Im Wordpress Blog ist vor kurzem ein Beitrag erschienen, der sich mit der Sicherheit von Wordpress beschäftigt. Die Kernaussage lautet:

The only thing that I can promise will keep your blog secure today and in the future is upgrading.

Diese Aussage halte ich für fatal. Proaktive Maßnahmen, die bereits im Vorfeld Angriffe abwehren können, ergänzen das Upgrading sinnvoll und können bei Zero-Day-Exploits schützen. Meine Thesen zur Wordpress-Sicherheit, die aber auch allgemein in der EDV gelten dürfen:

• Je weniger Dateien ein System hat, desto geringer ist die statistische Wahrscheinlichkeit für einen Exploit. Deswegen lösche ich stets alle ungenutzten Plugins, Templates etc.
• Je weniger Funktionen ein System hat, desto geringer ist die statistische Wahrscheinlichkeit für einen Exploit. Für Wordpress bedeutet dies: Ich muss nicht jedes Plugin installieren oder jede Funktion aktivieren (z. B. User-Registrierung)
• Je weniger Zugriffsmöglichkeiten auf ein System bestehen, desto geringer ist die statische Wahrscheinlichkeit für einen Exploit. Bezogen auf Wordpress also: .htaccess-Schutz auf den wp-admin Ordner. Ordner, soweit möglich, umbenennen, um Scriptangriffe zu erschweren. User “Admin” durch einen anderen User ersetzen. Redakteuren nur Redaktions- und keine Adminrechte geben usw.

Natürlich ist auch dann Upgrading eine der wichtigsten Sicherheitsmaßnahmen. Doch nur im Zusammenspiel zwischen reaktiven und proaktiven Maßnahmen entsteht der beste Schutz vor Angriffen.