In den letzten Tagen schwappten wieder einmal die Wellen derer, die WordPress für unsicher halten, heftig durch Klein-Bloggersdorf. Eine angebliche Sicherheitslücke, die alle Versionen von WordPress bis zur 2.3.3 betreffen sollte, stellte sich aber offensichtlich als Hoax heraus. Da trotzdem mal wieder viele beunruhigt sind, möchte ich hier mal ein paar Dinge zum Thema sichere Website erklären.
Zuerst einmal möchte ich klar stellen, dass, wie es in einem alten ITler-Joke heißt, das größte Problem immer vor dem Bildschirm sitzt. Die meisten Probleme mit der Sicherheit treten auf, wenn der Anwender einer Software allzu gutgläubig darauf vertraut, das schon nichts schief gehen wird.
Ein Beispiel: WordPress vergibt bei der Installation den Standardbenutzer „admin“. Und Ihr glaubt es vielleicht nicht, aber auf über 80% der installierten WordPress-Blogs ist dieser Benutzername noch aktiv. Und manch ein Blogger hat das schon nicht sehr schwer zu knackende Passwort, das WordPress bei der Installation vergibt, durch ein noch simpleres, wie zum Beispiel den Name der Katze oder des Lieblingsgetränks ersetzt. Das macht einem potentiellen Hacker den Angriff leicht. Den Benutzername kennt er ja schon (admin), muss er nur noch mit einer Wörterbuch-Attacke das Passwort finden. So was dauert mit einem passende Script nur wenige Minuten.
Da kann jetzt aber WordPress so was von überhaupt nichts dafür. legt einfach einen neuen Benutzer an, gebt ihm einen nicht leicht zu erratenden Namen, verpasst ihm ein kompliziertes Passwort, mindestens 8, besser 12 Zeichen lang und aus Groß- und Kleinbuchstaben und Zahlen und mindestens einem Sonderzeichen bestehend, dann seit ihr auf der sicheren Seite. Ist natürlich nicht so bequem wie das Passwort „Mauzi“.
Noch was: Wenn ihr Themes oder Plugins downloaded, dann schaut Euch an, was es ist und woher es kommt. Beides lädt man nur von der Seite des original-Autors oder von vertrauenswürdigen Seiten wie WordPress.Org etc. Es ist nämlich ganz einfach, mit einem Theme oder einem Plugin eine Hintertür in WordPress zu öffnen. Aber auch da kann WordPress nichts dafür. Entweder ich habe die tollen Möglichkeiten, die eine Schnittstelle für Themes und Plugins bieten, oder ich habe ein geschlossenes, nicht zu erweiterndes, aber sichereres System. Beides gleichzeitig geht halt nicht. Aber es zwingt mich ja auch niemand, ein Plugin zu installieren, wenn ich mir nicht sicher bin, was es so alles macht.
Wer ganz sicher gehen will, der läd sich das WordPress Security Whitepaper (PDF) herunter und folgt den Anweisungen darin. Ein so gesichertes Blog ist nahezu unverletzlich (Es gibt auch eine deutsche Übersetzung (PDF), die ist aber im Moment nicht ganz aktuell, da sie die Version 2.5 noch nicht berücksichtigt).
