"Enter" drücken, um zum Inhalt weiterzugehen

Sicherheitsrisiko Jetpack?

Wer eine Webseite mit WordPress betreibt setzt sich früher oder später mit Sicherheitsfragen auseinander. Denn so beliebt WordPress als Webseiten-jetpackPlattform ist, so sehr ist es auch Angriffen ausgesetzt, die WordPress-Instanzen zu kompromittieren versuchen. Neben Sicherheits-Plugins, die verschiedene Aspekte einer WordPress-Seite abdichten können, kann man als Webseitenbetreiber und WordPress-Admin selbst einiges für die Sicherheit tun. Sog. Brute-Force-Attacken etwa setzen häufig dabei an, den Standard-Admin-Bezeichner von WordPress mit dem Nutzernamen „admin“ anzugreifen. Von daher wählen viele WordPress-Nutzer von vornherein einen anderen Nutzernamen für das Admin-Konto, um solche Angriffe ins Leere laufen zu lassen

Das Plugin „Jetpack“ von wordpress.com ist bei Betreibern von Webseiten, die mit WordPress laufen, sehr beliebt und entsprechend weit verbreitet, weil es einige coole Funktionen bereitstellt: etwa zusätzliche Widgets oder neuerdings etwa auch Funktionen, die z.B. Admins von mehreren WordPress-Installationen bei Ihrer Arbeit unterstützen.

Wer Jetpack nutzt wird jedoch auch an die alte Regel erinnert, Benutzern mit Admin-Rechten am besten keine Artikel oder Seiten erstellen zu lassen, sondern dafür einen Extra-Benutzer mit weniger Rechten zu verwenden. Denn Jetpack fügt in Beiträge und Seiten den Namen des Erstellers ein – egal ob dieser in WordPress die Rolle eines Admin oder eines einfachen Redakteurs hat.

Hier ein Beipiel des Jetpack-Codes, der in Seiten und Beiträgen zu finden ist:

<!-- Jetpack Open Graph Tags -->
<meta property="og:type" content="article" />
<meta property="og:title" content="Impressum" />
<meta property="og:url" content="https://meine-webseite.de/impressum/" />
<meta property="og:description" content="Angaben gemäß § 5 TMG: Betreiber der Webseite: Vorname Nachname Straße 1 87654 Wohnort Mail: info@meine-webseite.de ..." />
<meta property="article:published_time" content="2014-09-22T20:31:44+00:00" />
<meta property="article:modified_time" content="2015-02-12T18:12:24+00:00" />
<meta property="article:author" content="https://meine-webseite.de/author/meinkompliziertadminname/" />
<meta property="og:site_name" content="Meine Webseite" />
<meta property="og:image" content="https://s0.wp.com/i/blank.jpg" />
<meta name="twitter:site" content="@jetpack" />
<meta name="twitter:card" content="summary" />

Zwar zeigt WordPress auch selbst, wer etwa einen Artikel geschrieben hat. Wie WordPress aber einen Beitragsersteller zeigt, kann ich im WordPress-Dashboard („Profil“) selbst einstellen. Hier hat es sich bewährt, eben gerade nicht den WordPress-Nutzernamen anzugeben, sondern entweder den Realnamen oder einen Nick.

Fazit: Jetpack unterläuft Sicherheitsbemühungen, indem es den Ersteller einer Seite oder eines Beitrages mit Nutzernamen in den Quelltext der Seite schreibt. Jetpack erleichtert so Brute-Force-Attacken auf den Admin-Account. Jetpack-Nutzer sind gut beraten, fürs Bloggen einen anderen Nutzer her zu nehmen. Dies kann auch nachträglich geschehen, indem ich allen Seiten und Beiträgen einen anderen Ersteller zuweise.

3 Comments

  1. Jochen Jochen 14. März 2015

    Du kannst zwar in WP einstellen, welcher Name angezeigt werden soll, aber der Link zum Profil bleibt trotzdem erhalten. Genau so wie bei deinem Theme hier.
    Jetpack zeigt also nichts mehr als dein eigenes Theme. Nämlich den Link zum Profil.

    • Ulrich Berens Ulrich Berens 22. März 2015

      Hallo Jochen,
      Danke für Deine Antwort. Bei Beiträgen ist ja klar, dass sie einen Link zum Profil enthalten, da hast Du Recht. Jetpack fügt diesen Link aber auch bei festen Seiten ein, die ja meist vom Inhaber (=Admin) der Seite erstellt sind. Oder täusche ich mich?

  2. Bachsau Bachsau 9. Juni 2015

    Das zu verstecken fällt für mich unter security through obscury, was wie wir alle wissen in einem Sicherheitskonzept ohnehin nichts zu suchen hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.