zur Sicherheit: Shield WordPress Security

Date:  |  Author: Matthias Pommranz

Icon ShieldWebsites sind ständigen Angriffen ausgesetzt. Seit über einem Jahr ist deshalb auf allen von Studio2 betreuten WP-Websites »Shield« im Einsatz, meiner Meinung nach das umfangreichste und wirkungsvollste Sicherheits-Plugin für WordPress. Es ist einfach, wirkungsvoll – und unbedingt notwendig.

Die Bedrohung

WordPress ist eines der erfolgreichsten Werkzeuge zum Erstellen von Websites und daher ein lohnendes Angriffsziel für Hacker. Bedroht sind wirklich alle Installationen, nicht nur die großen, viel besuchten Plattformen. Auf den von uns betreuten Firmen-Websites registrieren wir:

  • Jeden Tag mehrere unerlaubte Login-Versuche ins Backend
  • Pro Monat 20 bis 100 Hacker-Angriffe; dabei wird unter Umgehung der Login-Funktion versucht, sicherheitsrelevante Dateien herunterzuladen, EXE-Files hochzuladen oder einen neuen Admin-Benutzer im System anzulegen

Eine infizierte Website wieder zu bereinigen, bedeutet immer ein gutes Stück Arbeit. Danach muss unbedingt die Sicherheitslücke gefunden und geschlossen werden, um ähnliche Fälle zukünftig zu verhindern. Der beste Weg ist daher, rechtzeitig mit einem wirksamen System Schaden zu verhindern. Die gute Nachricht ist: Dank unserer Sicherheitsmaßnahmen wurde bisher keine unserer WordPress-Installationen geknackt.

Warum das Shield-Plugin

Brute-force-Attacken haben in den letzten Jahren stark zugenommen. Die Angreifer versuchen dabei, das Passwort zum Admin-Bereich zu knacken – automatisiert, mit Hilfe ganzer Rechner-Netzwerke (Botnets). Die elementarsten Schutzmaßnahmen sind, nie den Standard-Benutzernamen »admin« und immer sichere Passwörter zu benutzen. Mit einem einfachen Tool wie »Limit Login Attempts« lassen sich IP-Adressen nach mehreren falschen Versuchen sperren; gegen Botnets mit tausenden unterschiedlicher Adressen reicht das jedoch nicht aus.

Daher habe ich vor einiger Zeit mehrere Sicherheits-Plugins für WordPress getestet und bin bei »Shield WordPress Security« gelandet, das mich aus folgenden Gründen überzeugt:

  • Umfangreicher Schutz: Shield ist ein Sicherheitspakt mit vielen Funktionen, die unterschiedliche Arten von Angriffen verhindern
  • Durchdacht: Das Plugin greift möglichst wenig in die WP-Basisstruktur ein, lässt sich an viele Hosting-Umgebungen anpassen und schont die Lesegeschwindigkeit für die Besucher
  • Gut zu bedienen: Die Funktionen sind verständlich strukturiert und erklärt. Ist die passende Konfiguration gefunden, läuft das Plugin problemlos im Hintergrund
  • Meldungen über Angriffe: E-Mail-Warnungen und der interne Aktivitäten-Monitor zeigen, was auf der Website läuft und ermöglichen dadurch, die Situation einzuschätzen
  • Komplett kostenlos: keine reduzierte Premium-Version

Überblick über die Funktionen

  • Schutz gegen unerlaubte Logins
    Dazu bietet das Shield-Plugin mehrere Möglichkeiten:

    • Brute-Force-Schutz: Beschränkung der Login-Versuche, Javascript-Bestätigungsfeld gegen Bots, auch bei der Benutzerregistrierung und bei verlorenen Passwörtern
    • Zwei-Wege-Authentifizierung per E-Mail stellt sicher, dass der Login tatsächlich durch den registrierten Benutzer erfolgt
    • Umbenennen der Login-Seite (funktioniert derzeit nicht auf mehrsprachigen Websites)
    • unterstützt Yubikey-Hardwareschutz
  • Die Kernfunktion: Firewall für das WordPress-System
    Shield prüft alle Daten, die an die Website übergeben werden, und sucht nach verdächtigen Mustern wie Verzeichniswechseln, SQL-Abfragen oder PHP-Includes. Um Fehlfunktionen anderer Plugins zu verhindern lässt sich einstellen, welche Anfragen blockiert werden und wie das System reagieren soll.
  • User Management
    z.B. durch erzwungene Neuanmeldung nach bestimmten Aus-Zeiten
  • Schutz gegen Kommentar-Spam
    Erkennt, welche Kommentare von Menschen und welche von SPAM-Bots eingereicht werden
  • Automatische Aktualisierungen
    Shield kann steuern, welche Systemkomponenten automatisch aktualisiert werden, um Sicherheitsupdates sofort anzuwenden
  • WordPress-Sperren
    Veschiedene Sicherheits- und Schutzmechanismen für den Admin-Bereich, z.B.

    • Abschalten des (meist nicht benötigten) XML-RPC-Zugriffs auf die Datenbank
    • Änderungen an Systemdateien werden blockiert
    • Erzwingen von SSL-Verbindungen
    • Das Plugin kann sich durch einen eigenen Sicherheitsschlüssel selbst schützen
  • Audit Trail
    Zeichnet die gewünschten Vorgänge eine Zeitlang auf, z.B. erfolgreiche und fehlgeschlagene Logins, Änderungen an Beiträgen und Seiten, Plugins, Themes und Systemeinstellungen oder den Versand von E-Mails über das WordPress-System

Fazit

Auch nach einjährigem Betrieb ist »Shield WordPress Security« meiner Ansicht nach eines der besten Sicherheitstools für WordPress. Die gut durchdachten Funktionen bieten weit reichenden Schutz und lassen sich gut konfigurieren. Wer will, kann sich per E-Mail über unerlaubte Vorgänge benachrichtigen lassen. Ansonsten zeigt der »Audit Trail«, was auf der Website läuft: Die regulären Änderungen durch den Admin und registrierte Benutzer, aber eben auch verhinderte Logins, Verzeichniswechsel zum Umgehen von Sicherheitssperren, Versuche, neue Benutzer anzulegen… Das geschieht nicht jeden Tag, zeigt aber, dass ein Schutz für das WordPress-System unerlässlich ist.

Wie der Anbieter iControlWP das Tool weiterführt, wird sich zeigen. Derzeit ist es kostenlos über das WordPress Repository erhältlich. Möglich, dass es langfristig in das kostenpflichtige Angebot integriert wird und es dann nur noch eine eingeschränkte Free-Version gibt.

Weitere Informationen
Einführung in Shield WordPress Security (englisch)

.