Chriss Gebbing

Über Chriss Gebbing

Chriss ist Leiter Entwicklung und Projektmanagement bei der agentur für wordpress. Profil bei Google+

29. Januar 2015 von Chriss Gebbing

WordPress Security Teil #1, Brute Force verhindern

Zurzeit häufen sich wieder die Angriffe auf WordPress Installationen. Dabei gibt es ganz unterschiedliche Gründe, für einen Angriff. Zu den 5 häufigsten Gründen gehören wohl:

Angriffe auf den Sitebetreiber (um tatsächlich Schaden anzurichten, Daten zu zerstören)
Angriffe zur Verbreitung von Schadcode (meist Javascript, Flash oder Java-Applets)
Angriffe zur Übernahme des Servers in ein Zombie-Netzwerk
Page-Rank Diebstahl (Link-Building)
Hacker-Kids (die es aus Spaß machen, aber möglicherweise trotzdem Schaden anrichten)

Aber es gibt auch unterschiedliche Angriffsarten:

Brute Force auf das WordPress Login Formular
Ausnutzen von Sicherheitslücken im WordPress Core-Code
Ausnutzen von Sicherheitslücken im Theme (in den Themes)
Ausnutzen von Sicherheitslücken im Plugin (in den Plugins)
Angriffe auf den Server selber (z.B. FTP oder SSH Login)
Ausnutzen von Sicherheitslücken des Servers/der Serversoftware

Wie bei vielen anderen Themen, muss auch bei der WordPress Security jedes Angriffs-Szenario einzeln betrachtet, aber im Gesamten angegangen werden.
Es hilft überhaupt nicht, wenn man ein sicheres Passwort wählt, aber die Plugins unbeachtet veralten lässt. Auch muss unterschieden werden zwischen Präventivmaßnahmen und Sofort-Notfall-Maßnahmen.
Im Klartext:
„Will ich mich davor schützen, dass ich angegriffen werde“
oder
„Ich wurde bereits angegriffen und muss den Schaden minimieren“.
Dieser Beitrag handelt nun davon, wie man sich vor Brute-Force Angriffen auf das WordPress Login Formular schützen kann. Dabei gilt aber der Grundsatz: „Es gibt keine 100%ige Sicherheit“. Mann kann es dem Angreifer nur so schwer wie möglich machen mich anzugreifen.

Brute Force auf das WordPress Login Formular

An vielen Stellen liest man, dass es wichtig ist einen sicheren Benutzernamen und einen sicheres Passwort zu wählen. Grundsätzlich stimmt das natürlich, ist aber an vielen Stellen auf WordPress nicht übertragbar.

Sicherer Benutzername in WordPress

In der Standardinstallation erlaubt WordPress keine echten sicheren Benutzernamen. Tatsächlich sind nur Buchstaben, Zahlen, das AT-Zeichen (@), der Punkt, der Bindestrich und der Unterstrich im Benutzernamen erlaubt. Aber auch damit sind bereits einigermaßen sichere Benutzernamen möglich.
@chriss-2015@admin.amenotec@_@ liest sich für den Menschen zwar ganz normal, ist aber für ein Angreifer (Script, Bot) deutlich schwieriger zu erraten wie „admin“, „chriss.gebbing“ oder „chriss-gebbing“.
Aber was ist mit bestehenden unsicheren Benutzernamen?
Wordpress erlaubt es nicht den Benutzernamen zu ändern!
Entweder man nimmt ein Tool wie phpMyAdmin und ändert den Benutzernamen direkt in der Datenbank oder man erstellt erst den neuen „sicheren“ Benutzer, löscht den alten und während des Löschvorgangs fragt WordPress nach, wer den Content des alten Benutzers übernehmen soll.

Sicheres Passwort in WordPress

Natürlich ist es einfach sich ein sicheres Passwort für WordPress zu vergeben. Aber es hilft der WordPress Security nicht, wenn man sich das Passwort nicht merken kann und irgendwo aufschreibt. Die meisten User wissen gar nicht was ein sicheres Passwort ist. Die Frage ist auch gar nicht so leicht zu beantworten. Wikipedia geht davon aus, dass ein Passwort mit 8 Zeichen das nur aus Groß- und Kleinbuchstaben besteht innerhalb von 15 Stunden gehackt werden kann. Das ist aber eine rein theoretische Zahl die darauf basiert, dass eine Software 1 Milliarde Schlüssel pro Sekunde ausprobieren kann. Haben Sie keine Angst, das lässt Ihr Webserver nicht zu. Es würde viele Tage und Wochen brauchen ein 8 Zeichen langes sicheres Passwort zu knacken. Das Problem an dieser Stelle ist tatsächlich die Menschlichkeit. Die User versuchen sich das Passwort zu merken und nehmen deshalb ein leichtes. Vielleicht den Namen der Frau oder Freundin, der Name des Haustiers oder das Geburtsdatum. Zeichenfolgen auf der Tastatur „qwertz“ (Und für alle die es besser meinen, „qayxsw“ ist genauso) in wenigen Sekunden geknackt.
Nun gut, nehmen wir im Besten Fall an, der Admin nutzt ein sicheres Passwort. Steigert das die WordPress Security? Was ist wenn Sie im Team arbeiten? Wie wollen Sie als Sitebetreiber garantieren, dass jeder ein sicheres Passwort benutzt?
Klar, ein Plugin muss her: Password Policy Manager ist so ein Plugin. Man kann selber Regeln festlegen wie ein Passwort aufgebaut werden muss. So haben auch Team-Mitglieder keine Chance sich „einfache“ Passwörter zu merken. Sie müssen sich dann aber mit Ihren Team-Mitgliedern auseinandersetzen. Wenn der Unmut wächst, werden irgendwann die Regeln wieder gelockert und dann hat alles vorher gemachte keinen Sinn.

Logins limitieren

Die Logins zu limitieren kann auf unterschiedliche Weise erreicht werden.

Limit der Login-Versuche
Limit der Login-IP’s
zusätzliche Limitierung

Limit der Login Versuche

Wenn sich nun einige den Wikipedia-Eintrag zum Thema Passwort angesehen haben, so wird mancher erschreckt denken:
„Was ist denn mit meinem Bank-Pin. 4 Stellig, nur Zahlen, also in unter 1ms zu knacken?“
Ja, das wäre theoretisch möglich. Es gibt ja eben nur 10.000 Kombinationen (eigentlich noch weniger, weil einige Kombinationen herausfallen). Das ist relativ schnell ausprobiert. Aber der potentielle Angreifer hat keine 10.000 Versuche. Die Karte wird nach drei fehlerhaften Versuchen einbehalten oder gesperrt. Genau hier setzen derlei Plugins wie Limit Login Attempts an. Sie erlauben nur wenige Versuche das Passwort zu erraten und sperren den Account, die IP-Adresse oder ähnliches.
Aber Vorsicht: Mann sollte immer mehrere User anlegen und im Zweifel einen Admin-User unbenutzt in der Ecke liegen lassen. Wenn ein Robot Ihren Admin-Account errät und sperrt, so kommen Sie selber auch nicht mehr ohne FTP- oder Datenbankzugriff in Ihre WordPress Installation.

Limit der Login-IP’s

Sie haben eine feste IP bei Ihrem Provider? Schön, dann verbieten Sie doch einfach allen anderen IP-Adressen das WordPress Backend. Der Vorteil liegt klar auf der Hand: Nur Ihr Anschluss darf ins Backend. Der Nachteil ist aber auch gravierend: Nur Ihr Anschluss darf ins Backend. Sie können also nicht von unterwegs „mal eben“ etwas posten.
Nur eine einzige IP im Backend zu erlauben ist recht einfach. Tragen Sie folgende drei Zeilen in Ihre .htaccess-Datei im WordPress Root-Path ein.
RewriteCond %{REQUEST_URI} !^/wp-admin/admin-ajax.php.* RewriteCond %{REMOTE_ADDR} !=1.2.3.4 RewriteRule ^wp-admin/.* - [F]
1.2.3.4 ist dabei natürlich ein Platzhalter für Ihre feste IP-Adresse. Die erste Zeile schließt übrigens die Datei admin-ajax.php aus, da diese auch aus dem Frontend heraus benötigt wird.
Aber Achtung: Manche Provider erlauben das einschalten der RewriteEngine nicht. Da es aber hier eh spätestens bei den SEO- oder den Cache-Plugins Probleme gibt, sollten Sie hier über einen Providerwechsel nachdenken.

Zusätzliche Limitierungen

Wir selber nutzen ein Plugin, dass dem User bei jedem Login-Versuch per Request erst einen Security-Code auf sein SMS schickt. Erst durch zusätzliche Eingabe dieses Codes kann man sich am Backend von WordPress anmelden. Das Plugin befindet sich gerade in der Testphase und wird voraussichtlich im Sommer veröffentlicht. Es verbindet drei Sicherheitsmechanismen

Single Passwort (Ein Passwort ist nur einmal gültig),
Zwei-Faktor-Authentifizierung (Authentifizierung über zwei getrennte Kanäle)
Disallow Account Sharing

Der letzte Punkt „Disallow Account Sharing“ wird oft vernachlässigt. Es gibt einen Admin-Account und 10 Personen kennen und nutzen den Account und dessen Passwort. Das wird durch dieses Plugin unterbunden, weil in der Regel nicht alle zehn Personen sich das gleiche Handy teilen, auf dem der Security-Code gesendet wird.

Wir halten dies aktuell für das sicherste Verfahren um das WordPress Backend abzusichern, dass mobil von unterschiedlichen Rechnern aus einsetzbar ist.

Die Sicherung des Backends durch HTTPS und selber ausgestellten Zertifikaten ist technisch möglich) bedingt aber, dass ich mein Zertifikat immer dabei habe und dies womöglich auf einem PC in einem Internet-Caffee installiere, womit es wieder „unsicher“ wird.

Der nächste Beitrag wird davon handeln, wie man das Ausnutzen von Sicherheitslücken im WordPress Core-Code verhindert.

29. April 2013 von Chriss Gebbing

Google Summer of Code 2013 mit WordPress

Wie unlängst bekannt wurde, hat es WordPress dieses Jahr auf die Liste der Mentoren beim Google Summer of Code (GSoC) geschafft.

Während sich WordPress im Jahr 2011 noch an dem Schüler- und Studentenstipendienwettbewerb beteiligen durfte, wurde dies im Jahr 2012 abgelehnt. Jetzt hat es WordPress wieder auf die Mentorenliste geschafft. 177 Projekte kamen 2013 auf die Liste der Mentoren beim Google Summer of Code. WordPress ist wieder mit dabei. Einige der besten Core Entwickler von WordPress waren ursprünglich GSoC-Studenten. WordPress stellte hierzu eine 30-köpfige Mentorenliste zusammen. Hierunter auch einige frühere GSoC-Studenten.

Google Summer of Code (GSoC)

Der Google Summer of Code ist ein von Google initiierter Programmierwettbewerb, bei dem sich Schüler und Studenten durch Mitarbeit an einem Open-Source-Projekt eine finanzielle Unterstützung erarbeiten können. Die Unterstützung beläuft sich dabei auf 5.500$. 5.000$ sind dabei für den Schüler oder den Studenten vorgesehen; 500$ erhält das Projekt.

Im Startjahr 2005 betrug das Budget des GSoC immerhin bereits zwei Millionen USD und es nahmen über 400 Studenten teil. Bereits drei Jahre später beteiligten sich bereits über tausend Studenten und das Budget wurde auf fünf Millionen Dollar aufgestockt. In 2013 wurden 177 Projekte ausgewählt. Wie viel Studenten teilnehmen steht noch nicht fest.

Alles zum Google Summer of Code bei Wikipedia.

15. April 2013 von Chriss Gebbing

10 jähriges WordPress Jubiläum: Ist man nun erwachsen?

Nun ja, bei Menschen würde man natürlich sagen: „Noch nicht einmal in der Pubertät.“ Bei Softwareprodukten gehört man nach 10 Jahren schon fast zum alten Eisen. WordPress wird in diesem Jahr 10 Jahre. Genau am 27. Mai 2003 wurde die erste Version von WordPress (V0.7) veröffentlicht. Diese ist im Übrigen die einzige (Haupt-)Version, die nicht nach einem Jazzmusiker benannt wurde und steht auch nicht mehr zum Download bereit. Das Release 0.71gold ist das älteste Release, das aktuell zum Download noch zur Verfügung steht. Die Geburt von WordPress war auch nicht ganz einfach und hat ziemlich lange gedauert. Die erste stabile Fassung kam am 3. Januar 2004 auf den Markt.

Nun Ja, zurück zur Ursprungsfrage: Ist man mit 10 Jahren bereits erwachsen?

Wir, die Agentur für WordPress, sind seit 2008 (seit der WordPress Version 2.5) dabei und müssen sagen, dass es zur damaligen Zeit ganz schön holprig war. Da war von einem erwachsenem CMS-System noch überhaupt keine Rede. WordPress war und ist die Nummer Eins der Blog-Softwareprodukte aber seit der Version 3.0, also seit Juni 2010, ist WordPress aus den Kinderschuhen heraus und voll erwachsen geworden. In der aktuellen Version 3.5 braucht es den Vergleich mit anderen CMS-Systemen wie Joomla, Drupal oder typo3 nicht zu scheuen. Kritiker werden natürlich jetzt sagen, dass typo3 doch viel mehr kann als WordPress und damit überhaupt gar nicht zu vergleichen ist. Diesen Kritikern geben wir Recht. Natürlich kann typo3 viel mehr. Natürlich ist typo3 viel mächtiger. WordPress mit typo3 zu vergleichen ist wie der Vergleich von Äpfeln mit Birnen. Was typo3 mehr kann, wird jedoch von 95% der Seitenbetreiber gar nicht benötigt. Hier springt WordPress ein. Es ist schlank, stabil und intuitiv zu bedienen. Es ist nicht überladen. Es kommt mit den wichtigsten Funktionen aus und was man zusätzlich braucht, wird via Plugin hinzugefügt. So hat man immer nur das, was auch benötigt wird. Fragen Sie sich einmal, warum Sie über 9.000 Dateien (typo3-Installation) auf Ihren Server kopieren müssen, nur um Ihre Firma auf drei Seiten repräsentieren zu wollen?! Das aktuelle BETA Release von WordPress 3.6 kommt mit etwas über 1100 Dateien aus!

Zum Jubiläum möchte wordpress.org Partys rund um den Erdball initiieren. Jeder kann am 27. Mai 2013 zum 10-jährigem Jubiläum eine WordPress-Party veranstalten. Wenn mehr als 50 Personen kommen kann man sich bei wordpress.org melden und bekommt möglicherweise Merchandise Artikel zugesandt.

Bei Interesse schaut euch mal den Blog-Eintrag bei wordpress.org an: Save the Date: May 27

5. April 2013 von Chriss Gebbing

WordPress 3.6 BETA 1 veröffentlicht

Gestern, Donnerstag 4. April 2013, hat das WordPress Entwickler-Team das erste BETA Release von WordPress 3.6 offiziell zum Download bereitgestellt.
Download WordPress 3.6 BETA 1 Es wird ausdrücklich darauf hingewiesen, dass es sich um ein BETA-Release handelt, welches nicht in einer Produktionsumgebung eingesetzt werden sollte. Trotzdem wollen wir WordPress Programmierer unsere WordPress-Plugins und WordPress-Themes mit dem BETA-Release testen.

Zu den neuen Features von WordPress 3.6 BETA 1 zählen:

Post-Formate: Post-Formate haben jetzt ihre eigenen UI und Theme-Autoren haben Zugriff auf Template-Funktionen, um auf die strukturierten Daten zuzugreifen.
Twenty Thirteen: Das diesjährige Standard-Theme wird in unserem ersten Release des Jahres veröffentlicht. Twenty Thirteen ist ein eigenwilliges, farbintensives Blog-Theme, das anspruchsvoll die neuen Post-Formate unterstützt.
Audio / Video: Den Posts können Audio/Video-Anhänge beigefügt werden, ohne dass sie hierfür ein Plugin oder ein Drittanbieter-Hosting benötigen.
Autosave: Beiträge werden nun automatisch lokal gespeichert. Falls Ihr Browser abstürzt, Ihr Computer stirbt, oder der Server offline geht, während Sie speichern, so geht der Post nicht verloren.
Nav Menüs: Nav Menüs wurden mit einer Akkordeon-basierten Benutzeroberfläche erstellt.
Revisionen: Die komplett neue Revisionen UI beinhaltet Avatare sowie einen History-Slider

Für uns und unsere Kunden ist die Video-Integration besonders interessant. Es ist auch wirklich einfach Videos in die Posts einzubinden, doch leider funktionieren die Videos (MPEG4) nicht auf dem iPhone oder dem iPad. Mal schauen, ob hier noch nachgebessert wird bis zum Release .

17. Januar 2013 von Chriss Gebbing

Multi Language mit WordPress

wordpress multi language — Ob Sie Multi Language mit WordPress machen wollen, also Ihre Webseite parallel Inhalte in mehreren Sprachen anbieten soll, sollten Sie möglich frühzeitig entscheiden.

Multi Language mit WordPress ist nicht möglich – das ist eine der wenigen Schwächen, die WordPress als CMS hat. Wobei sich diese Aussage selbstverständlich nur auf WordPress Core bezieht. Denn natürlich gibt es jede Menge Plugins, die das mehr oder weniger gut nachbessern. Allerdings sollte man generell nicht nur bei den kostenlosen Plugins schauen – was wir generell empfehlen. Die Kosten für kommerzielle WordPress Plugins sind meist so gering (zwischen 30 und 100 €), dass sie sich sehr schnell rechnen. Doch erst einmal wieder einen Schritt zurück:

Ob Sie Multi Language mit WordPress machen wollen, also Ihre Webseite parallel Inhalte in mehreren Sprachen anbieten soll, sollten Sie möglich frühzeitig entscheiden. Sie müssen nicht sofort die Inhalte parat haben, aber wir fragen diesen Parameter grundsätzlich in unseren Anforderungsworkshops ab. Denn nach unserer Erfahrung lässt sich das CMS wesentlich sauberer aufsetzen, wenn man gleich zu Beginn an die Mehrsprachigkeit denkt.

WordPress mehrsprachig – aber mit Bedacht

Wobei wir dem einen oder anderen Kunden auch schon den Zahn „Mehrsprachigkeit“ ziehen mussten. Denn wir sind nicht nur eine WordPress Agentur, sondern wir beraten unsere Kunden auch. Und wir wissen, welchen redaktionellen Aufwand eine Mehrsprachigkeit erfordert. Schauen Sie sich mal um, wie viele zum Beispiel englisch-sprachige Webseiten es von kleinen und mittelständischen deutschen Firmen gibt, die komplett verwaist sind. Jede Menge! Denn oft reicht es nur für die initiale Übersetzung und diese wird dann über Jahre nicht mehr gepflegt. Deshalb: Wir richten Ihnen WordPress mehrsprachig ein – aber vorher klären wir ab, ob Sie das redaktionell auch wirklich gestemmt bekommen. Denn wir möchten langfristig zufriedene Kunden und gute Referenzen.

Multi Language mit WordPress – WordPress Usability as usual

Das schöne an WordPress ist, dass man sich auch bei den Erweiterungen in der Regel darauf verlassen kann, dass die hohe Usability fortgeführt wird. Natürlich gibt es immer wieder Ausreißer – aber langfristig sind nur die WordPress Plugins erfolgreich, die sich perfekt in WordPress einfügen. Das gilt auch für den Fall, dass Sie Multi Language mit WordPress machen wollen.

Was für Sie der richtige Weg ist und mit welchen redaktionellen Aufwänden Sie rechnen müssen, klären wir gerne in einem unverbindlichen Telefonat. Rufen Sie uns einfach an!

15. Januar 2013 von Chriss Gebbing

WordPress sichern ist ein weites Themengebiet

Da wir eine WordPress Agentur sind, die nicht nur auf’s Design achtet, sondern sich auch mit Apache & Co. auskennt, können wir Ihnen helfen, ein sicheres WordPress aufzubauen. Oder wir übernehmen das komplette Hosting inklusive Wartung etc. Nur für den Fall, dass das nicht Ihr Spezialthema ist – unseres ist das durchaus!

Doch schauen wir uns einmal an, was wir meinen, wenn wir WordPress sichern sagen.

Grundsätzliches zum Thema WordPress sichern

Je nachdem, was Sie mit Ihrer WordPress Webseite machen, ob Sie ein WordPress eCommerce betreiben oder eine WordPress Membership Site mit wertvollem Content oder WordPress Video mit Ihren exklusiven Schulungsinhalten, haben Sie ganz unterschiedliche Anforderungen an die WordPress Sicherheit. Es fängt bei der Absicherung des Servers selbst und dann des Webservers an. Geht weiter über die Datenbank, die Zugriffsrechte und den SFTP-Server hin zu Usernamen und Kennwörtern. Natürlich gibt es tolle WordPress Plugins und 10 Punkte Listen um Ihr WordPress wirklich sicher zu machen. Wir fragen uns an solchen Stellen immer: Ist das unser Kern-Geschäft? Kennen wir uns damit wirklich aus? Wir können dies auf das Thema WordPress sichern bejahen. Sie auch?

WordPress Sicherheit vs. Usability

Leider geht mit mehr Sicherheit auch oft weniger Anwenderfreundlichkeit einher. WordPress sieht es im Standard zum Beispiel vor, dass alle Updates einfach per Klick geladen werden können. Ohne irgendwelche lästigen Kennwörter. Aber das geht natürlich nur, wenn der Webserver auch in dem Bereich schreiben darf. Und das ist wiederum nicht besonders sicher. Zumindest theoretisch. In der Praxis muss man hier und an anderen Stellen immer abwägen, was einem wichtiger ist: Sicherheit oder Usability. Denn WordPress sichern heißt auch, alle Updates möglichst zeitnah zu installieren und so mögliche Sicherheitslücken zu stopfen. Und das macht man nun mal eher, wenn man einfach nur klicken muss…

WordPress Audit

Sie möchten genau wissen, wann welcher Benutzer welche Änderung gemacht hat. Zwar gibt es in WordPress Revisionen der Artikel, d.h. es wird jede Änderung an einem Text genau protokolliert, aber ein WordPress Audit geht noch weiter und hält praktisch alle Aktionen fest – z.B. auch WordPress Anmeldungen, die nicht erfolgreich waren.

Was genau in Ihrem Fall richtig und wichtig und sicher ist, klären wir gerne schon vorab in einem Telefonat. Rufen Sie uns doch einfach mal an!

Nächste Seite »

Google Summer of Code 2013 mit WordPress

10 jähriges WordPress Jubiläum: Ist man nun erwachsen?

WordPress 3.6 BETA 1 veröffentlicht

Zu den neuen Features von WordPress 3.6 BETA 1 zählen:

Multi Language mit WordPress

WordPress mehrsprachig – aber mit Bedacht

Multi Language mit WordPress – WordPress Usability as usual

Wordpress Agentur und mehr

Letzte Beiträge

Rechtliches

Chriss Gebbing

Über Chriss Gebbing

Brute Force auf das WordPress Login Formular

Sicherer Benutzername in WordPress

Sicheres Passwort in WordPress

Logins limitieren

Limit der Login Versuche

Limit der Login-IP’s

Zu den neuen Features von WordPress 3.6 BETA 1 zählen:

WordPress mehrsprachig – aber mit Bedacht

Multi Language mit WordPress – WordPress Usability as usual

Grundsätzliches zum Thema WordPress sichern

WordPress Sicherheit vs. Usability

WordPress Audit

Footer

Wordpress Agentur und mehr

Letzte Beiträge

Rechtliches