Angriffswelle auf WordPress-Seite

Brute-Force-Angriff auf WP_Seite

Hast Du einen solch brutalen Angriff auf Deine WordPress-Webseite schon mal erlebt

Heute Nachmittag, gegen 15:20 Uhr, ging ich an meinen Computer um mal zu schauen was meine WordPress-Multiseite so macht. Und was ich da sah, hat mir fast die Worte fehlen lassen. Aber sie selbst:

WP-Cerber Schnellansicht im WP-Dashboard.

Ich traute meinen Augen nicht. Allerdings bot sich dieses Bild meinen Augen erst nachdem ich den Schaden einigermaßen im Griff hatte. 

Nun zu den Fakten:

Wir hatten um die Mittagszeit Besuch und danach haben wir einige Zeit geplaudert. Ich hatte im Backend der WordPress-Seite gearbeitet und kam wie oben erwähnt an den Rechner und das Backend von Cerber zeiget 178 aktuelle Sperren an. Warum? Nun heute wurde ich Zeuge eines massiven Angriffes auf diese Webseite.

Um 14:46 Uhr hat der erste versucht sich auf WordPress einzuloggen und so ging das im Minutentakt weiter bis 16:47 Uhr. Angriff auf Angriff.

Gott sei Dank habe ich WP-Cerber installiert und eingerichtet so dass jeder der sich mit falschem Benutzernamen anmelden will sofort gesperrt und nach 3 maligem Versuch für 6 Minuten gesperrt wird. Und ja ich kenne das, dass das immer wieder passiert, dass sich Leute versuchen in WordPress-Webseiten einzudringen. Regelmäßig wacht WP-Cerber darüber, aber meist sind es nur wenige Versuche im Monat. Das Plugin schützt Deine WordPress-Webseite vor solchen Angriffen. Allerdings bietet es, wie viele andere Schutzmechanismen, keinen 100% Schutz.

Der für mich wichtigste Schutz Deines WordPress-Zugangs und die Sicherheit wirst Du nur über ein gutes Passwort erreichen.

In meinem Beitrag über WordPress Sicherheit kannst Du mehr darüber erfahren, besonders über Passwörter und Benutzernamen.

Fazit:

Was lernen wir daraus? Man kann sich nicht genug um die Sicherheit seiner WordPress-Seite selbst kümmern. Und ich kann nur an Dich appellierenNimm das Ganze nicht auf die leichte Schulter. In fast 40 Jahren Erfahrung mit EDV gilt noch immer das Wort, Sicherheit ist durch nichts zu ersetzen als durch noch mehr Sicherheit.

Die aktuellen Ereignisse der letzten Tage haben das deutlich gemacht. Sichern und absichern so weit es geht. Aber auch nicht in Panik verfallen. Es braucht nur wenig um auf der sicheren Seite zu sein. Regelmäßige Backups und ein gutes, sichere Passwort. Und das für jeden einzelnen Zugang. Viel Erfolg und eine sichere WordPress-Webseite.

[Echt Krass] Hacking WP und kein Ende

[Echt Krass] Hacking WP und kein Ende

Neues zum WordPress-Hacking

Hacking WP, das ist wohl jedem jetzt klar, WordPress ist logischerweise infolge seiner enormen Verbreitung ein willkommenes Ziel potenzieller Hacker und Betreiber von Botnetzen. Und ist solche eine simple ungesicherte WordPress-Webseite erst einmal in der Hand solcher Verbrecher, wird diese zum Versand von Spam-Mails mißbraucht, oder es wird Malware im Internet gestreut. Und das, ohne das der eigentliche Inhaber der Webseite etwas davon bemerkt. Oft werden die einzelnen Webseiten dann zu weiteren Netzen zusammen geschloßen, damit auch der Hoster nicht vom Spam-Mail-Versand mitbekommt. Diese Hacker und Botnetze werden von Profis betrieben, die genau wissen was sie tun und durch die permanenten Angriffe versuchen, die Schwachstellen eines WordPress-Blogs zu eruieren.

Wie kann das verhindert werden?

Zuerst einmal die schlechte Nachricht. Es gibt keinen 100 % Schutz für Deine WordPress-Seite. Wie weiter oben schon geschrieben, werden wir mit Hacking WP, wohl weiter leben müssen. Denn jede weitere von Laien betrieben WordPress-Webseite unterstützt die Hacker! Jetzt denkst Du bestimmt, was soll das Jetzt, stimmt’s? Richtig, das ist hart, aber die Wahrheit und diese muss ausgesprochen werden. Warum? Weil die meisten Anfänger im Internet glauben, man holt sich einen WordPress-Blog, bei einem der großen Hosting-Anbieter, die mit riesigem Werbeaufwand und kostenlosen Angeboten, die neuen Kunden in ihre Fänge holen und sie dann alleine lassen.

Wie kannst Du so etwas behaupten?

Nun, auch ich habe mal angefangen. Und zwar schon vor mehr als 10 Jahren und beschäftige mich mit dem Thema WordPress seit 2008 und mit WordPress-Sicherheit jetzt seit 2011. 

Auch ich habe viel falsch gemacht und den Anbietern vertraut. Ich will und darf hier keine Namen nennen, aber ich betreibe ca. 50 Webseiten mit WordPress und habe icm laufe der Jahre bestimmt weitere 50 Domains mit WordPress, bei den wohl 10 bekanntesten und größten Hostern betrieben. Das ging von A – Z. Ja, es gibt darunter sowohl Kundenorientiert als auch solche die man besser vergißt. Aber der Fairness halber muss man auch sagen, es kommt auch oft auf die Mitarbeiter im Support an. Diese haben schon Möglichkeiten und können vieles besser machen. Aber ohne ein gewisses Maß an Lernbereitschaft und Zeitaufwand wird es nichts mit der Sicherheit. Oder man nimmt Geld in die Hand und beauftragt einen WordPress-Experten mit der Überwachung seiner WordPress – Webseite. Es kostet immer etwas Zeit oder Geld, wie immer im Leben. Und glaube nicht an die ganzen Werbeversprechen. Egal ob WordPress-Sicherheit oder schnell Reich werden.

Wie kannst Du Dich jetzt schützen?

Aktuell gibt es mehrere Möglichkeiten: 

  1. Geld für einen Expertenservice zu bezahlen.
  2. Profi-WordPress-Plugins zu benutzen – kostet auch regelmäßig Geld
  3. Zeit statt Geld – kostenlose WordPress-Plugins und regelmäßig selbst schauen.

Was sind das für Tools?

Zu Beginn zeige ich dir die verschiedenen grundsätzlich notwendigen Tools

  1. WordPress Backup
  2. WordPress Security-Plugins
  3. WordPress Antispam

Was brauchst Du unbedingt für Tools?

Die wichtigsten grundsätzlich notwendigen Tools sind

  1. WordPress Backup ( UpdraftPlus kostenlos, o. Pro) alternativ (BackupBuddy)
  2. WordPress Security-Plugins ( Wordfence Security, WP Security, Cerber, alle kostenlos oder auch Pro-Versionen verfügbar) alternativ (ithemesSecurity oder ithemes Security Pro)
  3. WordPress Antispam (Antispam Bee zu empfehlen, da es den deutschen Datenschutz Vorschriften entspricht)

Ich empfehle für Dich, wenn Du Starter bist, die kostenlosen Tools. Allerdings erfordern die einige zeit der Einarbeitung und Englisch-Kenntnisse.

Mehr Informationen bekommst Du auch hier.

Hacking WP - Resultate einer Woche auf 2 WordPress-Webseiten

[WP Cerber Security- Weekly report

Du siehst also, nicht jede WordPress-Webseite ist betroffen, aber denke immer daran:

Vorbeugen ist besser als tagelang reparieren!

In Anlehnung an das alte aber wahre Sprichwort. Denn wenn Du einmal tagelang Deinen Computer oder Daten repariert und neu aufgesetzt hast, weißt Du das zu schätzen, denn es ist einfach verlorene Lebenszeit!

Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte”Härten” auf der Plugin-Administrationsseite und aktivieren Sie die Option “Zugriff auf die WordPress REST-API blockieren”. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Neues von der Hacker-Front

Angriffe auf WordPress-Webseite

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
“Über allen Gipfeln ist ruh”
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

Sicherheitsrisiken in 3 WordPress-Plugins

Sicherheitsrisiken in WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

  1. Regelmäßige sein WordPress zu sichern
  2. Regelmäßige sein WordPress upzudaten
  3. Regelmäßige seine WordPress-Plugins abzudaten
  4. Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
  5. Wordfence Security
  6. Cerber
  7. All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

3 WordPress Plugins mit hinterhältigem Schadcode manipuliert

gestern Abend bekam ich folgende Mail von Wordfence.org:

[WordPress Security] Three Plugins Backdoored in Supply Chain Attack

In the last two weeks, the WordPress.org team has closed three plugins because they contained content-injection backdoors. In today’s post we show that they were all purchased by the same criminal actor with the goal of injecting SEO spam into sites running the plugins.

You can find the post on the official Wordfence blog…

Regards,

Mark Maunder 

Defiant CEO

Um was geht es da? Deshalb zuerst die deutsche Übersetzung des Textes:

In den letzten zwei Wochen hat das WordPress.org-Team drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Im heutigen Post zeigen wir, dass sie alle von demselben kriminellen Akteur gekauft wurden, mit dem Ziel, SEO-Spam in Websites zu injizieren, auf denen diese Plugins laufen.

Hier wurden also 3 WordPress-Plugins gekauft und so perfide verändert, dass sie deinen Schadcode enthalten, welcher den von einem Betreiber verfassten Content mit einem Spamcode versieht. im folgenden gilt das für das Plugin Duplicate Page and Post , welches mehr als 50000 auf Webseiten genutzt wird.

Hier der übersetzte Text aus dem Artikel von Wordfence.org

Der Code des Backdoor stellt eine Anfrage an cloud-wp.org und gibt Inhalte zurück, die auf der URL und dem User-Agent basieren, die im Query-String übergeben wurden. Dieser Code läuft bei jeder Anfrage an die Website, so dass er verwendet werden kann, um Inhalte an normale Website-Besucher, Web-Crawler oder die Site-Administratoren zu senden. Wir haben Content Injection in der Vergangenheit gesehen, und es wird üblicherweise verwendet, um getarnte Backlinks, eine Form von SEO-Spam, zu injizieren.

Deshalb schaut nach ob ihr eines der folgenden Plugins verwendet:

Duplicate Page and Post
URL: https://wordpress.org/plugins/duplicate-page-and-post/

No Follow All External Links
URL: https://wordpress.org/plugins/nofollow-all-external-links/

WP No External Links
URL: https://wordpress.org/plugins/wp-noexternallinks/

Jetzt wünsche ich allen Lesern ein gesundes und erfolgreiches Neues Jahr.