WordPress Sicherheit – so schützt du deine Website vor Hackern Part 2 - KEMCAST #8

Max

Liebe Zuhörerinnen, liebe Zuhörer, herzlich willkommen zum Teil II von WordPress Sicherheit beim KEMCAST. Ich bin euer KEMCASTer Max Antwerpes und heute zu Gast habe ich Michael Papesch, unseren Entwickler und Inhouse WordPress Sicherheitsexperten. Wie letztes Mal schon gesagt wurde, die Folge wurde ein bisschen länger als sonst. Deswegen haben wir sie auf zwei aufgeteilt und daher wünsche ich jetzt viel Spaß bei Teil 2 zu WordPress Sicherheit.

Intro-Jingle

Herzlich willkommen zum KMK, digitale Tipps und Tricks in unter 15 Minuten.

Max

Gibt es sonst noch was, was ich beachten müsste in Richtung World Press Sicherheit?

Michael

Ja, also ich sag mal so! Wenn man weiß, man sollte darauf aufpassen, wenn man WordPress konfiguriert, dass man nur die Benutzer auch frei schaltet, die man braucht. Also man kann ja verschiedene Benutzerrollen bei WordPress konfigurieren. Es gibt natürlich den Admin, der alles kann, der kann WordPress aktualisieren, der kann Plugins installieren, Code verändern. So ein Zugang sollte man wirklich nur dem geben, der auch wirklich damit umgehen kann. Wenn man jetzt jemanden hat, der nur Artikel schreibt zum Beispiel oder jemanden, der nur Kommentare verwaltet oder sowas, dann sollte man denen auch die entsprechenden Rollen geben.

Es gibt bei WordPress voreingestellt verschiedene Rollen, zum Beispiel der Admin natürlich, aber auch den Editor oder den Autor oder den Subscribe. Man sollte sich wirklich damit beschäftigen, was diese Rollen können und dann auch jedem Benutzer nur die Rolle geben, die er auch braucht. Das Problem ist ja nicht das, dass die Leute, mit denen man arbeitet, dass sie irgendwas böses wollen, aber es gibt halt oft das Problem, dass die, sage ich mal, das Passwort noch irgendwo anders benutzen auf irgendeiner anderen Website und die zum Beispiel gehackt wird.

Und schon landet das Passwort in irgendeiner Liste drin, die dann diese Botnetzwerke wieder benutzen, um auf das Login zurückzugreifen. Oder dass ein Virus drauf hat. Die Passwörter werden abgegriffen, landen auch wieder irgendwo und zack ist also quasi der Login komprimiert.

Max

Also je mehr Leute irgendwie involviert sind, desto mehr Möglichkeiten gibt es auch für Hacker?

Michael

Ganz genau. Mit den Admin Accounts steigt natürlich die Möglichkeit linear, dass die Website gehackt wird.

Max

Okay.

Michael

Wir haben jetzt schon so ein bisschen über Botnetzwerke gesprochen und über Passwörter. Botnetzwerke benutzen im Prinzip Passwortlisten, das hatte ich eben schon mal angesprochen. Das sind Tausende von Passwörtern, Millionen von Passwörtern, die schon mal auf irgendwelchen anderen Webseiten benutzt worden sind.

Wir kennen alle diese großen Hacks, die teilweise in den Nachrichten sind, wenn wieder die eine oder die andere Seite gehackt worden ist. Diese ganzen Hacks, die Passwörter, die da verloren gehen, die landen auf irgendwelchen Listen, das sind teilweise Gigabyte große Dateien. Und diese Netzwerke, von denen ich gesprochen habe, die benutzen diese Listen und probieren diese ganzen Passwörter und diese ganzen Logans, die da gelegt worden sind, an den ganzen Webseiten aus, dass die laufen den ganzen Tag.

Diese Netzwerke, das ganze Jahr suchen die nach Webseiten, Logins und probieren Millionen von Logins ständig an diesen Webseiten aus. Das heißt, irgendwann bei irgendeiner Website haben die mal Erfolg damit. Und man muss im Prinzip aufpassen, dass nicht die eigene Webseite betroffen ist und wie man das verhindern kann. Also diese Technik nennt man ja Brute Force, weil halt mit Gewalt quasi der Zugang erzwungen wird auf diese Website wie man. Man muss es also verhindern, dass diese Netzwerke innerhalb von einer Sekunde hunderte oder tausende von verschiedenen Passwort Benutzer Kombinationen ausprobieren.

Da gibt es allerdings auch ziemlich einfache Plugins dafür einfach zu installieren, dann konfigurieren der Plugins. Eins davon ist zum Beispiel I Teams oder auch andere. Man muss im Prinzip nur nach Brute Force oder Brute Force WordPress Plugin suchen. Bei Google findet man normalerweise ziemlich viele Plugins, die das verhindern. Da kann man dann einstellen, wie oft man innerhalb von einer Minute sich einloggen kann, bevor man dann für eine gewisse Zeit gesperrt wird, wenn das Passwort falsch war.

Und mit so einer einfachen Möglichkeit schafft man es dann, diese ganzen Netzwerke zum Beispiel fern zu halten. Das zweite ist, dass man gute Passwörter benutzt. Wir kennen das ja alle, dass wir für irgendwelche Services, die man so einmal benutzt oder die nicht besonders wichtig sind, das da haben wir alle unsere STANDARD Passwort, das wir benutzen. Es ist halt so, dass man kann es nicht ändern, aber wenn ich bei irgendeinem Service, wo ich weiß, ja, ich logge mich da jetzt nur einmal kurz ein, um irgendwas zu machen.

Ich werde das nie wieder benutzen. Dann benutze ich halt oft irgend so ein billig STANDARD Passwort und danach ist es vergessen irgendwie. Das Problem ist, dass man dann halt sein STANDARD Passwort bei vielen was weiß ich 10 20 30 Webseiten benutzt hat. Eventuell auch noch mit der STANDARD E-Mail-Account und auf irgendeiner von diesen 20 30 Webseiten wird das dann mal gehackt werden. Das ist im Prinzip so sicher wie das Amen in der Kirche. Das heißt also, dass sein STANDARD Passwort mit dem STANDARD E-Mail dann in einer von diesen genannten Listen landet und von den Bot Netzwerken ausprobiert wird.

Und wenn das so ist, dann werden sie irgendwann auch an dem Server vorbeikommen, der wichtig ist, wo das gleiche Passwort eventuell benutzt wurde. Und zack, ist die Webseite gehackt. Das heißt, man sollte wirklich aufpassen, dass man verdächtige Seiten oder eventuell auch für alle Seiten starke, vielleicht auch vom Browser vorgeschlagene Passwörter gibt, die jeder Browser inzwischen diese Fähigkeit man loggt sich ein, dann gibt es diesen Button eigenes Passwort verwenden. Sollte man machen. Man sollte das auch im Browser speichern.

Dann kann man mit einem Master Passwort schützen, damit nicht irgendjemand, der am Rechner ist, darauf zugreifen kann. Und man kann das auch synchron inzwischen bei Firefox, Chrome, bei allen großen Browsern. Dass man es dann auch mobil hat oder auch von mobil zurück zum Desktop, ist eine sehr bequeme Art, seine Passwörter zu verwalten. Man muss sich nur noch ein Passwort merken, nämlich das von dem Sync und man kann dadurch für jeden Service ein eigenes Passwort benutzen.

Und wenn irgendwo mal eins gehackt wird oder was auch immer, dann betrifft das nur diesen einen Service. Und die ganzen anderen Sachen sind noch sicher. Sollte man also benutzen. Passwort Manager ist eine gute Sache. Was man noch machen kann, um die Seite noch sicherer zu machen. Bradford ist eine schöne Sache auf das ist aber auch so, dass diese Botnetzwerke von mehreren Servern aus teilweise von hunderten Servern, man nennt sie ja Botnetzwerke, weil das ganz viele Rechner sind, da kommt man teilweise mit diesem Brute Force Problem, mit diesem Brute Force Plugin nicht mehr so ganz hin, weil der Angriff nicht nur von einem Rechner erfolgt, sondern weil der Angriff teilweise von tausenden von Rechnern erfolgt. Das heißt, jeder von diesen 1000 Rechnern versucht dreimal in einer Minute einen Eintrag von dieser Liste, sich mit einem Eintrag von dieser Liste einzuloggen. Was im Prinzip bedeutet, dass es dann doch wieder 100000 oder 10000 Login Versuche pro Minute sind. Normal wird von diesen Plugins dann die IP gesperrt, da das aber dann 100 oder 1000 APIs sind, von der diese Angriffe kommen, ist es dann so, dass die trotzdem noch ziemlich viele Versuche pro Minute haben, dieses Passwort rauszufinden. Was wirklich 100 prozent dagegen hilft, ist dann so ein 2 Factor Plugin, also wo man dann nach einem Login noch mal eine E-Mail oder SMS oder so einen Code geschickt bekommt, den man dann eingeben muss und erst dann kann man sich einloggen. Dadurch hat man im Prinzip das Problem komplett gelöst.

Dann, selbst wenn der Hacker das Passwort kennt, kann er sich nicht einloggen. Da gibt es auch Plugins. Dafür muss man einfach nur nach 2 Factor suchen und da findet man dann schon was.

Max

Ja, diese zwei, diese 2 Factor Authentification ist natürlich für den für den User ganz oft, das merke ich auch selber, obwohl ich mit dem Thema sogar ein bisschen beschäftigt und auch auskenne. Hier erst mal ein bisschen nerviger, aber das ist natürlich für den User man hat ja jetzt auch hier gehört ist es ja nur zur Sicherheit und zur Vorbeugung, dass eben die wichtigen Informationen nicht verloren gehen. Und wir können glaube ich versprechen, dass es noch viel nerviger ist, wenn man eben gehackt wird, sage ich jetzt mal.

Michael

Ja, das wäre im Prinzip die WordPress Installation, was man dabei beachten muss, wie man WordPress konfigurieren muss, aber man kann trotzdem nie ganz ausschließen, dass was schief geht. Also es kann viel passieren. Es ist auch schon viel passiert und es wird auch viel passieren. Irgendwann kann es durchaus sein, dass man mal gehackt wird. Ich meine toi, toi, toi, aber man sollte sich trotzdem drauf vorbereiten. Und eigentlich ist das Wichtigste, was man dagegen tun kann oder womit man den Super-GAU verhindern kann, ist regelmäßige Backups. Also ist es extrem wichtig, dass man immer ordentlich begabt und auch nicht irgendwie nur einmal im halben Jahr manuell, wenn man sich denkt, sondern ich könnte mal wieder ein Backup machen, sondern nein, das sollte automatisch passieren, regelmäßig. Und man sollte die Backups auch dementsprechend lange vorhalten. Wie gesagt, man wird irgendwann vielleicht mal merken, dass die Website gehackt wurde, dass vielleicht das Passwort geändert wurde, irgendwelche Dateien geändert oder so. Man kann versuchen, diese Webseite dann wieder zu säubern, aber normalerweise klappt das nicht. Also es kann in WordPress oder einer Webseite generell an so vielen Stellen Code, also böser Code Schadcode versteckt werden, dass man tagelang suchen kann. Und trotzdem weiß man nicht genau, ob man alles gefunden hat. Also das im Prinzip einzige, was da hilft, wenn man die Website aus einem Backup wiederherstellt, bei dem man sich 100 Prozent sicher ist, dass das zu dem Zeitpunkt noch sauber war. Und das ist teilweise Wochen, bevor man diesen Angriff bemerkt oder teilweise auch nicht so lange.

Allerdings wäre es halt gut, wenn man wirklich von diesem Zeitpunkt da noch ein Backup hat, das man auch benutzen kann, auf dem man dann wieder aufbauen kann. Ansonsten wird es wirklich problematisch.

Max

Und wie du ja schon gesagt, dass auch auch Wochen können natürlich sehr viel Verluste in Kundendaten und Kundenrechnungen und so Sachen, erst recht für beide Seiten, die deinen Shop beinhalten, natürlich heißen sei es mehr Backups, mehr Sicherheit oder mehr Möglichkeiten, auf jeden Fall die Webseite wieder auf Vordermann zu bringen, wenn auch das worst case dann eintreffen könnte und man wird tatsächlich gehackt.

Michael

Ganz genau. Also es gibt noch ein paar andere Möglichkeiten, sage ich jetzt mal abschließend, um WordPress abzusichern. Und es gibt immer viel, was man machen kann. Man kann es noch härter absichern, indem man zum Beispiel bei den Uploads bestimmte Dateiformate, PHP, Dateien oder so beschränkt, indem man irgendwie verhindert, dass Dateien geändert werden oder Plugins installiert, mit denen man jetzt irgendwie schaut, ob Dateien verändert worden sind. Man kann da noch beliebig viel Arbeit reinstecken, das ist auch nicht schlecht.

Man sollte sich auf jeden Fall damit beschäftigen und gucken, wie man das noch absichern kann. Aber ich denke mal, das, was wir hier genannt haben, das waren so die die hauptsächlichen Sachen, die man machen sollte. Wenn einem seine eigene Webseite lieb ist und wichtig ist, dann ist das sage ich mal so die Basis, die jedes WordPress irgendwie drinnen haben sollte oder wo sich jeder Administrator von WordPress mit beschäftigt haben sollte und gucken sollte, ist es für mich wichtig.

Max

Okay, und liebe Zuhörer und Zuhörerinnen, es gibt zu diesem Thema noch viel mehr von uns gibt es auch ab Anfang Juli wöchentlich einen Blog, bei dem wir uns auch um das Thema Webseiten Sicherheit jetzt auch über WordPress hinaus bei anderen CMS Systemen beschäftigen. Das heißt gerne mal immer wieder vorbeischauen. Ich würde mich an dieser Stelle aber bei dir Michael, bedanken für deine Zeit. Es ist etwas länger geworden. Wie gesagt, wir machen normalerweise digitales Wissen in unter 15 Minuten.

Jetzt ist ein digitales Wissen unter 30 Minuten. Aber das ist auch nur wie gesagt, weil es eben einiges zu beachten gibt. Und wie immer bei diesen Themen, liebe Zuhörer, liebe Zuhörerinnen, wenn ihr selbst Hilfe beim Aufbau eurer Webseite braucht oder ja das Ganze mal drüber schauen lassen wollt und das Ganze sicher machen wollt, dann schaut doch mal bei uns vorbei. Wir machen so was regelmäßig. Und ich und der Michael und seine Kollegen würden sich natürlich auch über jede Kontaktaufnahme freuen.

Also Michael, noch mal vielen, vielen Dank. Wir sehen uns hoffentlich bald wieder im Büro, sind nämlich beide eigentlich nur im Homeoffice unterwegs, wie viele von euch da draußen auch. Ich bedanke mich auch bei Euch, liebe Zuhörer, liebe Zuhörerinnen und freue mich auf nächste Woche wieder zurück beim KEMCAST. Vielen Dank!

Michael

Danke Max und tschüss!