[Echt Krass] Hacking WP und kein Ende

[Echt Krass] Hacking WP und kein Ende

Neues zum WordPress-Hacking

Hacking WP, das ist wohl jedem jetzt klar, WordPress ist logischerweise infolge seiner enormen Verbreitung ein willkommenes Ziel potenzieller Hacker und Betreiber von Botnetzen. Und ist solche eine simple ungesicherte WordPress-Webseite erst einmal in der Hand solcher Verbrecher, wird diese zum Versand von Spam-Mails mißbraucht, oder es wird Malware im Internet gestreut. Und das, ohne das der eigentliche Inhaber der Webseite etwas davon bemerkt. Oft werden die einzelnen Webseiten dann zu weiteren Netzen zusammen geschloßen, damit auch der Hoster nicht vom Spam-Mail-Versand mitbekommt. Diese Hacker und Botnetze werden von Profis betrieben, die genau wissen was sie tun und durch die permanenten Angriffe versuchen, die Schwachstellen eines WordPress-Blogs zu eruieren.

Wie kann das verhindert werden?

Zuerst einmal die schlechte Nachricht. Es gibt keinen 100 % Schutz für Deine WordPress-Seite. Wie weiter oben schon geschrieben, werden wir mit Hacking WP, wohl weiter leben müssen. Denn jede weitere von Laien betrieben WordPress-Webseite unterstützt die Hacker! Jetzt denkst Du bestimmt, was soll das Jetzt, stimmt’s? Richtig, das ist hart, aber die Wahrheit und diese muss ausgesprochen werden. Warum? Weil die meisten Anfänger im Internet glauben, man holt sich einen WordPress-Blog, bei einem der großen Hosting-Anbieter, die mit riesigem Werbeaufwand und kostenlosen Angeboten, die neuen Kunden in ihre Fänge holen und sie dann alleine lassen.

Wie kannst Du so etwas behaupten?

Nun, auch ich habe mal angefangen. Und zwar schon vor mehr als 10 Jahren und beschäftige mich mit dem Thema WordPress seit 2008 und mit WordPress-Sicherheit jetzt seit 2011. 

Auch ich habe viel falsch gemacht und den Anbietern vertraut. Ich will und darf hier keine Namen nennen, aber ich betreibe ca. 50 Webseiten mit WordPress und habe icm laufe der Jahre bestimmt weitere 50 Domains mit WordPress, bei den wohl 10 bekanntesten und größten Hostern betrieben. Das ging von A – Z. Ja, es gibt darunter sowohl Kundenorientiert als auch solche die man besser vergißt. Aber der Fairness halber muss man auch sagen, es kommt auch oft auf die Mitarbeiter im Support an. Diese haben schon Möglichkeiten und können vieles besser machen. Aber ohne ein gewisses Maß an Lernbereitschaft und Zeitaufwand wird es nichts mit der Sicherheit. Oder man nimmt Geld in die Hand und beauftragt einen WordPress-Experten mit der Überwachung seiner WordPress – Webseite. Es kostet immer etwas Zeit oder Geld, wie immer im Leben. Und glaube nicht an die ganzen Werbeversprechen. Egal ob WordPress-Sicherheit oder schnell Reich werden.

Wie kannst Du Dich jetzt schützen?

Aktuell gibt es mehrere Möglichkeiten: 

  1. Geld für einen Expertenservice zu bezahlen.
  2. Profi-WordPress-Plugins zu benutzen – kostet auch regelmäßig Geld
  3. Zeit statt Geld – kostenlose WordPress-Plugins und regelmäßig selbst schauen.

Was sind das für Tools?

Zu Beginn zeige ich dir die verschiedenen grundsätzlich notwendigen Tools

  1. WordPress Backup
  2. WordPress Security-Plugins
  3. WordPress Antispam

Was brauchst Du unbedingt für Tools?

Die wichtigsten grundsätzlich notwendigen Tools sind

  1. WordPress Backup ( UpdraftPlus kostenlos, o. Pro) alternativ (BackupBuddy)
  2. WordPress Security-Plugins ( Wordfence Security, WP Security, Cerber, alle kostenlos oder auch Pro-Versionen verfügbar) alternativ (ithemesSecurity oder ithemes Security Pro)
  3. WordPress Antispam (Antispam Bee zu empfehlen, da es den deutschen Datenschutz Vorschriften entspricht)

Ich empfehle für Dich, wenn Du Starter bist, die kostenlosen Tools. Allerdings erfordern die einige zeit der Einarbeitung und Englisch-Kenntnisse.

Mehr Informationen bekommst Du auch hier.

Hacking WP - Resultate einer Woche auf 2 WordPress-Webseiten

[WP Cerber Security- Weekly report

Du siehst also, nicht jede WordPress-Webseite ist betroffen, aber denke immer daran:

Vorbeugen ist besser als tagelang reparieren!

In Anlehnung an das alte aber wahre Sprichwort. Denn wenn Du einmal tagelang Deinen Computer oder Daten repariert und neu aufgesetzt hast, weißt Du das zu schätzen, denn es ist einfach verlorene Lebenszeit!

WordPress-Sicherheit interessiert mich nicht

WordPress-Sicherheit, interessiert kein Schwein, oder?

WordPress-Sicherheit interessiert offensichtlich kein Schwein, oder?

In den letzten tagen habe ich, aus wichtigem Anlass, mehrere Artikel zum Thema “WordPress-Sicherheit” veröffentlicht. Und damit scheine ich nicht den Nerv meiner bisherigen Leser getroffen zu haben! Woran liegt das? 

  1. Ist das Thema nicht interessant?
  2. Ist WordPress-Sicherheit unwichtig?
  3. Oder, ist es weil du nicht davon betroffen zu sein scheinst?
  4. Vielleicht gibt es ganz andere wichtige Themen für dich!

OK, das kann ich alles gut verstehen. Du bist im Internet unterwegs um Geld zu verdienen, stimmt’s? Warum solltest Du dich trotzdem oder gerade deshalb mit diesem Thema beschäftigen! 

Bestimmt denkst Du, mir ist ja bisher noch nichts passiert und alles ist sicher mit WordPress. Denn WordPress ist eines der erfolgreichsten Systeme im Internet und mein Hoster wird schon dafür sorgen, das alles sicher ist.

Leute, glaubt ihr alle noch an den Weihnachtsmann? Es gibt nichts was 100 % sicher ist auf dieser Welt und das sollte wohl JEDEM schon klar geworden sein. Oder glaubst du, dass dein Hoster, dem du monatlich lächerliche 3-5 € für das Hosting und die Domain bezahlt, da ein Auge darauf haben kann, ob dein WordPress oder deine Domain zum SPAMEN auf der ganzen Welt benutzt wird. 

DU allein bist für die Sicherheit deines WordPress-Accounts zuständig und ja ich weis, das ist Arbeit! Woher weis ich das, weil ich ca. 50 WordPress-Seiten betreue und fast täglich Plugins und WordPress updaten muss.

tägliche Mitteilung auf einen meiner Server
jeden Tag 1 Mail, wenn Updates vorhanden sind
Übersicht welche Plugin ein Update brauchen

Mit großer Sicherheit, denkst du jetzt bestimmt, ich hab ja nur 1 o. 2 Blogs und die sind so neu die kennt ja keiner.

Bist Du dir da wirklich sicher? Hast Du das geprüft?

Schaue mal hier, da habe ich beschrieben, wie es mir geht und was dir dabei hilft. Und unterhalb habe ich dir eine Bild gemacht, das zeigt mit welchen Benutzernamen sich Häcker versuchen Zutritt zu verschaffen. Auf dem Screenshot den ich gerade gemacht habe, sieht Du, dass 82 versuche unternommen wurden mit 5 verschiedenen Benutzernamen.

Desweiteren wurden in den letzten 3 Tagen 28 Versuche unternommen, die Dank eines sehr starken Passwortes und eines guten Benutzernamens nicht überwunden werden. Mein Schutz ist sehr gut aber nicht 100%. Obwohl das Plugin WP-Cerber mir sagt mein Passwort könnte erst in 2 Millonen Jahren geknackt werden (nach dem jetzigen Kenntnisstand).

Aber der heutige Wissensstand, ist der Irrtum von morgen!

Darüber sollte sich jeder im klaren sein.

Top 5 Login failed

Du siehst hier ganz deutlich, meine Aussage bestätigt was die Haupt-Angriffspunkte der Häcker sind: “Nämlich hauptsächlich 5 Worte, die da lauten”:

  1. Admin
  2. Domainname
  3. Administrator
  4. Spitzname des Benutzers
  5. Benutzername

Darum mein Apell an dich, beschäftige dich einmal mit diesem Thema und richte dir zumindest das Plugin WP-Cerber auf deinem WordPress ein. Das kannst du dir über den Link oben im Text herunterladen oder du gibst in deinem WordPress unter Plugins  >> installieren den Suchbegriff cerber ein und installierst es dort. Falls Du Fragen hast, gib diese unten im Kommentar ein und ich beantworte diese zeitnah.

Jetzt wünsche ich dir noch eine ruhige Adventszeit, frohe und gesegnete Weihnachten und ein erfolgreiches Jahr 2018.

Herzliche Grüße aus Calau

Jörg Rothhardt

WordPress-Sicherheit mit WP-Cerber

WP-Cerber Security & Antispam-Plugin

Was ist denn jetzt Cerber?

DIE ABSICHERUNG deines WORDPRESS MIT WP CERBER!

Cerber Security & Antispam biete dir Schutz vor Hackerangriffen und Bots. Beschränken Sie den Zugriff mit IP-Zugriffslisten, verfolgen Sie Benutzer- und Bot-Aktivitäten.Mit  reCaptcha. Und beschränke Anmeldeversuche Deiner FEINDE!

WordPress-Sicherheit ist aus gutem Grund ein beliebtes und wichtiges Thema. Bedenken Sie: WordFence hat im Januar 2017 durchschnittlich 26 Millionen Brute-Force-Angriffe auf WordPress-Websites pro Tag gemeldet.  In demselben Bericht wurden für denselben Zeitraum komplexere, gezielte Angriffe mit durchschnittlich 4,7 Millionen Webseiten pro Tag registriert.
Das sind eine Menge Leute (und Bots), die dir nicht wohl gesonnen sind. Die Sicherheit Deiner WordPress-Website ist wirklich eine enorm grundlegende Sache. Und ein wesentlicher Ort, um es zu sichern, ist auf dem Login-Bildschirm ein wirklich sicheres Passwort zu haben!

Darum habe ich mich umgeschaut, da ich zum ersten auch die obige Aussage bestätigen kann und zweitens, das bisher und zum Teil immer noch empfohlene Plugin “WP Limit Login Attempts” seit Jahren nicht mehr weiter entwickelt und betreut wird. Dadurch ist “WP Limit Login Attempts” sehr unsicher geworden. Jedoch hatte ich bisher keine Alternative gesucht und gefunden. 

Aber JETZT! Ich präsentiere hier:

WP-Cerber Security & Antispam-Plugin

Was bewirkt diese Plugin WP-CERBER!

In den letzten Tagen habe ich, aus gegebenem Anlass, ja schon zu diesem Thema WordPress-Sicherheit einen Artikel geschrieben, den du hier nachlesen kannst. Bisher benutzte ich das Plugin “WP Limit Login Attempts” und ja ich weiß, das es nicht ganz sicher war. Aber es hat mir in der letzten Zeit auf 2 WordPress-Seiten sehr viele versuche angezeigt meinen Blog zu knacken. Was Gott sei Dank nicht gelungen ist. 

Darum auch diese Artikel-Serie, da sich wohl die Allermeisten nicht der enormen Bedrohung wirklich bewußt sind und diesen Punkt keine wirkliche Beachtung schenken. Aus diesem einfachen Grund habe ich mich umgesehen und das WP-Cerber Security & Antispam Plugin mir näher angesehen und am Wochenende auf 4 WordPress-Seiten installiert.

Hier unten siehst du auf 2 Bildern, wie massiv die Angriffe dieser Hacker sein können.

Beachte BITTE, das ist das Ergebnis nur eines einzigen Tages. Auf der rechten Abbildung siehst du über 700 Angriffe. Darum ist es so wichtig, dass auch DU dich damit auseinandersetzt.

gul-WP Cerber Security: report
EpM-WP Cerber Security report