Charlotte Leander, Anweisungen zur Kunststrickerei, 1843

CDU Wahlkampfplakat - kaspl020Heute ist Wahltag. Da kam mir dieses alte Plakat in den Sinn. Nun kann man ja mit einigem Recht sagen, daß die Politik der CDU ja geradezu zu sozialistischen Experimenten herausfordert... aber darum geht es mir heute nicht.

Ein anderes Plakat, an dessen Verteilung ich maßgeblich in grauer Vorzeit beteiligt war, ist leider nicht mehr erhalten, es gibt auch kein Bild davon. Aber es prangte viele Jahre an einer Wand in meiner Heimatstadt Wiesbaden: es stammt aus dem Jahre 1972, zeigte eine Flasche und zeigte den griffigen Slogan:

"Lieber Reiner Korn als Rainer Barzel" ;=)

Nun, Barzel ist uns damals als Kanzler erspart geblieben...

 

Solange alles ruhig ist und funktioniert, ist es ja gut.
Vielleicht im richtigen Leben. Im Internet ist das anders. Und deshalb schreibe ich diesen Artikel hier. Anlaß gibt es genug.

Inzwischen ist ein großer Teil der Webseiten nicht mehr "handcodiert", sondern mit irgendwelchen ContentManagementSystemen oder Blog-Systemen erstellt. Je stärker der Drang etwas zu veröffentlichen ist, bei gleichzeitig geringem technischen Wissen, desto wahrscheinlicher greift der Blog-startende Mensch zu fertig konfektionierten Web-Paketen. Und weil WordPress solch ein beliebtes System ist, hat es sich immer mehr verbreitet.

WordPressViele Anwender und Anwenderinnen nutzen das kostenlose Blog-System von wordpress.com. Da haben Sie zwar nicht die freie Auswahl, was Themen, Vorlagen, Funktionalitäten betrifft, aber sie können sicher sein, daß die Firma wordpress.com schon dafür sorgt, daß immer aktuelle und sichere Versionen eingespielt sind und auf Bedrohungen schnell reagiert wird.

Wer Wert auf eine eigene Domain und vielleicht mehr Funktionalitäten legt, muss dann schon ein Web-Paket bei einem Provider kaufen. Auch wenn die oft schon ein Blog-System eingerichtet haben, also vorkonfiguriert haben, ist man ab dann selbstverantwortlich für Sicherheit und Stabilität. Das ist zwar mühevoll, muß aber sein.
WordPress hat in den 10 Jahren, die es nun existiert, fast genau 80 Updates erfahren, wenn ich richtig gezählt habe. Da ist natürlich eine Menge Funktionalität hinzugekommen, aber ich behaupte mal, daß mindestens 80% der Updates Sicherheits-Updates waren.

Bei jeder neuen Version zeigt WordPress einen Hinweis an, daß man updaten solle. Ein Backup der Datenbank und dann los damit... So soll es sein. Aber leider ist die Praxis anders.

rote AmpelAus Bequemlichkeit, Zeitmangel, Unwissenheit werden diese Hinweise ignoriert. Man bekämpft ein wenig den Spam, der in den Kommentaren so mitschwimmt, und damit hat es sich. Die Furcht, nach dem Update könnten irgendwelche liebgewonnenen Features nicht mehr funktionieren,  läßt viele zurückschrecken.

Und das genau ist sträflich / gefährlich / leichtsinnig / ... Wer mit einer WordPress-Version aus dem Jahre 2007 arbeitet, diese seit 6 Jahren nicht aktualisiert hat und auch sonst keine Sicherheitsvorkehrungen trifft, läuft über ganz dünnes Eis. Irgendwann mal hatte WP eine aktuelle PHP-Version (Programmiersprache) verlangt und viele WordPress-Blogs konnten nicht aktualisiert werden, weil auf ihrem Server diese neue PHP-Version nicht lief. Wer dann nicht auf einen neuen Server wechselte, geriet vollends ins Hintertreffen. 

Es reicht aber nicht, nur neue Versionen einzuspielen. Auch sonst gibt es einige Dinge zu beobachten und umzusetzen. Viele kleine Schritte machen ein System sicher. Ich führe nur ein paar davon auf:

  • Nie nimmer nich den Super-Administrator "admin" benutzen"! Diesen vorgeschlagenen User sofort löschen (neuen Administrator-User mit schwierigem Namen einrichten und dann den "admin" löschen).
  • Nie nimmer nich Usernamen wie "admin, administrator, verwalter" nutzen
  • Nie nimmer nich den Domain-Namen als Passwort nutzen, weils so einfach ist
  • Passworte im Browser mit einem Master-Passwort schützen
  • WordPress-Sicherheits-Plugins einrichten. Gut, da gibt es welche, die sind so dicht und auch für den Administrator so undurchschaubar, daß man hinterher gar nichts mehr darf. Aber andere Plugins sind auch alltagstauglich
  • wenn immer WP ein Update ankündigt, (und zwar spätestens dann)  ein Backup der Datenbank und der Dateien auf dem Server durchführen und dann das Update durchführen (dieses dauert gerade mal 3 Minuten oder so)
  • regelmässige Backups der Datenbank und auch der Dateien auf dem Server durchführen
  • mindestens das Plugin "Login Limit Attempts" einrichten, das warnt, wenn der Zugriff auf die Seite mit falschen Login-Daten versucht wird und das diese dann auch verhindert.

grüne AmpelWarum ich das hier aufzähle? Warum ich so warne?

  • Nun, in den letzten Tagen ging mein Server ab und an in die Knie, weil massenhaft Zugriffsversuche auf das Backend dieser Installation auftraten. Tausende von Malen wurde versucht mit den Usernamen "admin", "administrator" oder "wockensolle" in mein WordPress zu kommen. Da aber nach 2 falschen Versuchen die IP, von der aus die Versuche kamen, gesperrt wird, keinerlei Zugriff auf meinen Server mehr hat, flaute das irgendwann wieder ab.  Es ist zwar nichts passiert und diese Dumpfbacken konnten nichts ausrichten, aber Serverlast haben sie schon provoziert.
    Jetzt kriegt mein Server mehr Speicher und dann kann das noch bequemer abgefedert werden.
  • rote AmpelGestern ging Martinas Strickblog "Tichiro" auf tichiro.net endgültig in die Knie. Erst gab es am Wochenende davor Störungen und Ausfälle und gestern hat dann der Hoster die Seite vom Netz genommen, weil diese gehackt worden war, und schlimme Dinge auf der Seite standen. Es rächte sich, daß eine uralte WP-Version und eine ebenso unsichere alte PHP-Version im Einsatz waren.
    Jetzt ist das Blog auf www.tichiro.de neu eingerichtet und wenn alles funktioniert, wird auch www.tichiro.net wohl wieder freigeschaltet.

Ich schreibe dies nicht aus Schadenfreude, eher aus Bestürzung. Denn meine Warnung an Tina, daß sie ein großes Risiko mit dieser alten Version eingeht, hätte sich ja nicht bewahrheiten müssen. Vieles, vor dem gewarnt wird, trifft ja nicht ein. Aber man darf sich eben nicht in SIcherheit wiegen.

Ich betreue so um die 20 WordPress-Installation. Und ich stöhne auch, wenn es wieder ein Update gibt und ich reihum auf die Seiten gehen muß und aktualisieren muss (Sicherungen werden wöchentlich automatisch gemacht). Aber es muß sein.

Also, liebe Strickdamen, setzt nicht nur nette Strickmützen auf, sondern nutzt Euren Kopf! Haltet Eure Installation aktuell und schützt Euren Blog, Eure Webseiten!

rote AmpelPS: Daß das nette Wollfrosch-Blog seit vier Wochen nicht aktualisiert werden kann, liegt diesmal nicht an einer unsicheren Software auf dem Server, nein, bei Regina ist es der Zwist zwischen Telekom und 1und1, der seit mehr als vier Wochen Ihre Netz-Verbindung lahmlegt.
Aber das ist ein anderes Kapitel. Da kann man nur durch Anbieterauswahl vorbeugen, ausgeliefert ist man dabei aber immer...

UND WAS NOCH?  Wählen gehen!!