1. Eine Erfolgsgeschichte
WordPress erfreut sich einer großen Popularität und baut seinen Einfluss im Netz weiter aus. Stand Februar 2016 läuft gut ein Viertel aller Webseiten weltweit mit WordPress. Weit abgeschlagen sind die beiden Konkurrenten Joomla und Drupal, die gemeinsam fünf Prozent erreichen.
Ursprünglich wurde WordPress als Blog-Anwendung entwickelt. Im Laufe der Jahre wurde der Funktionsumfang stetig ausgebaut. Heute ist WordPress nicht nur eine einfache Blog-Anwendung, sondern ein Content-Management-System (CMS). Das Resultat: Mittlerweile werden auch herkömmliche Webseiten mit WordPress gebaut.
Der Erfolg von WordPress ist vermutlich auf seine unkomplizierte Installation und einfache Anwendung zurückzuführen. Begünstigt durch seine quelloffene Entwicklung stehen den Anwendern unzählige Erweiterungen in Form von Themes und Plugins zur Verfügung – jede WordPress-Installation lässt sich damit den individuellen Wünschen anpassen.
Aufgrund der hohen Verbreitung ist WordPress allerdings auch ein beliebtes Ziel für Hacker-Angriffe. In der Artikelserie »WordPress Sicherheit« möchte ich den Ursachen von gehackten und lahmenden WordPress-Installationen auf den Grund gehen.
- Der richtige Hoster – WordPress Sicherheit Teil1
- Eierlegende Wollmilchsau – WordPress Sicherheit Teil2
- Schwachstellen in Plugins und Themes – WordPress Sicherheit Teil3
Tipps zum Absichern eurer WordPress-Installation:
- Basisschutz – WordPress absichern Teil1
- Schutzmaßnahmen – WordPress absichern Teil2
- Security Plugins – WordPress absichern Teil3
- .htaccess Schutz – WordPress absichern Teil4
- Serverseitiger Schutz – WordPress absichern Teil5
- Spam-Bot Protection – WordPress absichern Teil6
- Parasitenabwehr von Bots – WordPress absichern Teil7
2. Start der Serie
In der Artikelserie »WordPress Sicherheit« möchte ich drei grundlegende Themen aufgreifen, die aus meiner Sicht hauptverantwortlich für die Sicherheitsprobleme von WordPress sind:
- Unqualifizierte Hosting Anbieter
- Fragwürdige Designentscheidungen des WordPress Teams
- Schlecht programmierte Themes und Plugins
Allerdings möchte ich die Themen nicht nur aufarbeiten, sondern euch Tipps vorstellen, mit denen ihr diese Fallstricke im günstigsten Fall vermeiden könnt. Die Serie beginnt mit der Auswahl eines geeigneten WordPress-Hosters – eine wichtige Voraussetzung für euer WordPress-Projekt.
Die Artikelserie soll die Reihe »WordPress absichern« ergänzen, die sich mit der Absicherung einer WordPress-Installation beschäftigt. Weitere Beiträge zum Thema WordPress findet ihr in der Gesamtübersicht.
3. WordPress-Hosting
Die Auswahl eines zuverlässigen Hosters ist die halbe Miete. Denn er ist der Erste, der euch bei Problemen mit der WordPress-Installation kompetent weiterhelfen sollte. Und er ist auch derjenige, der auf Serverebene für die Sicherheit verantwortlich ist. Das solltet ihr in keinem Fall unterschätzen, denn eure WordPress-Seite ist nicht nur auf Anwendungsebene verwundbar, sondern auch auf einer Ebene, über die ihr im Normalfall keinen Einfluss habt. Wenn Hosting Anbieter allerdings schon bei der Sicherheit auf Serverebene Konfigurationsfehler machen oder Schwachstellen nicht rechtzeitig durch Sicherheitsupdates beseitigen, dann sind Störungen und Probleme vorprogrammiert. Der Leidtragende ist dann der Kunde, der den Fehler auf seiner Seite vermutet.
Ihr solltet euch daher immer vor Augen führen: Ein qualitativer Hoster bildet die Grundlage für euer WordPress-Projekt – egal ob Privat- oder Firmenkunde. Doch hier fangen die Fragen und Probleme für den Anwender schon an. Auf was muss ein Anwender bspw. achten, wenn er die Angebote miteinander vergleicht? Nachfolgend möchte ich euch ein paar Tipps vorstellen, um einen geeigneten WordPress-Hoster zu finden:
3.1 Anfänger
- Allgemein: WordPress-Hosting-Pakete werden mittlerweile von vielen Hostern angeboten. Gute Erfahrungen habe ich mit kleineren Anbietern gemacht, die sich auf das Hosting von WordPress spezialisiert haben. Idealerweise lässt sich WordPress mit einem einfachen Klick installieren.
- Datensicherung: Die Installation eines neuen Plugins oder Themes kann eine WordPress-Installation auch mal unbenutzbar machen. Datensicherungen, die mindestens 7 Tage und mehr in die Vergangenheit reichen, sind daher Pflicht. Achtet daher auf regelmäßige und vollautomatische Backups der WordPress-Installation durch den Anbieter.
- Standort: Hinsichtlich deutscher und europäischer Datenschutzgesetze sollte der Serverstandort in Deutschland oder der EU sein. Im Zweifelsfall ist dies gerade bei WordPress-Seiten, die Kundendaten verarbeiten, von Vorteil.
- Service: Bei Problemen mit euer WordPress-Installation sollte euch der Hoster als erstes weiterhelfen können. Achtet daher auf einen persönlichen Support, der über E-Mail oder telefonisch erreichbar ist. Einige Anbieter bieten euch sogar feste Ansprechpartner.
- Verwaltung: Für die Verwaltung von WordPress bieten Hoster unterschiedliche Varianten an. Über Web-Control Panel wie ISP Config könnt ihr eure Installation meist selbst verwalten. Wenn euch ein Anbieter zum Transfer von Dateien noch einen Zugang über das unverschlüsselte FTP-Protokoll anbietet, dann solltet ihr wechseln – das ist grob fahrlässig. Angreifer haben hier leichtes Spiel eure Login-Daten abzugreifen.
- SSL/TLS: Bei vielen Anbietern ist das SSL-/TLS-Zertifikat optional buchbar. Im Normalfall sollte es mittlerweile zur Grundausstattung zählen. Insbesondere der WordPress Administrationsbereich sollte nur über eine TLS-abgesicherte Verbindung aufgerufen werden. Ansonsten haben Angreifer ein leichtes Spiel eure Login-Daten abzugreifen – in einem Internet-Café solltet ihr die Anmeldung an WordPress jedenfalls vermeiden, wenn ihr noch kein TLS-Zertifikat habt. Wie das funktioniert, habe ich im Beitrag Hacking WordPress – Ein Blick hinter die Kulissen aufgezeigt.
- Sicherheit: Die Kompetenz eines Hosters bzw. wie es um die Sicherheit der IT-Infrastruktur bestellt ist, lässt sich leider nicht dem Angebot entnehmen. Oftmals lassen sich Probleme mit gehackten WordPress-Installationen auf Versäumnisse des Hosters zurückführen. Dazu zählen bspw. veraltete PHP-Versionen, nicht gepatchte Sicherheitslücken und schlampige Webserver-Konfigurationen. Es ist daher schwierig euch hier einen guten Rat zu geben. Aber vielleicht hilft meine Erfahrung an dieser Stelle etwas weiter: Wenn ich im Auftrag von Kunden meinen sogenannten »WordPress-Scan« durchführe, schneiden Anbieter, die sich auf das Hosting von WordPress spezialisiert haben, hinsichtlich der Sicherheit meist besser ab.
3.2 Fortgeschrittene
- Webserver: Der nginx Webserver ist eine Alternative zu Apache. Insgesamt ist die Konfiguration übersichtlicher, die Performance besser und der Verbrauch von Ressourcen (RAM, CPU, etc.) dem Apache überlegen. Achtet daher darauf, ob der Anbieter eure WordPress-Seite über nginx hosten kann.
- Kein Reverse-Proxy: Falls der Anbieter das Hosting über nginx anbietet, solltet ihr nach der Umsetzung fragen. Denn viele Hoster bieten nginx-Hosting in der Form an, dass sie den nginx als Reverse-Proxy vor einen Apache Webserver schalten. Damit ist nichts gewonnen, denn die eigentliche Arbeit wird dann noch immer von einem Apache Webserver erledigt.
- Caching & Geschwindigkeit: Über verschiedene Caching-Module / PHP-Beschleuniger wie bspw. APC, Zend OPcache + APCu oder Varnish kann die Performance einer WordPress-Seite bereits auf Serverebene erheblich gesteigert werden. Gute WordPress-Hoster bieten zusätzlich vorkonfigurierte Installationen für den Einsatz von W3 Total Cache, Cachify oder anderen Caching-Plugins, mit denen sich die Geschwindigkeit weiter optimieren lässt.
- Hardware: Insbesondere bei aufwändigen WordPress-Installationen mit vielen Plugins solltet ihr die Hardware im Blick behalten. Das Hosting-Angebot sollte zumindest über ausreichend Festplattenspeicher und RAM-Kapazität verfügen. Zudem solltet ihr die Möglichkeit haben das PHP Memory Limit zu beeinflussen. Bei mittleren bis großen WordPress-Projekten sollte dies bei 256 MB oder besser 512 MB liegen.
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.3 Profis
- Self Hosting: Ein Managed Host oder dedizierter Server bietet euch die Möglichkeit die Konfiguration des Servers individuell zu beeinflussen. Damit könnt ihr die Umgebung für eure WordPress-Installation nach euren Wünschen gestalten. Das umfasst bspw. die freie Wahl des Webservers, der PHP-Version, des Datenbanksystems, aber auch PHP-Beschleuniger oder die Installation von zusätzlichen Sicherheitsmaßnahmen wie einer Web Application Firewall. Wer sich dafür entscheidet, trägt allerdings weitaus mehr Verantwortung, sollte über ein tiefgreifendes technisches Verständnis verfügen und die meist höheren Kosten einkalkulieren.
WordPress auf Schwachstellen und Konfigurationsfehler prüfen
Für Deine WordPress-Installation habe ich ein spezielles Leistungspaket im Angebot:- Scan Deiner WordPress-Installation auf Schwachstellen
- Auswertung und Beurteilung der gefundenen Schwachstellen
- Auf Basis der Ergebnisse erhälst Du von mir individuelle Maßnahmenempfehlungen zur Behebung und Absicherung
Wenn du Deine WordPress-Installation nachhaltig absichern möchtest, kannst Du mich gerne kontaktieren.
Gut zu wissen: Sicherheit erlangst Du nicht durch die Installation unzähliger Security-Plugins, sondern durch eine saubere Konfiguration, stetige Updates und proaktive Maßnahmen zur Absicherung. Kontakt aufnehmen
4. Keine Anbieterempfehlung?
Generell möchte ich es an dieser Stelle vermeiden eine Empfehlung für einen Hosting-Anbieter auszusprechen – denn dies würde den individuellen Anforderungen nicht gerecht. Wer Ärger und Enttäuschung möglichst vermeiden möchte, der sollte die Angebote auf dem Markt gut miteinander vergleichen und die genannten Tipps im Hinterkopf behalten. Wer seine Entscheidung nur am günstigsten Preis festmacht, der sollte sich den Betrieb einer WordPress-Seite nochmal gründlich überlegen. Denn eines sollte klar sein: Die Hauptverantwortung für den sicheren Betrieb und damit bspw. den Schutz von Kundendaten liegt beim Betreiber der WordPress-Seite – demnach also bei euch.
5. Fazit
Probleme von gehackten WordPress-Installationen lassen sich oftmals auf Versäumnisse des Hosters zurückführen. Ein zuverlässiger Anbieter ist daher Pflicht und bildet die Grundlage für euer WordPress-Projekt. Insgesamt habe ich mit kleinen, auf WordPress spezialisierte Anbieter bessere Erfahrungen gemacht.
Es gilt: Die Grundlage für eine sichere, zuverlässige und schnelle WordPress-Seite wird bereits auf Serverebene geschaffen – also von eurem Hoster.
Bis heute hat das WordPress Team viele fragwürdige Designentscheidungen getroffen, die sich negativ auf die Sicherheit und Geschwindigkeit einer WordPress-Seite auswirken können. Im nächsten Teil der Serie werfen wir darauf einen Blick.
Bildquellen:
WordPress: Wikimedia Commons, GNU General Public License
Server-Access: RRZEicons, Attribution-Share Alike 3.0 Unported
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Security Plugins – WordPress absichern Teil3
Schwachstellen in Plugins und Themes – WordPress Sicherheit Teil3
Eierlegende Wollmilchsau – WordPress Sicherheit Teil2
Schutzmaßnahmen – WordPress absichern Teil2
Serverseitiger Schutz – WordPress absichern Teil5
5 Ergänzungen zu “Der richtige Hoster – WordPress Sicherheit Teil1”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit.
Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Gibt es Hosting-Anbieter, von denen sie abraten würden?
Kannst du, wenigstens auch am Rande auf alternative CMS eingehen?
Monopol Produkte sind mir oft unsympathisch. Mich interessieren z.B. Drupal, mit PostgreSQL oder Python(Plone) arbeitende CMS.
Wirst du etwas zu Anwendungen wie Magento & Co. schreiben?
Nein in dieser Serie nicht. Es wird ausschließlich WordPress behandelt.
Hallo,
zum Thema Provider würde gerne mal ein wenig meinen Senf dazugeben.
Ich bin seit Jahren eigentlich zufriedener Kunde bei Host Europe, bin durch Zufall auf ein Produkt bei denen namens „Bloghosting“ gestossen, bei denen es um WordPress geht.
Es hat mehrere E-Mail-Anläufe gedauert, bis ich klarmachen konnte, dass es mir um ein sicheres Login in das WordPress-Backend geht. Wenn ich Deine Serie richtig verstanden habe, Mike, gehört auf jeden Fall auch ein per https verschlüsselter Zugang dazu, ist das richtig?
Ja, und genau da hängt es. Diesen Zugang gibt es nicht. Kein Zertifikat enthalten, keine Möglichkeit, sich verschlüsselt ins Backend einzuloggen. Sehe ich das Problem hier richtig?
MfG
Wenn eine Webseite kein TLS-Zertifikat für seine Besucher anbietet, dann kann man sich je nach Anwendungszweck drüber streiten. Für das WordPress-Backend sollte aber in jedem Fall eine TLS-verschlüsselte Verbindung zwischen Browser und Server aufgebaut werden – falls dies ein Provider nicht unterstützt bzw. keine TLS-Zertifikate anbietet: Wechseln!