1. Herzlich Willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wordpress wirklich unsicher?

Dieses Thema im Forum "Allgemeines" wurde erstellt von rezwiebel, 9. Juli 2012.

  1. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Hallo zusammen,

    leider wurde heute unser Webserver gehackt von einem Script-Kiddie. Laut unserem IT Sicherheits-Guru war wohl ein Wordpress-Testsystem, welches letzte Woche neu installiert wurde, die Ursache. Er empfiehlt uns generell kein Wordpress zu verwenden, da es dafür bekannt wäre, unsicher zu sein.

    Aber ist das wirklich so? Ich kann es mir nicht vorstellen, dass es unsicherer ist als andere CMS's. Klar, wir hatten das Test-System noch nicht gehärtet (Sicherheitsschlüssel, Standard-Admin gelöscht, Zugriff auf wp-config.php per htaccess verbieten,...). Aber wie ist das, wenn das System gehärtet wurde? Ist es dann ausreichend sicher, wenn man darauf achtet, welche Plugins man installiert und diese und das System immer aktuell hält?

    Gruß
    René
     
  2. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    Selten so gelacht!
     
  3. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Selten so gelacht aufgrund meiner Unwissenheit, oder weil es einfach nicht stimmt?
     
  4. Peter Pan

    Peter Pan Well-Known Member

    Registriert seit:
    4. Juli 2012
    Beiträge:
    68
    Zustimmungen:
    0
    Du hast dir die Frage bereits selbst beantwortet.

    Tipps
    1) Vielleicht sollte man seine Internetpräsenz erst dann der Öffentlichkeit zur Verfügung stellen wenn diese ausreichend gesichert und getestet ist.
    2) Nichts ist 100 % sicher.
    3) Aber wenn du den Adminbereich und ebenso die wp-config mit htaccess schützt - Ich denke ein 30stelliges Passwort Zahlen, Buchstaben und Sonderzeichen und MD5 Verschlüsselung dürfte einen erstmal ein Weilchen aufhalten. Das Adminpasswort ebenfalls 30stellig aus Zahlen, Buchstaben und Sonderzeichen. Danach gibts verschiedene Plugins die z.b. beim Adminlogin nur deine IP zulassen undnach mehrmaliger Falscheingabe den Bereich sperren und dich per Email benachrichtigen.
    4) Made my day :roll:

    Gruß
    Peter
     
  5. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Ich weiß, ich müsste es eigentlich besser wissen. :oops:

    Was ist denn mit diesen ganzen Sicherheits Plugins? Braucht man die, bzw. bringen die zusätzliche Sicherheit? Gibt ja welche um die Template Files nach Codeeunschleusung zu testen, ...
     
  6. Peter Pan

    Peter Pan Well-Known Member

    Registriert seit:
    4. Juli 2012
    Beiträge:
    68
    Zustimmungen:
    0
    Nehms mir nicht übel aber du stellst dich bissle blöd an ;) du fragst ja auch nicht "Was ist den mit dem Airbag im Auto ? Bringt der zusätzliche Sicherheit? Gibt ja auch den Gurt..." :wink:

    Mir kommts irgendwie so vor als willste uns auf den Arm nehmen :???:
     
  7. borusse

    borusse Gast

    Ich denke mal wenn es jemand unbedingt auf dich abgesehen hat, wird er Mittel und Wege finden aber dann hat er auch die Fähigkeiten dazu, wenn nicht auch gut. Ich habe 2 Jahre nen WP Blog ohne ein Sicherheitsplugin oder irgendwas anderes betrieben und es passierte nichts. Nachdem eine Zeitlang hier immer mal wieder von gehackten Blogs die Rede war habe ich nun auch etwas getan. Aber wie schon geschrieben wurde, 100% kann keiner Garantieren.
     
  8. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Wieso das? Das Problem ist, es gibt einige Plugins, die sich rühmen die Sicherheit zu verbessern. Ich will aber nicht alle installieren, sondern nur die, die mir etwas bringen. Da ich sicherheitstechnisch nicht der Vollchecker bin, würde ich mich über Tipps von euch freuen, was ihr einsetzt.

    Eine 10ß%-ige Garantie ist mir klar, gibts nicht. Aber ein System, dass mir normalen Mitteln bestmöglich abgesichert ist, wäre schon mal ein Anfang...
     
  9. Domino5702

    Domino5702 Well-Known Member

    Registriert seit:
    30. April 2009
    Beiträge:
    2.634
    Zustimmungen:
    0
    @rezwiebel: nein, nicht über Dich gelacht, sondern eher über den "Sicherheits-Guru".

    So wie ich Dein erstes Posting verstanden habe, betreibt Ihr einen eigenen Webserver? Wenn der "gehackt" wird, zumal von einem "Skript-Kiddie", da habe ich meine Zweifel, dass dann die Schwachstelle eine WP-Installation sein soll.
     
  10. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    0
    Ich weiß nicht warum das Ganze hier von Einigen ins Lächerliche gezogen wird oder warum dem TE unterstellt wird, er wolle uns "auf den Arm nehmen". Klar ist die Aussage das "WordPress" unsicher sei" ein wenig überzogen, aber der TE ist hier um sich eine 2te Meinung einzuholen (da er vermutlich wirklich keine Ahnung hat). Also sollten wir versuchen ihm zu helfen...

    Dass man WP aus Sicherheitsgründen nicht verwenden sollte, kann man natürlich so nicht stehen lassen. Das zeugt eher davon, dass derjenige der Dir dazu geraten hat keine Ahnung hat, oder sich aber nicht weiter mit dem Thema beschäftigen will. Ein Sicherheitsproblem bekommt jedes CMS sobald es einigermaßen populär ist. Schau Dich mal zum Thema Joomla um...

    Es gibt viele hilfreiche Blogpost (sogar mit Pluginvorstellungen), die Dir ein wenig Sicherheit geben sollten. 3 solcher Links gebe ich Dir mal an die Hand.
    http://playground.ebiene.de/initiative-wordpress-sicherheit/
    http://www.elmastudio.de/wordpress/tipps-zur-sicherheit-von-wordpress/
    http://faq.wpde.org/wordpress-sicherer-machen/

    Dort werden sinnvolle Tipps gegeben, mit denen Du schon eine ganze Menge Sicherheit bekommst.
     
  11. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.029
    Zustimmungen:
    5
    Dafür muss man allerdings etwas bei Wordpress tun. Die genannten Punkte: (Sicherheitsschlüssel, Standard-Admin gelöscht, Zugriff auf wp-config.php per htaccess verbieten) reicht leider *meiner Meinung nach* nicht aus.

    Man kann selbstverständlich Server Seitig einiges machen _ leider spielt Sicherheit bei Massenhostern keine sehr große Rolle_ Vor ein paar Jahren hat Stefan Esser bei PHP auf Sicherheitsbedenken hingewiesen. Alle PHP Projekte haben nach seiner Meinung hier und da erhebliche Sicherheitsprobleme. er beitet vor diesem hintergrund ein *patch* für PHP an.

    http://www.golem.de/news/kritische-sicherheitsluecke-php-5-3-9-schleust-code-ueber-das-netzwerk-ein-1202-89527.html
    http://www.golem.de/0612/49448.html
    http://www.golem.de/0809/62286.html

    Wenn dein Provider suhosin
    http://www.hardened-php.net/suhosin/

    dir zur Verfügung stellt - sind schon *viele* sehr viele Probleme beseitigt.

    Wenn man Wordpress nicht nach der 5 Minuten Anleitung installiert sondern *mitdenkt* und dabei auf die Server Umgebung rücksicht nimmt. Sind auch viele Probleme beseitigt (schreibrechte, ausführen von Scripten im Upload Verzeichnis)

    Und ja - Plugins, die für ihre Sicherheistlücke bekannt sind
    http://www.exploit-db.com/

    verwendet man nicht...

    Und viele weitere Punkte - die die Sicherheit erhöhen.

    Es gibt Dienstleister, die dir Wordpress absichern können (Job Forum)

    cu

    ralf
     
  12. Peter Pan

    Peter Pan Well-Known Member

    Registriert seit:
    4. Juli 2012
    Beiträge:
    68
    Zustimmungen:
    0
    Schaust du hier ;) >> http://lmgtfy.com/?q=sicherheit+plugin+wordpress
     
  13. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Danke. An alle schonmal.

    Das habe ich bisher gemacht:

    -Sicheres Adminpasswort, neuen Adminuser
    -Alten Admin löschen
    -Neue Sicherheitsschlüssel in wp-config.php
    -wp-config.php eine Ebene nach oben verschieben
    -htaccess im Verzeichnis von wp-login mit folgendem Code


    # protect wp-login.php
    <files wp-login.php>
    AuthName "Admin-Bereich"
    AuthType Basic
    AuthUserFile /pfadzur/.htpasswd
    require valid-user
    </files>


    -Antivirus Plugin installieren
    -Better WP Security installieren und optimieren
    -Limit Login Attempts installieren


    -In die functions.php
    //Login Errors aus Sicherheitsgründen weniger aussagekräftig machen
    add_filter('login_errors',create_function('$a', "return null;"));


    -Was ich noch nicht gemacht habe:
    -wp-content verschieben: geht nicht, hab schon Content mit Bildern etc.
    -Login mit SSL verschlüsseln: Hab kein SSL Zertifikat derzeit
    -Strong Passwords für alle User: gibt nur einen
    -Admin Area noch nicht versteckt: mach ich noch


    Fehlt noch was auf den ersten Blick elementares?

    Das Problem ist, dass unser Sicherheits-"Guru" tatsächlich eigentlich sehr viel Ahnung von der Materie hat. Daher bin ich auch hellhörig geworden, dass er vor Wordpress so warnt. Allerdings habe ich auch nicht auf meinen Gas-/ Wasserinstallateur gehört, als er mir von diesem ultraschlechten Waschtisch von Ikea abgeraten hat. Und ich habs schon seit Jahren und bin äußerst zufrieden. :mrgreen:
     
  14. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    0
    Was noch hinzu kommt... Du bist hier in einem WordPress Forum. Die Wahrscheinlichkeit, dass Dir hier von WordPress abgeraten wird ist eher gering ;)
     
  15. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.090
    Zustimmungen:
    0
    Wenn Du die absolute Sicherheit willst, schalte einfach den PC aus... Böses WordPress!

    lass sie / ihn ruhig Joomla oder Typo3 versuchen...
     
  16. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Vielleicht sollte ich das mal im Serendipity Forum fragen. Das hat mir der Herr nämlich empfohlen...:grin:
     
  17. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    Hat er schon. Aber wer will schon mit Typo3 oder Joomla bloggen, wenn doch Wordpress so viel besser geeignet ist (und laut euch auch nicht unsicherer). :wink:
     
  18. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.090
    Zustimmungen:
    0
  19. rezwiebel

    rezwiebel Well-Known Member

    Registriert seit:
    10. Mai 2012
    Beiträge:
    60
    Zustimmungen:
    0
    LOL

    Manche sind aber auch empfindlich...
     
  20. B-52

    B-52 Well-Known Member

    Registriert seit:
    16. März 2008
    Beiträge:
    1.090
    Zustimmungen:
    0
    irgendwie habe ich das Gefühl, Deine Frage war nicht wirklich ernst gemeint und du wolltest hier lediglich ein wenig Staub aufwirbeln. Wenn euer Webserver gehackt wurde, könnte WP ein Faktor sein, jedoch keinen Grund. Und wenn euere IT-Sicherheits-Server-Guru WordPress die Schuld zuweist, solltet ihr flugs den Guru auswechseln.

    Gefahren, welche von Plugins und Themes ausgehen, wurden hier schon erwähnt und zur genüge bestätigt. Gibt es ein Sicherheitsproblem ist praktisch jedes Mal ein Plugin oder ein Theme schuld. Nach Deinen Posts, was schon alles unternommen wurde um WP sicherer zu machen, sollte Deine WP Umgebung nun sicherer sein als die Area 51.

    Also, was soll das Ganze? Nur weil Wikipedia schreibt, WP weist Sicherheitsmängel auf, muss es noch lange nicht so sein. Das grösste Übel liegt immer noch zwischen Tastatur und Monitor. Ergo: es liegt an eurem IT-Sicherheits-Server-Guru! Ein gut abgesicherter Server auf welchem WP läuft, hackt man nicht einfach mal so…
     
    #20 B-52, 10. Juli 2012
    Zuletzt bearbeitet: 10. Juli 2012
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden