so worsepressed

Grundlegende Sicherheitsmaßnahmen für einen selbstgehosteten WordPress-Blog

blogaboutit

Durch den weltbesten Heinrich angeregt, möchte ich nun ein wenig aus dem WordPress-Nähkästchen plaudern. Nachtrag, dringend VOR Verzehr des Folgenden zu lesen. Tuense das nicht, also den Beitrag lesen, sindse selber schuld, wenn doch. Nicht, dass es nachher heißt, ich hätte nicht gewarnt, also=> HIER

Wenn jemand bloggen will, stellt sich die Frage, für welchen Anbieter er sich entscheidet. Zum einen bietet sich wordpress.com an. Hier bedarf es keines eigenen Webspaces. Man meldet sich mit gewünschtem Nutzernamen an, erhält daraufhin username.wordpress.com zugeordnet und ab geht die Luzi. Von Nachteil empfinde ich die starken Reglementierungen (Statistik, Plugins, Themes-Editor), die den User fordern, insofern er seinen Blog individueller gestalten und anpassen möchte  – unverhältnismäßig überteuert – für eine „Vollversion“ zu zahlen.

Das nächste, beliebte Blogsystem wird von Google mit Blogger angeboten. Hier dasselbe in Grün: mit einem Nutzernamen angemeldet, ist der eigene Blog dank vorgefertigter Vorlagen schnell einzurichten und nutzbar. In der Gestaltung kann man sich beschränkt frei austoben und eigene HTML-Vorlagen erstellen. Hier entscheidet der persönliche Geschmack. Mir höchstpersönlich gefallen die Blogger-Blog.s nicht. Man kann keine differenzierten Ablagen erstellen, das Grund-Design besteht aus einer rechtsseitigen Seitenleiste und einem im Grundgerüst weitestgehend vorgegebenen Design, welches im Grunde nicht mehr zeitgemäß ist, etwas altmodisch und für meinen Geschmack zu schwer , für mich nicht clean genug und nicht ästhetisch wirkt.

Ein weiteres Erschwernis bei der Nutzung von Google-Blogger: Google ist eine Datenkrake, die alles, was Sie tuen, akribisch erfasst. Ich gestatte Google weder ein Sammeln meiner Daten, noch das Setzen von Cookies (per Browser-Add-on). DAS wiederum erschwert das Kommentieren in Blogger-Blogs (Blöggen?), natürlich das Führen eines Blogs (und eines gmail-Kontos).

Um frei über Dateien und Bilder, das Design, eine differenzierte Ablage, uem entscheiden zu können, entschied ich mich für einen selbst gehosteten WordPress-Blog. Hierbei lädt man sich das als zip-Datei verpackte WordPress-Paket von der Seite https://wordpress.org/download/ herunter. Mit einem beliebigen ftp-Programm, in der Regel filezilla oder cyberduck, wird der entpackte Ordner auf den Webspace geladen und auch hier ist nach wenigen Handgriffen der eigene Blog aufgesetzt. Ich ergehe mich jetzt nicht in Erklärungen, wie dies zu geschehen hat, da dies an unzähligen Stellen, nicht nur nachlesbar, sondern sicherlich auch anschaulicher geschildert ist, als ich es vermöchte.

So und jetzt geht es eigentlich auch schon an die ersten, aber immanent wichtigen Sicherheitsvorkehrungen. Alle erstes Gebot für mich gilt, akismet und dolly in die Tonne zu treten und das Plugin „maintenance“ zu installieren. Dies gestaltet einen für zufällig vorbeischneiende Besucher*innen sichtbaren Wartemodus. Derdiedas Besucher*in sieht, okay, hier wird gewerkelt, sitzt aber vor verschlossenen Türen.

In der vorinstallierten WordPress-Variante ist als nächstes  vor allen weiteren Schritten eine ordentliche Permalink-Struktur einzustellen. Hierbei empfiehlt es sich im Backend/ dashboard unter Einstellungen -> Permalinks, die benutzerdefinierte Struktur, oder jene mit Beitragsnamen zu wählen.

Der für mich relevante folgende Schritt ist das Installieren meines Themes. Hierbei arbeite ich mittlerweile vorrangig mit selbst gestalteten, oder überarbeiteten Themes. In der Blog-Vorschau sehen Sie das Endergebnis und können es jetzt noch über Design – Editor – beliebig bearbeiten, bis es sitzt, passt und Luft zum Atmen hat.

Im Folgenden installiere ich auch bereits das erste Sicherheitsplugin. Hierfür empfehlenswert sind diverse. Üblicherweise genutzt werden: iThemes Security (formerly Better WP Security) und/ oder All In One WP Security & Firewall. Beide Plugins leisten ähnliches. Sie verschlüsseln die anfälligen Ordner, schränken die Zugriffsrechte ein, (wichtig! =>) benennen die wichtige wp_login.php (siehe auch: Plugin: Rename wp-login.php) um, schließen in der Regel (Sie können es einstellen) die Möglichkeit Dateien aus dem Backend zu editieren und sorgen für grobe Sicherheit.

Nun sollten Sie schleunigst einen neuen Nutzer mit möglichst schwachsinnigem Namen kreieren und diesem Admin-Rechte einrichten. Wichtig ist, dass Sie den Namen so abwegig als möglich gestalten. Angelegt werden Nutzername, Spitzname und der öffentliche Name. Seien Sie schlau und geben Sie drei unterschiedliche Namen ein. Richten Sie für Werner Dorothea Pia Kackdiewandan einen Account ein, nennen Sie Werner im Spitznamen Schnullerpfeife und wählen Sie als Nutzernamen Pia. Warum? Weil Werner ihr zukünftiger Admin sein wird. Desweiteren werden Sie niemandem verraten, dass es Werner gibt. Sollte Werner jemals einen Beitrag verfassen, ist es wichtig, dass sein Nutzername und Öffentlicher Name unterschiedlich sind. Warum? Weil 78 % aller WordPress-Blogs über das wp-login.php gehackt werden. Es gibt Hackprogramme, die von jedem Kind zu bedienen sind. Viele WordPress-Blogger behalten die Voreinstellung bei. Der Admin heißt „admin“. Katastrophe, denn dieser Account ist, wenn es jemand darauf absieht, schnell gehackt. Geben Sie sich auch mit den Passwörtern Mühe. Die üblichen Passwörter lauten 1234567, gerne auch „Passwort“, Blogname2015, AdminnameGeburtsdatum oder vergleichbar(leicht Knackbar)es. Suboptimal.

Nun loggen Sie sich als Werner Kackdiewandan mit „Pia“ ein, löschen den angelegten Nutzer „admin“ und … Tusch… kreiieren einen weiteren Nutzer, der indes ausschließlich Rechte als Autor erhält. Es empfiehlt sich jenen Namen zu wählen, mit dem Sie später Beiträge veröffentlichen wollen. Sollte ein Hacker also glauben, besonders schlau zu sein, wird er, insofern er Ihren Autoren-Account gehackt bekommt, nie an die empfindsamen Eingeweide des Administrationsbereiches gelangen.

In einem weiteren Schritt lade ich eines der vielen Plugins, welche den Autorennamen aus der Benutzerfläche verschwinden lassen. ZB: wp-author-date-and-meta-remover/. Das macht im Grunde nur beschränkt Sinn, weil selbiger über die unzähligen Share-Möglichkeiten, auch über den feed in der Regel doch verraten wird. Aber das macht uns ja nicht zwingend Sorge, weil … s.v.: der Autor nur beschränkte Rechte hat. Doch man kann ja ein paar Stolperfallen einbauen. Dafür ist es gut. Und in der Regel gibt es so viele ungesicherte WP-Blogs, dass ein Hacker seine wertvolle Zeit nicht weiter auf Sie verschwenden wird, je umständlicher Sie es ihm machen…

Im weiteren gehe ich über mein ftp-programm und verlagere die config.php. In dieser Datei sind alle Daten vorhanden, sozusagen die DNS ihres Blogs. Ich verschiebe selbige tollkühn an einen fremden Platz an einen fremden Ort => außerhalb des wordpress Ordners.

Glauben Sie mal nicht, Sie wären damit schon sicher. WordPress-Blogs hacken ist ein beliebtes Hobby und eine ganze Hacker-Mafia hängt daran. Hintergrund? Diverse. Für die einen (Kidz) ist es ein Sport, andere profitieren davon… indem Schadcode eingeschleust wird, der ihre Webseite löscht, oder auf bizarre andere Seiten leitet, oder ihre Webseite zur Virenschleuder umfunktioniert, oder oder oder. Und Sie kriegen davon idR nichts mit. Während Ihre Besucher betroffen schweigen, wenn diese erkennen, dass auf Ihren ehemals löblichen Heimseiten nun willige Singles ihre sexuelle Verfügbarkeit anbieten…

Somit muss weiter der Eingang verrammelt werden. Das Schlaueste – meines Erachtens – ist hierbei die Two-Factor-Authentifizierung. Diese legt fest, wer sich in den Account einloggen darf und wenn Sie ganz fies sind, dann legen Sie fest, dass der Login nur mit dem Handy per sms oder Scanner gelingt. Sich mit seinem Handy einzuloggen, was ja für einen Fremden gar nicht geht, da nicht gestattet und einen fremden Zugreifer nur identifizierbar macht, macht nun selbst der unausgeschlafenste Hacker nicht, da Hacker nicht so blöd sind, wie man allgemeinhin vermutet. Nicht unschlau ist desweiteren die Installation des Plugins WP Cerber. Hiermit lässt sich ua einstellen, dass jeder Schelm, der sich mit einem nicht vorhandenen Admin-Namen (zB „admin“) einlogged, umgehend auf die Black List wandert. Ein feiner Wachhund für die Haustür! Wenn Sie ganz spaßiger Natur sind, installieren Sie All 404 Redirect to Homepage. Wurde im Vorfeld die wp_login.php umbenannt, weitere relevante Seiten (durch die Sicherheitsprogramme) ebenfalls umbenannt/ gegebenenfalls verschoben, erhält der bös gesonnene Zugreifer normalerweise die Fehlermeldung 404. Ist indes das benannte Plugin installierte, wird er kurzerhand auf Ihre Heimseite gelandet und schaut sicherlich eine Runde blöd aus der schmutzigen Wäsche.

Wenn Sie sich das Ganze jetzt in Form eines realen Hauses vorstellen, haben Sie Ihren Eingang im Grunde zubetoniert. Da kommen nur noch Sie mit Gesichtskontrolle rein. Toll. Da können Sie sich ja jetzt zurücklegen.

Können Sie nicht. Wenn wir bei dem Beispiel von dem Haus bleiben, haben Sie jetzt zwar die Eingangstür zubetoniert, aber die Wohnzimmerfenster im Parterre stehen sperrangelweit offen. Hier lässt sich mit und über die genannten Plugins festlegen, wer überhaupt Ihre Seiten nutzen darf. Grandios ist das Plugin Wordfence, welches jedwelche Zugriffe protokolliert. Es lassen sich verschiedene Sicherheitsstufen einstellen, die soweit gehen, dass Zugriffe auf sensible Daten mit einem direkten Block der IP samt Subnetz automatisch ausgeschlossen werden.

Ich musste allerdings für meinen Teil feststellen, dass zuviel des Guten einfach schlecht ist. Die unzähligen Sicherheitseinstellungen können gut von böse kaum mehr unterscheiden, sind sich zum Teil gegenseitig hinderlich und so stehen unbescholtene Kommentator*innen dann mit leeren Händen vor einem sich ihnen verschließenden Blog. Ungünstig.

Sollten Sie jemals gehackt worden sein… Ruhe bewahren. Die meisten Webspace- Anbieter bieten recovery-Funktionen an. Auch wordpress hat unzählige Backup-Plugins zu bieten. Ich kann nicht wirklich zu diesen Backup-Plugins raten, da es bei einem erfolgreichen Hack wie mit Ratten ist. Auf eine gesichtete, kommen 100te im Verborgenen. Bedeutet auf einen Hacker bezogen: er hat sich möglicherweise lange bevor Sie es merken, Zugriff verschafft, längst die Datenbank mit seinen Schadprogrammen und Hintereingängen versehen. Ruhe bewahren. Datenbank löschen, neu aufsetzen.

An dieser Stelle werden regelmäßige Backups immanent wichtig. Ich für meinen Teil sichere nicht die Datenbank – aus dem oben genannten Grund – sondern täglich Beiträge. Dies geht über das Dashbord-Menue unter Werkzeuge=> Option „Daten exportieren“. Gibt es einen Hack, wird die Datenbank gelöscht, eine neue (zwei Klicks) erstellt, ratzfatz der Blog aufgesetzt, das Design gewählt und die alten Beiträge importiert. Fertig. Um diese 5-Minuten-Terrine zu begreifen, brauchte ich sieben Monate….^^

Bleiben Sie generell bei einer überschaubaren Anzahl an Plugins. Plugins sind kleine Programme, die alle Zugriffsmöglichkeiten auf Ihren Blog besitzen. Wird ein Plugin nicht rechtzeitig ge-update-d, kann es zu einer gefährlichen Sicherheitslücke werden (das weit geöffnete Parterre-Fenster).

Also, fasse zusammen: Ernennen Sie stets einen neuen Admin. Geben Sie ihm abstruse Namen. Löschen sie den voreingestellten „admin“. Verschlüsseln Sie Ihre Datenbank und schauen schleunigst zu, dass Sie ihre Config-Datei verstecken. Benennen Sie Ihr Login um und sichern Sie es mit zB two-Factor-Authenticator ab. 

Regelmäßige Schadware Scans-  wie zum Beispiel mit Sucuri Security möglich – können für den Seelenfrieden nicht schaden. Empfehlenswert ist das Einrichten eines firewall-Plugins. Aber hierbei ist immer zu bedenken, dass Ihr Blog in der Anwendbarkeit für mögliche Kommentatorinnen immer unhandlicher wird.

Oops, noch etwas vergessen. Hartnäckige Hacker mit abrundtief verkorkster Psyche werden versuchen, sich, wenn Sie vor verschlossenen Türen stehen, über das Kommentarfeld einen Zugang zu schaffen. Auch hierfür gibt es Plugins, die das Einführen von bizarren Codes untersagen.

Mist, jetzt fallen mir glatt noch die nächsten Sicherheitslücken auf. Die xml-Dateien, die sich als herrlicher Fahrstuhl zum Schaffott für die schwarze Hackerseele erweisen (Abhilfe ua durch Disable XML-RPC). Oder das Löschen unnötiger Dateien in der WordPress-Basis-Version (sample, user-Gedöns, license, wp-signup.php, wp-config-sample.php, readme, users-admin.php), das Beschränken der Zugriffsrechte von htaccess (per Sicherheitsplugins, wie von Hand möglich) und Konsorten. Hm. Ätzend.

NACHTRAG:

Jetzt habe ich aber keine Lust mehr. Im Schreiben dieses Beitrages habe ich festgestellt, dass mich das ganze Thema enorm anödet und ich wahrscheinlich nichts von alledem auch nur halbwegs verständlich übermitteln konnte. Tscha, so hat mensch seine Beschränkungen.
Sollten Sie indes Hilfe brauchen beim Einrichten eines Blögchen, oder suchen Sie Unterstützung in gestalterischer Finesse, biete ich dies zum einen professionell an, bin zum anderen bei kleinerem Gezeugse gerne zu Freundschaftsdiensten bereit.

Ich resümiere, dieser Beitrag ist an Ödnis, Unverständlich- und Sinnlosigkeit kaum zu übertreffen. Nun ja. Zu spät. So eine Verschwendung von Zeit und Ressourcen. Blöd gelaufen.

  • Als Entschuldigung gibt es etwas auf die Ohren.

Vorhang auf für Pamela Falcon und Percival Duke. 

Aus mir sich nicht erschließenden Gründen, lässt sich das Video NICHT einbetten. Möglicherweise eine Art Kopierschutz. Bei Interesse, bitte, den Link aufrufen. Quelle, Link => https://www.youtube.com/watch?v=w7pGwRJdbCM

PMS* (ich schreibe *PMS im Vollbesitz meiner verbliebenen geistigen Kräfte! Ergreifend schlichte Gemüter wie meine Wenigkeit belieben sich zuweilen an Winzigkeiten zu erfreuen) PMS_Forte: Sagt Ihnen Percivals unglaubliche Stimme zu, sollten Sie umgehend (!) die neue Single RAIN erstehen. An dieser musikalischen Rarität ist zudem das hervorragende Cover-Design hervorzuheben…

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

zwölf + 2 =