[Echt Krass] Hacking WP und kein Ende

[Echt Krass] Hacking WP und kein Ende

Neues zum WordPress-Hacking

Hacking WP, das ist wohl jedem jetzt klar, WordPress ist logischerweise infolge seiner enormen Verbreitung ein willkommenes Ziel potenzieller Hacker und Betreiber von Botnetzen. Und ist solche eine simple ungesicherte WordPress-Webseite erst einmal in der Hand solcher Verbrecher, wird diese zum Versand von Spam-Mails mißbraucht, oder es wird Malware im Internet gestreut. Und das, ohne das der eigentliche Inhaber der Webseite etwas davon bemerkt. Oft werden die einzelnen Webseiten dann zu weiteren Netzen zusammen geschloßen, damit auch der Hoster nicht vom Spam-Mail-Versand mitbekommt. Diese Hacker und Botnetze werden von Profis betrieben, die genau wissen was sie tun und durch die permanenten Angriffe versuchen, die Schwachstellen eines WordPress-Blogs zu eruieren.

Wie kann das verhindert werden?

Zuerst einmal die schlechte Nachricht. Es gibt keinen 100 % Schutz für Deine WordPress-Seite. Wie weiter oben schon geschrieben, werden wir mit Hacking WP, wohl weiter leben müssen. Denn jede weitere von Laien betrieben WordPress-Webseite unterstützt die Hacker! Jetzt denkst Du bestimmt, was soll das Jetzt, stimmt’s? Richtig, das ist hart, aber die Wahrheit und diese muss ausgesprochen werden. Warum? Weil die meisten Anfänger im Internet glauben, man holt sich einen WordPress-Blog, bei einem der großen Hosting-Anbieter, die mit riesigem Werbeaufwand und kostenlosen Angeboten, die neuen Kunden in ihre Fänge holen und sie dann alleine lassen.

Wie kannst Du so etwas behaupten?

Nun, auch ich habe mal angefangen. Und zwar schon vor mehr als 10 Jahren und beschäftige mich mit dem Thema WordPress seit 2008 und mit WordPress-Sicherheit jetzt seit 2011. 

Auch ich habe viel falsch gemacht und den Anbietern vertraut. Ich will und darf hier keine Namen nennen, aber ich betreibe ca. 50 Webseiten mit WordPress und habe icm laufe der Jahre bestimmt weitere 50 Domains mit WordPress, bei den wohl 10 bekanntesten und größten Hostern betrieben. Das ging von A – Z. Ja, es gibt darunter sowohl Kundenorientiert als auch solche die man besser vergißt. Aber der Fairness halber muss man auch sagen, es kommt auch oft auf die Mitarbeiter im Support an. Diese haben schon Möglichkeiten und können vieles besser machen. Aber ohne ein gewisses Maß an Lernbereitschaft und Zeitaufwand wird es nichts mit der Sicherheit. Oder man nimmt Geld in die Hand und beauftragt einen WordPress-Experten mit der Überwachung seiner WordPress – Webseite. Es kostet immer etwas Zeit oder Geld, wie immer im Leben. Und glaube nicht an die ganzen Werbeversprechen. Egal ob WordPress-Sicherheit oder schnell Reich werden.

Wie kannst Du Dich jetzt schützen?

Aktuell gibt es mehrere Möglichkeiten: 

  1. Geld für einen Expertenservice zu bezahlen.
  2. Profi-WordPress-Plugins zu benutzen – kostet auch regelmäßig Geld
  3. Zeit statt Geld – kostenlose WordPress-Plugins und regelmäßig selbst schauen.

Was sind das für Tools?

Zu Beginn zeige ich dir die verschiedenen grundsätzlich notwendigen Tools

  1. WordPress Backup
  2. WordPress Security-Plugins
  3. WordPress Antispam

Was brauchst Du unbedingt für Tools?

Die wichtigsten grundsätzlich notwendigen Tools sind

  1. WordPress Backup ( UpdraftPlus kostenlos, o. Pro) alternativ (BackupBuddy)
  2. WordPress Security-Plugins ( Wordfence Security, WP Security, Cerber, alle kostenlos oder auch Pro-Versionen verfügbar) alternativ (ithemesSecurity oder ithemes Security Pro)
  3. WordPress Antispam (Antispam Bee zu empfehlen, da es den deutschen Datenschutz Vorschriften entspricht)

Ich empfehle für Dich, wenn Du Starter bist, die kostenlosen Tools. Allerdings erfordern die einige zeit der Einarbeitung und Englisch-Kenntnisse.

Mehr Informationen bekommst Du auch hier.

Hacking WP - Resultate einer Woche auf 2 WordPress-Webseiten

[WP Cerber Security- Weekly report

Du siehst also, nicht jede WordPress-Webseite ist betroffen, aber denke immer daran:

Vorbeugen ist besser als tagelang reparieren!

In Anlehnung an das alte aber wahre Sprichwort. Denn wenn Du einmal tagelang Deinen Computer oder Daten repariert und neu aufgesetzt hast, weißt Du das zu schätzen, denn es ist einfach verlorene Lebenszeit!

Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte”Härten” auf der Plugin-Administrationsseite und aktivieren Sie die Option “Zugriff auf die WordPress REST-API blockieren”. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Einfach genial – genial einfach

C2018 - Einfach Geld verdienen-Einfach genial

Einfach genial – genial einfach! Starte einfach mit C2018, denn C2018 ist und bleibt kostenlos!
Dennoch kannst Du von unserem tollen Konzept massiv profitieren.

Ein frisch gestartetes Online-Projekt, das dazu enorm viel Potential hat! Schaue Dich gerne auf unserem Portal um und nutze die fantastischen Möglichkeiten, welche wir Dir bieten – auch als kostenfreies Mitglied!

Profitiere von den vielen Nutzern und verdiene auf passiv Geld. 

Darum ist dieses Portal und sein Konzept:

Der Startschuss 2018, ist bereits gefallen – aber Du kannst Dich nach wie vor anmelden!

Und gerne begrüße ich Dich bei unseren Interessenten – und Mitglieder.
Das Konzept von C2018 ist einzigartig, denn wir haben uns etwas ganz besonderes einfallen lassen.

Jedes Mitglied wird von der ersten Stunde an verdienen, auch wenn es absolut “untätig” bleibt.

Wie das im Detail funktioniert, das erkläre ich Dir nach und nach in den nächsten Tagen. Denn ich möchte, dass Dich C2018 wirklich überzeugt.

Lass Dich also überraschen und folge idealerweise – kein Zwang – meiner Schritt-für-Schritt Einweisung, welche Du über unser Newsletter-System erhältst.

Anfang 2018 hat es dann auch ein Online-Webinar gegeben, aber wer jetzt schon fleissig dabei ist, wird sich sicherlich dezente Vorteile sichern.

Das Online-Webinar steht Dir als kostenloses Mitglied jederzeit zur Verfügung. Also melde Dich jetzt kostenlos an und profitiere von Anfang an. Den Button findest Du unterhalb.

In diesem Sinne wünsche ich Dir ein erfolgreiches Jahr 2018 und alles Glück dieser Erde 🙂

Neues von der Hacker-Front

Angriffe auf WordPress-Webseite

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
“Über allen Gipfeln ist ruh”
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

Elementor 1.9.0 ist gestartet

Neuerungen zu Elementor 1.9.0

Einführung in Elementor 1.9: Mit Autosave nie das Momentum verlieren

Ich freue mich auf die Einführung von Elementor 1.9, das mit Autosave und einigen anderen UI-Funktionen ausgestattet ist, um Ihren Workflow zu optimieren.

Hey, was zum Teufel ist das für ein Mist! hast du mit meinem”Speichern”-Knopf gemacht?”

ein verwirrter Benutzer

Das hat ein verwirrter Benutzer geschrieben und ich hab das auch gedacht.

Ich weiß, Interface-Änderungen nicht zu erhalten, kann ein schwer zu schluckender Frosch sein.

Es mag schwierig sein, sich an die Änderungen zu gewöhnen, aber ich garantiere Ihnen, dass Sie sich ein paar Stunden nach der Benutzung in die neue Version verlieben werden!

Die heutige neue Elementor-Version 1.9 bringt solche Änderungen mit sich. Dies ist das erste Mal seit über eineinhalb Jahren, dass unser Panel ein größeres Update bekommt.

Wir nehmen diese Änderungen vor, weil die Fähigkeiten von Elementor ständig wachsen und die Schnittstelle mit diesem Wachstum Schritt halten muss. Um dies zu erreichen, müssen wir die Kernelemente ständig erneuern und verbessern, damit Kreative und Designer immer einen Schritt voraus sind.

Wir hören nie auf, innovative Funktionen hinzuzufügen, während wir sicherstellen, dass alles reibungslos für alle Benutzer läuft, nicht nur für die aktuelle Version, sondern auch für zukünftige Versionen von Elementor.

Jede Änderung wurde akribisch aus allen Blickwinkeln betrachtet und auf der Grundlage des Feedbacks unserer Benutzer und unserer eigenen Vision hinzugefügt.

Es dauerte drei Monate, bis wir die beste Lösung auf den Markt gebracht hatten. Nach umfangreichen Tests durch unser Team und die Beta-Testergruppe wurde die Version 1.9 veröffentlicht.

Wir beginnen mit der brandneuen Autosave-Funktion.

Einführung von Autosave

In der Vergangenheit haben wir zwei leistungsstarke Funktionen hinzugefügt, die sich mit der Sicherung Ihrer Arbeit befassen: Revision History zum Speichern einer Revision bei jedem Speichern der Seite und Redo / Undo zum schnellen Rückgängigmachen von Fehlern.

Jetzt fügen wir eine Funktion hinzu, die Ihren Workflow kugelsicher macht und dafür sorgt, dass Ihre Arbeit immer geschützt ist. Mit der neuen Autosave-Funktion wird jede Änderung, die Sie vornehmen, automatisch und automatisch gespeichert!

Auf diese Weise müssen Sie NIEMALS erneut auf Speichern drücken!

Mit der neuen Autosave-Funktion wird jede Änderung, die Sie vornehmen, automatisch und automatisch gespeichert!

Um diese Funktion zu testen:

  • Gehen Sie zu Elementor und nehmen Sie einige Änderungen an Ihrer Seite vor.
  • Warten Sie ein paar Sekunden und stellen Sie fest, dass die Seite automatisch gespeichert wird.
  • Öffnen Sie nun die Speichertaste rechts neben dem Fußbereich, um die Meldung zu sehen:”Zuletzt bearbeitet am 4. Januar, 23:26 Uhr von Autorenname”. (Siehe graues Bild unten)
  • Sie können unter Historie > Revisionen den Datensatz des Autospeichers einsehen.
history-autosave

Nicht nur Autosave.... Auto-Entwurf ist genauso gut!

Jeder Beitrag sollte perfekt aussehen, richtig?

Erinnern Sie sich, als Sie mitten in der Bearbeitung eines Artikels waren und die Besucher die Änderungen sahen, bevor Sie fertig waren?

Nicht mehr! Nun haben Sie einen neuen Status’Entwurf’ für veröffentlichte Beiträge.

Mit dieser Funktion können Sie Ihre Seiten weiter bearbeiten, ohne sich Sorgen machen zu müssen, dass Ihre Besucher (oder Google) Ihre unvollendete Arbeit sehen. Das macht Ihren Arbeitsablauf flexibler, denn Sie können Ihre veröffentlichten Artikel noch einmal durchsehen und sie ohne Angst auf dem neuen Spielplatz”Entwurf” bearbeiten.

Veröffentlichen Sie nur, wenn Sie bereit sind, zu veröffentlichen.
Stellen Sie sich dieses Szenario vor:
Sie bearbeiten eine bereits veröffentlichte Seite. Plötzlich bekommst du einen dringenden Anruf. Sie müssen Ihren Schreibtisch verlassen, aber die Änderungen, die Sie vorgenommen haben, sind noch nicht fertig und können nicht veröffentlicht werden.

Was machen Sie beruflich? Veröffentlichen Sie Ihre unvollständigen Änderungen oder verwerfen Sie sie komplett? Genau hier – unser neues Feature’Publish / Draft’ kommt Ihnen zu Hilfe!

Anstatt nur eine einzige veröffentlichte Live-Version zur Bearbeitung zu haben, haben Sie jetzt zwei Versionen: die veröffentlichte Version, die Ihre Besucher sehen, und eine weitere NEUE Entwurfsversion, an der Sie arbeiten können.

Entwurf-Modus

Von nun an, wenn Sie eine bereits veröffentlichte Seite bearbeiten, werden Sie tatsächlich an dem Entwurf arbeiten. NUR wenn Sie bereit sind, die Änderungen zu veröffentlichen, klicken Sie auf”Veröffentlichen”, um die Änderungen in der Live-Version der Website zum Laufen zu bringen.

Jetzt heißt die Schaltfläche ‘Veröffentlichen / Aktualisieren’ statt ‘Speichern’ Schaltfläche
Die neuen Autosave- und Auto-draft-Funktionen machten den alten Save-Button von Elementor überflüssig. Wir wollten Ihren bisherigen Design-Workflow beibehalten und gleichzeitig verbessern.

Aus diesem Grund haben wir “Speichern” durch “Veröffentlichen” auf neuen Seiten und “Aktualisieren” auf bestehenden Seiten ersetzt. Sie können Seiten direkt aus dem Hauptfenster veröffentlichen oder die Speicheroptionen öffnen, um die Seite als Entwurf oder als Vorlage zu speichern.

Die neuen Schaltflächen ähneln den WordPress-Veröffentlichungsschaltflächen und bieten Ihnen ein einheitlicheres Erscheinungsbild. In WordPress klicken Sie zuerst auf Veröffentlichen und von da an auf Aktualisieren, um Änderungen am veröffentlichten Beitrag vorzunehmen.

Redesigned Footer Panel & Panel Menu

neues-Menü-panel

Um mit unseren Verbesserungen an der Benutzeroberfläche fortzufahren, haben wir unser Fußbereich und das Panel-Menü neu strukturiert.

Das Menü-Panel, das sich über das linke Hamburger-Menü-Symbol befindet, enthält nun nur noch allgemeine Standardeinstellungen (Standardfarben und -schriften, Farbauswahl, globale und Dashboard-Einstellungen). Wir haben andere Einstellungen übernommen, um die Navigation in Elementor zu erleichtern.

In diesem Panel befindet sich auch die Schaltfläche”Verlassen zum Dashboard”. Diese Position oben links entspricht der Position, an der in den meisten Programmen (z.B. Photoshop) der Verlassen-Button angezeigt wird.

Die Fußzeile unten links verweist nun auf die Dokument-Einstellungen. Auf diese Weise werden alle Ihre Dokumenteinstellungen getrennt und sind leichter zugänglich. Dies wird sich als nützlicher erweisen, wenn wir unseren Theme Builder freigeben und Elementor für andere Dokumente als Seiten öffnen.

Schließlich hat die Fußzeile jetzt eine Schaltfläche Vorschau der Änderungen, mit der Sie Ihren Entwurf sehen können, bevor Sie Ihre Änderungen veröffentlichen.

Schauen Sie sich den neuen Look für die Fußzeile an:

Totale Umgestaltung der Bibliothek

Wir haben nun die Template Bibliothek (Library) von Elementor aktualisiert, so dass es jetzt wesentlich einfacher ist, zu den Templates in Bezug auf Funktionalität und Benutzeroberfläche zu navigieren und diese zu sortieren.

Die Elementor Template Bibliothek (Library) ist seit unserem Launch stetig gewachsen und enthält mittlerweile über 130 verschiedene, atemberaubende Templates, mit deren Hilfe Sie eine Vielzahl von Seiten (Landing Pages, Über mich Seiten, Homepages, etc…) in verschiedenen Branchen (Immobilien, Restaurant…) erstellen können.

Da wir immer mehr Vorlagen hinzufügen, ist es immer schwieriger geworden, eine Vorlage für einen bestimmten Zweck oder Bedarf zu finden.

Hier hilft die neue Vorlagenbibliothek, die Such- und Sortierfunktionen bietet.

neue Suche in Bibliothek

Bibliothekssuche

Sie haben jetzt ein Suchfeld für Vorlagen, so dass Sie die richtige Vorlage schneller als je zuvor finden können.
Wir haben jedem Template relevante Tags hinzugefügt, so dass Sie auch nach einer bestimmten Kategorie wie z.B.”Sport” oder”Essen” suchen können. So können Sie jetzt nach Seite, Name, Stichwort oder Zweck suchen.

library-sort-filter

Bibliothekssortier Filter

Mit unserem brandneuen Filtersystem können Sie nach verschiedenen Filtern sortieren:

Neue / alte Vorlagen
Beliebte Vorlage (die am häufigsten heruntergeladenen Vorlagen in der Bibliothek)
Trendige Templates (die meist heruntergeladenen Templates der letzten Tage)
Diese Filter helfen Ihnen, die führenden Templates zu finden, so dass Sie unser Community-Wissen nutzen können und die”Weisheit der Menge” nutzen können, um das richtige Layout auszuwählen.

meine Favoriten

Bibliothek Favoriten

Das Herzsymbol neben jeder Vorlage ermöglicht es Ihnen, jede Vorlage im Register”Meine Favoriten” zu speichern, um einen einfachen Zugriff auf Ihre beliebtesten Vorlagen zu gewährleisten. Auf diese Weise müssen Sie nicht durch die Vorlagen blättern oder eine Suche durchführen, um Vorlagen zu finden, die Sie häufig verwenden.

“Finde die richtige Elementor-Vorlage schneller als je zuvor.”

Sicherheitsrisiken in 3 WordPress-Plugins

Sicherheitsrisiken in WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

  1. Regelmäßige sein WordPress zu sichern
  2. Regelmäßige sein WordPress upzudaten
  3. Regelmäßige seine WordPress-Plugins abzudaten
  4. Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
  5. Wordfence Security
  6. Cerber
  7. All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

1,4 Millarden Passwörter geklaut!

Milliarden Passwörter geklaut

Datenbank mit Milliarden Passwörtern geknackt!

Milliarden Passwörter geklaut, darüber berichtete gestern die Webseite für WordPress-Sicherheit: wordfence.com in einer Mail und in einem neuen Blogartikel, und dass sie jetzt: 

Wordfence hält jetzt 1,4 Milliarden durchgesickerte Passwörter in der Passwort-Überprüfungsfunktion bereit!

Letzte Woche berichteten wir von einem massiven Anstieg der Brute-Force-Login-Versuche nach dem Leck in einer Datenbank mit 1,4 Milliarden Klartext-Anmeldeinformationen. Als Reaktion darauf haben wir diese Liste in unsere eigene große Passwortliste aufgenommen und damit die Performance unserer Passwort-Überprüfung deutlich verbessert.

Das ist die positive Nachricht. Allerdings ist diese Überprüfungs-Funktion nur in der Premiumversion von Wordfence-Security und das erhältst wenn du dir das kostenlose Plugin in deinem WordPress installiert hast. Und nein ich verdiene damit nichts, ich möchte dich nur dazu sensibilisieren auf deine WordPress-Sicherheit auf der einen Seite zu achten und auf der anderen Seite darauf hinweisen wie wichtig ein gutes Passwort ist. Und darüber habe ich schon in diesem Beitrag berichtet. Für alle die sich den Artikel im Wordfence-Blog zu Gemüte führen wollen klicken einfach auf diesen Link.

Jetzt am Ende des Jahres 2017 kann ich sagen, es war ein spannendes Jahr, ich hoffe auch für dich und ich bin gespannt was das Jahr 2018 Interessantes und Neues bringen wird. In diesem Sinn wünsche ich allen Lesern und interessierten ein gesundes und spannendes neues Jahr 2018.

3 WordPress Plugins mit hinterhältigem Schadcode manipuliert

gestern Abend bekam ich folgende Mail von Wordfence.org:

[WordPress Security] Three Plugins Backdoored in Supply Chain Attack

In the last two weeks, the WordPress.org team has closed three plugins because they contained content-injection backdoors. In today’s post we show that they were all purchased by the same criminal actor with the goal of injecting SEO spam into sites running the plugins.

You can find the post on the official Wordfence blog…

Regards,

Mark Maunder 

Defiant CEO

Um was geht es da? Deshalb zuerst die deutsche Übersetzung des Textes:

In den letzten zwei Wochen hat das WordPress.org-Team drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Im heutigen Post zeigen wir, dass sie alle von demselben kriminellen Akteur gekauft wurden, mit dem Ziel, SEO-Spam in Websites zu injizieren, auf denen diese Plugins laufen.

Hier wurden also 3 WordPress-Plugins gekauft und so perfide verändert, dass sie deinen Schadcode enthalten, welcher den von einem Betreiber verfassten Content mit einem Spamcode versieht. im folgenden gilt das für das Plugin Duplicate Page and Post , welches mehr als 50000 auf Webseiten genutzt wird.

Hier der übersetzte Text aus dem Artikel von Wordfence.org

Der Code des Backdoor stellt eine Anfrage an cloud-wp.org und gibt Inhalte zurück, die auf der URL und dem User-Agent basieren, die im Query-String übergeben wurden. Dieser Code läuft bei jeder Anfrage an die Website, so dass er verwendet werden kann, um Inhalte an normale Website-Besucher, Web-Crawler oder die Site-Administratoren zu senden. Wir haben Content Injection in der Vergangenheit gesehen, und es wird üblicherweise verwendet, um getarnte Backlinks, eine Form von SEO-Spam, zu injizieren.

Deshalb schaut nach ob ihr eines der folgenden Plugins verwendet:

Duplicate Page and Post
URL: https://wordpress.org/plugins/duplicate-page-and-post/

No Follow All External Links
URL: https://wordpress.org/plugins/nofollow-all-external-links/

WP No External Links
URL: https://wordpress.org/plugins/wp-noexternallinks/

Jetzt wünsche ich allen Lesern ein gesundes und erfolgreiches Neues Jahr.