iThemes Security Sicherheitsplugin Test 2.Teil

Update 4.11.2016

Die „Falle hat zugechnappt“ mit einfach viel zu vielen Login Versuchen hat es heute in den frühen Morgenstunden jemanden erwischt. Da ich als Einziger derzeit diesen Blog bearbeite, kann es keinen Unschuldigen erwischt haben.

Es kam eine Email ins Haus geflattert:

Sehr geehrter Website-Administrator,

Ein Host, xxx.xxx.xxx.xxxx, wurde ausgesperrt von der WordPress-Website unter http://affiliatehelp.de wegen zu vieler fehlgeschlagener Login-Versuche.

Der Host wurde ausgesperrt bis 2016-11-04 06:02:59 .

*This email was generated automatically by iThemes Security. Zum Ändern deiner E-Mail-Einstellungen besuche bitte die Plugin-Einstellungen.

Hier gehts weiter mit dem Test von iThemes Security.

Im ersten Teil dieses iThemes Security Sicherheitsplugin Test, habe ich die Installation, die Erstellung des API Keys sowie voreingestellte Einstellungen beschrieben. Sofern es machbar ist, möchte ich nun die einzelnen Punkte der Free Version durchtesten. Wie sich das Plugin einschließlich seiner Module im Ernstfall schlägt, kann man nur sagen, wenn das Plugin im Fall der Fälle versagt. Nachweisbar ohne andere Sicherheitstools sind solche Vorgänge nicht.

Die einzelnen Module der iThemes Security im Überblick

Sicherheitsüberprüfung

den Punkt habe ich schon im ersten Teil des Artikels beschrieben. Um jetzt nicht den alten Käse wieder aufzurollen, folgt nun ein einfacher Link auf den Punkt Sicherheitsüberprüfung. Ich denke dass das reichen wird.

der nächste Punkt, von dem ich keine Ahnung habe was sich dahinter verbirgt ist der Punkt:

Globale Einstellungen

Ein Klick darauf macht vermutlich schlauer, also gebe ich Alles mit der linken Maustaste und klicke dort auf die Globalen Einstellungen.

ithemes-security5

Schreibrechte für die beiden Sicherheitsdateien schlechthin nämlich die wp-config.php und .htaccess.

Hier besteht meiner Meinung nach eindeutig die Gefahr, dass hier etwas beschrieben wird, das nicht beschrieben werden darf. Ich möchte hier weder dazu raten, noch davon abraten diesen Punkt aktiviert zu lassen.

Weiter findet man eine Reihe von Meldungen, die man in der Folge von fehlerhaften bzw. zu häufigen Loginversuchen zu sehen bekäme. Die Meldungen sind jeweils mit der eigenen Wortwahl zu versehen. Hier überlässt das Plugin uns die freie Auswahl.

In den letzten Punkten hat man die Möglichkeit, dass entdeckte Angreifer IP-Adressen auf eine schwarze Liste gesetzt werden.Eine Zeitfrist kann hier genauso vorgegeben werden wie die Anzahl der Wiederholungen, bis die IP an das Netzwerk gesendet würde. Ferner kann man noch IP-Adressen auf eine weiße Liste setzen. So dass das Admin-Team vor einer Sperrung geschützt ist.

Weiter bei den globalen Einstellungen geht es noch mit der Proxy Erkennung.

404-Erkennung

Die 404 Erkennung aktiviern heißt, dass man nach solchen Leuten Ausschau hält die ganz bewusst nach 404 Seiten scannen um Schwachstellen im System zu finden.

Abwesenheits-Modus

der Punkt regelt das Verhalten des Adminpanels nach bestimmten Uhrzeiten, wer aber nicht zu jeder Tageszeit nach Plan bloggen kann und mehr spontan bei den Artikel ist, der wird in die Röhre schauen. Für mich ein tiefer Einschnitt, da ich oft mal um 10:00 Hur Vormittags und auch schon mal des frühen Morgens um 3:00 Uhr etwas schreibe. Das kommt ganz darauf an, wie mir die Gedanken gerade in den Kopf kommen und ob ich zuvor inspiriert wurde. Wer allerdings feste Arbeitszeiten für die Bloggerei hat, wird mit dieser Möglichkeit wahrscheinlich glücklich werden.

Gesperrte Benutzer

Hier kann man sich für den Empfang der berüchtigten schwarzen Liste entscheiden. Das ist meines Erachtens nach die Übernahme der Liste auf den eigenen Blog.

Lokaler Brute-Force-Schutz

Ein Brute-Force-Angriff, die meisten haben schon davon gehört und sich dagegen zu schützen beginnt zum Beispiel damit, dass man kein einfaches Passwort verwendet, welches in Wörterbüchern steht. Brute-Force ist oft ein voll automatisierter Angriff, der direkt nach dem Scan auf Sicherheitslücken folgt. Verbunden wird dieser Schutz natürlich wieder mit den globalen Einstellungen.

Datenbank-Backups

Wer seine Datenbank nicht nach jedem Beitrag oder einer gewollten Änderung sichert, ist nur noch schwer zu helfen. Denn wenn nun ein Fehler auftaucht, ist die Arbeit vieler Wochen, Monate oder sogar Jahren für die Katz. Je nach Provider hat man noch Chancen seine Daten wieder zu bekommen, aber in der Regel muss man das selbst erledigen. Einstellen kann man den Speicherort, entweder lokal, per Email oder sogar beide Wege. Das ist optional und der User hat die freie Auswahl.

Dateiänderungs-Erkennung

Eine noch sehr sinnvolle Option ist die Dateiänderungs-Erkennung Möglichkeit. Hier wird die Installation verglichen mit den Daten, die bei der letzten Überprüfung da waren. Berücksichtigt werden Dateien, die man selbst verändert hat.

Fazit

Macht Euch ein eigenes  Bild vom Plugin iThemes Security und installiert auf einem Eurer  WordPress-Systeme und testet das ganze System einmal ohne Reue. Unterschiede zur Pro Version sind jederzeit Ersichtlich am rechten Rand des Admin Interfaces.

Ich hoffe, dass es für einige Interessant war und freue mich wie immer auf Euer Feedback.

2 Gedanken zu „iThemes Security Sicherheitsplugin Test 2.Teil“

  1. Moin Moin, ich nutze iThemes Security auf fast allen Projekten und habe bislang nur gute Erfahrungen gemacht. Ganz nett ist der Report den man sich schicken lassen kann bei auffälligen Login versuchen.

    Ich mache regelmässige Backups und vertraue auf dieses Plugin…ich hoffe zu recht 🙂

  2. Das iThemes Security ist auch meine Wahl. Ich hatte vorher häufiger Wordfence eingesetzt, aber irgendwann hatte ich einen Hacker auf der Webseite, der über eine Sicherheitslücke in dem Sicherheitsplugin auf meine Webseite kam. Das konnte ich zuordnen, da im Pluginordner eine veränderte Datei war, die nachts am Tag vorher verändert wurde… und das war definitiv nicht ich. 🙂
    Mit iThemes hatte ich seit über 2 Jahren kein Problem. Die Einstellungsmöglichkeiten sind gut und die meisten Sachen werden auch abgedeckt (zb auch XML-RPC etc).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.