Ist Wordpress im Laufe der Zeit unsicher geworden?

Wellenbrecher1963 · 29.09.2016

hallo Leute,
immer öfter erreichen mich Hilferufe und Meldungen, dass Wordpress gehackt wurde. Wenn ich so die Foren durchsuche ist kaum was von Joomla, Drupal, Typo3 und Co zu hören, aber "voll fett" und massiv von Wordpress. Dabei sind auch wachsame Betreiber dabei, die jedes Sicherheits-Plugin und Update einspielen, was sinnvoll und unbedingt vorgeschrieben wird. Ein Freund von mir hat einmal gezählt, wie viele Mal in der Woche er selbst bei sich Updates durchführen mußte. Sage und schreibe jeden Tag waren 1 bis 3 neue Updates pro Tag zu installieren. Und am Ende hat es ihn doch erwischt.

Nun, wenn man sich die Geschichte so von WP ansieht, wurde WP als Blog entwickelt. Findige Leute sind dann auf die Idee gekommen, durch aufwändige Plugins das Blog zur Webseite zu erheben. Für meine Begriffe fing doch da das Unheil an. WP Installationen, die für eine Webseite herhalten, strotzen nur so vor Plugins. Und ich will nicht wissen, wie viele Plugins nicht valide programmiert wurden.

Wenn ich die ganzen Meldungen so höre, kann ich kaum noch WP für ein Unternehmen empfehlen. Schließlich hängt an so einer Webseite doch das Image eines ganzen Unternehmens.

Wie sind Eure Meinungen dazu? Gebt Ihr WP eine Chance? Warum und weche Vorsorge trefft Ihr?

Die Runde ist eröffne.....
der Wellenbrecher

wex_stallion · 29.09.2016

Je höher die Verbreitung, je interessanter als Ziel.
Dabei ist es grundsätzlich egal, ob es sich um ein Wordpress, Windows oder ein Youpron-PlugIn für den WLAN-Toaster handelt.

Gelöschtes Mitglied 490151 · 29.09.2016

Wordpress ist aus meiner Sicht gar nicht unsicherer als andere Systeme...
Was WP unsicher macht, dies sind zu viele (schlecht programmierte) Plugins/Zhemes, mangelnde/verspätete/keine Updates von Pluginherstellern, Erweiterungen aus dubiosen Quellen und letztendlich der "DAU" der Admin als Benutzername und Passwort verwendet

Z.b. gelingt es etlichen Hackern immer noch Exploits über uploadify.php auszuführen...

Meine Meinung: WP ist wesentlich sicherer als vergleichbare CMS! Abgesehen davon, dass ich Typo nicht beherrsche, verwende ich nichts anderes mehr als WP! Vorsorge: Ein vernünftiges Theme, eine prof. Security Suite, eine prof. Backup Lösung, möglichst wenige unausgereifte Plugins (schon gar nichts aus dubiosen Quellen) und ein paar Einträge in die .htaccess schützen all meine betreuten Seiten seit Jahren vor irgendwelchen Übernahmen...

kywo · 29.09.2016

wex_stallion schrieb:
Youpron-PlugIn für den WLAN-Toaster

Das will ich auch!

Ich kauf mir dann auch nen WLAN-Toaster.

:cool:

Dobi78 · 29.09.2016

Ich sehe es wie die Mehrheit hier mit den Hacks.
Manchmal frage ich mich was die Leute dazu bewegt, sich jeden Mist an Plugins zu installieren.

Chris_EDI · 30.09.2016

Wellenbrecher1963 schrieb:
Ein Freund von mir hat einmal gezählt, wie viele Mal in der Woche er selbst bei sich Updates durchführen mußte. Sage und schreibe jeden Tag waren 1 bis 3 neue Updates pro Tag zu installieren. Und am Ende hat es ihn doch erwischt.

Dein Freund sollte einmal in sich gehen und überlegen, ob er wirklich alle Plug-Ins benötigt. 1-3 Updates täglich - entweder Jägerlatein oder Plug-in-sammel-sucht.
In Punkte Sicherheit haben die Vorposter eigentlich schon alles gesagt. Meiner Meinung nach reagiert WP in Punkto Sicherheit sehr schnell.

lachender_engel · 30.09.2016

Aus meiner Erfahrung ist die größte Sicherheitslücke der Betreiber/die Betreiberin der/die sich mit dem Absichern von WordPress nicht befasst und eine Installtion ungeschützt betreibt.
Erst vergangene Woche übernahm ich eine Installation bei der die DB unverschlüsselt, der Ordner wp-content und der Login-Pfad nicht unbenannt waren. Auch war noch XMLRPC aktiviert und der Header gab alle Informationen preis, die niemanden etwas angehen. Zudem hieß der User mit der ID 1 tatsächlich noch Admin.
Diese Dinge zu Ändern gehören zu den Hausaufgaben und Grundanpassungen der Installation. Doch diese wurden nicht gemacht.

Zudem Pflastern die Betreiber WP mit allen möglichen Plugins zu und wundern sich über eine schlechte Performance sowie über Sicherheitslücken.

WordPress muss irgendwie ausgeliefert werden und verwendet dazu Standardeinstellungen. Diese individuell anzupassen, um den Angreifern keinen Zugang zum System zu geben, ist die erste Aufgabe nach einer Installation. Danach ist WordPress nicht mehr anfällig, als andere Systeme (ich behaupte sogar: weniger!).

Orlandoo · 30.09.2016

> Sage und schreibe jeden Tag waren 1 bis 3 neue Updates pro Tag zu installieren …
Sorry, aber da muss er schon mehr als 100 Plugins installiert haben. Was für ein Unfug.

> Dabei sind auch wachsame Betreiber dabei, die jedes Sicherheits-Plugin und Update einspielen, was sinnvoll und unbedingt vorgeschrieben wird.
Updates einspielen: Ja. Sicherheitsplugins? Ja, nur: welche sind denn da empfohlen? Viele Security-Plugins sind absolute Ressourcenfresser und bringen nichts. Da muss man schon eine sinnvolle Auswahl treffen

Meine Erfahrung: Ich betreue selbst WordPress-Webseiten von über 100 Kunden. Gehackt werden immer nur die Seiten von den Kunden, die sich die Kosten für unser Update-Paket (mindestens einmal im Monat wird alles aktualisiert plus tägliches Backup) sparen. Seiten, die von uns regelmäßig gewartet werden, wurden bislang noch nicht gehackt.
Bei der Installation von Plugins sollte man gut darüber nachdenken, ob man sie denn auch wirklich braucht. Vielleicht auch mal einfache Sachen selbst in die functions.php schreiben, als für jeden Pfurz gleich ein Plugin zu installieren. Wenn man das nicht selber kann, muss man sich halt von einem Profi helfen lassen (gilt eigentlich grundsätzlich für die Absicherung einer Installation). Aber Moment: das kostet dann ja womöglich ein paar Euro … nee, dann riskiere ich lieber, dass die Seite gehackt wird. Ist das Kind in den Brunnen gefallen, wird einfach unqualifiziert über das böse WordPress hergezogen.
Wären Joomla, Drupal, Typo3 und Co. ebenso einfach zu Installieren und ebenso häufig verwendet wie WordPress, würdest Du auch in diesen Bereichen definitiv mehr über gehackte Seiten lesen.

Wellenbrecher1963 · 30.09.2016

ok, danke für Eure Meinungen. Beim "lachenden_Engel" waren ja Sachen angeführt, die hab ich noch nie auf dem Schirm gehabt. Gut, war bisher auch nicht notwendig, aber wnn mal eine Betreuung von WP auf mich zukommen sollte, wären das Sachen, die umzusetzen wären.

Ja OK, das leuchtet dann schon ein, dass WP nur mit solchen Aktionen betrieben werden kann. Alles andere ist Selbstmord.

Aber wollen wir doch mal ehrlich sein - wer von den "Normalos" weiß die Fakten, die "lachender_Engel" angeführt hat? Kaum einer. Ich kann mich auch nicht erinnern, dass auf der WP-Entwicklerseite solche Leitfäden angeboten werden. Schließlich muß einem solches Wissen auch vermittelt werden.

Denn Unwissenheit schützt vor Schaden nicht - sagt ja ein bekanntes Sprichwort.

Dobi78 · 30.09.2016

Wellenbrecher1963 schrieb:
Aber wollen wir doch mal ehrlich sein - wer von den "Normalos" weiß die Fakten, die "lachender_Engel" angeführt hat? Kaum einer. Ich kann mich auch nicht erinnern, dass auf der WP-Entwicklerseite solche Leitfäden angeboten werden. Schließlich muß einem solches Wissen auch vermittelt werden.

Ich sehe das etwas anders.
Ein "Normalo" ist ja auch in der Lage selbstständig sein WP zu installieren, sei es über Oneklick-Lösungen vom Provider oder wenn er Sie manuell installiert. So könnte man auch erwarten, dass er auch in der Lage ist, dass er das kleinste 1x1 - was JEDEM immer wieder eingetrichtert wird - zu kennen.

a) Ordner umbenennen
b) Passwort ja nicht admin nutzen
c) sicheres Passwort verwenden usw.

Dieser "Leitfaden" taucht immer und überall auf, schon beim kleinsten Hoster - also ist das für mich keine Entschuldigung. Erwachsen genug waren Sie auch um zu recherchieren welche CMS es gibt.

lachender_engel · 01.10.2016

Wellenbrecher1963 schrieb:
Aber wollen wir doch mal ehrlich sein - wer von den "Normalos" weiß die Fakten, die "lachender_Engel" angeführt hat? Kaum einer. Ich kann mich auch nicht erinnern, dass auf der WP-Entwicklerseite solche Leitfäden angeboten werden. Schließlich muß einem solches Wissen auch vermittelt werden

Aus meiner Sicht hat das was mit Verantwortung zu tun. Zudem sind Informationen Holschulden und keine Bringschulden.
Ich will wahrlich nicht mit dem Finger auf andere zeigen. Nur, wer heute erwartet, dass Internetseiten von Hause aus "sicher" sind, handelt fahrlässig.
Das hat was mit der "alles umsonst" Mentaliät zu tun. WP ist kostenlos. Das ist schon mal gut. Aber am Ende bleibt es ein Werkzeug. Das Wissen mit dem Werkzeug ordentlich und sicher umzugehen ist nicht kostenlos. Entweder "kaufen" sich Bertreiber das Wissen bei Fachleuten ein oder, sie (die Betreiber) investieren eine Vielzahl an Stunden mit dem er-lernen der Grundlagen - kostet dann eben Zeit.
Aus meiner Sicht steht und fällt das Thema mit der eigenen Verantwortung sich darüber bewusst zu sein, dass jeder für die Sicherheit seiner Produkte selber verantwortlich ist.
Eine Metapher: Wer ein Haus bauen lässt erwartet ja auch nicht, dass es "ab Werk" einbruchssicher ist. Wer sich mit dem Bau seines Eigenheimes beschäftigt, beschäftigt sich auch direkt mit der Absicherung der eigenen vier Wände - einbruchssichere Türe, Rolladen, Gitter an Bodenfenstern, Hausautomation, etc..

Wellenbrecher1963 · 04.10.2016

ich danke Euch für Eure Meinungen. War schön, dass Ihr eurre Meinung gesat habt.
Feines Forum.
Feine Community

Danke Euch
der Wellenbrecher

Mediaoase · 25.10.2016

Auch ich sehe das so, dass die meisten Wordpress Installationen zu unsicher sind. Minimum an Absicherungen sind meiner Meinung nach:

Login-UrI ändern. wp-admin ist leider immer noch sehr verbreitet. Auch keine Links auf diese URI im Frontend setzen.
Admin Konto - Passwort UND Benutzernamen sicher gestalten (Bitte nicht admin oder so)
Benutzer Registrierung deaktivieren oder moderieren.
Datenbank Präfix wp_ ändern.

laacrima · 06.11.2016

Ich benutze Wordpress gerne und finde es sicher.