Ich habe es satt. Mein Blog läuft selbst auf WordPress und ich habe noch 2-3 andere WordPress-Installationen, aber der aktuelle Handlings-Aufwand um diese Sachen „sicher“ zu halten steht in keinem ertragbaren Verhältnis mehr.
WordPress hat sich von einem kleinen „pain in the ass“ zu einer regelrechten Security-Seuche entwickelt. Seit der „It’s not a bug, it’s a feature!“-Pingback-Schwachstelle hört es gefühlt nicht mehr auf. Aktuell ist das Standard-Theme von WordPress anfällig. Die geniale readme.html, die die aktuelle WordPress-Version einer Installation auf dem Silbertablett in die Öffentlichkeit posaunt und auch immer schön nach einem Update wieder da ist, sorgt bei mir immer noch für verständnisloses Kopfschütteln.
Aber das gute ist: Hat man eine aktuelle Installation und es existiert noch nicht eimal ein Zero-Day-Exploit für WordPress, kann man sich im Zweifel immer noch auf ein verwundbares Plugin verlassen. Sicher ist, dass viele WordPress-Installationen einfach nur unsicher sind. Vollgestopft mit irgendwelchen Plugins, selten regelmäßig aktualisiert, ist WordPress des Pentesters Liebling geworden.
Moin,
die readme.html zu löschen, damit die WP Version nicht hinausposaunt wird, bringt relativ wenig, da diese auch im Quelltext steht. Einfach mal im Quelltext der mit WP erstellten Seite nach „ver=“ oder „WordPress“ suchen. ;)
Mit freundlichen Grüßen,
Fabian
Hi Fabian,
okay, ist mir bisher noch gar nicht aufgefallen – gut zu wissen, danke!
Grüße
Patrick
Auch nikto findet die CMS Version heraus und versucht gängige Angriffe. Ich bin weg bin WordPress und ehrlich gesagt auch von all dem anderen CMS Systemen. Ich nutz Hugo als static page generator und kann alles auch damit machen. Oft wird gesagt das man auf Newsletter System oder Kommentare verzichten muss (was ich hasse zu moderieren),aber auch das geht mir sendgrid und disgus. Man muss es Halt selbst implementieren. Dafür spare ich mir einmal das updaten vom System und plugins. Abos für plugins wie yoast. Ich spare mir die Datenbank sowie die Datensicherung (ist alles im github repo) und es ist sogar leichter in docker deployed als WordPress oder Joomla. Und schneller sind die Seiten allemal. Was ich damals gekämpft hab für ne google insights spagespeed von 85 hab ich jetzt locker 95 auf desktop und 87 auf Mobile. Ersraufwand für die Seite ist höher, dafür hab ich aber Zukunft weniger Wartung und kann mich auf mein Geschäft konzentrieren anstatt systempflege zu betreiben.
Auch nikto findet die CMS Version heraus und versucht gängige Angriffe. Ich bin weg bin WordPress und ehrlich gesagt auch von all dem anderen CMS Systemen. Ich nutz Hugo als static page generator und kann alles auch damit machen. Oft wird gesagt das man auf Newsletter System oder Kommentare verzichten muss (was ich hasse zu moderieren),aber auch das geht mir sendgrid und disgus. Man muss es Halt selbst implementieren. Dafür spare ich mir einmal das updaten vom System und plugins. Abos für plugins wie yoast. Ich spare mir die Datenbank sowie die Datensicherung (ist alles im github repo) und es ist sogar leichter in docker deployed als WordPress oder Joomla. Und schneller sind die Seiten allemal. Was ich damals gekämpft hab für ne google insights spagespeed von 85 hab ich jetzt locker 95 auf desktop und 87 auf Mobile. Ersraufwand für die Seite ist höher, dafür hab ich aber Zukunft weniger Wartung und kann mich auf mein Geschäft konzentrieren anstatt systempflege zu betreiben.