Der hochgeschätze Ritchie „datenschmutz” Pettauer hat geblogged. Ok, das ist jetzt nichts all zu Besonderes, das macht er öfter. Aber diesmal hat er das zum Thema „WordPress Sicherheit: Ausreichend Schutz vor Hackern” getan.

Und das war nicht mal so schlecht, was er da zusammengeschrieben hat. Erfrischend kompetent und praxisbezogen. Aber einige Punkte muss ich dennoch bemängeln. ;)

1) (s)ftp

Das „s” von sftp ist im Jahre 2014 nicht mehr optional. Die erste Spezifikation des File Transfer Protocols (ftp) stammt vom 16. April 1971. Sicherheit war damals (noch) kein Thema.
Heutzutage sollte man – vor allem, wenn man auch mal vom McDonalds, Kaffeehaus, … auf sein Wordpress zugreift – IMMER die secure Variante, also mit „s” verwenden [Korr. 2014-04-26] das auf ssh basierende sftp Protokoll verwenden. Oder zumindest FTPS, aber besser wäre sftp. IMMER.

2) Admin- und Autor-Nutzer

Ritchie schreibt hierzu Besonders Vorsichtige empfehlen, Autor– und Admin-Nutzer zu trennen, aber die dauerende Umloggerei wär mir persönlich zu umständlich..
Ja, das ist ein wenig lästig, ist aber „best practice”. Unter UNIXen sowieso Standard und üblich, hat sich das mit Windows 7 und später auch endlich zum Standard unter Windows entwickelt. Und soweit ich weiß, ist es auch unter Mac OS X üblich, dem Arbeitsuser keine Admin-Rechte zu geben.
Sinn und Zweck der Übung ist natürlich wieder die Schadensbegrenzung für den Fall, dass ein Angreifer das Passwort abfängt (siehe auch den nächsten Punkt). Damit kann er dann zwar die Inhalte ändern, aber die WP Installation per se ist damit noch nicht kompromitiert.

3) Zusätzliches Schloss für den Admin Bereich

Bis zu diesem Kapitel fand ich Ritchies Artikel ja erfrischend gut und passend. Und der Titel klang auch so vielversprechend. Aber leider …
Der gute Datenschmutz empfiehlt, den Admin-Bereich durch ein zusätzliches Passwort, das nicht durch PHP/Wordpress, sondern schon auf der Ebene des Webservers abgefragt wird, „abzusichern”. Dass er damit das Problem nur auf eine Ebene tiefer verlegt, nämlich zu Apache/nginx und Co., hat er hier vergessen/ignoriert. Die von Ihm so verschmähten „Limit Login Attempts” Plugins braucht man trotzdem, aber halt nicht auf PHP/WP Basis, sondern als Apache Modul bzw. Servertask.

Und das prinzipielle Problem, das man mit dem Wordpress-Adminbereich hat, löst diese Vorgehensweise auch nicht. Wenn man sein WP nämlich aus dem Kaffehaus, etc. administriert kann JEDER, der das WLAN mitbenutzt, auch das WP-Adminpasswort mitlesen. Und zwar mit trivialem Aufwand. Und da ist es vollkommen egal, ob man nun ein oder zwei Passwörter eingeben muss und ob WP oder der Apache dieses verifiziert.
[Anm. 2014-04-26]: VPN-Lösungen, wie sie Ritchi im Kommentar erwähnt, helfen hier auch nur bedingt. Damit ist die zumindest die Verbindung Laptop zu VPN-Endpunkt geschützt und die im Starbucks abhängenden Eves können nicht mehr mithören. Über die Strecke VPN-Endpunkt zu WP-Server laufen die Daten dann wieder unverschlüsselt. VPN UND SSL/TLS wäre die optimale Kombination. ;)

Ich hab das schon einmal demonstriert, als Georg Holzer seinen Wordpress-Artikel für den Futurezone geschrieben hat. Wer möchte, kann sich das Video ansehen, das zeigt, wie einfach man das Passwort abfangen kann (das gilt auch für das „htaccess-Passwort”).

Eine Anleitung, wie man zumindest einmal den Wordpress Admin Bereich mit SSL absichert, gibt Robert Abela in seinem recht detaillierten Blogeintrag.
Wer die Sicherheit im Internet und WWW prinzipiell voran bringen will, bietet sein komplettes Blog auch über SSL/TLS an. ;) [Korr. 2014-04-26] Außerdem kann eine Angreiferin dann das Admin-Cookie auch nicht über die unverschlüsselte http-Verbindung klauen, wie Pepi korrekt anmerkt.

Und jetzt hoffe ich, dass der Ritchie trotz dieses Blogeintrags noch mit mit spricht. ;)

Tagged as: rant, security, wordpress, wp | Author: Martin Leyrer
[Donnerstag, 20140424, 22:00 | permanent link | 2 Kommentar(e)