WordPress ist die beliebteste Open-Source-Software für Blogs und Blogger. Doch immer wieder wird hier die Sicherheit kritisiert. Ein Dauerthema sind dabei Plugin-Updates ohne FTP.
„WordPress ohne FTP updaten (oder installieren)“ ist eine vielgenutzte Phrase bei der Google-Suche – kein anderes bekanntes CMS-System nutzt diese Art für die Installation und die Aktualisierungen bei Plugins. Insofern ist es immer wichtig, im Vorfeld Sicherheitsmaßnahmen zu definieren und dann vor allem auch umzusetzen. Regelmäßige Updates sind ebenfalls von zentraler Bedeutung für die Sicherheit in Open-Source-Anwendungen. Das WordPress-Backend macht zuverlässig und übersichtlich auf Aktualisierungen aufmerksam.
Plugins: WordPress ohne FTP updaten
Damit die Installationen von WordPress ohne FTP (File Transfer Protocol) vorgenommen werden können, ist es nötig, ein Setting in der wp-config.php hinzuzufügen.
define('FS_METHOD', 'direct');
Mit dem oben abgebildeten Setting ist es möglich, als eingeloggter User alle Aktualisierungen von WordPress im Backend vorzunehmen. Nach den Aktualisierungen kann man die Zeile dann wieder auskommentieren. Generell sind Updates nur durchzuführen, wenn man vorher ein vollständiges Backup erstellt hat. Zu dem Thema habe ich bereits einen Gastbeitrag in einem Online-Fachmagazin veröffentlicht.
http://www.zielbar.de/blogger-erfolgreich-wordpress-einsetzen-4251/
FTP und die Frage der Sicherheit
Das FTP wird gerade bei einfachen Hosting-Lösungen häufig eingesetzt. In dem Artikel FTP: Die unterschätzte Sicherheitslücke findet man eine Auflistung möglicher Schwachstellen. (WordPress-)Updates ohne FTP sind nur eine davon. Grundsätzlich gibt es in puncto Sicherheit keinen 100-prozentigen Schutz, und außerdem gilt noch immer der Leitsatz: „Statistische Sicherheit: Ein System wird dann als sicher bezeichnet, wenn für den Angreifer der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren„. Denn ist der Aufwand für den Angreifer zu hoch, so lässt er schnell ab. Näheres dazu (und mehr Wissenswertes zum Thema) findet man in dem Wikipedia-Eintrag zu Informationssicherheit.
Daher hat WordPress FTP als Sicherheitsbarriere eingebaut. So kann auch ein Administrator keine Plugins installieren oder aktualisieren, ohne einen FTP-Zugang zu haben. Das gibt es in anderen CMS-Systemen wie TYPO3 nicht. Professionelle Hosting-Lösungen arbeiten mit einem SSH-Zugriff. In Kombination mit einem SSH Key hat man die Zugriffe sehr gut unter Kontrolle und kann sie gegebenenfalls sofort wieder entfernen. Zudem wird auch protokolliert, wer die Änderungen durchgeführt hat. Bei FTP-Zugängen von Webhosting-Paketen gibt es in der Regel nur einen Zugang, den dann mehrere Personen nutzen. Änderungen bedeuten also zusätzlichen Kommunikationsaufwand.
WordPress Hosting Backups
Auch der Verlust eines privaten Hobby-Blogs ist sehr schmerzhaft. Man muss aber kein Sicherheitsexperte werden, damit man einen Blog erfolgreich und sicher betreiben kann. Wichtig ist aber in jedem Fall ein zuverlässiges Backup, damit man jederzeit den Stand von gestern oder vorgestern wiederherstellen kann. Das beseitigt zwar nicht das Sicherheitsloch an sich, aber es begrenzt schon mal erheblich den entstandenen Schaden. Denn so geht dann maximal die Arbeit von 24 oder 48 Stunden verloren – das ist zwar immer noch ziemlich ärgerlich, aber letztlich noch überschaubar. Achtet bei euren Hosting-Anbietern also genau auf die Backup-Strategie! Wichtig sind Frequenz, Menge und Ausmaß. Hingegen nur die Datenbank zu sichern, reicht nicht aus.
Entwicklungshilfe bei WordPress-Blogs
Fragen zum Thema WordPress & Hosting beantworten wir gerne und leisten auch tatkräftig Unterstützung. Nehmt dazu einfach Kontakt mit uns auf.