Sicherheit rund um WordPress – 24.02.2016

Das Thema Sicherheit wurde bereits beim Meetup im Juni 2015 diskutiert. Wir sind diese Woche gemeinsam die Themen noch einmal durchgegangen und haben sie ergänzt.

  • Das Thema Cross-Site-Scripting (XSS) wurde diskutiert. Wichtig dabei ist, dass bereits im Code verhindert wird, das über Such- oder Kommentarfelder bösartiger Code eingeschleust wird. Daraus kam die Empfehlung, dass wo man selber Plugins entwickelt, auf die bestehende Methoden in der WordPress-API zugegriffen werden soll.
  • Es ist für Anwender ohne Programmiererkenntnis schwierig festzustellen, ob Sicherheitslücken im Code stehen. Deshalb sollte man vertraute Quellen für Themes und Plugins bevorzugen. Zum Beispiel die von WordPress-Mutterfirma Automattic.
  • Sobald Besucher wissen, dass die Website mit WordPress (oder auch anderen CMS!) läuft, wird es einfacher jegliche Schwachstellen zu kennen. Darum sollte man die Empfehlungen für WordPress Hardening folgen.
  • Es gibt Sicherheitstools, die man mehr oder weniger problemlos einsetzen kann. Dessen Anwendung ist ein guter erster Schritt aber man soll sich Zeit nehmen, um die Auswirkungen zu verstehen. Die Beispiele Bulletproof Security, Sucuri Scanner und iThemes Security enthalten alle ausführliche Checklisten, die in die .htaccess-Datei (für Apache-Server) schrieben.
  • Probiert man diverse Optionen in einer Test-Umgebung aus, um diese später in eine Live-Umgebung zu implementieren, soll man genau notieren was gemacht wurde. Damit man besser verstehen kann, welche Auswirkung die Option hat und ggf. manuelle Anpassungen vornehmen kann.
  • Die wichtigste Maßnahme, für Anwender ist die Nutzung sichererer Passwörter und auch Benutzernamen. Zur Verwaltung seiner Passwörter wurde 1password oder KeePass empfohlen.
  • Wenn sich keine Besucher auf der Seite anmelden müssen/sollen, ist der Schutz über die .htaccess ein zusätzlicher wichtiger Schutz. Anleitung auf WP-Toolbox.ch.
  • Serverseitig kann man weitere diverse Optionen nutzen, um die Installation besser zu schützen. Zum Beispiel der Einsatz von SSH Schlüsseln, wo die Hostingfirma dies ermöglicht.
  • Diskutiert wurde auch, das regelmäßige Backups hilfreich sind, um eine WordPress-Installation, die gehackt wurde wieder zu reparieren. Allerdings muss man hier zunächst versuchen herauszufinden, wann der Hack passiert ist.

WordPress 4.4 und unsere Lieblings-Plugins – 28.1.2016

Upgrade WP 4.4 «Clifford»

Es hat wichtige Änderungen drin, aber eher im Hintergrund. u.a.:

    • «Responsive Image» (Bereitstellung verschiedener Bildgrössen) steckt nun fix im Core drin, gute Sache.
    • oEmbed bindet externe Inhalte direkt in WP ein, z.B. jetzt auch irgendeinen (externen) WP-Blogpost embedden in eine andere WP-Seite. Vorgehen: URL des Posts kopieren, im Textbeitrag eines Blogs reinkopieren, dann entsteht automatisch eine Box mit dem eingebetteten Inhalt
    • Die REST API ist nun integriert
    • Neues Theme Twenty Sixteen, wpbern.ch itself läuft auf diesem Theme.
    • Details zu «Clifford»:
      https://de.wordpress.org/2015/12/wordpress-4-4-clifford-ist-da/

      Plugins

      «Welche Plugins installiert ihr zuerst?»
      Grundsätzlich: Jedes Projekt ist anders, es gibt aber Basis-Plugins, die jedem WP gut stehen.

      Erster Rundumschlag:

    • Jetpack. Grosses Paket an Modulen, aus der zentralen Küche von WP (Automattic). – Gerd: das hat mir etwas viel drin, viel Code, den ich evtl. gar nicht wirklich brauche; Ich löse meine Anforderungen eher mit einzelnen Modulen – Stefan: Man kann einzelne Elemente ausschalten; aber ja, der ganze Motor bleibt da in der Installation drin. Da ist z.B. dabei: Security, Statistics, Monitoring, SEO-Verifizierung, Widget-Sichtbarkeit steuern. Heikel bei Jetpack: Datenschutz, gewisse Logs rauschen ab in die USA…
    • Antispam Bee, um Kommentar-Formulare von Spam zu befreien. Anstatt Akismet. Ein WP ohne Kommentare braucht aber nichts dieser Art
    • Mehrsprachigkeit: Polylang. (WPML ist eher heikel bzw. ziemlich komplex, hatte jedenfalls vor ein paar Jahren noch Implikationen z.B. mit anderen Plugins)
    • Domainmapping & Multinetwork (für Multisite-Installationen)
    • Cachify (Site schneller machen)
    • CrazyLazy (zeitversetztes Laden von grossen Bildmengen)
    • Responsive Lightbox als Zusatz für die eingebaute Bildgalerie

Gerds Basis-Set

Gerd hält eine Roh-Site parat, quasi eine Checkliste, dort stecken seine wichtigen Basis-Plugins drin. Bei neuem WP-Projekt startet er mit diesem Setting (mit Duplicator PRO), macht danach Feintuning. Die Plugins:

  • 404 Error Logger
  • Antispam Bee
  • Autoptimize (optimiert code; erst nach RollOut einschalten)
  • BackUpWordpress («Bei mir solls automatisch passieren. Dieses Tool könnte zwar noch besser sein, ist aber kostenlos, darum OK.»
  • Broken Link Checker (checkt intern/extern)
  • Cachify (optimiert Site; erst nach RollOut einschalten)
  • CMS Tree Page View (Seitenstruktur im Backend nützlicher anzeigen)
  • Duplicator (Sicherungskopien, Backups, Migration einer Site; bei Pro-Version gehts auch automatisch. Bei grossen Sites kann es Begrenzungen vom Hoster geben)
    /oder: iThemes BackupBuddy, teuer, eher unübersichtlich; macht das, was Duplicator Pro auch macht
  • iThemes Security («Ich habe die kostenlose. Diverse Funktionen. Bei wichtigen Seiten habe ich die PRO-Version») / Stefan: «TwoFactor Authentification: Login in zwei Stufen, Sinn macht Google Authentificator, es gibt dazu diverse Plugins. Clef ist evtl. interessant, man muss mit dem Handy ein Bildli scannen.»
  • MainWP Child (Mehrere WPs von einem WP-Dashboard aus überwachen, Upgrades machen von diesem Dahsboard aus.
    (ein anderes wäre CMS Commander, bedingt aber einzelne Lizenzen; sehr schöne kleiner Monitor auch über ServerDownTime, SEO-Metrics usw.) – (Oder ManageWP, was Stefan nutzt.)
  • Optimus (Bild-Optimierung automatisch)
  • Query Monitor (DB Programming)
  • Wp Security Audit Log (Falls diverse User: Loggt die Aktivitäten, «wer hat wann was vercheibet?»)
  • WP-Optimize (hält DB sauber; Der CMS Commander hat auch sowas, evtl. Überschneidungen)

    Wie beurteile ich ein Plugin?

  • Support-Seite checken. 1-Stern-Replys des Entwicklers checken – wie lösen sie die Probleme? Gnade walten lassen, wenn gratis und X Anfragen pro Tag – bei 1 Entwickler, der anderswo noch Geld verdienen muss…

DANKE für eure Inputs!

Next Meetup