Veröffentlicht am

WordPress – Safety first!

WordPressWordPress wird als Content Management System (CMS) immer beliebter. Es kann ohne weitreichende technische Kenntnisse aufgesetzt und betrieben werden.

Das sollte auch so sein, denn warum sollte sich ein Autor mit der Technik herumschlagen?

Es gibt aber in der Planungs- und Installationsphase einige Dinge zu beachten, damit das neu aufgesetzte Blog nicht binnen kürzester Zeit zur „Malware-Schleuder“ wird.

Fangen wir da an, wo es eigentlich schon zu spät ist.

Eigentlich sollte die Installation damit starten, dass man sich Gedanken um die Sicherheit des Blogs macht. Das bedeutet aber den direkten Einstieg in die Themen „Dateirechte“, „Datenbankverwaltung“ und „Fehlerlog“. Ein erster Beitrag dazu findet sich an anderer Stelle hier im Blog.

Die meisten Blogbetreiber machen sich nach dem Aufsetzen des Blogs aber erfahrungsgemäß erst einmal Gedanken um das Design der Website. Das verwundert nicht, denn es wird ja um Inhalte und deren Wahrnehmung gehen.

Ich setze daher erst einmal an diesem Punkt an. Denn auch an dieser Stelle gibt es einige Möglichkeiten ein Mehr an Sicherheit zu bekommen.

Daher stelle ich hier ein paar Plugins vor, die hierbei einen guten Dienst verrichten und sofort nach der Grundinstallation hinzugefügt werden sollten.

 

Simple Login Lockdown

Dieses Plugin sorgt dafür, dass nach einer zu definierenden Anzahl fehlgeschlagener Login-Versuche der Zugang zur Administrationsoberfläche für die betreffende IP gesperrt wird. Keine Angst, nicht für immer, sondern nur für eine bestimmte Zeit. Angreifer warten nicht, ob nicht sie in einer Stunde erneut versuchen können, sondern ziehen weiter. Zeit ist Geld.

Antispam Bee

Die fleißige Biene gegen SPAM. Seit es Email und Blog-Kommentare gibt, gibt es auch SPAM. Also unerwünschte Zusendungen oder Einträge unter Blogbeiträgen. Zumindest im Bereich der WordPress Installationen gibt es dieses Plugin, das eine Menge SPAM abfängt, ohne das man sich als Autor damit herum plagen muss.
Passend dazu gibt es noch einen „Blacklist Updater“, mit dem eine automatische Liste von Spammern für Antispam Bee abonniert werden kann.

Stop Spammers Registration

Eine schöne Ergänzung zur kleinen Biene. Dieses Plugin verhindert, dass sich jedermann/jederfrau/jederbot als Benutzer an der Seite anmelden kann. In den Basiseinstellungen von WordPress kann man sich nach Eingabe seiner Mail nämlich ohne viel Aufwand registrieren lassen und kann dann nahezu automatisch Kommentare mit SPAM einstellen.

WP Author Slug

Eine oft gesehene Angriffsmethode sind „Brute-Force“ Angriffe, bei denen einfach willkürliche Loginname/Passwort Kombinationen benutzt werden. Da es bei WordPress in der Standardinstallation der Loginname dem Autorennamen entspricht, ersetzt dieses Plugin den sichtbaren Namen.

XM-Backup

Wie der Name schon sagt, macht dieses Plugin nichts anderes, als Backups. Und zwar von der Datenbank und den Inhalten. Wohin, kann man sich aussuchen. Für mich hat sich bewährt, die Daten auf dem lokalen Host in einem eigens dafür vorgesehenen Verzeichnis per ftp abzulegen. Dieses Verzeichnis wird dann nachts über eine VPN-Verbindung auf einen lokalen Server im Büro kopiert. Damit existiert neben dem lokalen Backup auf dem Webserver auch noch ein weiteres im direkten Zugriff. Sehr nützlich um eine saubere Neuinstallation vorzunehmen, falls der Server doch einmal kompromittiert ist.

 

Mit diesen fünf Plugins sind schon einmal ein paar Angriffsmöglichkeiten entschärft.

Das ist aber noch längst nicht alles, was getan werden sollte.

Ein wichtiger Punkt ist immer auch die technische Absicherung einer WordPress-Installation. Hierzu gehört zum Beispiel die Absicherung des Administrationsbereiches per .htaccess-Datei. Oder eben die Prüfung der Dateirechte im System. Sobald jeder von außen etwas hochladen kann, wird das ein echtes Risiko.

Ebenso sollte es heute selbstverständlich sein, den Zugang zum Adminstrationsbereich mit einem SSL-Zertifikat abzusichern, damit ein Lauscher an der Leitung keine Login-Daten abfangen kann.

Hier wird es dann aber sehr schnell technisch. Zu technisch für die meisten Betreiber.

Sprechen Sie mich an, ich prüfe ihr WordPress-System und gebe Tipps zur sinnvollen Absicherung.

 

Veröffentlicht am

Schon wieder Gewitter in der Cloud

CloudUnd wieder hat es Probleme bei einem großen Cloud-Anbieter gegeben: In einem Rechenzentrum in Irland ist es nach Angaben der Betreiber durch einen Blitzeinschlag zu einem größeren Stromausfall gekommen. (Quelle: heise Online)

Dies ist der zweite massive Ausfall eines solchen Cloud-Rechenzentrums. Und auch diesmal dauert es bis zur Wiederinbetriebnahme der Dienste mehr als einen Tag. Ein Tag, in dem die dort gelagerten Daten nicht abrufbar waren. Die darauf aufsetzenden Shops waren nicht verfügbar.

Jetzt beginnt für alle Kunden, die auf diese Dienste aufsetzen auch noch die große Kontrolle. Sind die Daten noch konsistent? Muss ein Backup eingespielt werden? Welchen Stand haben vorhandene Daten? Welche Aufträge sind schon erfasst oder abgewickelt?

Die Inbetriebnahme nach dem Notfall wird länger dauern als der Ausfall selbst. Denn rund 36 Stunden nach dem Ausfall scheint nocht nicht klar zu sein, welche Volumes möglicherweise inkonsistent sind.

Geworben wird übrigens mit einer Verfügbarkeitsquote von 99,95%, Zum Vergleich: Nach dem BSI ist eine Installation „höchstverfügbar“ bei 99,999%, das enspricht einer Ausfallzeit von rund 6 Minuten pro Jahr. Ab neun Stunden Ausfall (99,0%) sind wir bereits in der Klassifizierung „Normal verfügbar“.

Und das bezieht sich nur auf die Zeit bis Hard- und Software im Prinzip wieder laufen. Es gibt aber eben noch den Nebenschauplatz Datenkontrolle. Der Betreiber des Rechenzentrums stellt nämlich den Kunden offenbar nur Recovery-Images der Volumes zur Verfügung. Die Prüfung und Kontrolle der Daten obliegt dem Kunden selbst. Kann der Kunde das überhaupt? Oder sind die personellen und strukturellen Resourcen nicht gerade erst heruntergefahren worden, da ja jetzt alles in der Cloud liegt?

Man darf also durchaus skeptisch sein, wenn man Cloud-Dienste nutzt. Gerade im Bereich Mittelstand, wo gerade massiv für Cloud-Dienste geworben wird, sollte man sich klar einige Fragen zum Risiko/Nutzen-Verhältnis stellen. Denn wenn die großen Kunden in den Rechenzentren schon derartige Probleme haben, wie wird es dann dem kleinen Mittelstandskunden ergehen? Eine Woche kein Datenzugriff, weil erst einmal die großen wieder produktiv gehen müssen? Zwei bis drei Wochen um Daten und Aufträge zu prüfen, um Doubletten zu vermeiden? Das kann für einen kleineren Betrieb ein existentielles Risiko darstellen.

Das Fazit kann aus unserer Sicht nur lauten: Cloud? Ja gerne. Aber bitte eine eigene, private Cloud. Mit einem hinterfragbaren Konzept, aufgesetzt mit standardisierter Hard- und Software. Und mit einem externen Berater, der dem Kunden mit Rat und Tat zur Seite steht.

Sprechen Sie uns an, wir entwickeln Ihr Konzept.