Beiträge

Sicherheit: Updates empfohlen

Update-Check

Leider überschlagen sich momentan die Ereignisse: Die Sicherheitsfirma Sucuri hat zusammen mit dem Security Team von WordPress eine Sicherheitslücke entdeckt, die viele verbreitete Plugins betrifft. Die Entwickler der größten betroffenen Plugins wurden direkt kontaktiert.

Aus diesem Grund trudeln momentan viele Updates ein, die sicherheitstechnisch relevant sind. Auch ein Security Release von WordPress ist erschienen – Edit: und noch eins.

Nicht jedes Update kann sofort und ohne Anpassungen durchgeführt werden – und nicht jedes Update muss durchgeführt werden. Daher ist es empfehlenswert, unter „Aktualisierungen“ im Dashboard nachzuschauen, welche Updates sicherheitstechnisch relevant sind. Auf der Seite „Aktualisierungen“ gibt es bei jedem Update einen Link „Zeige Details von Version X“, der zu den Changelogs führt. Dort ist dann aufgelistet, ob es sich bei dem Update auch um einen Sicherheitsfix handelt.

Weiterführende Infos gibt es hier im Blog:
Fragen & Antworten zu WordPress-Updates und Sicherheit
Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)
WordPress-Updates: was man wissen sollte
WordPress-Websites sichern mit VaultPress
WordPress ab Version 3.7 mit automatischer Update-Funktion

Von uns empfohlene Plugins und Dienste:
Wordfence Security
VaultPress

Fragen & Antworten zu WordPress-Updates und Sicherheit

In diesem Artikel möchte ich auf häufig gestellte Fragen unserer Kunden bezüglich Updates (von WordPress, Plugins und Themes) hinsichtlich Sicherheit eingehen. Los gehts!

Wie oft muss ich updaten?

Die Frage ist nicht allgemein zu beantworten: Wenn es nötig ist.

In diesem Zusammenhang möchte ich auch auf unseren Artikel Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes) verweisen.

Muss ich jedes Update durchführen?

Ganz klar: nein. Nicht jedes Update ist ein Sicherheits-Update. Für Updates gibt es auch andere Gründe, wie die Behebung von Fehlern und die Verbesserung und Erweiterung von Funktionen.

Wie erfahre ich, welches Update (von Plugin oder Theme) sicherheitstechnisch relevant ist?

Über die Changelogs, dem Logbuch der Änderungen. Bei vielen Plugins (und allen aus dem WordPress-Verzeichnis) erreicht man diese ganz einfach: In der Plugin-Liste auf „Details der Version X.X ansehen“ klicken und nachlesen, ob das Update Sicherheitslücken stopft. Bei Plugins, die nicht aus dem Verzeichnis stammen, sowie Themes, muss man beim jeweiligen Entwickler nachsehen.

Betrifft mich jede Sicherheitslücke überhaupt?

Nein. Es gibt Sicherheitslücken, für die ganz bestimmte Voraussetzungen erfüllt sein müssen – die man unter Umständen in der eigenen Installation nicht erfüllt. Man sollte daher auch schauen, welche Lücke ein Update stopft.

Kann ich jedes Update sofort problemlos durchführen?

Nein. Es kann Probleme in Sachen Kompatibilitäten, Abhängigkeiten und getätigten Anpassungen geben. Hier muss man gut abwägen. Ich empfehle hierzu auch die Abschnitte 2. und 3. unseres Artikels WordPress-Updates: was man wissen sollte.

Was muss ich vor einem Update machen?

Unbedingt mindestens die Datenbank sichern, möglichst auch die Dateien per FTP.

Was mache ich, wenn eine Sicherheitslücke in einem Plugin bekannt wurde, es aber noch kein Update gibt, welches diese stopft?

Wenn es nötig ist (siehe „Betrifft mich jede Sicherheitslücke überhaupt?“), das Plugin vorübergehend deaktivieren UND löschen.

Gibt es weitere Fragen? Gerne im Kommentarbereich!

Sicherheit bei WordPress: automatische Updates (auch für Plugins und Themes)

Die Sicherheit von WordPress ist momentan in aller Munde. Nicht, weil WordPress eine generell unsichere Software ist, das kann ich nur immer wieder betonen. Sicherheitslücken gibt es in jeder Software, nicht nur in Content-Management-Systemen wie WordPress, sondern bekannterweise auch in Betriebssystemen von Rechnern, die an das Internet angeschlossen sind. WordPress reagiert auf gefundene Sicherheitslücken sehr fix und veröffentlicht umgehend Updates, die die Sicherheitslücken schließen.

Bei Hackern beliebt

Warum ist WordPress für Hacker besonders interessant? Es ist der Marktanteil von WordPress. Unter den CMS liegt er bei 60% – weit vor den Konkurrenten, die alle im einstelligen Prozentbereich liegen. Insgesamt sollen 20% aller Websites mit WordPress laufen.

Wer schon einmal mit anderen CMS arbeiten musste, kann bestätigen: WordPress ist eine ausgezeichnete Software. Der hohe Marktanteil hat gute Gründe, und auch Vorteile – man bedenke u.a. die riesige Auswahl an Plugins und Themes. Aber leider auch einen Nachteil… die Relevanz für Hacker.

Ganz klar muss man aber auch erwähnen: Hauptgründe für gehackte WordPress-Installationen sind erfahrungsgemäß unsichere Passwörter und verseuchte Arbeitsrechner.

Was wollen die (von mir)?

Hacks dienen in der Regel der Verbreitung von Schadsoftware über Websites auf Computer, in seltenen Fällen der Verbreitung von Propaganda.

Natürlich kann ein Unternehmen ganz gezielt von Hackern angegriffen werden – in der Regel läuft das aber automatisiert. Die Frage „Warum ich?“ ist damit beantwortet.

Automatische Sicherheits-Updates für WordPress…

Seit WordPress 3.7 werden automatische „Mini-Updates“ bzw. Security Releases automatisiert durchführt. Dabei geht es ausschließlich um Updates mit kleinen Versionsnummern, also z.B. von WordPress 4.1 auf Version 4.1.1. Die großen Updates, also z.B. von Version 4.1.1 auf 4.2, müssen aus guten Gründen manuell durchgeführt werden.

Das bedeutet aber nicht, dass man mit einer älteren Version, z.B. WordPress 3.9, keine Sicherheits-Updates erhält. In dringenden Fällen kann auch hier ein automatisches Mini-Update nachgeliefert werden. Allerdings nicht unbegrenzt.

Mit diesen kleinen automatischen Updates gibt es nur in den seltensten Fällen Probleme. Dennoch sollte man die Funktionalität der Website kurz überprüfen, nachdem man von seiner Installation per E-Mail eine Update-Benachrichtigung erhalten hat.

In machen Fällen sind keinerlei automatische Updates von WordPress erwünscht. WordPress bietet hier die Möglichkeit, über die Konfigurationsdatei automatische Updates zu deaktivieren.

…und für Plugins und Themes

Ein ganz aktuelles Thema.

Besonders Plugins und Themes können sicherheitstechnisch problematisch sein. Obwohl der WordPress-Codex bis vor kurzem gesagt hat, dass automatische Sicherheits-Updates von Plugins und Themes standardmäßig deaktiviert sind, gab es welche. Vor kurzem ein Sicherheits-Update von WordPress SEO by Yoast und vor einiger Zeit von Jetpack.

Das kann durchaus problematisch sein: Systemdateien von WordPress darf und sollte man selbst nicht modifizieren – nötig sein kann das aber bei Plugins (dann können die Anpassungen per Update überschrieben werden), und bei Themes (das gilt auch hier, besser ist ein Child-Theme, bei dem es nur in seltenen Fällen zu Funktionsstörungen kommen kann).

Der Codex-Text wurde inzwischen geändert. Das Sicherheitsteam behält sich das Recht vor, sicherheitsrelevante Updates für Plugins und Themes in Ausnahmefällen automatisiert durchzuführen. Die automatischen Updates sind natürlich nur bei Plugins und Themes möglich, die aus dem WordPress.org-Verzeichnis stammen.

WordPress bietet auch hier die Möglichkeit, automatische Updates (per Hook) zu deaktivieren.

Unsere wichtigsten Sicherheitstipps

Es gibt zahlreiche Möglichkeiten, eine WordPress-Installation (noch stärker) zu sichern. Hier die fünf einfachsten Tipps von uns:

  1. WordPress, Plugins und Themes, wenn nötig, möglichst aktuell halten.
  2. Augen auf bei der Wahl von Plugins und Themes – es gibt nicht wenige, die sicherheitstechnisch bedenklich sein können. Nicht mehr weiterentwickelte Plugins und Themes sollte man ganz meiden.
  3. Das kostenlose Plugin Wordfence nutzen. Das Plugin scannt WordPress-Dateien auf verdächtige Veränderungen, bietet eine Firewall, erweiterten Schutz der Login-Seite, und einiges mehr. Mit Benachrichtigungen per E-Mail.
  4. Sichere Passwörter verwenden! Mit einem Beschuss von Passwörtern auf die /wp-admin/-Seite kommt man sonst ganz schnell rein. Auch hier hilft Wordfence.
  5. Den Computer virenfrei halten. Ansonsten können Zugangsdaten ausgespäht werden – ganz automatisiert.

Keine Panik!

Die Wahrscheinlichkeit, betroffen zu sein, ist relativ gering. Und wenn etwas passiert, kann man durch das Ändern der Passwörter und das Einspielen eines Backups (notfalls vom Hoster) meist schnell wieder für Ordnung sorgen. Falls es dramatischer ist, gibt es noch Profis, die aufräumen können. Zu grobem Leichtsinn sollte das aber nicht verleiten.

Sicherheitslücken: Update auf WordPress 4.0.1 empfohlen

Seit WordPress automatische „Mini-Updates“ bzw. Security Releases durchführt (seit 3.7), also Updates mit kleinen Versionsnummern, berichten wir im Blog nur noch von größeren Updates, bei denen Verbesserungen und neue Features veröffentlicht werden. Das Update auf WordPress 4.0.1 ist eine Ausnahme und hat es leider, bzw. gezwungenermaßen, in sich: Mit dem Update wurden mehrere – teils schwere – Sicherheitslücken geschlossen.

Ein Update wurde auch für Nutzer ab WordPress 3.7.4 automatisch ausgerollt, es sei denn, die automatische Aktualisierung wurde deaktiviert. Einen weiteren Support für ältere Versionen soll es nicht geben, generell wird ein Update auf 4.0.1 empfohlen.

Leider kommt bei diesem automatischen Update hinzu, dass es mit einigen Plugins und Themes Probleme gibt bzw. gab. Das war eine Befürchtung, als bekannt wurde, dass es automatische Updates geben wird. Bisher hat sie sich nicht bestätigt, weil das System gut durchdacht ist: kleinere Versionssprünge, bei denen keine Probleme zu erwarten sind, automatisch, und größere Versionssprünge manuell. Keine nennenswerten Probleme also – bis 4.0.1. Leider. Es wird daher empfohlen, die Website nach dem Update zu überprüfen.

Ist WordPress unsicher?

Nun kommen natürlich verstärkt Fragen zur Sicherheit von WordPress auf. Dass WordPress unsicher ist, kann man generell nicht sagen. Lobenswert ist außerdem zu erwähnen, dass neu gefundene Sicherheitslücken sehr schnell per Update gestopft werden. Aber: WordPress ist mit seinem riesigen Marktanteil von über 60% natürlich ein beliebtes Angriffsziel. Das beweist unter anderem die Bombardierung von Login-Seiten mit Zugangsdaten, die man bemerkt, wenn man das mit einem Plugin wie Wordfence trackt.

Wir haben immer wieder mit Neukunden zu tun, deren Websites gehackt wurden. Die Ursachen waren immer gleich:

  1. Verseuchte Rechner, und / oder
  2. unsichere Passwörter.

Wenn sich auf einem Rechner Schadsoftware befindet, die unverschlüsselt abgelegte FTP-Zugangsdaten ausspäht, können WordPress-Dateien auf dem Server manipuliert und wiederum mit Schadcode verseucht werden. Dafür muss eine Website nicht mal mit WordPress laufen, das funktioniert bei jedem anderen CMS, und auch bei reinen HTML-Seiten.

Wenn für den WordPress-Login ein Passwort wie 123 festgelegt ist, am besten für einen User Admin oder Administrator, wird die Installation mit großer Sicherheit früher oder später gehackt – nicht von echten Menschen, die einem persönlich schaden wollen, sondern von automatisiertem Zugangsdaten-Beschuss auf die Login-Seite.

Seltener, aber auch möglich, ist ein Befall aufgrund von zweifelhaften Plugins und Themes – ungewollt, weil schlecht programmiert, oder mit voller Absicht.

Natürlich gibt es auch Hacks aufgrund von Sicherheitslücken. Ich will das nicht herunterspielen, aber das ist, unserer Erfahrung nach, verhältnismäßig eher selten.

Sicherheits-Empfehlung

Es gibt verschiedenste Möglichkeiten, eine WordPress-Website noch besser abzusichern. Wer den Aufwand nicht betreiben will oder eine zusätzliche Lösung sucht, sollte sich das Plugin Wordfence Security einmal genauer ansehen. Das Plugin scannt WordPress-Dateien auf verdächtige Veränderungen, bietet eine Firewall, erweiterten Schutz der Login-Seite, und einiges mehr. Mit Benachrichtigungen per E-Mail. Gleichzeitig gibt es interessante Anzeigen von Live Traffic:

Bei WP-Agentur.de hat es in den letzten Tagen Login-Versuche mit dem Benutzernamen „Admin“ aus den USA, Russland, der Türkei, Israel, Australien, Singapur, Katar, Sri Lanka, Vietnam, Italien, Island, den Vereinigten Arabischen Emiraten, Mexiko, Malaysia, Polen, Portugal und Schweden gegeben.

In keinem dieser Länder haben wir Mitarbeiter. Nicht auszumalen, was wäre, wenn unser Passwort 123 lauten würde (und wir Wordfence nicht nutzen würden).

WordPress-Websites sichern mit VaultPress

VaultPress

Wenn man ein Problem mit seiner Website hat, meist aufgrund eigener Anpassungen, versehentlich Daten gelöscht hat oder die Website gehackt wurde, gibt es nichts besseres als eine Sicherung von dem Zeitpunkt, als noch alles in Ordnung war. Wenn man nicht vorsorgt, hat man diese meistens nicht – und dann türmt sich unter Umständen ein riesiger Berg an Arbeit auf.

Natürlich kann man Websites manuell sichern, regelmäßige Sicherungen per Plugin durchführen (was aufgrund von Server-Beschränkungen allerdings häufig nicht reibungslos funktioniert), oder auf den Hoster hoffen, der gelegentlich Backups macht, und diese einem im Notfall kostenlos oder kostenpflichtig zur Verfügung stellen kann. Erfahrungsgemäß sind Häufigkeit und Zeitraum allerdings begrenzt.

Wenn man sich sicher fühlen und sich keinen Kopf darum machen möchte, sollte man sich VaultPress einmal ansehen: das Rundum-sorglos-Paket.

Was ist VaultPress?

VaultPress ist ein Dienst von Automattic, der Firma, die hinter WordPress.com – und natürlich auch WordPress – steht. Mit VaultPress kann man Websites automatisch, regelmäßig und vor allem zuverlässig sichern lassen.

Wie funktioniert es?

Um den Dienst zu nutzen, muss man sich bei VaultPress anmelden und das VaultPress-Plugin installieren. Nach der Eingabe der Zugangsdaten und der Verbindung mit dem VaultPress-Account beginnt bereits das erste Backup. Ab dann werden – je nach Tarif – tägliche oder ständige Backups (in Echtzeit) durchgeführt.

Im Notfall gelangt man über das VaultPress-Dashboard jederzeit an seine Backups und kann diese wiederherstellen oder herunterladen. Je nach Tarif werden Backups 30 Tage lang oder unbegrenzt aufbewahrt. Über einen Kalender gelangt man dann an die passende Sicherung.

VaultPress speichert auf eigenen Servern – es ist also keine Lösung, mit der man Backups irgendwohin speichern kann.

Was kostet das?

Das kleinste Paket „Lite“ kostet 55$ pro Jahr. Hier wird täglich ein Backup gemacht, das Archiv reicht maximal 30 Tage zurück. Das mittlere Paket „Basic“ kostet 165$ pro Jahr. Dafür bekommt man deutlich mehr: ständige Echtzeit-Backups (wichtig vor allem für Online-Shops und gut frequentierte Blogs) und ein unbegrenztes Archiv. Das größte Paket „Premium“ kostet 440$ pro Jahr. Hier gibt es noch tägliche Sicherheits-Scans und Premium-Sicherheits-Support. Die Preise gelten pro Website, eine monatliche Zahlung ist möglich (5$ Lite, 15$ Basic, 40$ Premium).

vaultpress.com