Der Alltag mit den Hackern
Auswertung einer Umfrage
unter WordPress-Nutzern
Eine Umfrage zur WordPress Sicherheit
Online-Umfrage via
Google Forms
Verbreitet über Xing,
Facebook, Newsletter
14 Fragen...
Frage 1: Wie schätzen Sie sich selbst
in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein?
Jeder Zweite sieht sich als
...
Frage 2: Welche Quellen nutzen Sie, um sich
über das Thema WordPress Sicherheit zu informieren?
Häufigste
Informationsquel...
Frage 3: Wurde Ihre Website oder Blog auf WordPress-
Basis bereits angegriffen oder gehackt?
Knapp 60% hatten schon Angrif...
Frage 4: Welche Angriffsversuche bzw.
erfolgreiche Angriffe hatten Sie bereits?
Frage 4: Welche Angriffsversuche bzw.
erfolgreiche Angriffe hatten Sie bereits?
Fast die Hälfte der Nutzer kennt Angriffsv...
Frage 5: Wie haben Sie auf die Angriffe reagiert?
Auffallend ist, dass fast niemand einen
Dienstleister mit der Absicherun...
Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe
gesperrt oder blockiert?
In den meisten Fällen ist der Hoster
der...
Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
32 Nennungen
Nicht mehr nutzen...
Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress....
Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
7 Nennungen
https://wordpress....
Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
Jetpack beinhaltet die Sicherh...
Frage 7: Welche Sicherheits-Plugins
haben Sie in Ihrem WordPress installiert und aktiviert?
Weitere genannte Plugins (in K...
Frage 8: Welche Sicherheitsmaßnahmen
haben Sie durchgeführt?
Frage 8: Welche Sicherheitsmaßnahmen
haben Sie durchgeführt?
Wie zu erwarten, sind die häufig im Internet zu findenden Sic...
Frage 9: Updates sind extrem wichtig für die Sicherheit
der WordPress-Seite oder des Blogs. Dabei geht es um
WP-Updates un...
Frage 9: Updates sind extrem wichtig für die Sicherheit
der WordPress-Seite oder des Blogs. Dabei geht es um
WP-Updates un...
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der
Aktualisierung von Plugins und Themes helfen?
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der
Aktualisierung von Plugins und Themes helfen?
Überraschend selten w...
Frage 11: Backups sind ein wichtiger Teil der
Sicherheitsstrategie (z.B. zum Rückspielen einer
funktionierenden Installati...
Frage 11: Backups sind ein wichtiger Teil der
Sicherheitsstrategie (z.B. zum Rückspielen einer
funktionierenden Installati...
Frage 12: Wohin werden die Backups gesichert?
Frage 12: Wohin werden die Backups gesichert?
Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein
d...
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für
das Backup nutzen, welches oder welcher ist es?
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für
das Backup nutzen, welches oder welcher ist es?
Klarer Favorit ist...
Fazit
Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind
vorbereitet und haben zumindest mit ei...
Mehr zu WordPress Sicherheit
als Newsletter oder E-Book:
Kostenloser Newsletter rund um WordPress
Sicherheit alle zwei Woc...
Wartungsservice für Ihr WordPress
● Regelmäßige Updates von WordPress, Plugins und Themes
● Regelmäßiges Backup auf extern...
WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von:
Web- und IT-Consulting
Marc Nilius
Karweg 51
57537 ...
Nächste SlideShare
Wird geladen in …5
×

WordPress Sicherheit: Der Alltag mit den Hackern

332 Aufrufe

Veröffentlicht am

Auswertung einer Umfrage unter WordPress-Nutzern.

Sicherheit von WordPress-Seiten und -Blogs ist immer wieder ein großes Thema, nicht zuletzt wegen immer neuer Sicherheitslücken in beliebten und bekannten Plugins oder andauernden Angriffen auf den Login der eigenen WordPress-Installation.

Diese Umfrage will generell klären, welche Maßnahmen die Administratoren und Nutzer von WordPress zur Absicherung ergreifen bzw. welche Erfahrungen damit gemacht wurden.

Kostenloser Newsletter und E-Book zum Thema WordPress-Sicherheit auch unter https://www.wp-sicherheit.info

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
332
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
17
Aktionen
Geteilt
0
Downloads
1
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WordPress Sicherheit: Der Alltag mit den Hackern

  1. 1. Der Alltag mit den Hackern Auswertung einer Umfrage unter WordPress-Nutzern
  2. 2. Eine Umfrage zur WordPress Sicherheit Online-Umfrage via Google Forms Verbreitet über Xing, Facebook, Newsletter 14 Fragen 62 Teilnehmer Dutzende Antworten
  3. 3. Frage 1: Wie schätzen Sie sich selbst in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein? Jeder Zweite sieht sich als Fortgeschrittener Nur 16% Anfänger Zeigt sich die hohe Expertise auch in den folgenden Fragen? Expertise nicht nur allgemein zu WordPress, sondern auch in Sicherheitsfragen? Lassen wir uns überraschen… :-)
  4. 4. Frage 2: Welche Quellen nutzen Sie, um sich über das Thema WordPress Sicherheit zu informieren? Häufigste Informationsquelle sind Blogs und Feeds (24) Social Media (10) Hoher Print-Anteil: Bücher & Zeitschriften (14) Security-Dienstleister quasi nicht vertreten Klassischer Journalismus wird auch noch wichtig: Zeitschriften & Online- News-Seiten (je 11)
  5. 5. Frage 3: Wurde Ihre Website oder Blog auf WordPress- Basis bereits angegriffen oder gehackt? Knapp 60% hatten schon Angriffe auf die Website (erfolgreich oder erfolglos) Sicherheit ist kein Randthema! Teile der 40% ohne Angriffe könnten nichts mitbekommen haben (keine Überwachung eingerichtet) Nicht immer ist eine gehackte Seite einfach zu bemerken (oder nur, wenn schon großer Schaden angerichtet ist) Angriffe können verschiedenster Art sein, siehe nächste Frage
  6. 6. Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits?
  7. 7. Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits? Fast die Hälfte der Nutzer kennt Angriffsversuche über den Login Und das, obwohl die meisten erfolgreichen Angriffe über das Einschleusen von Schadcode in Plugins und Themes stattfinden Überraschend ist die geringe Nennung von Angriffen, die außerhalb von WordPress stattfinden (z.B. im Betriebssystem). Ein Grund hierfür könnte die Nutzung von Shared Hostern sein. Hier müssen sich die Kunden um solche Themen nicht selbst kümmern Nicht nur Login-Versuche sind an der Tagesordnung, sondern auch die Suche nach Lücken durch Aufrufen (vermeintlich) verwundbarer URLs, teils sogar CMS-unabhängig. Die geringe Nennung deutet daraufhin, dass dadurch entstehende 404-Fehler nicht intensiv ausgewertet werden
  8. 8. Frage 5: Wie haben Sie auf die Angriffe reagiert? Auffallend ist, dass fast niemand einen Dienstleister mit der Absicherung oder Bereinigung beauftragt Viele andere begnügen sich mit der Installation eines Sicherheits-Plugins Ein großer Teil der Befragten jedoch traut sich Änderungen an der Seite und der Konfiguration zur Absicherung zu
  9. 9. Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe gesperrt oder blockiert? In den meisten Fällen ist der Hoster derjenige, der als erstes reagiert Wenn Google die Seite blockt, dann hat der Angriff schon verheerende Auswirkungen (Ranking, Vertrauen, …) Auch wenn die äußeren Auswirkungen gering sind oder nicht offensichtlich spürbar sind, sollte ein Angriff nicht auf die leichte Schulter genommen werden. Je länger der Angriff geht (oder bereits erfolgreich ist), desto mehr Schaden kann angerichtet werden
  10. 10. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 32 Nennungen Nicht mehr nutzen - veraltet! 12 Nennungen https://wordpress.org/ plugins/wordfence/ 10 Nennungen https://wordpress.org/ plugins/better-wp- security/
  11. 11. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/antivirus/ 5 Nennungen https://wordpress.org/ plugins/sucuri-scanner/
  12. 12. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/jetpack/ 5 Nennungen https://wordpress.org/ plugins/bruteprotect/ Datenschutz-Hinweise auf nächster Seite beachten!
  13. 13. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Jetpack beinhaltet die Sicherheitsfunktionen von BruteProtect Beide Plugins prüfen die IP des Benutzers und sperren diesen, falls die IP bereits auffällig wurde (auch auf anderen Seiten) In Deutschland aus Datenschutz-Sicht kritisch zu sehen: das Versenden der IP-Adresse an einen Server in den USA ist nicht mit deutschem Recht konform (da keine Genehmigung dafür eingeholt wird) Von einer Verwendung in Deutschland kann zum aktuellen Zeitpunkt nur abgeraten werden! (siehe dazu auch den Tweet von Thomas Schwenke)
  14. 14. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Weitere genannte Plugins (in Klammern die Anzahl der Nennungen): ● WP Security Audit Log (4) ● Login LockDown (4) - Alternative zum veralteten “Limit Login Attempts”! ● WP Password Policy Manager (3) ● All In One WP Security & Firewall (3) ● BadBehavior (2) ● Fail2Ban, z.B. WP fail2ban (2) ● 2-Faktor-Authentifizierung, z.B. Google Authenticator (2) ● Hide My WP (kostenpflichtig) (2) ● Snitch (1) ● Stop Spammers (1) ● Ninja Firewall (1)
  15. 15. Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt?
  16. 16. Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt? Wie zu erwarten, sind die häufig im Internet zu findenden Sicherheits-Tipps auch häufig umgesetzt worden Stärker technisch orientierte Maßnahmen, insbesondere im Zusammenwirken mit anderen Webserver-Komponenten, werden seltener umgesetzt Überraschend ist jedoch, wie viele verschiedene Maßnahmen die einzelnen Nutzer umsetzen. Andererseits übernehmen diese Arbeiten auch die Sicherheits-Suiten (Wordfence, iThemes Security) Sehr wirksame Schutzmaßnahmen werden aber überraschend selten durchgeführt (2-Faktor-Authentifizierung, SSL, Dateirechte, IP-Adressen blocken). Tipps zu wirksamen Methoden im kostenlosen Newsletter unter https://www. wp-sicherheit.info
  17. 17. Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum?
  18. 18. Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum? Eine große Mehrheit der Anwender setzt auf regelmäßige Updates - eine der wichtigsten Aufgaben für den sicheren Betrieb von WordPress Immerhin noch 20% der Nutzer machen keine regelmäßigen Updates und sind damit potentiell verwundbar und angreifbar Mindestens einmal die Woche sollten alle WP-Installationen auf notwendige Updates überprüft werden. Bei einer Vielzahl an Installationen gibt es für diese Aufgabe Helferlein dafür (siehe nächste Frage)
  19. 19. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen?
  20. 20. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen? Überraschend selten werden Tools und Dienste für die Update-Tätigkeiten genutzt. Von den bekannten Anbietern (InfinteWP, ManageWP, MainWP) ist nur InfinteWP relevant genannt. Neben den WP-spezifischen Tools werden auch allgemeine Dienste genannt (Pushbullet, Installatron) oder eigene Lösungen bevorzugt Auch das Sicherheitstool Secdash taucht in der Liste auf, obwohl hier Funktionen zur Updateunterstützung fehlen (Secdash liefert Warnungen zu Sicherheitslücken für diverse CMS) Unterstützung beim Update vieler Seiten kann auch ein externer Dienstleister bieten, der neben Updates auch Backups und Sicherheitsüberwachung übernimmt.
  21. 21. Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups?
  22. 22. Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups? Fast Dreiviertel aller Umfrageteilnehmer machen regelmäßige Backups über WP-eigene Lösungen oder eigene Scripte Etwas mehr als 25% aller Teilnehmer machen keine oder unzureichende Backups. Ohne Backup ist der Aufwand der Wiederherstellung der Seite (nach einem Angriff oder auch nur nach Problemen) deutlich höher! Auf die Backups des Hosters sollte man sich nicht verlassen. Diese sind unter Umständen nicht sofort zugreifbar oder nur gegen Kostenerstattung
  23. 23. Frage 12: Wohin werden die Backups gesichert?
  24. 24. Frage 12: Wohin werden die Backups gesichert? Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein definitiv nicht kompromittiertes Backup zu haben. Speicherung auf dem Webserver selbst greift dabei zu kurz Zusendung per E-Mail kann je nach Größe der Installation und Konfiguration des E-Mail-Servers auch zu Schwierigkeiten führen bzw. das Postfach schnell füllen Am sichersten ist die Speicherung von Backups auf externen Servern (FTP- Server, Backupserver) oder in der Cloud (auch auf eigenen Servern, z.B. OwnCloud) Die Speicherung auf dem lokalen System setzt voraus, dass dieses automatisiert von außen zugreifbar ist. Ein regelmäßiges manuelles Kopieren ist zu fehleranfällig
  25. 25. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es?
  26. 26. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es? Klarer Favorit ist BackWPUp von Inpsyde, welches es sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version gibt VaultPress, die kostenpflichtige Cloud-Backup-Lösung von Automattic, wurde überhaupt nicht genannt Bei Backup-Services scheint eine Bereitschaft zu kostenpflichtigen Anbietern zu bestehen (z. B. auch BackupBuddy) Generell werden Plugins jedoch Dienstleisterangeboten vorgezogen
  27. 27. Fazit Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind vorbereitet und haben zumindest mit einem Grundschutz ihrer WP-Installation vorgesort Immer noch gibt es Nutzer, die ihr WordPress unzureichend absichern und sich damit einer Angriffsgefahr aussetzen, die nicht nur theoretischer Gefahr ist Sicherheits-Plugins können einen Grundschutz bieten. Hier zeichnet sich ein Trend hin zu den “All-in-One”-Lösungen ab, obwohl diese für den Anfänger auch Risiken beinhalten Einzelmaßnahmen zur Absicherung gibt es viele, die in unterschiedlichster Art umgesetzt und eingesetzt werden. Backups werden zu weiten Teilen regelmäßig durchgeführt.
  28. 28. Mehr zu WordPress Sicherheit als Newsletter oder E-Book: Kostenloser Newsletter rund um WordPress Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Das E-Book mit noch mehr Tipps und Tricks erscheint noch 2015. Jetzt zum Newsletter anmelden und immer über den Erscheinungstermin informiert sein Exklusive Vorab-Kapitel als PDF oder E-Book bei Anmeldung zum Newsletter! https://www.wp-sicherheit.info
  29. 29. Wartungsservice für Ihr WordPress ● Regelmäßige Updates von WordPress, Plugins und Themes ● Regelmäßiges Backup auf externen Server ● Regelmäßige Sicherheitsüberwachung auf Angriffe und Auffälligkeiten ● Regelmäßige Warnung vor Sicherheitslücken in Plugins ● Überwachung der Website auf Serverausfälle ● Kostengünstige Monatspauschale Mehr erfahren: https://www.wp-wartung24.de
  30. 30. WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von: Web- und IT-Consulting Marc Nilius Karweg 51 57537 Mittelhof E-Mail: mail@marcnilius.de Website: www.marcnilius.de

×