WordPress : Hans största styrka är också hans största svaghet

Tobias Schüring Senast uppdaterad den 21 januari 2020
8 Min.
Hur säkert är WordPress

Hur säkert är WordPress ? Inte särskilt, eftersom det kommer med ett antal allvarliga svagheter. Och eftersom för närvarande mer än 28 procent av Internet är WordPress löpning, det är ett populärt attackmål. Den goda nyheten är att de viktigaste sårbarheterna kan utrotas mycket enkelt.

Skönheten i WordPress är att alla verkligen kan använda det. Egentligen behöver du bara en internetanslutning och du kan komma igång. Situationen är en helt annan när det gäller WordPress Säkerhet. Kanske just på grund av enkel hantering är inte alla användare medvetna om hur säkert det är att WordPress är faktiskt förresten.

I vilket fall som helst, på grund av dess stora styrkor - det otroliga utbudet av funktioner och den mångsidiga designen - WordPress tenderar att vara mycket osäker. Den modulära designen erbjuder massiva angreppspunkter. Och naturligtvis utnyttjas de också av hackare. Automatiserad, 24 timmar om dygnet, 365 dagar om året.

Men oroa dig inte: dessa inbyggda svagheter i WordPress kan utrotas mycket lätt. Och först och främst helt utan ytterligare säkerhet Plugin .

Jag vill inte ursäkta din säkerhetsplugg. Det kan till och med vara vettigt. Men att säkra din WordPress sidan inte är klar med installationen. Och innan du engagerar dig i skuggboxningsstrider med pseudohot är det mer meningsfullt att engagera sig i de grundläggande svagheterna i WordPress för att kompensera.

I dag har vi framför allt att göra med

"Men min webbplats är inte intressant för hackare"

Låt dig inte luras: detta antagande är helt enkelt fel. Varje WordPress sidan är värdefull för angripare. Till exempel som spamsman, en del av ett botnet eller en annonsplattform för phishing-webbplatser.

Och angriparen bryr sig inte om hur liten, ny eller liten besökt din webbplats är. För i slutändan är offren du och dina affärer ändå. Ditt nyhetsbrev kan till exempel klassificeras som skräppost, användare kan varnas om att besöka din webbplats och din Google-rankning kan bli lidande eftersom din sida är svartlistad.

Vad jag menar med detta: Bara på grund av populariteten och spridningen av WordPress Är WordPress sidor ett tacksamt attackmål. Detta är oavsett innehåll och syfte.

WP-administrationsområdet är särskilt sårbart

Inloggningssidan är tillgänglig som standard via suffixet "wp-admin". Därför är det särskilt ofta målet för attacker – e.B. Brute Force Attacker. Dessa attacker är bland de vanligaste hackarna mot WordPress Sidor. Eftersom de är mycket lätta att automatisera. I händelse av en Brute Force Attack försöker angriparen gissa rätt kombination av användarnamn och lösenord. Om lösenordet är svagt eller om inloggningsområdet inte är skyddat kan det därför hända att en Brute Force Attack lyckas antingen - och angriparen kan framgångsrikt logga in på din WP - eller den massiva volymen av inloggningsförsök förlamar din webbplats.

Wordfence , den välkända tillverkaren av den eponymous säkerheten Plugins , registrerade i genomsnitt 34 miljoner Brute Force Attacker - varje dag. Som jämförelse ligger de så kallade "komplexa attackerna", det vill säga de som utnyttjar specifika sårbarheter, på en nivå av 3,8 miljoner attacker per dag.

Statistik över Wordfence Räknas Brute Force Attacker i mars 2017
Marsrapport av Wordfence visar att plug-in-tillverkaren i genomsnitt kunde nå cirka 34 miljoner Brute Force Attacker. Det var särskilt många i mitten av månaden.

Det Wordfence men naturligtvis är det bara attackerna som avvärjdes av ditt eget programvaruantal, den mörka siffran är ännu högre.

Den goda nyheten är dock att även om attacken på WP-adminområdet är mycket enkel och snabbt kan automatiseras, är skyddsåtgärderna mycket enkla. För att säkra ditt WP-administratörsområde kan du dra upp skyddsväggar på tre ställen:

  1. På WP-nivå, genom starka lösenord
  2. När du loggar in själv, genom att begränsa inloggningsförsöken
  3. Innan du loggar in, av en svart lista

1) Den gamla lyran: Starka lösenord

Brute Force Attacker är väldigt dumma attacker. I princip ger de bara råd. Därför kan ett starkt lösenord faktiskt vara tillräckligt här för att låta attackerna springa in i tomrummet. Så låt oss vara korta: det starka lösenordet är obligatoriskt. Dessa inkluderar: bokstäver, siffror, specialtecken och versaler och gemener. Och naturligtvis är tvåvägsautentisering också meningsfullt.

TIPS: Förresten, med lösenordshanterare är det enkelt att inte bara skapa säkra lösenord utan också att hantera dem. Apple-datorer erbjuder till exempel ett bekvämt sätt att hantera dina lösenord offline med nyckelringshanteringsprogrammet. Du behöver bara komma ihåg ett huvudlösenord (som naturligtvis ska vara så komplext som möjligt). Molnbaserade verktyg för lösenordshantering som 1Password, LastPass eller X-Key Pass fungerar på samma sätt.

2) Begränsa antalet inloggningar

Siffrorna för Wordfence du kan se det imponerande: Brute Force Attacker är de vanligaste attackerna på WordPress Sidor. Så sannolikheten för att din webbplats kommer att falla offer för en sådan attack är mycket hög. Och så att det stora antalet inloggningsförsök inte i onödan belastar din webbplats finns det möjlighet att begränsa dem.

En IP-adress blockeras till exempel under en viss tid efter tre misslyckade försök. Om den sedan ger ny energi till gränsen ökar lockoutperioden gradvis. På så sätt begränsar du antalet möjliga försök mycket snabbt så att attacken blir värdelös.

Beroende på hur låg låströskeln är kan den här proceduren också skydda mot en attack med ändrade IPs. Det enklaste sättet att använda detta skydd av ditt inloggningsområde är att Plugins Genomföra. Här hittar du t.ex. WP Limit Login Attempts, Login Lockdown eller ett av de stora säkerhetspluginerna som Sucuri, Wordfence eller Allt i en WP-säkerhet. Sidorna i RAIDBOXES kunder redan är serversidiga med en Brute Force skydd utrustat. Ytterligare en Plugin är därför inte nödvändigt här.

3) Svartlistning

Anställda i säkerhetsföretag som Sucuri eller Wordfence tillbringar stora delar av sin arbetstid med att analysera attacker. De publicerar också dessa analyser med jämna mellanrum. En av de viktigaste aspekterna av dessa rapporter är regelbundet ursprunget till en undersökningsperioden. För i vissa länder finns det servrar som är särskilt frekventa attacker.

En svartlistning av motsvarande IPs är därför helt logiskt. Särskilt om regionen inte är relevant för dig. På så sätt kan du effektivt avvisa attacker innan du når din sida.

Du kan antingen skapa sådana svartlistor själv genom att implementera dem på servernivå eller så kan du använda en säkerhetslista Plugin med lämplig funktion.

Föråldrade WordPress

WordPress är ett modulsystem. Den består av kärnan, dvs. kärnprogramvaran, Plugins och Themes . Ett av de största hoten mot WP-installationer är att många användare WordPress systemet uppdateras inte regelbundet.

Det finns en mängd olika skäl till detta. Dessa sträcker sig från oförenligheter i Plugins Och Themes , till okunnighet eller brist på tid för en uppdatering.

hur säker wordpress - mer än 70 procent av alla wordpress-sidor körs inte under den aktuella versionen
Denna statistik över WordPress .org visar att 72,5 procent av alla WordPress installationer kör för närvarande inte den senaste WP-versionen. Nästan 40 procent kör ännu äldre versioner än 4,7.

Först i början av året blev det ganska imponerande till var försenade kärnuppdateringar kan leda: I februari 2017, en säkerhetsrisk i WordPress version 4.7.1, och WordPress användare kallades att uppgradera till version 4.7.2 så snabbt som möjligt.

På mycket kort tid provocerade nyheterna massattacker på WordPress sidor (eftersom gapet inte var känt före det officiella tillkännagivandet). Återigen tillhandahåller tillverkarna av motsvarande säkerhetsprogramvara siffror: inom bara några dagar hade totalt en och en halv till två miljoner sidor hackats.. Tidigare har en anställd på Wordfence sårbarheten upptäcks.

Kom ihåg att mer än 28 procent av hela Internet på WordPress - Bas, du kan få en ganska bra uppfattning om vad som kan hända om en sådan lucka går obemärkt förbi. Det är därför lämpligt att uppdatera WordPress kärna som ska automatiseras eller automatiseras.

För närvarande gäller detta främst de så kallade mindre uppdateringarna, dvs. versionsnummer med tre siffror, t.ex. Dessa är de så kallade "Säkerhets- och underhållsutgåvorna" och bör alltid installeras så snart som möjligt. För större versionshopp, t.ex. från 4,7 till 4,8, är situationen något annorlunda: Funktioner och användarvägledning står i fokus för uppdateringarna.

Föråldrade Plugins Och Themes

Vad i WordPress - Core gäller naturligtvis även för Plugins Och Themes : Föråldrad Plugin versioner innehåller nästan alltid säkerhetsproblem och påverkbara.

Federal Office for Information Security (BSI) ser också detta på ett liknande sätt, enligt en säkerhetsstudie om innehållshanteringssystem. Uppgifterna från BSI omfattar perioden 2010–2012. 80 procent av de officiellt rapporterade sårbarheterna kan hänföras till förlängningar – dvs. Plugins .

En sökning efter bedrifter med ExploitsDatabase resulterade i över 250 exploits för WordPress . Här är de flesta bedrifter WordPress Plugins har registrerats.

– BSI (2013): "System för innehållshantering av säkerhetsstudier (CMS)"

I praktiken bör Plugins en föredragen attackpunkt för hackare. Och med mer än 50 000 tillägg i den officiella plugin-katalogen för WordPress , också en mycket produktiv. Utgångspunkten för sådana attacker är då luckor i koden för Plugins .

Det är viktigt att förstå att det alltid kommer att finnas sådana luckor. Ett system som är 100 procent säkert finns helt enkelt inte. Och: Saknade uppdateringar för en Plugin Eller Theme innebär automatiskt att det är osäkert. Även om uppdateringsfrekvensen är en bra indikator på en tillverkares supportkvalitet. Men det kan lika gärna vara så att inga säkerhetsproblem hittills har upptäckts.

Men om vissa upptäcks kommer plugin-leverantören (förhoppningsvis) också att tillhandahålla en uppdatering som stänger gapet. Om det inte gör det är .B.SQL injektioner eller skript på flera plats (XSS). I den förstnämnda manipulerar hackare din sidas databas. De kan till exempel skapa helt nya användare med administratörsrättigheter och sedan infektera din webbplats med skadlig kod eller konvertera den till en skräppostslingshot.

XSS-attacker handlar i princip om att placera JavaScript på din sida. En angripare kan till exempel mata in formulär på din sida som stjäl användarnas data. Helt diskret, SSL-krypterad och i en pålitlig miljö.

Och för att Plugins Och Themes erbjuda så många angreppspunkter, bör du alltid peka på antalet Plugins se till att inte lämna dem i inaktiverat tillstånd, men att verkligen avinstallera dem när du inte längre behöver dem.

Delad hosting

Dessa nackdelar WordPress redan hemifrån. Eftersom din webbplats måste komma online på något sätt är hosting också en viktig säkerhetsaspekt. Eftersom säkerhet och hosting är ett mycket komplext och mångsidigt ämne skulle jag vilja börja med att bara nämna den stora nackdelen med delad hosting. Återigen betyder det inte att jag vill ursäkta dig från delad hosting. Det är mycket meningsfullt, särskilt ur prissynpunkt. Men delad hosting har en avgörande nackdel som du bör veta.

Eftersom i delad värd finns flera sidor på samma server. Sidorna delar också IP-adressen. Detta innebär att tillståndet och beteendet för en sida också kan påverka alla andra sidor på servern negativt. Denna effekt kallas Dålig granneffekt och hänvisar till skräppost, t.ex. .B. För om en sida på servern gör att IP-adressen blir svartlistad kan det också påverka ditt erbjudande.

Det kan också leda till överanvändning av resurser, till exempel när en av sidorna på servern är fastklämd i en DDoS-attack eller påverkas av en massiv attack. Stabiliteten i ditt eget erbjudande är därför alltid i viss utsträckning beroende av säkerheten för de andra sidorna på servern.

För professionellt drivna WP WordPress projekt är helt meningsfulla för en virtuell eller dedikerad server. Naturligtvis inkluderar värddators säkerhetskoncept också säkerhetskopieringslösningar, brandväggar och malwareskannrar, men vi kommer att diskutera dem i detalj någon annanstans.

Slutsats

WordPress är osäker. Detta beror på dess modulära design. Hans största styrka kan därmed bli hans största svaghet. Den goda nyheten är att du enkelt kan kringgå denna, nästan levererade, svaghet. I princip finns det inget behov av mer än den ansträngning som är involverad i användarhantering och skapande av lösenord samt i uppdateringarna.

Naturligtvis gör dessa åtgärder inte din sida Fort Knox ännu. Men de är hörnstenen i ditt säkerhetskoncept. Om du inte respekterar dem kan de upphäva alla andra säkerhetsåtgärder. Och alla WordPress användaren självständigt kan påverka dessa aspekter. Det är därför det är så viktigt att du alltid är medveten om det.

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.