Inhalt
WordPress Sicherheit
WordPress Sicherheit – Du bist hier beim 1. Teil der kleinen Artikelserie WordPress Sicherheit. Hier gehts zum 2. Artikel WordPress Bedrohung & Angriff.
Diese kleine Artikelserie zum Thema WordPress Sicherheit ist eine Art WebLog meiner Auseinandersetzung damit, für mein-garten.de. Vielleicht hilft es Euch ja manche meiner Fehler zu vermeiden. Wenn Ihr auch eine Garten- oder sonstige Blog-Website auf WP Basis erstellen wollt, solltet Ihr jedenfalls das Thema WordPress Sicherheit ganz vorne auf der Agenda stehen haben. Ich will wirklich keine Panik verbreiten. Aber ein gehackter Server mit Joomla, vor 12 Jahren und jetzt die täglichen Angriffe hier bei mein-garten.de, veranlassen mich diesen Beitrag zu schreiben. Was bei dem Hack passiert ist schildere ich etwas später. Ich hatte mich vor vor etwa 14 Jahren – kurz nach der Abspaltung von Mambo, ein paar Jahre intensiv mit Joomla beschäftigt. Dann etwa 10 Jahre lang gar nichts mehr in Sachen CMS gemacht.
So war die gefühlte Unwissenheit beim Wiedereinstieg zum Thema WP Sicherheit groß und der von CMS Anfängern ähnlich. Intensive Recherchen haben mir geholfen den Rückstand etwas aufzuholen. Ganz so viel hatte sich gar nicht geändert. Es gibt sehr gute Artikel zur WordPress Sicherheit. Ohne dieses geteilte Wissen hätte ich viel länger gebraucht, mein-garten.de zumindest etwas sicherer zu machen. Dafür bin ich den IT Profi-Bloggern und -Bloggerinnen sehr dankbar.
Links WordPress Sicherheit
Links zu Artikeln, die mir besonders geholfen haben stelle ich natürlich zur Verfügung. Dieser Beitrag ist nicht so sehr technisch gehalten. Er dient eher dazu WordPress Einsteigern die Notwendigkeit sich um die WordPress Sicherheit von Anfang an zu kümmern, zu begründen. Und aufzuzeigen, wie man das angehen kann. Was sind die Einfallstore? Wie gehen Hacker vor um Deine WP Seite / Deinen Server, zu übernehmen? Was muss Du wo und wie, dagegen unternehmen, um einen WP Angriff abzuwehren. Die genauen, technischen Vorgehensweisen, beschreiben die Beiträge die hinter den IT Profi Links in dieser Artikelserie stecken, sicher besser, als ich das könnte. Viel Erfolg beim Absichern Eurer eigenen WordPress WebSites.
Oder – Werbung und weiterführende Artikel-überspringen. Zum nächsten Text beamen – WP sichern – von Anfang an
Werbung – Amazon Suchseite für WordPress Bücher:
Werbung – Google
Weitere Artikel über mein-garten.de
WebSite – mein-garten.de
Navigation mein-garten.de
WP Sicherheit – von Anfang an.
WordPress Sicherheit für mein-garten.de herzustellen, ein Job, den ich als Wiedereinsteiger zunächst mal wieder unterschätzt hatte. Scharf darauf, nach der WP Installation gleich mit dem Schreiben zu beginnen, hatte ich das Thema etwas nach hinten geschoben. Ich hätte es eigentlich besser wissen müssen! Diesmal wurden zwar etliche Sicherheitsstufen von Beginn an eingebaut. Aber ich habe sicher nicht alles getan, was möglich und nötig war. Einfach nur dumm. Gott sei Dank, ist bis heute nix erkennbar Negatives passiert. Die Defizite vom Anfang arbeite ich jetzt endlich ab.
Denn die vielen Besucher aus China, Rumänien oder Russland, die ich habe, sind ein Alarmsignal. Was haben die mit einer deutschsprachigen Garten WebSite am Hut? Sichert Euer WP von Anfang an! Die täglichen Attacken, die ich derzeit erleide sprechen eine deutliche Sprache. WP ist das beliebteste Angriffsziel von Hackern. Welche Methoden geeignet sind hängt sehr davon ab, was Ihr mit Eurer Seite anstellen wollt.
Schreibt Ihr nur alleine, darf man sich registrieren, sind Kommentare erlaubt? All das hat großen Einfluss auf Eure WP Sicherheit. Mehr dazu im Verlauf des Beitrags. Je nach Einsatzzweck Eurer WP Seite, kann man schon mit Bordmitteln sehr viel für die Sicherheit tun. Zuerst aber ein Bericht zu meinem Joomla Desaster und ein paar Grundlagen zu den Bedrohungsarten. Zurück zum Anfang der Seite
Erfahrungen mit einem Joomla Projekt
Schon vor etwa 12 Jahren war eine meiner damals mit Joomla betriebenen CMS Seiten so gehackt worden, dass ich sie vollständig löschen musste. Sogar der Dedicated Server selbst, war so korrumpiert, dass er nur noch platt gemacht und neu aufgesetzt werden konnte. Diese, damalige Joomla WebSite – ein rein, privates Fun-Projekt, das halt auf meinem Firmen-Server so mit lief – hatte mich fast meine Existenz gekostet. Nein, es war nicht, das Joomla Projekt selbst. Es war ausschließlich meine Naivität und sträfliche Unbekümmertheit in Sachen Sicherheit. „Wer würde denn einen privaten Blog über eine spanische Stadt angreifen wollen?“ dachte ich mir. Da hatte ich komplett falsch gedacht. Bei meinem neuen GartenBLOG sollte die WordPress Sicherheit ganz oben stehen.
Der Angriff auf meinen Server
Was, war passiert? Über einen, wahrscheinlich via Kommentar eingeschleusten Malware-Code, wurde zunächst die Joomla Instanz und nach und nach der ganze Server übernommen. Zunächst hatte ich mich nur gewundert, als E-Mails von unserer Firmen WebSite nicht mehr bei den Empfänger ankamen. Dass die IP -Adresse meines Servers auf den Blacklists der weltweiten Spam Überwachungsdienste gelandet war, konnte ich mir nicht erklären. Es gab keine weiteren Auffälligkeiten außer etwas Traffic-Zunahme, zunächst. Als ich nach einer weiteren Nacht einen irren Traffic hatte, erkannte ich den Ernst der Lage. Ich begann die Server Log Files zu untersuchen.
Aber, es war bereits zu spät. Mein Server war 2 Tage und Nächte zu einer Spam-Schleuder und einer FileSharing Plattform geworden. Millionen von Porn- und dubiosen Werbe-Spam E-Mails hatte er verschickt. Und, was, weiß ich, wie viele Audio- und Videodateien waren dort geparkt und heruntergeladen worden. Als mir dann mein – damals noch unter 1 & 1 firmierender Provider – den Server abgestellt hatte, wurde mir die ganze Tragweite klar. Denn nur nach Zusendung einer strafbewehrten Unterlassungserklärung (10.000 Euro je Wiederholungsfall, waren es glaube ich) wollte 1 & 1 den Server wieder aktivieren.
Verdammte Scheiße! Sorry, dass ich das so sagen muss 😉 Zurück zum Anfang der Seite
Stress und Existenzbedrohung
Aber genau das war es. Denn ich betrieb auf diesem Server mehrere Online-Shops. Mühsam über Jahre angepasste, feingetunte, php gesteuerte OSC Shops (Open Source Commerce). Offline, von einem Tag auf den anderen. Wir waren nur ein kleiner Betrieb, aber die Münchener Mieten für Lager und Produktion waren auch damals schon sehr hoch. Und die Mitarbeiter und unsere Familie und, und, und. Der pure Horror. Ohne Hilfe eines guten Freundes, mit Klasse Server Know How, hätte ich das gar nicht geschafft. Dank regelmäßigem, nächtlichem FTP Back-UP des ganzen Servers konnten wir ihn nach 2 Wochen wieder aktivieren.
Die Unterlassungserklärung aber bereitete mir Kopfzerbrechen. Denn wir hatten die korrumpierten Files und das Joomla Einfallstor nicht finden können. So switchten wir zurück zu einem relativ alten Server Back-Up. Der Joomla Blog war nicht mehr dabei. Die Sicherheitslücke dort hatten wir nicht zu 100% durchschaut. So war das Risiko für eine Wiederholung des Angriffs und die dann zu leistende Strafzahlungen einfach zu hoch. Vom erneuten Umsatzausfall und dem Neu-Aufsetzen der Shops, ganz abgesehen.
Verluste
Wie viele Stunden zuvor geleisteter Arbeit, gingen da verloren? Ich mag auch heute nicht daran denken. Denn es war traumatisch. Ich habe damals Blut und Wasser geschwitzt. Meine Verantwortung gegenüber Familie und Mitarbeitern – schlaflose Nächte, Existenzängste. Überarbeitet, übernächtigt, dauergestresst. So etwas wollte ich nie, nie wieder erleben müssen. Zurück zum Anfang der Seite
WordPress Sicherheit herstellen
Abgesehen davon, dass es keine 100%ige Sicherheit gibt, kannst Du mit wenigen Aktionen schon sehr viel für Deine WP Sicherheit bewirken. Schon das Schließen der Haupteinfallstore lässt viele Angreifer aufgeben und sich leichter zu knackenden Zielen zuwenden. Erforderlich ist ein bisschen Grundlagenwissen, welche Bedrohungen es gibt. Was sie anrichten können und wo angesetzt muss, um die Gefahr zu verringern. Um WebServer und WP-Installationen richtig gut zu absichern, benötigst Du allerdings mehr IT-Wissen, als nur ein gutes WP Sicherheits Plug-In zu installieren.
Oder Du delegiert es an Profis. Das ist teuer und Du machst Dich abhängig. Gute Freunde sind nicht immer verfügbar oder haben Lust auf gehackte Server. Also selber dazu lernen und das Machbare umsetzen. Firmen müssten auf Profis setzen, tun es aber oft genug nicht. Eine gute Übersicht über die verschiedenen Angriffsarten und Spionagetechniken findest Du im Artikel: Hacking WordPress, ein Blick hinter die Kulissen von Kuketz IT-Security. Die Firma scheint sehr kompetent, führt auch Überprüfungen Deines WPs durch und hilft es abzusichern. Preise habe ich nicht angefragt, Zurück zum Anfang der Seite
Was kann passieren?
Du bist WP Anfänger und auch sonst nicht tief in die IT-Materie verstrickt? Dann geht es Dir vielleicht ähnlich, wie mir, bei meinem damaligen Joomla Blog. Du fragst Dich, was sollte jemanden dazu veranlassen einen kleinen, privaten Blog zu hacken. Du hast keine Firmengeheimnisse, nur ein paar Daten, die scheinbar ohne Wert sind, keine Kreditkartendaten, Bankverbindungen usw.. Aber, leider stimmt das so nicht. Zudem ist WP unter den CMS Systemen in Deutschland und auch weltweit sehr verbreitet. Die letzte Zahl, die ich gelesen habe sprach von über 50% Anteil bei den deutschsprachigen Blog Systemen. Sogar 25% aller WebSites weltweit, bauen auf WP auf.
WordPress – ideal für Hacker
So Damian Schwyrz (ein Link zu seiner tollen Anleitung einen befallenes WordPress zu reparieren, ist weiter unten). Das alleine schon macht WP für Hacker interessant. Es gibt eine unglaubliche Anzahl an nicht sichern WebSites mit einer Unmenge an installierten PlugIns mit Sicherheitslücken. Denn, nicht alle davon sind sicher programmiert. Die Struktur der Verzeichnisse, die angreifbaren Files, Themes, PlugIns, Dateinamen, fast überall ist alles gleich. Ein Angriffsbot kann ganz viele Sites in kurzer Zeit antesten. Nach der ersten Spionage erledigt ein Mensch die schwierigeren Fälle. WP ist ein Eldorado für Hacker.
WordPress Check
Wie einfach es ist herauszufinden, ob Deine WebSite auf WP basiert, kannst Du hier ausprobieren. Das funktioniert sogar, wenn Du das WP Verzeichnis umbenennst und andere Kunststücke durchführst: Is it WordPress?
Szenario 1 – der Datenklau
Dabei geht es nicht nur um Deine Daten. Auch sensible Daten Deiner User, wie die E-Mail Adressen sind sehr begehrt. Damit können die Black Hats dann Accounts anmelden oder kapern. Die Eigentümer per Phishing E-Mails zur Herausgabe von noch sensiblerer Daten verlocken. In deren Namen Bestellungen aufgeben – an andere Lieferadressen geschickt, aber, bezahlt von Deinen Usern.
Auch Spam E-Mails mit den gefakten Absenderadressen Deiner User sind kein Spaß. Sie können zu einem Bann ihrer E-Mail Adresse auf den schwarzen Listen der Spam-Filterdienste führen. Die E-Mails Deiner User erreichen dann ihre Freunde nicht mehr. Und Deine WebSite kommt bei den Suchmaschinen auf die schwarze Liste. Wird einfach nicht mehr gefunden.
Weitere Datenmissbrauchsarten
Aber es gibt noch so viel mehr Arten des Datenmissbrauchs. Alleine unter den deutschen Schlüsselwörtern Datenklau, Datendiebstahl oder Datenmissbrauch zeigt Google jeweils etliche 100.000 WebSites an, die sich nur damit beschäftigen. Im DarkNet existiert ein riesiger Markt für persönliche Daten aller Art. Auch kleine Losgrößen qualitativ hochwertiger E-Mails werden da gerne angekauft. Zusammengeführt mit denen anderer gehackter, kleiner Sites verseuchen dann SpamBots auch den Deinen Posteingang und den Deiner User.
Sollten Deine User zudem auch noch unvorsichtig sein, werden ihre Computer schnell selbst in ein BotNet integriert und zur Spam-Schleuder. Deine und die Dir anvertraute Daten musst Du daher so gut, wie irgend möglich beschützen! Es herrscht Krieg im Internet. Dein Motto lautet: WordPress Sicherheit von Anfang an! Zurück zum Anfang der Seite
Szenario 2 – der Server Missbrauch
Wie in meinem Joomla Beispiel geschildert. Ohne ausreichende Sicherheit kann eine WordPress Seite schnell und leicht übernommen werden. Damit kann man schon jede Menge Unfug produzieren. Eine Übernahme des Servers selbst hat noch katastrophalen Folgen für alle mit der IP-Adresse verbundenen WebSites. So empfiehlt es sich produktive Seiten, mit denen Du eventuell Dein Geld verdienst auf einem anderen Server zu betreiben. Auch, wenn man z.B. einen Gärtnerbetrieb, mit kleinem Shop hat und zusätzlich einen Blog betreibt. Hosting ist für kleine Auftritte so günstig geworden.
Lass Dein WordPress zur Sicherheit auf einem anderen Server laufen.
Man denkt nicht daran, aber, wenn Du Dir einen Server mit anderen Usern teilst, was bei kleinen WP Sites meist der Fall ist. Dann geht der gesamte Traffic dieses geteilten Hostings über eine einzige IP-Adresse. Das können auch 10.000 Webauftritte sein. Wenn also Dein Server gehackt und als Spam-Schleuder missbraucht wird betrifft das auch alle anderen.
Denn diese eine IP landet auf den BlackLists und ist „verbrannt“. Der einzige Ausweg ist Umzug auf einen anderen Server. Das solltest Du weder Dir selbst noch den Kollegen zumuten. Nur, weil Du lax mit der WP Sicherheit umgehst. Allerdings kann es auch anders herum geschehen.
Darum empfehle ich bei der Serverwahl: „Weniger ist mehr“ – nicht Leistung sondern Mitbenutzer. Zurück zum Anfang der Seite
WordPress Sicherheit – Du bist hier beim 1. Teil der kleinen Artikelserie WordPress Sicherheit. Hier gehts zum 2. Artikel WordPress Bedrohung & Angriff.
Anmerkung zum Artikel WP Sicherheit
Der Beitrag WordPress Sicherheit wird noch überarbeitet und Korrektur gelesen. Anyway – hier eine Vorabversion 😉 Er wird weiter bearbeitet, wenn ich die nächsten Tag wieder etwas mehr Zeit habe.
Bis dahin noch ein Link Tipp zur WP Sicherheit:
Wenn Deine WP Seite bereits von einem Angriff betroffen ist, kannst Du im ausgezeichneten Beitrag von Damian Schwyrz nachlesen, wie Du Dich von einem Malware und Backdoor Befall Deines WPs wieder befreien kannst. Der Artikel ist für Betreiber geeignet, für die SSH und FTP kein Fremdwort ist. Der Beitrag heißt: WP Sicherheit – Anleitung: WordPress von Malware und Backdoors befreien Zurück zum Anfang der Seite
Artikelbeispiele – Garten Foren & Blogs
https://mein-garten.de/blogsite/379/gartenforen/ https://mein-garten.de/blogsite/711/garten-foren-linkliste/
Andere Bereiche bei mein-garten.de
Besuche auch die mein-garten.de Garten Bilder GALERIE, den Garten ADRESSEN Bereich, diesen Garten BLOG Bereich hier und das Garten FORUM. Hier kooperieren wir demnächst vielleicht mit einem sehr guten Garten Forum, das schon länger besteht. Bis dahin, das Garten Pur Forum ist einen Besuch wert.
Werbung Google
Zum Schluss noch ein Affiliate Link und gleichzeitig auch ein ehrlicher Tipp für Gewerbetreibende. Einer, von dem ich überzeugt bin und den ich auch selbst oft und gerne nutze. Denn, das Amazon Business Programm bietet Gewerbetreibenden nur Vorteile. Ohne zusätzliche Kosten, wenn Du eh schon einen Prime Account hast.
Wenn Du als Amazon Business Kunde angemeldet bist, siehst Du etwa 250 Millionen Produktangebote aller Händler, die an Business teilnehmen plus die Amazon Produkte. Endlich als Netto Betrag und mit ausgewiesener MWSt. Nur als Amazon Business Kunde sind dann auch die Businesspreise und Mengenrabatte für Geschäftskunden sichtbar. Warum Geld verschenken, wenn ich eh bei Amazon bestelle und ein Geschäft betreibe?
Klasse! Auch, der Kauf auf Rechnung ist damit möglich, mit 30 Tagen Zahlungsziel. Und die Rechnung mit ausgewiesener Mehrwertsteuer steht 24-48 Stunden nach der Bestellung zum Download bereit. Was hat mich das schon genervt, wenn ich der Rechnung bei einem nicht so fitten Händler hinterherlaufen musste. Das ist eine echte Empfehlung für Umme, wenn Du Prime bereits hast. Die Umstellung ist amazonüblich, einfach und in ein paar Minuten erledigt. Hier kannst Du Deinen privaten Amazon Account kostenlos auf Bussiness aufstocken.
Und über den Link unterhalb gibts auch noch nen Extrarabatt. Schade, dass man sich nur ein mal anmelden kann 😉
