Sicherheitsmodule wie bei wordpress

[izanagi]

Habe mal eine etwas ungewöhnlichere Frage.
Kann es sein das es für Contao garkeine so schweren Extensions zur Viren Malware und Hack Verteidigung gibt ?
Sowas wie BulletProof, Wordfence und ithemes security bei wordpress.

Mir fiel das erst jetzt auf wo ich nen härtefall eines wordpress projekts hatte und 38 stunden an der Säuberung und Einrichtung einer extremen Sicherheitsmaßnahme arbeiten musste.
Bei Contao kenne ich das garnicht. Liegt das an der popularität oder den Übermaß an unsicheren plugins das WP eine größere Angriffsfläche bietet?
Also bei Contao hatte ich bisher noch keine Angriffe, aber die Seiten waren auch allesam sehr unbekannt.

Mich würde aber interessieren ob es hier auch solche massiven Sicherheitstools gibt. Hab noch nie von gehört.

[Thoni]

Hallo,

bisher musste ich auch nur WP entviren.

Ich finde die Frage aber interessant, denn ich kenne so etwas für Contao nicht.

Gruß
Thoni

[schman]

Mir sind keine solchen Erweiterungen bekannt. Da Wordpress, soweit ich weiß, eines DER verbreitesten CM-Systeme ist (wenn nicht sogar das verbreiteste) bin ich mir sicher das es für Hacker am attraktivsten ist.

[MacKP]

Ich kenne die WP Plugins nicht. Das was ich in der Contao Welt kenne ist das hier: https://contao.org/de/extension-list...040059.de.html
Da wird man dann darauf hingewiesen, wenn Dateien geändert wurden (sind die üblichen Dateien, die bei einem Verseuchten CMS mit Schadcode versehen werden).

Was machen die Tools von WP denn?

Die meisten gehackten Seiten, die ich bisher gesehen habe, wurden immer direkt per FTP gehackt (FileZilla wo Passwörter gespeichert wurden ist ja recht beliebt *g*). Da reicht dann auch die Erweiterung von BugBuster.
Das reinigen geht bei Contao ja auch recht einfach und schnell -> http://de.contaowiki.org/Contao_gehackt

Viele Grüße

[FloB]

Man könnte sagen, das brauchst du bei Contao nicht, wäre aber irgendwie überheblich.

Fakt ist, dass Contao in seinem Framework eine gewisse Sicherheit bietet (insbesondere über die Input-Klasse), die auch die Extension-Autoren nutzen (sollen). Das heißt nicht, dass Extensions sicher sind (im Zweifel immer selber ein Review durchführen – aber wer hat die Zeit dazu?) oder gar Contao (wie 2014 wieder in Erinnerung gerufen). Aber es gibt einfach eine kleinere Angriffsfläche, und wer seine Extensions wohlüberlegt wählt, vergrößert diese Angriffsfläche nicht erheblich.

Was man sicherlich noch verbessern könnte, wäre die Transport-/Transaktionssicherheit, sowie ein ständiger Selbst-Check. Ersteres kann man aber besser über TLS abdecken (abgesehen von CSRF-Token u. ä., die aber in gewissem Rahmen schon da sind), letzteres gibt es als Erweiterung. Im Core wäre aber schöner

[xtra]

Was machen die Tools von WP denn?

Das wyrde mich auch interessieren, ich kenne nur akismet, welches aber ja nur spamfighting ist.

[Flex]

Also was ich da so lese ist halt sehr viel blabla und Massen an Features mit reingehauen...
Hauptfeatures sind ja meist Blacklists, lokaler Source Scan nach bekannten Injections oder Lücken und Aufgaben die sonst ein Hoster bzw. Server Monitoring Tool macht...
Und dann ist da noch die super Caching Engine die das Security Tool mitbringt um deine Installation 50x schneller zu machen.

Mal Auszüge aus den Beschreibungen:

Bulletproof Security

Code:

BulletProof Security Feature Highlights
.htaccess Website Security Protection (Firewalls)
Login Security & Monitoring
DB Backup - Manual and Scheduled
DB Backup Logging
DB Table Prefix Changer
Security Logging
HTTP Error Logging
FrontEnd/BackEnd Maintenance Mode
UI Theme Skin Changer

Wordfence

Code:

Includes Falcon Engine, the fastest WordPress caching engine available today. Falcon is faster because it reduces your web server disk and database activity to a minimum.
Includes support for other major plugins and themes like WooCommerce.
Real-time blocking of known attackers. If another site using Wordfence is attacked and blocks the attacker, your site is automatically protected.
Sign-in using your password and your cellphone to vastly improve login security. This is called Two Factor Authentication and is used by banks, government agencies and military world-wide for highest security authentication.
Includes two-factor authentication, also referred to as cellphone sign-in.
Scans for the HeartBleed vulnerability - included in the free scan for all users.
Wordfence includes two caching modes for compatability and has cache management features like the ability to clear the cache and monitor cache usage.
Enforce strong passwords among your administrators, publishers and users. Improve login security.
Scans core files, themes and plugins against WordPress.org repository versions to check their integrity. Verify security of your source.
Includes a firewall to block common security threats like fake Googlebots, malicious scans from hackers and botnets.
Block entire malicious networks. Includes advanced IP and Domain WHOIS to report malicious IP's or networks and block entire networks using the firewall. Report security threats to network owner.
See how files have changed. Optionally repair changed files that are security threats.
Scans for signatures of over 44,000 known malware variants that are known security threats.
Scans for many known backdoors that create security holes including C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx and many many more.
Continuously scans for malware and phishing URL's including all URL's on the Google Safe Browsing List in all your comments, posts and files that are security threats.
Scans for heuristics of backdoors, trojans, suspicious code and other security issues.
Checks the strength of all user and admin passwords to enhance login security.
Monitor your DNS security for unauthorized DNS changes.
Rate limit or block security threats like aggressive crawlers, scrapers and bots doing security scans for vulnerabilities in your site.
Choose whether you want to block or throttle users and robots who break your security rules.
Includes login security to lock out brute force hacks and to stop WordPress from revealing info that will compromise security.
See all your traffic in real-time, including robots, humans, 404 errors, logins and logouts and who is consuming most of your content. Enhances your situational awareness of which security threats your site is facing.
A real-time view of all traffic including automated bots that often constitute security threats that Javascript analytics packages never show you.
Real-time traffic includes reverse DNS and city-level geolocation. Know which geographic area security threats originate from.
Monitors disk space which is related to security because many DDoS attacks attempt to consume all disk space to create denial of service.
Wordfence Security for multi-site also scans all posts and comments across all blogs from one admin panel.
WordPress Multi-Site (or WordPress MU in the older parlance) compatible.
Premium users can also block countries and schedule scans for specific times and a higher frequency.

Beim ithemes konnte ich nicht zwischen Pro und Basic Features unterscheiden...

[psren]

Und dann ist da noch die super Caching Engine die das Security Tool mitbringt um deine Installation 50x schneller zu machen.

Ganz wichtig eine Caching Funktion in einem Security-Tool zu habe *Kopflang*