Mehr Schutz fürs Blog – Teil 1: Rublon

Über die Sicherheit meiner Blogs habe ich mir bisher relativ wenig Sorgen gemacht. Wozu auch? Was soll schon passieren? Wer sollte schon ausgerechnet meine Seiten hacken wollen? (Antwort: alle.)

Google-Ergebnisse für WordPress Malware

Angeregt von einem Artikel im Blog von codeable (einer ausgezeichneten Quelle für Informationen und Hilfestellungen zu WordPress) habe ich jedoch angefangen, die Sicherheit ernster zu nehmen.

Natürlich habe ich diverse Plugins installiert, um mein Blog vor Kommentar- und Trackback-Spam zu schützen, schließlich hat niemand Lust, jeden Tag zahlreiche, vielleicht sogar hunderte von Spam-Kommentaren händisch zu löschen.

Was soll meinem Blog schon passieren?

Was könnte mir passieren, wenn mein Blog „geknackt“ wird? Natürlich könnte sich ein Freizeit- oder Berufshacker mein Blog als Ziel aussuchen und alle meine Seiten einfach löschen. Das wäre für mich äußerst ärgerlich, vor allem aber könnte mir dadurch auch geschäftlicher Schaden entstehen, indem mir etwa Kundenanfragen entgehen. Durch die Zeit, die ich für die Wiederherstellung der Seiten brauche, würde mir auch ein Verdienstausfall entstehen.

Noch schlimmer ist es aber, wenn die Besucher meiner Seiten das Ziel von Hacks sind und mit Malware infiziert werden. Mein Hoster könnte meine Seite abschalten, meine Seite könnte geblockt und aus den Ergebnissen bei Suchmaschinen entfernt werden.

Mit Internetseiten ist es eben wie mit Kindern: Niemand mag eine Virenschleuder.

Wie kann ich also mein Blog sicherer machen? Sicherheits-Plugins gibt es wie Sand am Meer. Die eierlegende Wollmilchsau für Blogs wäre ein Plugin, das alle Gefahren abwehrt.

Symbolbild WordPress Sicherheits-Plugins

Sinnvoller ist es aber, die größten Gefahren zu identifizieren und dann die Plugins zu wählen, die diese Bedrohungen effizient abwehren können.

Codeable-Chef Tomaž Zaman beschreibt in dem Artikel How to improve your WordPress security  eine der verbreitetsten Angriffsformen bei WordPress-Blogs, den Brute-Force-Angriff. Er empfiehlt zwei Plugins, die seiner Meinung nach jedes WP-Blog einsetzen sollte: Rublon und iThemes Security.

Angriffe mit roher Gewalt

Als „brute force“-Angriffe werden Attacken bezeichnet, bei denen Computer einfach alle möglichen Kombinationen von Benutzernamen und Passwort testen, um so in das Blog „einzubrechen“. Jedes WordPress-Blog hat diese Kombination, und da Computer sowohl schnell als auch geduldig sind, ist es eigentlich nur eine Frage der Zeit, bis sie die Zugangsdaten finden. Das geht besonders schnell, wenn man als Benutzername das standardmäßig eingestellte admin behalten und ein suboptimales Passwort gewählt hat.

Anmeldemaske WordPress - unsicher

Am einfachsten geht es, wenn man gleich bei Neuinstallationen auf einen sicheren Namen achtet. Nachträglich ist es etwas aufwändiger, mit der Hilfe von Plugins wie eben iThemes Security aber durchaus möglich.

Ich habe sowohl Rublon als auch iThemes Security installiert.

Rublon

Rublon ist ein Plugin zur Zwei-Faktor-Authentifizierung. Die Einrichtung ist angenehm einfach: Installieren, aktivieren, fertig. Zudem ist das Rublon-WordPress-Plugin auf Deutsch verfügbar, was ich sehr angenehm finde. Zwar sieht man das auf der Download-Seite nicht, und auch im Backend ist nicht alles auf Deutsch, aber “Besser als nix!”, wie ich gerne sage.

Melde ich mich nach der Installation des Plugins das nächste Mal bei meinem Blog an,  schickt Rublon mir eine E-Mail mit einem Bestätigungslink, der 15 Minuten lang gültig ist.

WordPress-Plugin Rublon Identitätsbestätigung 1Klicke ich den an, ist mein Computer als “vertrauenswürdiges Gerät” bestätigt, von dem aus ich in Zukunft an meiner WordPress-Seite arbeiten kann. Ich kann auch einstellen, ob ich den jeweiligen Computer regelmäßig oder nur einmalig verwende.

WordPress-Plugin Rublon Identitätsbestätigung 2

In meinem Fall war das erste “trusted device” mein Desktop-Computer; beim ersten Zugriff von meinem Laptop aus ging es genauso, also habe ich jetzt zwei vertrauenswürdige Geräte in der Liste. Arbeite ich also mit diesen Computern, muss ich mich nicht noch einmal neu authentifizieren.

Anmeldung WordPress mit RublonDurch den aktivierten Rublon-Schutz dauert die Anmeldung ein oder zwei Sekunden länger als normal, diese Verzögerung ist für mich aber noch erträglich.

Soweit klappt also alles ganz ausgezeichnet. Natürlich wäre jetzt ein kontrollierter Hacking-Versuch nötig, damit ich sehe, ob Rublon auch hält, was es verspricht.

Die Handhabung von iThemes Security ist leider viel komplizierter – so hat sich das Plugin einen eigenen Artikel „verdient“.

 

Ein Gedanke zu „Mehr Schutz fürs Blog – Teil 1: Rublon

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.