1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

suche Info zum "sicheren Betrieb"

Dieses Thema im Forum "Allgemeines" wurde erstellt von bronzeton, 5. Juli 2019.

  1. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    Hallo allerseits.

    Ich plane eine Seite mit Wordpress aufzusetzen und selbst zu administrieren. Hierfür wollte ich mir eine Aufgabenliste zusammenstellen, was an einmaligen sowie an regelmäßigen sicherheitsrelevanten/sonstwie empfehlenswerten Tätigkeiten ansteht. (Zum Beispiel: um ssl Zertikfikat kümmern, updaten, sonstige Schutzmaßnahmen etc.)
    Daher meine Frage, wie trage ich mir solche Infos am besten zusammen. Gibt es irgendwo z.B. eine empfehlenswerte "FAQ: Ersteinrichtung, Schutz und Wartung" oder etwas in der Art. Auch Hinweise auf empfehlenswerte Tutorials wären super. Vielen Dank und Gruß
    Anne
     
  2. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    Na ja, so wahnsinnig viel ist das ja nicht.
    1) Updates: Je nachdem wie viele Plugins du nutzt, wird das wahrscheinlich der größte Posten sein. Im Grunde solltest du täglich nachsehen, vor jedem Update ein Backup machen und vorher/ nachher vergleichen. Da du ja schließlich auch einen Job haben wirst und "Updaterin" nicht dein Einkommen sichert, kannst du auch ein Plugin installieren, das das macht. Allerdings würde ich dir empfehlen, die großen Versionssprünge manuell durchzuführen. Aber die kommen ja nicht so häufig vor. Bei den guten Plugins kann man das auch einstellen, dass diese Updates nicht automatisiert werden.

    2) Backup, Backup, Backup. Nimm dir ein beliebiges Backup-Plugin, und mache regelmäßig Backups. Je nachdem wie oft sich dein Content ändert alle paar Stunden oder auch nur ein Mal in der Woche. wichtig dabei: Lass dir die Daten zusätzlich an ein externes Ziel schicken. (Dropbox oder Vergleichbares). Dann hast du immer eine zusätzliche Fallbacklösung.

    3) An das SSL-Zertifikat erinnert dich der Hoster ohnehin. und ein Mal im Jahr das Zertifikat per Mausklick zu erneuern ist ja nicht sooooo schwer.
     
    #2 Raphael, 5. Juli 2019
    Zuletzt bearbeitet: 5. Juli 2019
  3. Es gibt zu jedem Thema hier im Forum Ausführungen, die man sich per Suchfunktion zusammen stellen kann. Wenn Du sowieso daran interessiert bist, stell doch in einem Beitrag mal alle Links zu solchen Themen bereit. Im übrigen sind mir bei Google mit dem Suchbegriff "Wordpress sicher betreiben" 509 000 Ergebnisse angeboten worden, mit "Wordpress betreiben" 2.030.000 Ergebnisse. Daraus das Beste zu finden ist, da teile ich Deinen Wunsch, nicht so einfach.
     
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Selbst zu administrieren ist keine gute Idee, Ausser man ist, Postmaster, Webmaster, DatenbankAdministrator, SystemAdministrator, PHP Entwickler, Webdesinger und WordPress Expertin in einer Person - die berühmt berüchtigte eierlegende Wollmilchsau.

    Es gibt WordPress Agenturen die für kleines Geld die Wartung übernehmen und auch in der Haftung stehen.

    Bei der Einrichtung von WordPress kann man bereits viele Fehler - sicherheitsrelevante Fehler - machen. Mike Kuketz hat in seinem Blog einmal eine Artikelserie über WordPress Sicherheit geschrieben.
    https://www.kuketz-blog.de/der-richtige-hoster-wordpress-sicherheit-teil1/

    Es ist ein Blick von einem Sicherheitsexperten auf WordPress.

    WordPress ist von der Wartung her ein sehr aufwendiges Projekt. An irgendeiner Stelle schraubt irgendeiner immer einen Fehler in das System und gibt nach wenigen Monaten rumbasteln dann auf. Vor diesem Hintergrund haben wir sehr viele Blogs mit vielen WordPress Plugins und Themes, die von den Entwickler schon lange nicht mehr gepflegt werden. Rein aus dem Bauch - WordPress Plugin Entwickler geben nach 2 Jahren auf und WordPress Theme entwickler nach 3-4 Jahren. Und das richtige blöde ist, dass du keine Nachricht darüber erhälst, ob das Plugin oder Theme noch gepflegt wird oder nicht.

    Wir installieren in der Regel zwei identische Systeme. Bei Updates von WordPress können wir dann in einer "Testumgebung" prüfen, ob Kompatibilitätsprobleme auftreten. Plugins, die nicht mehr funktioneren enben suchen oder auch Probleme mit Themes beseitigen... besonders beliebt sind hier jQuery updates. WordPress lebt bei jQuery die Steinzeit und man selbst fährt die aktuellen Versioen...

    Ein anderes Problem sind die PHP Versionen. WordPress hält leider an sehr alten PHP Versionen fest. Beispiel:
    Der Support für PHP 5.6 und PHP 7.0 im Dezember 2018 eingestellt. Diese Versionen werden nicht weiterentwickelt und sind somit zu einem Sicherheitsrisiko geworden.

    Am 1 Dec 2019 endet PHP 7.1
    https://www.php.net/supported-versions.php

    Und wenn man kein PHP Entwickler ist kann die Migration auf eine neue PHP version schon ein Problem werden.

    So sieht die Migration Hilfe von PHP von 7.2 auf 7.3 aus
    https://www.php.net/manual/de/migration73.php

    In weinigen Wochen gibt es PHP 7.4.

    Der entwickler.de schreibt
    8<-
    Der WordPress-Standardeditor Gutenberg ist in Version 5.7 mit einem neuen Block-Appender erschienen. Die Planung für WordPress 5.3 läuft und einige Features stehen bereits fest. Wir haben die Highlights im Blick.
    8<-
    https://entwickler.de/online/php/gutenberg-5-7-wordpress-5-3-579893402.html


    Die Sicherheitsexprten lesen hier jeden morgen die Nachrichten vom CVE
    https://de.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures

    Da wir eingene Server (Hardware) betreiben. Werden täglich System updates durchgeführt. Backup und Systemsicherheit überlasse ich keinen PHP Scriptchen sondern richtigen Tools.

    Sollten Dateien sich auf dem System ändern (neue hinzu oder alte verändert) erhält der Systemadmin eine Mail und kann prüfen ob die Änderungen von einem Hacker oder gewollt waren.

    Ich lege viel Wert auf Weiterbildung... auch für Sicherheit und WordPress werden Schulungen gebucht.

    LG

    Ralf
     
  5. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    Na ja, man muss halt auch schauen, welchen Zweck das WP-Projekt erfüllen soll. Die von mir beschriebenen Anforderungen sind für ein kleineres Projekt gedacht. Wenn bronzeton z. B. eine Hobbyseite oder eine Webvisitenkarte aufsetzen will, ist das, was ich vorschlage, wohl absolut ausreichend. Wenn sie dagegen ein internationales Magazin mit 20 Redakteuren und stündlich neuem Content usw. machen will, wäre es besser mehr zu machen. Dann gehen deine Vorschläge @r23 in die richtige Richtung.
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Einem gehackten WordPress Blog ist es erst einmal egal ober die Online Reputaion von einem einzelnen Betreiber oder von einem Team vernichtet wird. Schweinkarm und Schadcode in einer gehackten Seiten schadet immer und macht sicherlich keinen Unterschied in der größe dahinter.

    Bei Schadenersatz bei nicht Erfüllung von Sorgfaltspflichten macht der Gesetzgeber seit 2014 keinen unterschied mehr sondern hat seit dem noch einiges mehr gefordert und eingeführt
    https://www.golem.de/news/innenminister-de-maiziere-jeder-kleine-webshop-muss-sicher-sein-1412-111244.html
     
  7. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Nur aus Interesse: Bei kleineren Projekten machst du tägliche Updates mit vorherigem Backup und anschließender Funktionsprüfung?
    Das wird ja schon bei einer überschaubaren Menge an Kunden schnell ein Fulltime-Job (mit entsprechenden Kosten für den Kunden).
     
  8. Raphael

    Raphael Well-Known Member

    Registriert seit:
    8. September 2005
    Beiträge:
    920
    Zustimmungen:
    20
    @danielgoehr Nein, natürlich nicht. Das ist ja genau was ich sagte: Man muss sich wohl die Projektgröße ansehen. Bei einer Webvisitenkarte oder einem privaten Blog macht es wohl keinen Sinn diese Prozedur durchzuführen. Wenn die TEin eine Seite managen will, die einen Shop hat oder Abonennten hat, wo vielleicht sensible Daten von mehreren tausend Leuten hinterlegt sind, sind die -Sicherheitsvorkehrungen wohl andere.

    Das was ich vorgeschlagen habe (automatische Updates und Backups), halte ich für eine vertretbare Variante Sicherheitsroutinen für kleinere Projekte abzuarbeiten. Das war ja in meinen Augen das Thema: Die Regelmäßigen Routinen.

    [EDIT] Ich sehe, es wurde auch nach einmaligen Sachen gefragt. [/EDIT]
    OK, also Einmaliges: Darüber hinaus kann man dann z. B. den Hauptadministrator nicht mit der ID=1 und dem Passwort "Passwort" ins Rennen schicken, bzw. sollte auf jeden Fall auf sichere PWer für alle achten. Und ganz allgemein darauf achten, dass Mitarbeiter (falls es welche gibt) nicht Adminrechte haben, sondern nur Rechte für Tätigkeiten, die sie machen müssen. Plugins wie https://wordpress.org/plugins/wordfence/ kann man auch nutzen, die bieten viele Möglichkeiten. Die Datenbank muss man nicht unbedingt mit dem Standardprefix wp_ betreiben und man kann auch ihr ein sehr sicheres Passwort geben. Das fällt mir spontan ein.
     
  9. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Ah ok. Ich hatte das jetzt so verstanden, deswegen die Nachfrage. War aber auch wirklich nur Interesse. :)
     
  10. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Generell gibt auch die entsprechende Seite im Codex einen ganz guten Überblick:
    https://wordpress.org/support/article/hardening-wordpress/

    Auch wenn man das nicht alles machen muss und auch nicht alles immer wirklich sinnvoll ist. Aber es liefert für den Anfang schon mal einiges an Informationen zu dem Thema.
     
  11. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    vielen Dank Euch für die nützlichen Infos :)
     
  12. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    Zum Thema Mindestanforderungen von WP:
    Ich fínde bloß die Mindestanforderung PHP 5.6.20 aber keine Mindestanforderung zur MySQL-Version. Empfohlen wird MySQL 5.6 oder höher, aber nicht, was MINDESTENS sein muss, damit man die WP Version 5.2.2 überhaupt zum laufen bekommt.

    (Hintergrund ist, dass mein Webhoster mich hier limitiert. Derzeit bietet er mir PHP 5.4.45 und MySQL 5.1.49-3-log. PHP könnte er auf 7.0 updaten, aber bei MySQL ist derzeit kein update möglich. Und es ist ja sinnlos, jetzt noch ein PHP update auf 7.0 zu machen, wenn das veraltete und nicht updatebare MySQL für Wordpress 5.2.2 nicht reichen würde und ich sowieso den webhoster wechseln müsste.)

    Ja, wechseln werde ich sowieso demnächst, aber bitte, falls es jemand weiß, was braucht Wordpress 5.2.2 mindestens für eine MySQL Version zum laufen?
     
  13. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Alleine das sollte für einen sofortigen Wechsel ausreichen, wenn man sich auch nur ansatzweise um "sicheren Betrieb" Gedanken machen möchte. PHP 5.4.45 ist vom September 2015(!).
     
    danielgoehr gefällt das.
  14. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    Könnte die veraltete Version der Grund sein, dass Wp 5.2.2 sich gar nicht installieren lässt? Ich bin mir ziemlich sicher, dass ich nach Ausführen der install.php auf den Server die richtigen Eingaben zur Datenbank gemacht habe, trotzdem bekomme ich zurück:

    Fehler beim Aufbau einer Datenbankverbindung
    Das bedeutet entweder, dass die Information über den Benutzernamen und das Passwort in deiner wp-config.php Datei nicht korrekt ist, oder wir können den Datenbank-Server auf localhost nicht erreichen. Es könnte sein, dass der Datenbank-Server deines Hostings ausgefallen ist.

    • Bist du sicher, dass Benutzername und Passwort korrekt sind?
    • Bist du sicher, dass du den richtigen Hostnamen eingegeben hast?
    • Bist du sicher, dass der Datenbank-Server läuft

    Wobei mich die Meldung etwas irritiert: die Einträge in der WP-Config.php sind doch noch gar nicht existent, ich dachte, diese Installationsroutine würde diese vornehmen. Ich habe die Angaben nur HIER gemacht, nicht in der wp-config.php.
     
    #14 bronzeton, 11. Juli 2019
    Zuletzt bearbeitet: 11. Juli 2019
  15. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
  16. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
  17. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    @danielgoehr

    Nein doch nicht, das ist die ältestmögliche PHP Version. Zur "ältestmöglichen" MySQL-Version finde ich nichts. PHP wurde jetzt vom Hoster auf 7.0 geupdatet. Naja immerhin. Aber MySQL ist laut phpmyadmin 5.1.49-3-log, und das kann derzeit nicht geupdatet werden...
     
  18. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Hier sollte man wohl eher über einen Hostingwechsel nachdenken, statt sich mit völlig veralteter Software abzugeben...
     
  19. bronzeton

    bronzeton Member

    Registriert seit:
    4. Juli 2019
    Beiträge:
    13
    Zustimmungen:
    0
    Naja mir geht es gerade darum, zu verstehen, warum meine Installation nicht funzt, und deshalb will ich das als Grund ausschließen (oder bestätigen). Dass der Hoster nicht optimal ist und mittelfristig keine Option darstellt, ist mir auch klar. :)
     
  20. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.634
    Zustimmungen:
    1.778
    Installiere eine WordPress Version, die ähnlich alt wie die vorhandene Serverumgebung ist, dann sollte es keine Probleme geben (ausser dass die Installation dann durch evtl. vorhandene Sicherheitslücken gehackt wird).

    Die Anforderungen für die aktuelle WordPress Version stehen hier unter Anforderungen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden