Ich lese seit einer ganzen Weile bei Facebook in einer Gruppe mit, bei der es um WordPress und SEO geht. Bei der Lektüre erstaunt mich immer wieder, wie viele WordPress-Installationen im Internet aktiv sind, ohne dass deren Administratoren sich um grundlegende Dinge der IT-Sicherheit Gedanken machen.
Leider hat sich in der Szene nämlich ein Denken breit gemacht, das es zu hinterfragen gilt.
Sicherheitsfunktionen werden im WordPress Bereich oft über einfach zu installierende Plugins realisiert, die aus Sicht des (Unix-/Linux) Serveradmins eigentlich schon auf einer Ebene weit unter WordPress abzufangen wären. Und das vielfach auch noch ohne jedes Verständnis, was eigentlich dahinter steckt. Für mich ist das manchmal, als wenn jemand auf Basis seiner Erfahrung aus Lego-Technik-Bausätzen anfängt Sportwagen in Serie zu produzieren.
Der erste Dankanstoß: Warum soll sich ein http-Dienst um Dateirechte kümmern?
Das kann er auf einem vernünftig aufgesetzten System ja nicht einmal. Der httpd läuft aus Sicherheitsgründen gar nicht als root und hat im Normalfall nicht einmal das Recht, das eigene Installationsverzeichnis zu verlassen. Wer seine Installation per ftp-Client oder manuell rekursiv auf 777 (rwxrwxrwx) setzt, nur damit alles läuft, hat einfach den falschen Ansatz gewählt.
Eine .htaccess mit Zugriffssperren macht auch wenig Sinn, wenn diese die falschen Rechte hat. Gleiches gilt für die htpasswd. Also nach Möglichkeit die Zugangsbeschränkungen direkt in die Apache-Konfiguration. Da kommt so leicht niemand hin.
Der zweite Denkanstoß: Der eigentliche Server.
Die Krux: Ganz viele Betreiber entscheiden sich aus Kostengründen für einen vServer. Die kann man in der Regel mit so einem schönen grafischen Werkzeug konfigurieren. Außerdem maximiert diese Wahl ja den eigenen Rohgewinn.
Wie oft habe ich schon verzweifelte Hilferufe gelesen, wenn dann doch ein Server kompromittiert wurde. Konfigurationstools haben meist alle Rechte ins System. Und wie viele andere Installationen noch auf der gleichen Hardware laufen ist bei so einer Wahl meist auch nicht so ganz klar. Wenn bei einem was schief läuft, nimmt es oft andere Installationen mit.
Der eigentliche Denkanstoß muss also sein: Hört auf zu basteln und lasst Spezialisten ran!
Das gilt nicht nur für Hard- und Software! Mir ist bei alledem klar, dass nicht jeder WordPress-Admin auch ein Unix-Spezialist ist. Genau deswegen sollte zumindest jeder Webserverbetrieber einen echten Systemadmin kennen und den in die Installation einbinden und regelmäßig die Logs checken lassen.
Bleiben wir im Bild: Das Auto. Die Funktionen gibt der Hersteller (Systemadmin) vor, schon das Design wird zugekauft (Webdesigner). Auch die Sicherheitseinrichtungen wie Bremsen oder ABS werden in der Regel zugekauft so wie sie am besten passen. So etwas kommt nicht vom Hersteller selbst. Das wird exakt auf das jeweilige Modell abgestimmt oder nach Vorgabe passend gemacht (Systemadmin).