Auswertung einer Umfrage unter WordPress-Nutzern.
Sicherheit von WordPress-Seiten und -Blogs ist immer wieder ein großes Thema, nicht zuletzt wegen immer neuer Sicherheitslücken in beliebten und bekannten Plugins oder andauernden Angriffen auf den Login der eigenen WordPress-Installation.
Diese Umfrage will generell klären, welche Maßnahmen die Administratoren und Nutzer von WordPress zur Absicherung ergreifen bzw. welche Erfahrungen damit gemacht wurden.
Kostenloser Newsletter und E-Book zum Thema WordPress-Sicherheit auch unter https://www.wp-sicherheit.info
1. Der Alltag mit den Hackern
Auswertung einer Umfrage
unter WordPress-Nutzern
2. Eine Umfrage zur WordPress Sicherheit
Online-Umfrage via
Google Forms
Verbreitet über Xing,
Facebook, Newsletter
14 Fragen
62 Teilnehmer
Dutzende Antworten
3. Frage 1: Wie schätzen Sie sich selbst
in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein?
Jeder Zweite sieht sich als
Fortgeschrittener
Nur 16% Anfänger
Zeigt sich die hohe Expertise
auch in den folgenden Fragen?
Expertise nicht nur allgemein
zu WordPress, sondern auch
in Sicherheitsfragen?
Lassen wir uns überraschen… :-)
4. Frage 2: Welche Quellen nutzen Sie, um sich
über das Thema WordPress Sicherheit zu informieren?
Häufigste
Informationsquelle sind
Blogs und Feeds (24)
Social Media (10)
Hoher Print-Anteil:
Bücher & Zeitschriften (14)
Security-Dienstleister
quasi nicht vertreten
Klassischer Journalismus
wird auch noch wichtig:
Zeitschriften & Online-
News-Seiten (je 11)
5. Frage 3: Wurde Ihre Website oder Blog auf WordPress-
Basis bereits angegriffen oder gehackt?
Knapp 60% hatten schon Angriffe auf die
Website (erfolgreich oder erfolglos)
Sicherheit ist kein Randthema!
Teile der 40% ohne Angriffe könnten
nichts mitbekommen haben
(keine Überwachung eingerichtet)
Nicht immer ist eine gehackte Seite
einfach zu bemerken (oder nur, wenn
schon großer Schaden angerichtet ist)
Angriffe können verschiedenster Art sein,
siehe nächste Frage
6. Frage 4: Welche Angriffsversuche bzw.
erfolgreiche Angriffe hatten Sie bereits?
7. Frage 4: Welche Angriffsversuche bzw.
erfolgreiche Angriffe hatten Sie bereits?
Fast die Hälfte der Nutzer kennt Angriffsversuche über den Login
Und das, obwohl die meisten erfolgreichen Angriffe über das Einschleusen von
Schadcode in Plugins und Themes stattfinden
Überraschend ist die geringe Nennung von Angriffen, die außerhalb von
WordPress stattfinden (z.B. im Betriebssystem). Ein Grund hierfür könnte die
Nutzung von Shared Hostern sein. Hier müssen sich die Kunden um solche
Themen nicht selbst kümmern
Nicht nur Login-Versuche sind an der Tagesordnung, sondern auch die Suche
nach Lücken durch Aufrufen (vermeintlich) verwundbarer URLs, teils sogar
CMS-unabhängig. Die geringe Nennung deutet daraufhin, dass dadurch
entstehende 404-Fehler nicht intensiv ausgewertet werden
8. Frage 5: Wie haben Sie auf die Angriffe reagiert?
Auffallend ist, dass fast niemand einen
Dienstleister mit der Absicherung oder
Bereinigung beauftragt
Viele andere begnügen sich mit der
Installation eines Sicherheits-Plugins
Ein großer Teil der Befragten jedoch traut
sich Änderungen an der Seite und der
Konfiguration zur Absicherung zu
9. Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe
gesperrt oder blockiert?
In den meisten Fällen ist der Hoster
derjenige, der als erstes reagiert
Wenn Google die Seite blockt, dann hat
der Angriff schon verheerende
Auswirkungen (Ranking, Vertrauen, …)
Auch wenn die äußeren Auswirkungen
gering sind oder nicht offensichtlich
spürbar sind, sollte ein Angriff nicht auf
die leichte Schulter genommen werden.
Je länger der Angriff geht (oder bereits
erfolgreich ist), desto mehr Schaden
kann angerichtet werden
10. Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
32 Nennungen
Nicht mehr nutzen -
veraltet!
12 Nennungen
https://wordpress.org/
plugins/wordfence/
10 Nennungen
https://wordpress.org/
plugins/better-wp-
security/
11. Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress.org/
plugins/antivirus/
5 Nennungen
https://wordpress.org/
plugins/sucuri-scanner/
12. Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress.org/
plugins/jetpack/
5 Nennungen
https://wordpress.org/
plugins/bruteprotect/
Datenschutz-Hinweise auf nächster Seite beachten!
13. Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
Jetpack beinhaltet die Sicherheitsfunktionen von BruteProtect
Beide Plugins prüfen die IP des Benutzers und sperren diesen, falls die IP
bereits auffällig wurde (auch auf anderen Seiten)
In Deutschland aus Datenschutz-Sicht kritisch zu sehen:
das Versenden der IP-Adresse an einen
Server in den USA ist nicht mit
deutschem Recht konform (da keine
Genehmigung dafür eingeholt wird)
Von einer Verwendung in Deutschland
kann zum aktuellen Zeitpunkt nur
abgeraten werden! (siehe dazu auch den
Tweet von Thomas Schwenke)
14. Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
Weitere genannte Plugins (in Klammern die Anzahl der Nennungen):
● WP Security Audit Log (4)
● Login LockDown (4) - Alternative zum veralteten “Limit Login Attempts”!
● WP Password Policy Manager (3)
● All In One WP Security & Firewall (3)
● BadBehavior (2)
● Fail2Ban, z.B. WP fail2ban (2)
● 2-Faktor-Authentifizierung, z.B. Google Authenticator (2)
● Hide My WP (kostenpflichtig) (2)
● Snitch (1)
● Stop Spammers (1)
● Ninja Firewall (1)
15. Frage 8: Welche Sicherheitsmaßnahmen
haben Sie durchgeführt?
16. Frage 8: Welche Sicherheitsmaßnahmen
haben Sie durchgeführt?
Wie zu erwarten, sind die häufig im Internet zu findenden Sicherheits-Tipps
auch häufig umgesetzt worden
Stärker technisch orientierte Maßnahmen, insbesondere im Zusammenwirken
mit anderen Webserver-Komponenten, werden seltener umgesetzt
Überraschend ist jedoch, wie viele verschiedene Maßnahmen die einzelnen
Nutzer umsetzen. Andererseits übernehmen diese Arbeiten auch die
Sicherheits-Suiten (Wordfence, iThemes Security)
Sehr wirksame Schutzmaßnahmen werden aber überraschend selten
durchgeführt (2-Faktor-Authentifizierung, SSL, Dateirechte, IP-Adressen
blocken).
Tipps zu wirksamen Methoden im kostenlosen Newsletter unter https://www.
wp-sicherheit.info
17. Frage 9: Updates sind extrem wichtig für die Sicherheit
der WordPress-Seite oder des Blogs. Dabei geht es um
WP-Updates und auch Updates von Plugins und Themes.
Wie regelmäßig kümmern Sie sich darum?
18. Frage 9: Updates sind extrem wichtig für die Sicherheit
der WordPress-Seite oder des Blogs. Dabei geht es um
WP-Updates und auch Updates von Plugins und Themes.
Wie regelmäßig kümmern Sie sich darum?
Eine große Mehrheit der Anwender setzt auf regelmäßige Updates - eine der
wichtigsten Aufgaben für den sicheren Betrieb von WordPress
Immerhin noch 20% der Nutzer machen keine regelmäßigen Updates und sind
damit potentiell verwundbar und angreifbar
Mindestens einmal die Woche sollten alle WP-Installationen auf notwendige
Updates überprüft werden. Bei einer Vielzahl an Installationen gibt es für diese
Aufgabe Helferlein dafür (siehe nächste Frage)
19. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der
Aktualisierung von Plugins und Themes helfen?
20. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der
Aktualisierung von Plugins und Themes helfen?
Überraschend selten werden Tools und Dienste für die Update-Tätigkeiten
genutzt. Von den bekannten Anbietern (InfinteWP, ManageWP, MainWP) ist
nur InfinteWP relevant genannt.
Neben den WP-spezifischen Tools werden auch allgemeine Dienste genannt
(Pushbullet, Installatron) oder eigene Lösungen bevorzugt
Auch das Sicherheitstool Secdash taucht in der Liste auf, obwohl hier
Funktionen zur Updateunterstützung fehlen (Secdash liefert Warnungen zu
Sicherheitslücken für diverse CMS)
Unterstützung beim Update vieler Seiten kann auch ein externer Dienstleister
bieten, der neben Updates auch Backups und Sicherheitsüberwachung
übernimmt.
21. Frage 11: Backups sind ein wichtiger Teil der
Sicherheitsstrategie (z.B. zum Rückspielen einer
funktionierenden Installation nach einem Hacker-Angriff).
Wie halten Sie es mit den Backups?
22. Frage 11: Backups sind ein wichtiger Teil der
Sicherheitsstrategie (z.B. zum Rückspielen einer
funktionierenden Installation nach einem Hacker-Angriff).
Wie halten Sie es mit den Backups?
Fast Dreiviertel aller Umfrageteilnehmer machen regelmäßige Backups über
WP-eigene Lösungen oder eigene Scripte
Etwas mehr als 25% aller Teilnehmer machen keine oder unzureichende
Backups. Ohne Backup ist der Aufwand der Wiederherstellung der Seite (nach
einem Angriff oder auch nur nach Problemen) deutlich höher!
Auf die Backups des Hosters sollte man sich nicht verlassen. Diese sind unter
Umständen nicht sofort zugreifbar oder nur gegen Kostenerstattung
24. Frage 12: Wohin werden die Backups gesichert?
Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein
definitiv nicht kompromittiertes Backup zu haben. Speicherung auf dem
Webserver selbst greift dabei zu kurz
Zusendung per E-Mail kann je nach Größe der Installation und Konfiguration
des E-Mail-Servers auch zu Schwierigkeiten führen bzw. das Postfach schnell
füllen
Am sichersten ist die Speicherung von Backups auf externen Servern (FTP-
Server, Backupserver) oder in der Cloud (auch auf eigenen Servern, z.B.
OwnCloud)
Die Speicherung auf dem lokalen System setzt voraus, dass dieses
automatisiert von außen zugreifbar ist. Ein regelmäßiges manuelles Kopieren
ist zu fehleranfällig
25. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für
das Backup nutzen, welches oder welcher ist es?
26. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für
das Backup nutzen, welches oder welcher ist es?
Klarer Favorit ist BackWPUp von Inpsyde, welches es sowohl in einer
kostenlosen als auch in einer kostenpflichtigen Version gibt
VaultPress, die kostenpflichtige Cloud-Backup-Lösung von Automattic, wurde
überhaupt nicht genannt
Bei Backup-Services scheint eine Bereitschaft zu kostenpflichtigen Anbietern
zu bestehen (z. B. auch BackupBuddy)
Generell werden Plugins jedoch Dienstleisterangeboten vorgezogen
27. Fazit
Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind
vorbereitet und haben zumindest mit einem Grundschutz ihrer WP-Installation
vorgesort
Immer noch gibt es Nutzer, die ihr WordPress unzureichend absichern und
sich damit einer Angriffsgefahr aussetzen, die nicht nur theoretischer Gefahr
ist
Sicherheits-Plugins können einen Grundschutz bieten. Hier zeichnet sich ein
Trend hin zu den “All-in-One”-Lösungen ab, obwohl diese für den Anfänger
auch Risiken beinhalten
Einzelmaßnahmen zur Absicherung gibt es viele, die in unterschiedlichster Art
umgesetzt und eingesetzt werden.
Backups werden zu weiten Teilen regelmäßig durchgeführt.
28. Mehr zu WordPress Sicherheit
als Newsletter oder E-Book:
Kostenloser Newsletter rund um WordPress
Sicherheit alle zwei Wochen:
https://www.wp-sicherheit.info
Das E-Book mit noch mehr Tipps und Tricks
erscheint noch 2015.
Jetzt zum Newsletter anmelden und immer
über den Erscheinungstermin informiert sein
Exklusive Vorab-Kapitel als PDF oder E-Book
bei Anmeldung zum Newsletter!
https://www.wp-sicherheit.info
29. Wartungsservice für Ihr WordPress
● Regelmäßige Updates von WordPress, Plugins und Themes
● Regelmäßiges Backup auf externen Server
● Regelmäßige Sicherheitsüberwachung auf Angriffe und Auffälligkeiten
● Regelmäßige Warnung vor Sicherheitslücken in Plugins
● Überwachung der Website auf Serverausfälle
● Kostengünstige Monatspauschale
Mehr erfahren:
https://www.wp-wartung24.de
30. WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von:
Web- und IT-Consulting
Marc Nilius
Karweg 51
57537 Mittelhof
E-Mail: mail@marcnilius.de
Website: www.marcnilius.de