features: Log der Benutzeraktionen, SSL erzwingen, XML-RPC Protokoll blocken, Datenbankpräfix ändern, WordPress Infos aus dem Quellcode entfernen, … Das alles vereitelt keinen Hackerangriff und benötigt kein Plugin um integriert zu werden. Diese Features blähen die Plugins nur auf um die Preise zu rechtfertigen.

Wie soll ich dann die Sicherheit meiner WordPress Seite erhöhen?

  1. Mach regelmäßig Backups! Automatisch! Und speichere sie an verschiedenen Orten. Machst du sie nur auf deinem eigenen Server können die sehr schnell auch gelöscht oder (mit)verschlüsselt sein.
  2. Update WordPress, dein Theme und Plugins regelmäßig damit bekannt gewordene Sicherheitslücken zeitnah bei dir geschlossen sind. Achte darauf nur hochqualitative Themes und Plugins zu nutzen. Ungenutzte Themes und Plugins solltest du löschen.
  3. Brute-Force Schutz per .htpasswd Datei oder Limit Login Attempts Reloaded.
  4. Ein starkes Passwort verwenden, das du nicht auch noch bei anderen Accounts nutzt.
  5. XML-RPC Protokoll in deiner .htaccess Datei komplett blockieren, wenn du es nicht brauchst.

Ich selbst nutze keine Security Plugins außer Limit Login Attempts Reloaded. Auf alles andere verzichte ich aus den bereits genannten Gründen. Ich möchte die Geschwindigkeit meiner Seiten hoch halten. Wenn man gehacked wurde, kann man ein Scanplugin zur Hilfe laufen lassen, aber man wird trotzdem manuell noch nachprüfen müssen, ob sich noch irgendwo etwas Schadcode versteckt hält.

Die Security Plugins geben einem Hinweise was man machen könnte, z.B. XML-RPC, Passwörter. Im Großen und Ganzen machen die Plugins jedoch nichts außer deine Seite zu verlangsamen und Dinge zu integrieren, die man leicht auch anders haben kann. Also sind sie für mich Quatsch! Keine unsicheren/zweifelhaften Themes und Plugins zu nutzen, sowie Updates und Backups reichen absolut aus. Falls du dich nicht selbst um die Updates und Backups deiner Seite kümmern willst oder kannst, übernehme ich das gern mit einem meiner WordPress Servicepläne für dich.

Auf Serverebene sind Sicherheitsmaßnahmen noch einmal etwas anderes, aber innerhalb von WordPress mit PHP sind die Sicherheitsüberprüfungen aller eingehenden Verbindungen fehlplatziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.