Der Monatsrückblick März ist schon in Arbeit!!

Howdy liebe Community! Der Monatsrückblick für den Monat März kommt diesmal pünktlich - versprochen! Er bringt unter anderem eine Neuigkeit beim Blog-Design mit, eine Erfahrung mit der Social Media Plattform TikTok und auch ein paar Gedanken zur meiner beruflichen Zukunft. Witzig, sowas als Renter zu schreiben.. Interessiert? Dann schaut am 1.4.2025 doch mal wieder vorbei. Aber Vorsicht! Lasst euch nicht auf's Glatteis führen.. ;-)

Hacker

  • Dr. NerdOktober 4, 2013
    2 569

    Hilfe Einbrecher! WordPress– ein beliebtes Ziel für böse Buben..

    oder: WordPress absichern – was man wissen sollte…

    “die im Dunkeln sieht man nicht”, hatte mein Freund Sven vor einiger zeit einen Blogbeitrag betitelt. Er bezog sich zwar auf etwas anderes – doch der Hintergrund ist auch dort kriminell, und es geht darum, jemandem langfristig zu schaden.

    Doch zurück zum Thema: Glaubt Ihr eigentlich eure WordPress Installation ist sicher? Und wisst Ihr eigentlich, was passiert, wenn Ihr nicht zu Hause seit? Wie viele Leute versuchen euch zu hacken, um eure Daten zu verändern?

    Nun, das werdet Ihr nicht wissen, weil Ihr es in der Regel gar nicht mitbekommt, nur das leider traurige Ergebnis, wenn deine Installation gehackt wurde. Eine Sicherung ist – falls überhaupt vorhanden – meistens überaltert. WordPress bringt von Haus aus leider nicht viel mit um eine “feindliche Übernahme” zu verhindern. Mit Askimet werden grade mal die schlimmsten Spammer aussen vor gelassen – richtig funktioniert hat es aber bei mir nicht.

    Nun sind Spammer noch das kleinere Übel. Stellt man in den WordPress Einstellungen ein, dass ein Kommentator erst von einem Admin überprüft werden muss, landen die meisten gar nicht erst in deinen Beiträgen um andere Leser mit dem Hinweis auf “cheap Viagra” zu nerven.

    Richtig übel sind die Hacker, die Zugriff auf deine Installation haben wollen und sich über das Login als Admin einschleichen wollen. Das dumme daran: ohne ein Plug-In bekommst Du das gar nicht erst mit, was sich alles für Gesindel die Klinke in die Hand gibt, um bei Dir einzubrechen.

    limit login attempsDas Plug-In “Limit Login Attempts” verhindert das ständige ‘rütteln an der Tür’, indem es Anmeldeversuche mittrackt und dementsprechend reagiert. Man kann die Einstellungen nach eigenen Vorstellungen anpassen. Bei mir wird nach 3 fehlgeschlagenen Login-Versuchen die IP des User für 120 Minuten gesperrt. Versucht er es nach 2 Stunden erneut und schafft es wieder nicht sich einzuloggen, wird er erneut für 2 Stunden gesperrt. Nach der 3. Sperre – also nach 6 Stunden wird er für 48 Stunden ausgesperrt. Natürlich kann der User die IP – Adresse seines Routers ändern. Dies geschieht meistens automatisch nach einem Reset. Doch das ist aufwändig – vor allem zeitaufwändig.

    Und dass da ordentlich an der Tür gerüttelt wird, zeigt das linke Bild – seit dem letzten zurücksetzen sind schon wieder 972 Sperrungen aktiv. Alles böse Jungs, die nur eines wollen: deine WordPress Installation kapern. Ohne dieses Plugin würdest Du davon gar nichts mitbekommen.

    Das Plugin schickt Dir (wenn Du willst) die Infos auch per Mail.

    Auf dem Screenshot sieht man, dass da jemand versucht hat sich als admin (den Standard-Namen bei der Installation) einzuloggen. Den ‘admin’ gibt es aber bei meiner Installation nicht mehr. Als kleiner Sicherheitstip: man sollte den Super-Administrator mit Namen “admin” aus dem System verbannen. Die meisten WordPress Installationen haben den – damit hat der Angreifer schon mal 50% des Logins. Nun braucht er nur noch das Passwort, welches er mittels Brute Force Attacke herauszufinden versucht. Wer nicht weiß, wie das geht, hier in kurz: Neuen Benutzer mit ausgefallenem Namen und anderer aber gültiger Mail-Adresse anlegen (geht bei jedem Freemailer) > nach Aktivierung des Users und einmaligem EinbruchsversuchsprotokollLogin (nur zur Sicherheit, dass auch alles mit dem Konto stimmt) als Admin einloggen > unter Benutzerverwaltung Konto des neuen Users öffnen > dem neu erstellten User als Administrator einstufen > abmelden > mit dem neuen Benutzernamen einloggen > Benutzerverwaltung öffnen und ‘admin’ löschen.

    Es gibt noch weitere Tools, welche die Standard Login Seite umbenennen. Dies ist bei Bots hilfreich. Ein User aus Fleisch und Blut ruft diese Seite manuell auf. Dem wird dann auch die korrekte Seite angezeigt. Es gibt noch weitere Möglichkeiten – sperren der .htaccess Datei für bestimmte IP-Ranges (vornehmlich aus Ländern aus dem Raum China und GUS). dazu gibt es im Internet einiges. Einfach mal googeln.

    Ein anderes Problem sind die zahllosen Spammer, die wirklich schlimmer nerven als Scheisshausfliegen. Da gibt es auch gute Tools – kostenlos vor allem, und trotzdem sehr professionell.

    Mein Favorit ist Wangguard. Es erkennt Spammer (nennt die Splogger, ein Kunstwort aus Spammer und Blogger) und blockt die zuverlässig. Man sieht, da ist auch einiges los auf meinem Blog. Was das Wachstum angeht ist meine Community ja eher zurückhaltend – was die Spammer angeht aber nicht. Am Tag um die 80 Versuche sich bei mir zu registrieren. Wangguard überprüft die Mail-Adresse und checkt, ob der User schon auffällig wangguard Statgeworden ist oder als Spammer gemeldet. Kann man auch selbst mal bei Usern machen. Einfach die Mail-Adresse mal bei google eingeben. Die meisten sind schon im “Stop Forum Spam” aufgeführt. Da sieht man dann auch, das Klaus nicht Klaus ist, sondern Vladimir aus Russland.

    Hierbei will ich es erstmal belassen. Die Aufzählung ist sicher nicht vollständig. Es gibt auch noch andere Tools. ‘Projekt Honeypot’ oder ‘Antispam Bee’ um nur 2 zu nennen. Ich wollte auch eigentlich nur mal das Thema Sicherheit wieder in den Fokus bringen. Man ist einfach der Meinung, es geht schon irgendwie gut – aber man bemerkt leider nicht, wie viele böse Buben es auf der Welt gibt, die deinen Blog  zerstören wollen..

Schaltfläche "Zurück zum Anfang"