wordpress angriffe Archive - Jörg Rothhardt | Webdesign Lausitz & Online Marketing

[BRUTAL] 2939 Attacken in 30 Tagen auf 1 WordPress-Seite

Ist das nicht KRASS - 2939 Attacken auf meine Seite

Hallo, da bin ich wieder einmal mit einem Beitrag zu WordPress-Sicherheit und bestimmt denkst Du jetzt, WOW, das kann doch garnicht wahr sein, Stimmst’s?

Und doch es ist die Wahrheit, die brutale Realität. Und das werde ich Dir jetzt anhand einiger Beispiele zeigen.

Zuerst einmal, auf dieser WordPress-Webseite wurde in den letzten 30 Tagen 501 mal versucht, sich verbotenerweise Zutritt zu verschaffen. Was bei einem WordPress ja bekanntermaßen recht einfach ist, nämlich über den WordPress-Login-Link.

Hast Du das Bild oben gesehen? Das ist das Ergebnis und ich habe mir die Mühe gemacht, diese Zugriffe alle zu blocken. Im Normalfall macht WP-Cerber, das bei zu häufigem Zugriff automatisch. Im Falle dieser Webseite, war es so, dass es fast 500 einzelnen Zugriffe von unterschiedlichen IP’s aus fast allen Ländern dieser Welt waren. So habe ich im Grunde eine kleine Weltreise gemacht. Von A wie Argentinien bis Z wie Zimbabwe. Aber weiter im Text.

Wenn also ein unbedarfter oder unwissender WordPress-Einsteiger kein sicheres Passwort und einen schwer zu erratenden Benutzernamen hat, sind die Probleme schon vorprogramiert.

Wenn Dich das interessiert, dann kannst Du in diesem passenden Beitrag mehr erfahren.

Bei der Recherche zu diesem Beitrag und da ich sowie so einige Updates, ebenso sehr wichtig, erledigen musste, schaute ich mir einige weitere WordPress-Webseiten von mir an und da bekam ich doch einen gehörigen Schreck. Hier unten die Screenshots dazu. ⬇

BRUTAL, oder? Das sind in den letzten 30 Tagen die 2939 Attacken, ohne Rücksicht auf Verluste, auf diese meine Webseite. Und in diesem fall siehst Du es waren Kidnappingversuche nicht Menschen aus Ländern wie Russland oder China. Und ja ich habe bemerkt bei meinen WordPress-Seiten versuchen es menschen aus Russland und China immer wieder. Das ist wirklich unten im folgenden Bild zu sehen. Diese Bild zeigt allerdings nur die Zugriffe der letzten 7 Tage nach Ländern! ⬇

Fazit:

WordPress ist ein tolles OpenSource Projekt, das zu den erfolgreichsten und am häufigsten Systemen zählt um einfach und schnell eine erfolgreiche Webseite zu gestalten. Aber man darf die Regeln der Sicherheit nicht außer Acht lassen. Die folgenden 5 grundlegenden Punkte helfen Dir dabei.

Sicheres Passwort, das bedeutet mindestens 12 Zeichen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen!
Sicherer Benutzernamen, das heißt, kein Admin, keine Vornamen, keine Familien-, Hunde-, Katzen-, oder Kosenamen!
Sicherheits-Plugins verwenden (WP-Cerber, WP Security, Wordfence oder IThemes Security).
Regelmäßige Sicherungen machen mit folgenden Plugins ( Updraft Plus, BackupBuddy, etc.)
Regelmäßige Updates Deines WordPress Systems machen.

Wenn Du diese 5 grundlegenden Punkte beachtest, wirst Du relativ sicher vor bösen Buben im Netz sein. Jedoch es gibt wie überall im Leben keine 100 %igen Sicherheit.

jrothhardt

Jörg Rothhardt ist der Betreiber dieser Webseite zu den Themen: Affiliate-Marketing, WordPress und dem Elementor Pagebuilder inkl. der Gestaltung von Landingpages. Er beschäftigt sich seit 2009 mit WordPress. Seine Liebe und Leidenschaft ist es Menschen zu helfen WordPress und seine tollen Möglichkeiten verstehen zu lernen und das ohne hunderte oder gar tausende für Kurse und Trainings ausgeben zu müssen.

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte“Härten“ auf der Plugin-Administrationsseite und aktivieren Sie die Option „Zugriff auf die WordPress REST-API blockieren“. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

jrothhardt

Neues von der Hacker-Front

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
„Über allen Gipfeln ist ruh“
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

jrothhardt

Sicherheitsrisiken in 3 WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

Regelmäßige sein WordPress zu sichern
Regelmäßige sein WordPress upzudaten
Regelmäßige seine WordPress-Plugins abzudaten
Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
Wordfence Security
Cerber
All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

jrothhardt

3 WordPress Plugins mit hinterhältigem Schadcode manipuliert

gestern Abend bekam ich folgende Mail von Wordfence.org:

[WordPress Security] Three Plugins Backdoored in Supply Chain Attack

In the last two weeks, the WordPress.org team has closed three plugins because they contained content-injection backdoors. In today’s post we show that they were all purchased by the same criminal actor with the goal of injecting SEO spam into sites running the plugins.

You can find the post on the official Wordfence blog…

Regards,

Mark Maunder

Defiant CEO

Um was geht es da? Deshalb zuerst die deutsche Übersetzung des Textes:

In den letzten zwei Wochen hat das WordPress.org-Team drei Plugins geschlossen, weil sie Content-Injection-Backdoors enthielten. Im heutigen Post zeigen wir, dass sie alle von demselben kriminellen Akteur gekauft wurden, mit dem Ziel, SEO-Spam in Websites zu injizieren, auf denen diese Plugins laufen.

Hier wurden also 3 WordPress-Plugins gekauft und so perfide verändert, dass sie deinen Schadcode enthalten, welcher den von einem Betreiber verfassten Content mit einem Spamcode versieht. im folgenden gilt das für das Plugin Duplicate Page and Post , welches mehr als 50000 auf Webseiten genutzt wird.

Hier der übersetzte Text aus dem Artikel von Wordfence.org

Der Code des Backdoor stellt eine Anfrage an cloud-wp.org und gibt Inhalte zurück, die auf der URL und dem User-Agent basieren, die im Query-String übergeben wurden. Dieser Code läuft bei jeder Anfrage an die Website, so dass er verwendet werden kann, um Inhalte an normale Website-Besucher, Web-Crawler oder die Site-Administratoren zu senden. Wir haben Content Injection in der Vergangenheit gesehen, und es wird üblicherweise verwendet, um getarnte Backlinks, eine Form von SEO-Spam, zu injizieren.

Deshalb schaut nach ob ihr eines der folgenden Plugins verwendet:

Duplicate Page and Post
URL: https://wordpress.org/plugins/duplicate-page-and-post/

No Follow All External Links
URL: https://wordpress.org/plugins/nofollow-all-external-links/

WP No External Links
URL: https://wordpress.org/plugins/wp-noexternallinks/

Jetzt wünsche ich allen Lesern ein gesundes und erfolgreiches Neues Jahr.

jrothhardt

9 Schritte um Cerber optimal einzustellen

Cerber - Erste Schritte und keine Bange:

Das Plugin Cerber - Ab sofort mehr WordPress-Sicherheit

Sobald du das Plugin installiert und aktiviert hast, verteidigt es WordPress mit Standardeinstellungen. Sie sind für die meisten Fälle relativ sicher. Um jedoch das Optimale aus Cerber herauszuholen, musset du das Plugin allerdings richtig konfigurieren.

Schritt 1. Stellen Sie sicher, dass Cerber IP-Adressen korrekt erkennt.

Öffnen Sie in einem Browserfenster die Seite Was ist meine IP-Adresse und in einem anderen Browserfenster die Administrationsseite der Cerber Access Lists.
Vergleiche im Dashboard von Cerber, die IP-Adresse, die auf der Seite Was ist meine IP-Adresse angezeigt wurde, mit der IP-Adresse die unter dem Menüpunkt: Zugriffslisten Ihre IP: auf der Administrationsseite zu finden ist.
Du solltest zwei identische IP-Adressen sehen. Wenn du zwei verschiedene IP-Adressen sehen, musst du in den Haupteinstellungen des Plugins überprüfen, ob deine WordPress-Webseite hinter einem sogenannten Reverse-Proxy steht und die obigen Schritte wiederholen.
Wenn du immer noch zwei verschiedene IP-Adressen siehst und die Website nicht hinter einem Proxy steht, befolge diese Anweisung: Problem mit falscher IP-Adressenerkennung lösen
Einen Schritt weitere zu mehr Sicherheit kann sein, wenn Ihr WordPress unter CloudFlare steht. Aber was ist CloudFlare? Das kannst Du in diesem Artikel vom Blog Novatrend aus der Schweiz nachlesen!

Schritt 2. Stelle sicher, dass du E-Mail-Benachrichtigungen erhältst.

Sobald du das Plugin aktiviert hast, sendet es eine Begrüßungs-E-Mail an die Website-Admin-E-Mail-Adresse. Wenn du diese Begrüßungs-E-Mail nicht erhalten hast, vergewissere dich, dass die E-Mail-Adresse, die du auf der Admin-Seite der Benachrichtigung siehst, korrekt ist und dass E-Mails vom Plugin nicht in den Spam-Ordner landen. Wenn du die Begrüßungs-E-Mail nicht erhalten hast, wRist du höchstwahrscheinlich keine weiteren wichtigen Benachrichtigungen erhalten. Du könntest alternativ, mehrere E-Mail-Adressen in das Textfeld:“ E-Mail-Adresse“ unter dem Menüpunkt Benachrichtigungen im Dashboard eingeben.

Um die Auslieferung zu testen, gehe auf die Seite“Haupteinstellungen“ und klicke bei Benachrichtigungen auf den Link: „Klicken für Sendungstest“.

Wenn du mehr darüber lesen möchtest, wie du mobile Benachrichtigungen auf deinem Smartphone einrichten kannst. Hier ist der Beitrag dazu auf Englisch!

Schritt 3. Füge deine Privat- oder Büro-IP-Adresse zur Weißen-Liste hinzu.

Wenn du von zu Hause oder von deinem Büro aus auf einem Computer mit einer statischen IP-Adresse arbeitest, ist es sinnvoll, diese IP-Adresse (oder das gesamte Firmennetzwerk) unter dem Punkt Zugriffslisten in das Feld: Weiße Liste (erlaubten IPs) hinzuzufügen. Du kannst damit zwei Ziele erreichen. Es wird verhindert, dass du durch Zufall von deiner Website ausgeschlossen wirst und schränkt den Zugriff auf XML-RPC, REST API und andere wichtige Teile von WordPress ein.

Lese mehr darüber, wie du Zugriffslisten für WordPress verwenden kannst. (auf Englisch)

Schritt 4. Benutzerdefinierte Anmeldeseite aktivieren.

Um die standardmäßige wp-WordPress-Anmeldeseite, bekanntlich unter:“ deine.Domain/login.php„, vor automatisierten Angriffen zu verstecken, gib eine eigene, versteckte, benutzerdefinierte Anmelde-URL (Anmeldeseite) an und schalte die Standard wp-login.php aus. Hinweis: Wenn Sie ein Caching-Plugin (z.B. W3 Total Cache oder WP Super Cache) verwendest, musst du deine eigene Anmelde-URL zur Liste der Seiten hinzufügen, die nicht gecached werden sollen.

So richtest du eine benutzerdefinierte Anmelde-URL für WordPress ein. (Beitrag auf Englisch)

Schritt 5. Vorauswahl verbotener Benutzernamen einrichten

Gehe zur Dashboard-Seite des Plugins zum Punkt: Benutzer und wenn die Liste noch leer ist, musst auf jeden Fall die folgenden Benutzernamen auf die Liste setzen:

admin, administrator, manager, manager, editor, user, demo, test, den Namen deiner Domain, und deinen „Spitznamen“ aus deinem Profil!

Der Spitzname in Deinem Profil sollte sich auch vom Benutzernamen unterscheiden.

Mehr dazu erfährst du in dem Beitrag: !0 Gründe für eine sichere WordPress-Webseite.

Schritt 6. Aktivieren des Spam-Schutzes.

Die Cerber Antispam-Engine ist mit den meisten Formularherstellern kompatibel und in der Lage, praktisch jedes Formular zu schützen. Überprüfe auf der Antispam-Administrationsseite alle notwendigen Funktionen unter dem Abschnitt Cerber Antispam-Engine. Teste die Formulare auf deiner Website. Wenn einige der Funktionen auf der Website nicht mehr funktionieren, versuchen , die Option: Weniger restriktive Richtlinien verwenden zu aktivieren (AJAX zulassen).

Schließlich lasse das Plugin das Durcheinander mit Spam-Kommentaren bereinigen. Wähle Spam-Kommentare komplett ablehnen oder markiere sie nur als Spam. Aktiviere das automatische Verschieben von Spam in den Papierkorb.

Weiterführende Infos: (auf Englisch)

Hinweis: Aber Vorsicht:

Das ist ein Amerikanisches Plugin: Und in Deutschland sowie in Europa haben wir im Punkt Antispam und Datenschutz schärfere Regeln. Aus diesem Grund ist meine Empfehlung, den Antspam-Schutz hier nicht zu nutzen. Bitte nutzen Sie das Plugin: AntiSpam Bee , das du über den Link auf deinen Rechner laden kannst bzw. direkt über die Plugin installieren auf dein WordPress bekommst.

Schritt 7. Beschränken Sie den Zugriff auf REST API und XML-RPC.

Rufe den Menüpunkt: „Abhärten“ auf.
Aktiviere REST API. deaktivieren. Gebe die Namespace-Ausnahmen für die REST-API an, falls erforderlich. Wenn du z.B. Contactform 7 verwendest, ist der Namen contact-form-7 , für Jetpack ist es jetpack, etc.
Aktiviere REST-API für angemeldete Benutzer zulassen, wenn du die Verwendung der REST-API für jeden autorisierten WordPress-Benutzer ohne Einschränkung zulassen möchtest.
Aktiviere das Kontrollkästchen XML-RPC deaktivieren, wenn du kein Jetpack-Plugin verwendest. Wenn du XML-RPC von bestimmten Hosts verwenden, füge die IP-Adressen dieser Hosts der Weißen-Liste hinzu.

Und hier erfährst du:
Warum ist es wichtig, den Zugriff auf die WordPress REST API einzuschränken? (in Englisch)

Schritt 8. Aktivieren Sie das Senden von bösartigen IP-Adressen an den Plugin-Entwickler.

Lasse das Plugin-Team die Sicherheitsalgorithmen im Plugin verbessern und seine Leistung optimieren, damit sie den Schutz deiner Website ständig verbessern können. Gehe zu den Haupteinstellungen, aktiviere im Abschnitt Aktivität das Kontrollkästchen Cerber Lab-Verbindung. Für eine bessere Sicherheit setze das Cerber Lab Protokoll auf HTTPS.

Schritt 9. Stelle Benachrichtigungen über Ereignisse ein.

Möchtest du eine bestimmte Aktivität im Auge behalten oder benachrichtigt werden, wenn sich ein Benutzer auf deiner Website registriert oder eingeloggt hat? Melde dich für eine bestimmte Aktivität auf der Registerkarte Aktivität an.

Weiterlesen: WordPress-Benachrichtigungen leicht gemacht. (Auch auf Englisch)

Ich hoffe dir hilft dieser Artikel weiter um deine WordPress-Webseite, mehr vor den unzähligen, täglichen Angriffen aus dem Internet zu schützen.

Solltest du Fragen habe oder dir der Beitrag gefallen haben, würde ich mich riesig über einen Kommentar freuen.

P.S.: Dieser Beitrag wurde von mir übersetzt aus dem Englischen. Der Originalbeitrag ist hier zu finden: https://wpcerber.com/getting-started/ Vielen Dank den Team der CYBERTECH INC