Wordpress Bedrohung WP mein-garten.de

WebLog mein-garten.de – WP Bedrohung

Allgemein Off-Topic

WP Angriff – Bedrohung

WordPress BedrohungWP Angriff: Du bist hier beim 2. Teil der kleinen Artikelserie WordPress Sicherheit. Hier gehts zum Startartikel mit den Grundlagen zurWordPress Sicherheit.

Die WordPress Bedrohung an sich, gibt es nicht. Es gibt die unterschiedlichsten IT Bedrohungsarten. Diese wirken zumeist im Verbund. Daher kann einem WP Angriff nicht alleine auf der WordPress-Ebene begegnet werden. Und es kommen auch nicht alle IT-Bedrohungen so zum tragen, wie bei einem lokalen Computer und/oder Netzwerk. Eines haben Web-Serversysteme und lokale Computer gemeinsam. Besonders anfällig sind –  auch bei den WordPress Installationen, die jeweiligen Admin Bereiche. Nur mit den entsprechenden Rechten ausgestattet kann Malware schädliche Aktionen durchführen. Und nur, wenn sie irgendwie auf den Server gelangt. Das muss verhindert werden. Ich bin Root ist ein Heureka für die Dark-Hat Hacker.

Link Tipp

Ich habe einen Klasse Definitions Artikel über die unterschiedlichen IT-Bedrohungen entdeckt. Die Verfasserin, Rechtsanwältin Agniezka Czernik erscheint zwar nicht mehr auf der Liste der Mitarbeiterinnen und Mitarbeiter des Unternehmens. Wird aber als Autorin noch genannt, fair. Denn ich habe selten eine so komplette Zusammenfassung und Kurzbeschreibung der verschiedenen IT-Bedrohungsarten gesehen. Daher greife ich Ihre Kategorisierung gerne auf und wende sie auf WP an.

Die Website selbst wird von einem Dienstleistungsunternehmen betrieben, das externe Datenschutzbeauftragte für größerer Firmen anbietet. Auch zum Thema DSGVO finden sich auf der Site daher reichlich, gute Artikel von Profis und Profiinnen verfasst. Empfehlenswert für alle, die ihr WP rechtssicher machen wollen.

Agniezka Czernik kategorisiert die 8 wichtigsten Bedrohungen so: 

  • Malware (Viren, Würmer, Trojaner, Backdoor, Spyware, Scareware)
  • Angriffe auf Passwörter
  • Phishing
  • Man-in-the-Middle Attacke
  • Sniffing
  • Spoofing
  • DoS (Denial of Service)
  • Social Enginering

Leider konnte ich den von Agniezka Czernik angekündigten Folgeartikel, wie man sich vor diesen Bedrohungen schützen kann, nicht finden. Eine aus meiner Sicht ganz wesentliche Bedrohung taucht aber in dieser Liste gar nicht auf. Vielleicht ist sie in Teilen vom Social Engineering abgedeckt. Bedrohung Nummer 9 – die Bedrohung durch den WebAdmin selbst.

Zurück zum Anfang der Seite

Oder – Werbung und weiterführende Artikel-überspringen. Zum nächsten Text beamen – Bedrohung durch Dich

Werbung – Amazon Suchseite für WordPress Bücher:

Werbung – Google

Weitere Artikel über mein-garten.de

WebSite – mein-garten.de

Navigation mein-garten.de

Zurück zum Anfang der Seite

WordPress Bedrohung durch Dich selbst

Bevor ich zur Bedrohung durch einen WordPress Angriff von außerhalb komme. Auch Du selbst bist eine große Gefahr für Deine WP Sicherheit. Denn, durch Unwissen, Nachlässigkeiten und Gutgläubigkeit leisten WebAdmins dem WP Angriff oft ungewollt Vorschub. Meiner Meinung sind das schon mehr als 50% der möglichen Angriffsfläche. Nochmal, eine 100%ige Sicherheit vor einem WP Angriff gibt es nicht. Aber, wenn 50% der WordPress Bedrohung so einfach zu verhindern sind!? Just do it! Beginne noch heute Dein WordPress abzusichern.

WP Bedrohung durch den Admin

Ein abgedroschener Spruch lautet: „Der beste Schutz sitzt zwischen den Ohren des Admins“. Ich weiß, der ist platt, aber er ist wahr! Denn, wenn der WebMaster auf seinem lokalen Rechner bereits selbst mit einem Trojaner infiziert ist, wird es schwer eine WordPress Bedrohung abzuwehren. Administration deshalb am besten von einem cleanen Computer aus. Nicht den Spielecomputer der pubertierenden Kids verwenden, die sich ja vielleicht auch mal, ohne es den Eltern zu sagen, auf Tauschplattformen etc. aufgehalten haben könnten. Egal ob Porn, Spiele, Gimmicks, Schülernachhilfe, Treiber etc.. „Kostenlos“ heißt entweder Werbung oder Gefahr. Manchmal beides. Malware über Schülernachhilfe WebSites finde ich besonders perfide, ist aber Realität.

Daher ist es Deine heilige Pflicht den eigenen Rechner diszipliniert zu nutzen. Verwende sichere Passwörter! Ich weiß, das kannst Du nicht mehr hören. Aber der Hack eines 5-stelligen Passworts dauert keine halbe Sekunde. Nur, wenn Dein Betriebssystem und die verwendeten Programme auf dem letzten Stand sind, kannst Du einen WP Angriff über Sicherheitslücken abwehren. Ein aktueller Virenschutz und der kluge Umgang mit E-Mail Anhängen, Downloads und den eigenen WebSite Besuchen helfen Deinen Rechner sauber zu halten.

Optimal wäre ein Rechner, der nur zur Administration verwendet wird. Kein E-Mail, keine Downloads, keine WebSite Besuche. Das scheint kaum durchführbar, ist aber in sicherheitsbewussten Unternehmen, inzwischen Standard. Ein zweiter Rechner für all die eher unsafen Aktionen solltest Du  spätestens dann in Erwägung ziehen, wenn Dein Blog den Lebensunterhalt mit verdient. Besser aber, weit vorher. Denn damit kannst Du bereits eine große Fehlerquelle ausschließen. Wäre doch ein Witz, wenn ausgerechnet Du selbst einen WordPress Angriff auslösen würdest. Zurück zum Anfang der Seite

WP Bedrohung durch verspätete Server Updates

Das gehört eigentlich auch noch zum oben beschriebenen Risiko Admin. Immer wieder werden bei der Server Software z.B. einer LAMP Installation (Ein Akronym für Linux, Apache WebServer, MySQL und PHP) Sicherheitslücken entdeckt. Die Open Source Community ist erstaunlich schnell beim Beheben solcher Lecks. Nur hilft das alles nicht, wenn Du Deine Server Software nicht auf dem neuesten Stand hältst. Keiner ist als IT-Profi auf die Welt gekommen. Wenn Dir aber noch das grundlegende Wissen zur Absicherung eines Servers und dem Updaten der Server Software fehlt, solltest Du Dein WP erst einmal auf einem betreuten Server (managed Server) betreiben.

Managed Server

Hier nimmt Dir der Hoster – sofern er denn gut ist – die Server-Updates ab. Überprüfe das! Meist hast Du mit so einem Paket auch noch eine tägliche Sicherung der Datenbank und der Ordner und Dateien mit dabei. Ich bin über einige ernsthafte WebSites gestolpert, die gut begründet unterschiedliche Hoster für verschiedenen WP Zwecke empfehlen. Und das nicht nur, weil sie einen Affiliate Link dorthin schalten wollten. Aktuell hab ich die Links leider nicht parat. Werde sie später nachreichen. Bei Selbständig im Netz gab es auch einige lesenswerte Artikel zum Hosting.

Der Pferdefuß von managed Hosting: Du kannst bei solchen Hostings nicht immer alles einstellen für Dein WordPress. Oft gibt es keinen Zugriff auf die .htaccess Datei, die php.ini etc.. Dort werden unter anderem der Speicheplatz für Dein WP, die Scriptlaufzeit, die Uploadgröße oder die Weiterleitungsregeln konfiguriert. Manche Hoster stellen das für Dich ein, auf Anfrage. Stimme also in diesem Fall die Leistung des Hostingpaketes genau mit Deinen Anforderungen ab. Und achte – neben dem Preis – auf eine gute Erreichbarkeit und Reaktionszeit bei Supportanfragen. Zurück zum Anfang der Seite

WP Bedrohung WordPress Updates

Hier gilt im Prinzip das Gleiche. Immer alles zeitnah updaten. Nur so können neu entdeckte Sicherheitslücken geschlossen werden. Tue das bevor die Hacker mit Ihren Bots Deine WebSite entdecken, abchecken und angreifen können. Es betrifft nicht nur WordPress selbst, sondern auch alle PlugIns, Themes oder Snippets. Es liegt ganz allein in Deiner Verantwortung als WP Admin. Eine unnötige WordPress Bedrohung wegen verschlamperter Updates darfst Du, gar nicht erst entstehen lassen.

Ist aber easy. Für Manche – meist Premium PlugIns, lassen sich  automatische Updates einstellen. Ansonsten werden Dir die anstehenden Updates angezeigt. Es gibt auch WP PlugIns, die Updates automatisieren. Und, welche, die Dich informieren.

Automatische WP Updates gegen WP Angriffe

Ob automatische Updates sinnvoll sind oder nicht wird immer wieder heiß diskutiert. Ich selbst bevorzuge manuelle Updates. So kann ich bei größeren Aktionen noch manuell ein BackUp anstoßen. Das vermeidet böse Überraschungen. Wenn nach einem Update plötzlich die Seite steht, weil Kompatibilitätsprobleme vorhanden sind, kannst Du schnell zum letzten Stand zurück. Ein guter Artikel dazu heißt: Warum Du automatische Updates nicht nutzen solltest. Sinnvoll aber kann es sein sich über anstehende Updates per E-Mail informieren zu lassen, wenn man viel unterwegs ist und selten auf das WP Dashboard sieht.

Manuelle WP Updates gegen WP Angriffe

Spätestens, wenn Du im Dashboard bei PlugIns oder Themes einen roten Punkt und eine Zahl siehst, musst Du irgendwie aktiv werden. Denn die Gefahr einer WordPress Bedrohung wächst nun. Zumindest aber, musst Du Dir das Änderungsprotokoll ansehen. Das findest Du jeweils beim Plugin, zusammen mit der neuen Versionsnummer. Oft heißt es auf Englisch nur knapp „Details“. Dort siehst Du dann genau, ob auch sicherheitsrelevante Dinge gefixt worden sind. Dann kannst Du entscheiden:

Manuelles BackUp starten und dann das Update durchführen. Oder noch warten, weil es kein Sicherheits-UpDate ist. Wenn Du Deine Seite selten pflegst bekommst Du Updates nicht mit. Also regelmäßig , am besten täglich, kurz das WP Dashboard aufrufen und checken ob Updates anstehen. Alternativ, ein PlugIn nutzen, dass Dich bei neuen UpDates per E-Mail informiert. Dass Du zum schnellen Ausbügeln eines WordPress Angriffs regelmäßige, tägliche BackUps machst, ist ja eh klar, oder? 😉 Zurück zum Anfang der Seite

WP Angriff – ein BackUp hilft!

Wem ist es nicht schon passiert, dass der Rechner samt HD abgeraucht ist und es gab kein Backup oder nur ein Altes? Auch eine WP Installation kann ganz ohne Hackerangriff den Geist aufgeben. Das kann ein Speicherfehler auf dem Server sein. Eine defekte Datei oder ein neues PlugIn, das nicht harmoniert und die Seite zerschießt. Aber eben auch ein WP Angriff. Es gibt also jede Menge Gründe regelmäßig BackUps der WordPress Installation mit allen Ordnern und Dateien und von der Datenbank zu erstellen.

Nur dadurch kannst Du im Fall der Fälle der WordPressbedrohung ein Schnippchen schlagen. Der Datenverlust wird um so ärgerlicher, je mehr Arbeit Du in die WordPress Installation, das Layout und die richtigen PlugIns mit allen Einstellungen gesteckt hast. Auch, wenn Du viel schreibst und auf einmal alles weg ist, freut Dich das nicht. Schiebe es nicht auf die lange Bank. Kümmere Dich gleich um die für Dich richtige BackUp Lösung. Ohne geht es nicht!

Regelmäßiges BackUp – manuell

Regelmäßige, tägliche BackUps sind unerlässlich um eine WordPress Bedrohung gegebenenfalls abzumildern. Und, es ist schnell erledigt. Du kannst es manuell anschubsen. Mit nur ein wenig IT Know How, die Ordner vom Server per FTP Client herunterladen – zB. mit Filezilla. Auch hier immer auf die neueste Version achten. So konnte bei den Versionen bis 3.26 kein Masterpasswort vergeben werden. Dadurch waren die Anmeldedaten auf dem lokalen Rechner unverschlüsselt.

Ein Zuckerschlecken für einen erfolgreichen Hacker am heimischen Computer. Mit phpmyadmin gelingt eine Datenbank Sicherung in wenigen Minuten. Ist manuell, ja, aber, Du  musst es tun! Ich selbst bin leider zu vergesslich und zu undiszipliniert für manuelle BackUps. Nun könnte ich auf Server Ebene einen sogenannten Cron-Job anlegen, der das alles für mich automatisch erledigt. Aber ich ziehe eine einfache PlugIn Lösung direkt aus WordPress vor.

Automatisches BackUp – kewl

Es gibt einige angesehener BackUp PlugIns. Ich will hier keines direkt empfehlen, da ich selber nur zwei ausprobiert habe und für mich schnell fündig wurde. Die Verbreitetsten existieren auch in einer kostenpflichtigen Premium Variante. Der Unterschied zu den freien Versionen besteht zumeist darin, dass das Zurückspielen in die Datenbank und den WP Ordner dann automatisch möglich ist. Für Anfänger ohne SSH (Secure Shell) FTP oder mysqladmin Kenntnisse ist das ein großer Vorteil. Du musst Dich um nix kümmern. Vielleicht ein paar mal testen, ob der Restore gut klappt. Natürlich auf einem Test-Account.

Mir ging es vor allem darum BackUp Projekte automatisch mit Zeitplan erstellen zu können. Datenbank und Dateien in einem Job sichern zu können. Die WP Sicherung an einen Ort meiner Wahl verschieben zu lassen. E-Mail, FTP-Server, Cloud. Nicht zwingend auf dem WebSpace zu speichern zu müssen, wo auch mein WP liegt, war mir wichtig. Denn dann muss man wieder selber ran. Und wenn man das vergisst, ist das BackUp bei einer Attacke vielleicht sinnlos. Und ich wollte jederzeit ein manuelles Voll BackUp anstossen können. ZB. vor der Installation eines umfangreichen und vielleicht kritischen PlugIns und nach langen, produktiven Tagen. Zurück zum Anfang der Seite

BackWPup

Ich verwende für meine BackUps BackWPup und bin sehr zufrieden. Aktuell nutze ich es noch in der kostenlosen Version. Das PlugIn sichert in der Nacht alles komplett in meiner DropBox. Die Datenbank und das WP-Verzeichnis. Nach ein paar erfolgreichen Restore Tests wusste ich, dass in meiner Konstellation alles gut funktioniert. Und, BackWPup machte keinen Ärger mit meinen anderen PlugIns. Ob es mit Deinen, sicherlich anderen PlugIns, auch gut klappt, musst Du ausprobieren.

Der Betreiber des von mir sehr geschätzten Blogs „Selbständig im Netz“ hat in einem Artikel seine vier BackUp Empfehlungen präsentiert. Der Mann, weiß, wovon er spricht. Er lebt von seinen Blogs und berichtet über das Thema Selbstständigkeit im Netz höchst professionell und informativ. Auf seiner Seite konnte ich viel lernen.

Unabhängig von seinen BackUp Empfehlungen ist seine WebSite selbst eine Empfehlung wert. Was mir gut gefällt, ist die gute Recherche. Der Mut auch eigene Bewertungen abzugeben, nicht immer nur 5 Sterne, wie so oft. Hier hab ich ein gutes Gefühl, auch, wenn empfohlenen Produkte mit Affiliate Links versehen sind. Das macht mich nämlich bei vielen anderen Bloggern eher skeptisch. Stand heute ist er auch bei BackWPup gelandet. Kann also nicht ganz falsch sein. Zurück zum Anfang der Seite

WordPress Bedrohung – WordPress Angriff

Ich verweise zur Definition der IT Bedrohungen nochmal auf diesen tollen Artikel: die unterschiedlichen IT-Bedrohungen  Hier werde ich nur auf die davon ausgehende WordPress Bedrohung und die Gefahren eines WP Angriffs eingehen.

Malware

Viren, Würmer, Trojaner, Backdoor, Spyware, Scareware

WebServer und WordPress sind für Malware (Schadsoftware) genau so anfällig, wie lokale PCs. Wie aber kommt die Malware auf den Server? Jede Interaktion, die Daten zum Server transportiert, ist grundsätzlich gefährlich. Das kann ein verseuchtes PlugIn oder Theme sein, das der Admin hochlädt. Oder ein User Kommentar, eine Bewertung, ein Bild, PDF usw.. Vorsicht auch beim eigenen Upload von php-Dateien oder Snippets  aus nicht 100% sicheren Quellen.

Schütze Deine WP Verzeichnisse in denen niemand etwas zu suchen hat serverseitig vor unberechtigten Uploads. Auch das Verbot der Ausführbarkeit von Programmen in Verzeichnissen ist ein Ansatz für Überlegungen einen WP Angriff abzuwehren. Mehr dazu und, wie man das macht, im Teil 3 dieser Artikelserie – coming soon. 🙂 Es lohnt sich vor dem eigenen Upload eines unbekannten PlugIns aus dem Web nach Referenzen zu suchen. Du musst entscheiden, ob Du Kommentare und Bewertungen zulässt. Oder den Upload von Bildern in eine Galerie gestattest. Danach richten sich die Abwehrmaßnahmen gegen einen WP Angriff im nächsten Teil dieser Artikelserie.   Zurück zum Anfang der Seite

Anmerkung zum Artikel

Der Beitrag muss noch ergänzt und Korrektur gelesen werden. Anyway – hier eine unbearbeitete Vorabversion 😉  Er wird fortgesetzt, wenn ich die nächsten Tag wieder mehr Zeit habe. Behandelt werden sollen dann die verschiedenen Bedrohungen und Präventionsmaßnahmen.

  • Malware (Viren, Würmer, Trojaner, Backdoor, Spyware, Scareware)
  • Angriffe auf Passwörter
  • Phishing
  • Man-in-the-Middle Attacke
  • Sniffing
  • Spoofing
  • DoS (Denial of Service)
  • Social Enginering

Bis dahin noch ein Link Tipp:

Wenn Deine WP Seite bereits von einem Angriff betroffen ist, kannst Du im ausgezeichneten Beitrag von Damian Schwyrz nachlesen, wie Du Dich von einem Malware und Backdoor Befall Deines WPs wieder befreien kannst. Der Artikel ist für Betreiber geeignet, für die SSH und FTP kein Fremdwort ist. Der Artikel heißt: Anleitung: WordPress von Malware und Backdoors befreien Zurück zum Anfang der Seite

WordPress Bedrohung – Du bist hier beim 2. Teil der kleinen Artikelserie WordPress Sicherheit. Hier gehts zum Startartikel mit den Grundlagen.

Artikelbeispiele – Garten Foren & Blogs

Garten FOREN Bestandsaufnahme

Garten FOREN Linkliste

Andere Bereiche bei mein-garten.de

Besuche auch die mein-garten.de Garten Bilder GALERIE, den Garten ADRESSEN Bereich, diesen Garten BLOG Bereich hier und das Garten FORUM. Hier kooperieren wir demnächst vielleicht mit einem sehr guten Garten Forum, das schon länger besteht. Bis dahin, das Garten Pur Forum ist einen Besuch wert.

Werbung Google

Zurück zum Anfang der Seite

Zum Schluss noch ein Affiliate Link und gleichzeitig auch ein ehrlicher Tipp für Gewerbetreibende. Einer, von dem ich überzeugt bin und den ich auch selbst oft und gerne nutze. Denn,  das Amazon Business Programm bietet Gewerbetreibenden nur Vorteile. Ohne zusätzliche Kosten, wenn Du eh schon einen Prime Account hast.

Wenn Du als Amazon Business Kunde angemeldet bist, siehst Du etwa 250 Millionen Produktangebote aller Händler, die an Business teilnehmen und die Amazon Produkte. Endlich als Netto Betrag und mit ausgewiesener MWSt.

Nur als Amazon Business Kunde sind dann auch die Businesspreise und Mengenrabatte für Geschäftskunden sichtbar. Warum Geld verschenken, wenn ich eh bei Amazon bestelle und ein Geschäft betreibe?

Klasse! Auch, der Kauf auf Rechnung ist damit möglich, mit 30 Tagen Zahlungsziel. Und die Rechnung mit ausgewiesener Mehrwertsteuer steht 24-48 Stunden nach der Bestellung zum Download bereit. Was hat mich das schon genervt, wenn ich der Rechnung bei einem nicht so fitten Händler hinterherlaufen musste. Das ist eine echte Empfehlung für Umme, wenn Du Prime bereits hast. Die Umstellung ist amazonüblich, einfach und in ein paar Minuten erledigt. Hier kannst Du Deinen privaten Amazon Account kostenlos auf Bussiness aufstocken. Und über den Link unterhalb gibts auch noch nen Extrarabatt. Schade, dass man sich nur ein mal anmelden kann 😉

Schlagwörter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.