Let’s Encrypt-Zertifikat bei Host Europe installieren

Seit 2014 empfehle ich im meinem Beitrag WordPress Website auf HTTPS umstellen die Verwendung von HTTPS. So langsam sollte sich bei allen Website-Betreibern herumgesprochen haben, dass die unverschlüsselte Übertragung von Daten zwischen Browsern und Webservern unsicher ist. Firefox zeigt mittlerweile einen deutlichen Sicherheitshinweis bei Websites an, die sensible Daten (z.B. Zugangsdaten) nur per HTTP übertragen können. Chrome ist noch etwas zurückhaltender, in 2018 sollen die Hinweise aber zu Warnungen werden.

Limit Login Attempts und Login LockDown: kein effektiver Schutz

PabstWP Beitragsbild WordPress Sicherheit

In einigen WordPress-Blogs wird immer noch der Einsatz von Limit Login Attempts (Reloaded) oder Login LockDown empfohlen, wenn es darum geht, Brute-Force-Attacken – also das massenhafte Ausprobieren von Zugangsdaten – abzuwehren. Ich rate vom Einsatz solcher Plugins ab und empfehle eine sehr viel effektivere Maßnahme.

Das WordPress-Anmeldeformular wp-login.php ist eines der beliebtesten Angriffsziele bei WordPress-Websites. Leider benutzen immer noch sehr viele WordPress-Benutzer/innen ein zu einfaches Passwort für ihren Zugang zum WordPress-Backend. Das macht es Hackern leicht, sich durch das Erraten des Passworts Zugang zum Backend zu verschaffen und im schlimmsten Fall die Website zu übernehmen.

Was kann man also tun, um das Anmeldeformular sicher zu machen?

WordPress Website auf HTTPS umstellen

Die Kommunikation zwischen Webserver und Browser findet über das Hypertext Transfer Protocol (HTTP) statt. Während beim veralteten HTTP alle Daten im Klartext übertragen werden, sind sie bei der Verwendung von HTTPS verschlüsselt und werden abhörsicher übertragen. Ob eine verschlüsselte Verbindung besteht, erkennt man an einem (grünen) Schlosssymbol und ggf. dem Zusatz “https://” in der Adresszeile des Browsers.

Kommentar zum MailPoet-Sucuri-Dilemma

Worum geht’s?

Am 01. Juli 2014 veröffentlichte das MailPoet-Team die Version 2.6.7 ihres Newsletter-Plugins, welche eine schwere Sicherheitslücke schloss. Am gleichen Tag veröffentlichte das Web-Sicherheitsunternehmen Sucuri in einem Blogbeitrag umfangreiche, wenn auch nicht detaillierte Informationen über die Sicherheitslücke. Vorausgegangen waren die Entdeckung der Sicherheitslücke durch Sucuri am 16. Juni 2014 und die umgehende Mitteilung an MailPoet.

Was geschah dann?

WordPress 3.7 „Basie“

Am 24.10.2013 erschien WordPress 3.7, nur knapp 3 Monate nach dem letzten Major-Update auf Version 3.6. Mit der Verkürzung der Update-Zyklen wird ein neuer Weg eingeschlagen, der die Entwicklung von WordPress effizienter und schneller machen soll. Damit einher geht natürlich ein geringerer Umfang an neuen Features. Dafür haben es die wenigen neuen Features in WordPress 3.7 aber in sich.

Automatische Updates ab WordPress 3.7 – Mehr Sicherheit für fast alle WordPress-Websites

Mit WordPress 3.7 kommt eine interessante neue Funktion: die automatischen Updates für kleine Versionssprünge – also Security-Releases und Minor-Updates. Das bedeutet, WordPress kann sich automatisch im Hintergrund z.B. von Version 3.7 auf 3.7.1 aktualisieren, nicht aber auf Version 3.8. Nach einem automatischen Update erhält der Administrator eine E-Mail mit der Erfolgsmeldung und einem Update Log.

Lesetipp: WordPress absichern – Umfangreiche Artikelserie von Mike Kuketz

PabstWP Beitragsbild WordPress Sicherheit

Sicherheit erlangt man nicht zwingend durch die Installation unzähliger Security Plugins, sondern durch eine saubere Konfiguration, stetige Updates und gesunden Menschenverstand.

Mike Kuketz hat in seinem IT-Security Blog eine 3-teilige Artikelserie zum Thema WordPress & Sicherheit veröffentlicht. In den sehr ausführlichen Artikeln geht es darum, welche Sicherheitsrisiken es gibt, mit welchen Maßnahmen man WordPress und seine Webhosting-Umgebung absichern kann und welche WordPress-Plugins dabei helfen können. Dabei betrachtet Mike gerade die populären Security-Plugins kritisch und zeigt auf, welche Features nur scheinbar oder auch gar nicht die Sicherheit einer WordPress-Installation erhöhen. Ich finde die Artikelserie sehr gelungen und möchte sie hier gern allen empfehlen, die eine Website mit WordPress betreiben und umfangreiche Informationen zum Thema WordPress & Sicherheit suchen.

Die Artikel:

Viel Spaß beim Lesen!

Plugin-Empfehlung: Snitch – Netzwerkmonitor für WordPress

Sergej Müller, seines Zeichens fleißigstes Bienchen am deutschsprachigen WordPress-Plugin-Markt, hat mal wieder ein neues Plugin rausgehauen.

Es heißt Snitch und ist ein Netzwerkmonitor für WordPress. Das Plugin prüft im Hintergrund alle ausgehenden Verbindungen, listet sie im Backend auf und gibt die Möglichkeit, einzelne Verbindungen zukünftig zu blockieren. So ein Tool ist für alle interessant, die gegenüber Themes und Plugins misstrauisch sind und wissen möchten, ob – und wenn ja wohin – die eigene WordPress-Website Verbindungen aufnimmt. In Zeiten erhöhter Sensibilität bezüglich Datenschutz und Malware ist das Plugin ein weiteres, tolles Werkzeug, um die eigenen Website abzusichern.

Und hier gibt es Infos und den Download:

Über 80% aller WordPress-Installationen sind nicht mehr aktuell

Eine Woche nachdem die neue Version WordPress 3.3 erschienen ist, habe ich mal wieder in die Statistiken auf WordPress.org geschaut. Das ernüchternde Ergebnis: WordPress 3.3 wird nach einer Woche auf nur knapp 2% aller selbstgehosteten WordPress-Websites eingesetzt. Was aber viel erschreckender ist: auf über 80% aller Installationen läuft eine von WordPress.org nicht mehr unterstützte Version! Also WordPress 3.1 oder älter. Und dabei fallen noch über 50% auf WordPress 3.0.

Ich finde es nicht gut, dass hier anscheinend eine weitverbreitete „Update-Müdigkeit“ herrscht. Zum einen bietet die neueste Version viele neue Features, vor allem im Vergleich zu 3.0 (Siehe Artikel WordPress 3.3 „Sonny“ ist da). Und zum anderen enthalten ältere WordPress-Versionen auch Sicherheitslücken, die es zu schließen gilt. Ich frage mich also, warum so wenige WordPress-Betreiber auf die neueste Version updaten. Bei einem Großteil der gängigen Webhoster sollte das automatische Update problemlos durch laufen. Falls nicht, ist ein Update via FTP auch nur eine Sache von ein paar Minuten. Und auch die Angst vor nicht mehr funktionierenden Plugins ist überbewertet: ich verwende in den ca. 20 WordPress-Blogs, die ich betreue, viele verschiedene Plugins und hatte bisher nie Probleme beim WordPress-Update. Meine Aufforderung also an alle WordPress-Admins:

Macht eure Updates!

Aber bitte nicht ohne vorheriges Backup. 😉

Fundstücke: kostenloses eBook, 2-Click Social Media Buttons, TimThumb-Sicherheitslücke und CSS3-Buttons

Ich möchte mal wieder ein paar interessante Inhalte mit euch teilen. Damit sie nicht im Rauschen von Twitter und Facebook untergehen, werde ich sie hier für die Ewigkeit festhalten. Viele weitere Links zu Fundstücken aus den Bereichen Webdesign, Social Media & Co. findet ihr auch auf meinem Pinboard. Und los geht’s!

WordPress-Plugin: 2-Click Social Media Buttons

Nach dem Vorbild von heise.de stellt H.-Peter Pfeufer seit ein paar Tagen ein WordPress-Plugin zur Verfügung, mit dem sich Social Media Buttons von Facebook, Twitter und Google+ datenschutzrechtlich unbedenklich in eine WordPress-Website integrieren lassen. Mit dem Plugin sind die Buttons zunächst inaktiv und erst nach Aufforderung des Besuchers werden sie aktiviert und beginnen mit der aus Datenschutzsicht diskussionswürdigen Übertragung von personenbezogenen Daten.
Link: WordPress-Plugin: 2-Click Social Media Buttons