WP iThemes Security Plugin umgehend vom Server geschmissen


Warum ich das vermeintliche WordPress Sicherheits-Plugin iThemes Security kurzerhand wieder vom Server geschmissen habe.

Die Zufälle waren dann doch zu dick aufgetragen

Trojanisches Pferd

Das Plugin kommt mir nicht mehr ins Haus

Nach derart viel „Raubrittertum“ aus allen möglichen Herren Ländern, mit Schwerpunkt aus Übersee, entschloss ich mich, meine via WordPress (WP) gesalteten Seiten komplett neu aufzuwickeln und mit allen möglichen Schlössern und Riegeln zu versehen. Hunds-Arbeit, da sämtliche Posts manuell exportiert und in der neu aufgewickelten WP-Version neu eingelesen wurden. Das gleiche betraf sämtliche Medien. Eine blanke Kopie der bisherigen Datenbank schloss ich aus guten Gründen aus. Ebenso ein ungeprüftes Kopieren sämtlicher Uploads von einem Ordner in den anderen.

Auf der Suche nach weiteren möglichen Sicherheitsmaßnahmen stieß ich auf das WP-Plugin iThemes Security (vormals Better WP Security). Eine Plugin-Lösung erschien mit allerdings eher als ein Notbehelf und so wie sich die Dinge entwickelten, nach meinem Geschmack eher ein Sicherheitsrisiko. Immerhin stellt sich dieses Plugin nicht als reiner Türsteher hin, sondern hat auch Zutritt ins Innenleben und wer genau kontrolliert schon den Code, der sich mit der Installation im Plugin-Ordner einnistet?

Dennoch habe ich iThemes Security installiert, die Einstellungen vorgenommen und einfach mal laufen lassen. Brute-Force Attacken sollen mit diesem Plugin ebenfalls abgewehrt werden. Ein Einbruchsversuch, mit WordPress eben die Anmeldeseite, bei der oft automatisiert reihenweise Anmeldenamen und Passwörter durchprobiert werden. Mit iThemes Security können derartige Attacken bereits bei wenigen Versuchen abgebrochen werden. Die IP-Adresse des Angreifers wird zuerst für eine Zeit lang temporär gesperrt und bei weiteren Versuchen endgültig geblockt. Der Seiteninhaber wird, sofern erwünscht, über solche Angriffe per Email informiert.

Ich „wünschte“ und tatsächlich trafen nur wenige Tage nach Beginn des Brute-Force-„Schutzes“ kurz nacheinander zwei Emails ein, mit der jeweiligen Benachrichtigung eines (vermeintlichen) Brute-Forces Angriffs. In der Mail wird u.a. die IP-Adresse des vermeintlichen Angreifers angegeben, gleich mit einem Link hinterlegt, um die Herkunft der Angriffe zu erfahren. Angreifer Nummer Eins war lt. iThemes Security aus Hangzhou, China. Aha, woher sonst sollte man wohl meinen. Der vermeintliche zweite Angreifer war nach meinem Geschmack jedoch dann doch zu dick aufgetragen. Dieser soll lt. iThemes Security aus St. Petersburg, Russland kommen. Die von den Medien als „die Troll-Fabrik Putins“ verschriehene Stadt schlechthin.

Nun ist meine persönliche Erfahrung, dass die wirklich allermeisten Angriffe aus dem Bundesgebiet, aus London und zum Löwenanteil aus den USA gestartet wurden. Das zweite Problem an dieser iThemes Security-Story ist, dass mein Admin-Bereich mit einem .htaccess Verzeichnisschutz versehen ist, dessen Anmeldename und Passwort nicht einmal ich selbst auswendig weiß. Das Eintippen ist zwar mühsam, kann sich aber durchaus bezahlt machen.

Nun wollen also zwei Angreifer, einer aus Hangzhou (woher den sonst?) und einer aus St. Petersburg (klar, logisch), in einem kurzen Zeitabstand meine per .htaccess eingerichteten kryptographischen Passwörter und Anmeldenamen geknackt haben, um überhaupt in den Bereich der WordPress-Anmeldung zu kommen? Nämlich erst ab da greift iThemes Security.

Es gibt Zufälle, klar, aber das grenzt an Verar…
iThemes Security sofort deaktiviert, vom Server geschmissen und alles was mit Passwörtern und auch Datenbank-Benennungen zu tun hat wieder abgeändert. Dieses Plugin genießt seither mein vollstes Misstrauen.

Wir benutzen Cookies für die Verbesserung der Nutzerfreundlichkeit. Durch Ihren Besuch stimmen Sie dem zu.