SlideShare ist ein Scribd-Unternehmen logo

WordPress Sicherheit: Der Alltag mit den Hackern

libertello GmbH
libertello GmbH

Auswertung einer Umfrage unter WordPress-Nutzern. Sicherheit von WordPress-Seiten und -Blogs ist immer wieder ein großes Thema, nicht zuletzt wegen immer neuer Sicherheitslücken in beliebten und bekannten Plugins oder andauernden Angriffen auf den Login der eigenen WordPress-Installation. Diese Umfrage will generell klären, welche Maßnahmen die Administratoren und Nutzer von WordPress zur Absicherung ergreifen bzw. welche Erfahrungen damit gemacht wurden. Kostenloser Newsletter und E-Book zum Thema WordPress-Sicherheit auch unter https://www.wp-sicherheit.info

Internet
1 von 30
Downloaden Sie, um offline zu lesen
Der Alltag mit den Hackern Auswertung einer Umfrage unter WordPress-Nutzern
Eine Umfrage zur WordPress Sicherheit Online-Umfrage via Google Forms Verbreitet über Xing, Facebook, Newsletter 14 Fragen 62 Teilnehmer Dutzende Antworten
Frage 1: Wie schätzen Sie sich selbst in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein? Jeder Zweite sieht sich als Fortgeschrittener Nur 16% Anfänger Zeigt sich die hohe Expertise auch in den folgenden Fragen? Expertise nicht nur allgemein zu WordPress, sondern auch in Sicherheitsfragen? Lassen wir uns überraschen… :-)
Frage 2: Welche Quellen nutzen Sie, um sich über das Thema WordPress Sicherheit zu informieren? Häufigste Informationsquelle sind Blogs und Feeds (24) Social Media (10) Hoher Print-Anteil: Bücher & Zeitschriften (14) Security-Dienstleister quasi nicht vertreten Klassischer Journalismus wird auch noch wichtig: Zeitschriften & Online- News-Seiten (je 11)
Frage 3: Wurde Ihre Website oder Blog auf WordPress- Basis bereits angegriffen oder gehackt? Knapp 60% hatten schon Angriffe auf die Website (erfolgreich oder erfolglos) Sicherheit ist kein Randthema! Teile der 40% ohne Angriffe könnten nichts mitbekommen haben (keine Überwachung eingerichtet) Nicht immer ist eine gehackte Seite einfach zu bemerken (oder nur, wenn schon großer Schaden angerichtet ist) Angriffe können verschiedenster Art sein, siehe nächste Frage
Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits?
Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits? Fast die Hälfte der Nutzer kennt Angriffsversuche über den Login Und das, obwohl die meisten erfolgreichen Angriffe über das Einschleusen von Schadcode in Plugins und Themes stattfinden Überraschend ist die geringe Nennung von Angriffen, die außerhalb von WordPress stattfinden (z.B. im Betriebssystem). Ein Grund hierfür könnte die Nutzung von Shared Hostern sein. Hier müssen sich die Kunden um solche Themen nicht selbst kümmern Nicht nur Login-Versuche sind an der Tagesordnung, sondern auch die Suche nach Lücken durch Aufrufen (vermeintlich) verwundbarer URLs, teils sogar CMS-unabhängig. Die geringe Nennung deutet daraufhin, dass dadurch entstehende 404-Fehler nicht intensiv ausgewertet werden
Frage 5: Wie haben Sie auf die Angriffe reagiert? Auffallend ist, dass fast niemand einen Dienstleister mit der Absicherung oder Bereinigung beauftragt Viele andere begnügen sich mit der Installation eines Sicherheits-Plugins Ein großer Teil der Befragten jedoch traut sich Änderungen an der Seite und der Konfiguration zur Absicherung zu
Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe gesperrt oder blockiert? In den meisten Fällen ist der Hoster derjenige, der als erstes reagiert Wenn Google die Seite blockt, dann hat der Angriff schon verheerende Auswirkungen (Ranking, Vertrauen, …) Auch wenn die äußeren Auswirkungen gering sind oder nicht offensichtlich spürbar sind, sollte ein Angriff nicht auf die leichte Schulter genommen werden. Je länger der Angriff geht (oder bereits erfolgreich ist), desto mehr Schaden kann angerichtet werden
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 32 Nennungen Nicht mehr nutzen - veraltet! 12 Nennungen https://wordpress.org/ plugins/wordfence/ 10 Nennungen https://wordpress.org/ plugins/better-wp- security/
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/antivirus/ 5 Nennungen https://wordpress.org/ plugins/sucuri-scanner/
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/jetpack/ 5 Nennungen https://wordpress.org/ plugins/bruteprotect/ Datenschutz-Hinweise auf nächster Seite beachten!
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Jetpack beinhaltet die Sicherheitsfunktionen von BruteProtect Beide Plugins prüfen die IP des Benutzers und sperren diesen, falls die IP bereits auffällig wurde (auch auf anderen Seiten) In Deutschland aus Datenschutz-Sicht kritisch zu sehen: das Versenden der IP-Adresse an einen Server in den USA ist nicht mit deutschem Recht konform (da keine Genehmigung dafür eingeholt wird) Von einer Verwendung in Deutschland kann zum aktuellen Zeitpunkt nur abgeraten werden! (siehe dazu auch den Tweet von Thomas Schwenke)
Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Weitere genannte Plugins (in Klammern die Anzahl der Nennungen): ● WP Security Audit Log (4) ● Login LockDown (4) - Alternative zum veralteten “Limit Login Attempts”! ● WP Password Policy Manager (3) ● All In One WP Security & Firewall (3) ● BadBehavior (2) ● Fail2Ban, z.B. WP fail2ban (2) ● 2-Faktor-Authentifizierung, z.B. Google Authenticator (2) ● Hide My WP (kostenpflichtig) (2) ● Snitch (1) ● Stop Spammers (1) ● Ninja Firewall (1)
Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt?
Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt? Wie zu erwarten, sind die häufig im Internet zu findenden Sicherheits-Tipps auch häufig umgesetzt worden Stärker technisch orientierte Maßnahmen, insbesondere im Zusammenwirken mit anderen Webserver-Komponenten, werden seltener umgesetzt Überraschend ist jedoch, wie viele verschiedene Maßnahmen die einzelnen Nutzer umsetzen. Andererseits übernehmen diese Arbeiten auch die Sicherheits-Suiten (Wordfence, iThemes Security) Sehr wirksame Schutzmaßnahmen werden aber überraschend selten durchgeführt (2-Faktor-Authentifizierung, SSL, Dateirechte, IP-Adressen blocken). Tipps zu wirksamen Methoden im kostenlosen Newsletter unter https://www. wp-sicherheit.info
Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum?
Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum? Eine große Mehrheit der Anwender setzt auf regelmäßige Updates - eine der wichtigsten Aufgaben für den sicheren Betrieb von WordPress Immerhin noch 20% der Nutzer machen keine regelmäßigen Updates und sind damit potentiell verwundbar und angreifbar Mindestens einmal die Woche sollten alle WP-Installationen auf notwendige Updates überprüft werden. Bei einer Vielzahl an Installationen gibt es für diese Aufgabe Helferlein dafür (siehe nächste Frage)
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen?
Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen? Überraschend selten werden Tools und Dienste für die Update-Tätigkeiten genutzt. Von den bekannten Anbietern (InfinteWP, ManageWP, MainWP) ist nur InfinteWP relevant genannt. Neben den WP-spezifischen Tools werden auch allgemeine Dienste genannt (Pushbullet, Installatron) oder eigene Lösungen bevorzugt Auch das Sicherheitstool Secdash taucht in der Liste auf, obwohl hier Funktionen zur Updateunterstützung fehlen (Secdash liefert Warnungen zu Sicherheitslücken für diverse CMS) Unterstützung beim Update vieler Seiten kann auch ein externer Dienstleister bieten, der neben Updates auch Backups und Sicherheitsüberwachung übernimmt.
Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups?
Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups? Fast Dreiviertel aller Umfrageteilnehmer machen regelmäßige Backups über WP-eigene Lösungen oder eigene Scripte Etwas mehr als 25% aller Teilnehmer machen keine oder unzureichende Backups. Ohne Backup ist der Aufwand der Wiederherstellung der Seite (nach einem Angriff oder auch nur nach Problemen) deutlich höher! Auf die Backups des Hosters sollte man sich nicht verlassen. Diese sind unter Umständen nicht sofort zugreifbar oder nur gegen Kostenerstattung
Frage 12: Wohin werden die Backups gesichert?
Frage 12: Wohin werden die Backups gesichert? Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein definitiv nicht kompromittiertes Backup zu haben. Speicherung auf dem Webserver selbst greift dabei zu kurz Zusendung per E-Mail kann je nach Größe der Installation und Konfiguration des E-Mail-Servers auch zu Schwierigkeiten führen bzw. das Postfach schnell füllen Am sichersten ist die Speicherung von Backups auf externen Servern (FTP- Server, Backupserver) oder in der Cloud (auch auf eigenen Servern, z.B. OwnCloud) Die Speicherung auf dem lokalen System setzt voraus, dass dieses automatisiert von außen zugreifbar ist. Ein regelmäßiges manuelles Kopieren ist zu fehleranfällig
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es?
Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es? Klarer Favorit ist BackWPUp von Inpsyde, welches es sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version gibt VaultPress, die kostenpflichtige Cloud-Backup-Lösung von Automattic, wurde überhaupt nicht genannt Bei Backup-Services scheint eine Bereitschaft zu kostenpflichtigen Anbietern zu bestehen (z. B. auch BackupBuddy) Generell werden Plugins jedoch Dienstleisterangeboten vorgezogen
Fazit Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind vorbereitet und haben zumindest mit einem Grundschutz ihrer WP-Installation vorgesort Immer noch gibt es Nutzer, die ihr WordPress unzureichend absichern und sich damit einer Angriffsgefahr aussetzen, die nicht nur theoretischer Gefahr ist Sicherheits-Plugins können einen Grundschutz bieten. Hier zeichnet sich ein Trend hin zu den “All-in-One”-Lösungen ab, obwohl diese für den Anfänger auch Risiken beinhalten Einzelmaßnahmen zur Absicherung gibt es viele, die in unterschiedlichster Art umgesetzt und eingesetzt werden. Backups werden zu weiten Teilen regelmäßig durchgeführt.
Mehr zu WordPress Sicherheit als Newsletter oder E-Book: Kostenloser Newsletter rund um WordPress Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Das E-Book mit noch mehr Tipps und Tricks erscheint noch 2015. Jetzt zum Newsletter anmelden und immer über den Erscheinungstermin informiert sein Exklusive Vorab-Kapitel als PDF oder E-Book bei Anmeldung zum Newsletter! https://www.wp-sicherheit.info
Wartungsservice für Ihr WordPress ● Regelmäßige Updates von WordPress, Plugins und Themes ● Regelmäßiges Backup auf externen Server ● Regelmäßige Sicherheitsüberwachung auf Angriffe und Auffälligkeiten ● Regelmäßige Warnung vor Sicherheitslücken in Plugins ● Überwachung der Website auf Serverausfälle ● Kostengünstige Monatspauschale Mehr erfahren: https://www.wp-wartung24.de
WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von: Web- und IT-Consulting Marc Nilius Karweg 51 57537 Mittelhof E-Mail: mail@marcnilius.de Website: www.marcnilius.de

Empfohlen

Die Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenDie Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufen
Joachim Hummel
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
libertello GmbH
 
WordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFM
Walter Ebert
 
Das Child-Theme-Dilemma
Das Child-Theme-DilemmaDas Child-Theme-Dilemma
Das Child-Theme-Dilemma
Torsten Landsiedel
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress Security
Daniel Potthast
 
Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichern
Sven Trautwein
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
Felix Beilharz ✓
 
Kevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth Hacking
Kevin Indig
 

Empfohlen

Die Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufenDie Zeit der Passwörter ist abgelaufen
Die Zeit der Passwörter ist abgelaufen
Joachim Hummel
 
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
Mythen der WordPress-Sicherheit (Barcamp Koblenz 2015)
libertello GmbH
 
WordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFMWordPress-Templates mit Twig erstellen - PHPUGFFM
WordPress-Templates mit Twig erstellen - PHPUGFFM
Walter Ebert
 
Das Child-Theme-Dilemma
Das Child-Theme-DilemmaDas Child-Theme-Dilemma
Das Child-Theme-Dilemma
Torsten Landsiedel
 
Wordpress Security
Wordpress SecurityWordpress Security
Wordpress Security
Daniel Potthast
 
Sicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichernSicher bloggen mit WordPresse - CMS absichern
Sicher bloggen mit WordPresse - CMS absichern
Sven Trautwein
 
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
7 SEO Einsteiger-Tipps [SEODAY 2014, Felix Beilharz]
Felix Beilharz ✓
 
Kevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth HackingKevin Indig - SEO and Growth Hacking
Kevin Indig - SEO and Growth Hacking
Kevin Indig
 
WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015
stk_jj
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
stk_jj
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
Benjamin Hartwich
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
Anika Erdmann
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEARCH ONE
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
Leslie Samuel
 

Weitere ähnliche Inhalte

Andere mochten auch

Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
Anika Erdmann
 

Andere mochten auch (6)

WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015WordPress Security - WP Meetup München 24.9.2015
WordPress Security - WP Meetup München 24.9.2015
 
We are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 BerlinWe are WP, we are legion - WP Camp 2013 Berlin
We are WP, we are legion - WP Camp 2013 Berlin
 
WordPress Grundlagen Kurs
WordPress Grundlagen KursWordPress Grundlagen Kurs
WordPress Grundlagen Kurs
 
Wordpress für Profis
Wordpress für ProfisWordpress für Profis
Wordpress für Profis
 
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-FreaksSEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
SEO Day 2016: Perfekte Ladezeiten und SEO-Hosting für Speed-Freaks
 
How to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your NicheHow to Become a Thought Leader in Your Niche
How to Become a Thought Leader in Your Niche
 

WordPress Sicherheit: Der Alltag mit den Hackern

  • 1. Der Alltag mit den Hackern Auswertung einer Umfrage unter WordPress-Nutzern
  • 2. Eine Umfrage zur WordPress Sicherheit Online-Umfrage via Google Forms Verbreitet über Xing, Facebook, Newsletter 14 Fragen 62 Teilnehmer Dutzende Antworten
  • 3. Frage 1: Wie schätzen Sie sich selbst in Bezug auf Ihre allgemeinen WordPress-Kenntnisse ein? Jeder Zweite sieht sich als Fortgeschrittener Nur 16% Anfänger Zeigt sich die hohe Expertise auch in den folgenden Fragen? Expertise nicht nur allgemein zu WordPress, sondern auch in Sicherheitsfragen? Lassen wir uns überraschen… :-)
  • 4. Frage 2: Welche Quellen nutzen Sie, um sich über das Thema WordPress Sicherheit zu informieren? Häufigste Informationsquelle sind Blogs und Feeds (24) Social Media (10) Hoher Print-Anteil: Bücher & Zeitschriften (14) Security-Dienstleister quasi nicht vertreten Klassischer Journalismus wird auch noch wichtig: Zeitschriften & Online- News-Seiten (je 11)
  • 5. Frage 3: Wurde Ihre Website oder Blog auf WordPress- Basis bereits angegriffen oder gehackt? Knapp 60% hatten schon Angriffe auf die Website (erfolgreich oder erfolglos) Sicherheit ist kein Randthema! Teile der 40% ohne Angriffe könnten nichts mitbekommen haben (keine Überwachung eingerichtet) Nicht immer ist eine gehackte Seite einfach zu bemerken (oder nur, wenn schon großer Schaden angerichtet ist) Angriffe können verschiedenster Art sein, siehe nächste Frage
  • 6. Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits?
  • 7. Frage 4: Welche Angriffsversuche bzw. erfolgreiche Angriffe hatten Sie bereits? Fast die Hälfte der Nutzer kennt Angriffsversuche über den Login Und das, obwohl die meisten erfolgreichen Angriffe über das Einschleusen von Schadcode in Plugins und Themes stattfinden Überraschend ist die geringe Nennung von Angriffen, die außerhalb von WordPress stattfinden (z.B. im Betriebssystem). Ein Grund hierfür könnte die Nutzung von Shared Hostern sein. Hier müssen sich die Kunden um solche Themen nicht selbst kümmern Nicht nur Login-Versuche sind an der Tagesordnung, sondern auch die Suche nach Lücken durch Aufrufen (vermeintlich) verwundbarer URLs, teils sogar CMS-unabhängig. Die geringe Nennung deutet daraufhin, dass dadurch entstehende 404-Fehler nicht intensiv ausgewertet werden
  • 8. Frage 5: Wie haben Sie auf die Angriffe reagiert? Auffallend ist, dass fast niemand einen Dienstleister mit der Absicherung oder Bereinigung beauftragt Viele andere begnügen sich mit der Installation eines Sicherheits-Plugins Ein großer Teil der Befragten jedoch traut sich Änderungen an der Seite und der Konfiguration zur Absicherung zu
  • 9. Frage 6: Wurde die WordPress-Seite aufgrund der Angriffe gesperrt oder blockiert? In den meisten Fällen ist der Hoster derjenige, der als erstes reagiert Wenn Google die Seite blockt, dann hat der Angriff schon verheerende Auswirkungen (Ranking, Vertrauen, …) Auch wenn die äußeren Auswirkungen gering sind oder nicht offensichtlich spürbar sind, sollte ein Angriff nicht auf die leichte Schulter genommen werden. Je länger der Angriff geht (oder bereits erfolgreich ist), desto mehr Schaden kann angerichtet werden
  • 10. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 32 Nennungen Nicht mehr nutzen - veraltet! 12 Nennungen https://wordpress.org/ plugins/wordfence/ 10 Nennungen https://wordpress.org/ plugins/better-wp- security/
  • 11. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/antivirus/ 5 Nennungen https://wordpress.org/ plugins/sucuri-scanner/
  • 12. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? 7 Nennungen https://wordpress.org/ plugins/jetpack/ 5 Nennungen https://wordpress.org/ plugins/bruteprotect/ Datenschutz-Hinweise auf nächster Seite beachten!
  • 13. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Jetpack beinhaltet die Sicherheitsfunktionen von BruteProtect Beide Plugins prüfen die IP des Benutzers und sperren diesen, falls die IP bereits auffällig wurde (auch auf anderen Seiten) In Deutschland aus Datenschutz-Sicht kritisch zu sehen: das Versenden der IP-Adresse an einen Server in den USA ist nicht mit deutschem Recht konform (da keine Genehmigung dafür eingeholt wird) Von einer Verwendung in Deutschland kann zum aktuellen Zeitpunkt nur abgeraten werden! (siehe dazu auch den Tweet von Thomas Schwenke)
  • 14. Frage 7: Welche Sicherheits-Plugins haben Sie in Ihrem WordPress installiert und aktiviert? Weitere genannte Plugins (in Klammern die Anzahl der Nennungen): ● WP Security Audit Log (4) ● Login LockDown (4) - Alternative zum veralteten “Limit Login Attempts”! ● WP Password Policy Manager (3) ● All In One WP Security & Firewall (3) ● BadBehavior (2) ● Fail2Ban, z.B. WP fail2ban (2) ● 2-Faktor-Authentifizierung, z.B. Google Authenticator (2) ● Hide My WP (kostenpflichtig) (2) ● Snitch (1) ● Stop Spammers (1) ● Ninja Firewall (1)
  • 15. Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt?
  • 16. Frage 8: Welche Sicherheitsmaßnahmen haben Sie durchgeführt? Wie zu erwarten, sind die häufig im Internet zu findenden Sicherheits-Tipps auch häufig umgesetzt worden Stärker technisch orientierte Maßnahmen, insbesondere im Zusammenwirken mit anderen Webserver-Komponenten, werden seltener umgesetzt Überraschend ist jedoch, wie viele verschiedene Maßnahmen die einzelnen Nutzer umsetzen. Andererseits übernehmen diese Arbeiten auch die Sicherheits-Suiten (Wordfence, iThemes Security) Sehr wirksame Schutzmaßnahmen werden aber überraschend selten durchgeführt (2-Faktor-Authentifizierung, SSL, Dateirechte, IP-Adressen blocken). Tipps zu wirksamen Methoden im kostenlosen Newsletter unter https://www. wp-sicherheit.info
  • 17. Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum?
  • 18. Frage 9: Updates sind extrem wichtig für die Sicherheit der WordPress-Seite oder des Blogs. Dabei geht es um WP-Updates und auch Updates von Plugins und Themes. Wie regelmäßig kümmern Sie sich darum? Eine große Mehrheit der Anwender setzt auf regelmäßige Updates - eine der wichtigsten Aufgaben für den sicheren Betrieb von WordPress Immerhin noch 20% der Nutzer machen keine regelmäßigen Updates und sind damit potentiell verwundbar und angreifbar Mindestens einmal die Woche sollten alle WP-Installationen auf notwendige Updates überprüft werden. Bei einer Vielzahl an Installationen gibt es für diese Aufgabe Helferlein dafür (siehe nächste Frage)
  • 19. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen?
  • 20. Frage 10: Nutzen Sie Plugins oder Dienste, die bei der Aktualisierung von Plugins und Themes helfen? Überraschend selten werden Tools und Dienste für die Update-Tätigkeiten genutzt. Von den bekannten Anbietern (InfinteWP, ManageWP, MainWP) ist nur InfinteWP relevant genannt. Neben den WP-spezifischen Tools werden auch allgemeine Dienste genannt (Pushbullet, Installatron) oder eigene Lösungen bevorzugt Auch das Sicherheitstool Secdash taucht in der Liste auf, obwohl hier Funktionen zur Updateunterstützung fehlen (Secdash liefert Warnungen zu Sicherheitslücken für diverse CMS) Unterstützung beim Update vieler Seiten kann auch ein externer Dienstleister bieten, der neben Updates auch Backups und Sicherheitsüberwachung übernimmt.
  • 21. Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups?
  • 22. Frage 11: Backups sind ein wichtiger Teil der Sicherheitsstrategie (z.B. zum Rückspielen einer funktionierenden Installation nach einem Hacker-Angriff). Wie halten Sie es mit den Backups? Fast Dreiviertel aller Umfrageteilnehmer machen regelmäßige Backups über WP-eigene Lösungen oder eigene Scripte Etwas mehr als 25% aller Teilnehmer machen keine oder unzureichende Backups. Ohne Backup ist der Aufwand der Wiederherstellung der Seite (nach einem Angriff oder auch nur nach Problemen) deutlich höher! Auf die Backups des Hosters sollte man sich nicht verlassen. Diese sind unter Umständen nicht sofort zugreifbar oder nur gegen Kostenerstattung
  • 23. Frage 12: Wohin werden die Backups gesichert?
  • 24. Frage 12: Wohin werden die Backups gesichert? Speicherung auf einem externen Ziel ist wichtig, um nach einem Angriff ein definitiv nicht kompromittiertes Backup zu haben. Speicherung auf dem Webserver selbst greift dabei zu kurz Zusendung per E-Mail kann je nach Größe der Installation und Konfiguration des E-Mail-Servers auch zu Schwierigkeiten führen bzw. das Postfach schnell füllen Am sichersten ist die Speicherung von Backups auf externen Servern (FTP- Server, Backupserver) oder in der Cloud (auch auf eigenen Servern, z.B. OwnCloud) Die Speicherung auf dem lokalen System setzt voraus, dass dieses automatisiert von außen zugreifbar ist. Ein regelmäßiges manuelles Kopieren ist zu fehleranfällig
  • 25. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es?
  • 26. Frage 13: Wenn Sie ein WP-Plugin oder einen Service für das Backup nutzen, welches oder welcher ist es? Klarer Favorit ist BackWPUp von Inpsyde, welches es sowohl in einer kostenlosen als auch in einer kostenpflichtigen Version gibt VaultPress, die kostenpflichtige Cloud-Backup-Lösung von Automattic, wurde überhaupt nicht genannt Bei Backup-Services scheint eine Bereitschaft zu kostenpflichtigen Anbietern zu bestehen (z. B. auch BackupBuddy) Generell werden Plugins jedoch Dienstleisterangeboten vorgezogen
  • 27. Fazit Die Aufklärung in den Medien und im Internet zeigt Wirkung. Viele Nutzer sind vorbereitet und haben zumindest mit einem Grundschutz ihrer WP-Installation vorgesort Immer noch gibt es Nutzer, die ihr WordPress unzureichend absichern und sich damit einer Angriffsgefahr aussetzen, die nicht nur theoretischer Gefahr ist Sicherheits-Plugins können einen Grundschutz bieten. Hier zeichnet sich ein Trend hin zu den “All-in-One”-Lösungen ab, obwohl diese für den Anfänger auch Risiken beinhalten Einzelmaßnahmen zur Absicherung gibt es viele, die in unterschiedlichster Art umgesetzt und eingesetzt werden. Backups werden zu weiten Teilen regelmäßig durchgeführt.
  • 28. Mehr zu WordPress Sicherheit als Newsletter oder E-Book: Kostenloser Newsletter rund um WordPress Sicherheit alle zwei Wochen: https://www.wp-sicherheit.info Das E-Book mit noch mehr Tipps und Tricks erscheint noch 2015. Jetzt zum Newsletter anmelden und immer über den Erscheinungstermin informiert sein Exklusive Vorab-Kapitel als PDF oder E-Book bei Anmeldung zum Newsletter! https://www.wp-sicherheit.info
  • 29. Wartungsservice für Ihr WordPress ● Regelmäßige Updates von WordPress, Plugins und Themes ● Regelmäßiges Backup auf externen Server ● Regelmäßige Sicherheitsüberwachung auf Angriffe und Auffälligkeiten ● Regelmäßige Warnung vor Sicherheitslücken in Plugins ● Überwachung der Website auf Serverausfälle ● Kostengünstige Monatspauschale Mehr erfahren: https://www.wp-wartung24.de
  • 30. WP-Sicherheit und WP-Wartung24 sind Angebote und Dienstleistungen von: Web- und IT-Consulting Marc Nilius Karweg 51 57537 Mittelhof E-Mail: mail@marcnilius.de Website: www.marcnilius.de