Cerber Blacklist

WordPress-Sicherheit

Live dabei: Wie ich Eindringlinge aussperre!

WordPress Sicherheit erhöhen! Hallo sei recht herzlich begrüßt und sei Live dabei, wie ich auf einem meiner WordPress-Webseiten die diversen versuchten IP-Adressen, die versuchten, auf meine Webseite, über den WP-Login einzudringen. Dazu bin ich ins Backend, meiner Webseite, von WordPress und habe zuerst ein Update der Plugins gemacht. Im Anschluss habe ich über die Dashboard – Startseite auf das Plugin WP-Cerber zugegriffen und mir die Aktivitäten der letzten Tage angesehen. Dabei erkennst Du, dass viele IP-Adressen angezeigt werden, die zwar von Cerber geblockt wurden, aber noch nicht auf der sogenannten “Black-Liste” stehen.

WordPress Sicherheit erhöhen. Woran kann man das erkennen? Die IP-Adressen auf der “Black-Liste” sind an einem schwarzen Quadrat vor der IP-Adresse auszumachen. Das weitere Vorgehen ist dann, die einzelnen IP-Adressen zu öffnen. Ich mache das in einem neuen Tab und öffne meist 12-13 Adressen auf einmal. Warum? Weil auf einer Seite 25 IP-Adressen zu sehen sind. Da ich meist nur 1 x alle 14 Tage danach schaue sind es doch einige Versuche, wie Du im Live-Video sehen wirst. 

WordPress Sicherheit erhöhen. Weshalb mache ich das? Bestimmt erkennst Du im Video auch, dass von manchen IP-Adressen des öfterenVersuche gestartet werden. Diese Versuche sind meist von Bots, die einfach nur ein Programm abspulen und bestimmte Bereiche an IP-Adressen abarbeiten. Dabei werden 2 Bereiche versucht zu knacken. Bereich 1 ist der Login, Das heisst man versucht auf die Datei “wp-login.php” mit Standard-Benutzernamen zuzugreifen und probiert dann verschiedene Passwortkombinationen aus. Da ich immer ein sehr individuellen Benutzername verwende und die häufigsten bekannten Standard-Benutzernamen in einer Datei im Plugin WP-Cerber gespeichert habe, scheitern die Bots sofort und die IP-Adresse wird erst einmal geblockt. Das ist sehr gut, aber es reicht nicht. Und aus welchem Grund? Da die Bots ja Programme sind, versuchen sie es immer wieder und das bis zu 100 Mal und mehr am Tag. Und das ist nur nervig und kostet eventuell Geld, wenn Du nicht über unbegrenztes Traffic-Volumen verfügst. 

Der zweite Bereich sind Bots oder Programme, die über die sogenannte REST-API versuchen zuzugreifen. Das ist eine von WordPress frei gegebene Schnittstelle um Plugin etc. leichteren Zugang zu WordPress zu gewähren, aber leider nicht sehr sicher ist und so zum offenen Scheunentor für Hacker werden kann, wenn Sie nicht verschlossen wird. Du wirst ja auch nicht Dein Auto abschließen und mit offenem Heckfenster auch einem Parkplatz in der City tagelang stehen lassen, oder? So ist die REST API Schnittstelle zu bewerten, im Moment und deshalb kann ich Dir nur raten ein Sicherheits-Plugin zu nutzen. Auch wenn es Dir keine 100 % Sicherheit bietet, die es ja, wie Dir bekannt ist, im ganzen Leben nicht gibt.

Über dieses Thema habe ich schon im diesem Beitrag berichtet:

REST API-WordPress-Sicherheit

WordPress Sicherheit erhöhen! Fazit:

WordPress Sicherheit erhöhen. Du hast also gesehen, was es alles so auf einer Webseite im Hintergrund geben kann. Du hast jetzt bestimmt einen Ahnung auf was es ankommt und wirst daraus die richtigen Schlüsse ziehen. Dabei wünsche ich Dir viel Erfolg und allzeit einen gut funktionierenden WordPress Blog. 

⬇︎ Hier unten findest Du das Live-Video  ⬇︎

WordPress-Sicherheit
Video anzeigen?

Wenn du eingebettete Videos auf dieser Seiten sehen möchtest, werden personenbezogene Daten (IP-Adresse) an den Betreiber des Videoportals gesendet. Daher ist es möglich, dass der Videoanbieter deine Zugriffe speichert und dein Verhalten analysieren kann.

Wenn du den Link hier unten anklickst, wird ein Cookie auf deinem Computer gesetzt, sodass die Website weiß, dass du der Anzeige von eingebetteten Videos in deinem Browser zugestimmt hast. Dieses Cookie speichert keine personenbezogenen Daten, es erkennt lediglich, dass eine Einwilligung für die Anzeige der Videos in deinem Browser erfolgt ist.

Erfahre mehr über diesen Aspekt der Datenschutzeinstellungen auf dieser Seite: Datenschutzerklärung

Videos anzeigen

Alternativ kannst du auch diesen Link benutzen, der dich direkt zum Video auf die Website des Videoanbieters bringt: https://www.youtube.com/watch?v=j-v1M1bdh7Y&feature=youtu.be

Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte”Härten” auf der Plugin-Administrationsseite und aktivieren Sie die Option “Zugriff auf die WordPress REST-API blockieren”. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Sicherheitsrisiken in 3 WordPress-Plugins

Sicherheitsrisiken in WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

  1. Regelmäßige sein WordPress zu sichern
  2. Regelmäßige sein WordPress upzudaten
  3. Regelmäßige seine WordPress-Plugins abzudaten
  4. Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
  5. Wordfence Security
  6. Cerber
  7. All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

WordPress-Sicherheit interessiert mich nicht

WordPress-Sicherheit, interessiert kein Schwein, oder?

WordPress-Sicherheit interessiert offensichtlich kein Schwein, oder?

In den letzten tagen habe ich, aus wichtigem Anlass, mehrere Artikel zum Thema “WordPress-Sicherheit” veröffentlicht. Und damit scheine ich nicht den Nerv meiner bisherigen Leser getroffen zu haben! Woran liegt das? 

  1. Ist das Thema nicht interessant?
  2. Ist WordPress-Sicherheit unwichtig?
  3. Oder, ist es weil du nicht davon betroffen zu sein scheinst?
  4. Vielleicht gibt es ganz andere wichtige Themen für dich!

OK, das kann ich alles gut verstehen. Du bist im Internet unterwegs um Geld zu verdienen, stimmt’s? Warum solltest Du dich trotzdem oder gerade deshalb mit diesem Thema beschäftigen! 

Bestimmt denkst Du, mir ist ja bisher noch nichts passiert und alles ist sicher mit WordPress. Denn WordPress ist eines der erfolgreichsten Systeme im Internet und mein Hoster wird schon dafür sorgen, das alles sicher ist.

Leute, glaubt ihr alle noch an den Weihnachtsmann? Es gibt nichts was 100 % sicher ist auf dieser Welt und das sollte wohl JEDEM schon klar geworden sein. Oder glaubst du, dass dein Hoster, dem du monatlich lächerliche 3-5 € für das Hosting und die Domain bezahlt, da ein Auge darauf haben kann, ob dein WordPress oder deine Domain zum SPAMEN auf der ganzen Welt benutzt wird. 

DU allein bist für die Sicherheit deines WordPress-Accounts zuständig und ja ich weis, das ist Arbeit! Woher weis ich das, weil ich ca. 50 WordPress-Seiten betreue und fast täglich Plugins und WordPress updaten muss.

tägliche Mitteilung auf einen meiner Server
jeden Tag 1 Mail, wenn Updates vorhanden sind
Übersicht welche Plugin ein Update brauchen

Mit großer Sicherheit, denkst du jetzt bestimmt, ich hab ja nur 1 o. 2 Blogs und die sind so neu die kennt ja keiner.

Bist Du dir da wirklich sicher? Hast Du das geprüft?

Schaue mal hier, da habe ich beschrieben, wie es mir geht und was dir dabei hilft. Und unterhalb habe ich dir eine Bild gemacht, das zeigt mit welchen Benutzernamen sich Häcker versuchen Zutritt zu verschaffen. Auf dem Screenshot den ich gerade gemacht habe, sieht Du, dass 82 versuche unternommen wurden mit 5 verschiedenen Benutzernamen.

Desweiteren wurden in den letzten 3 Tagen 28 Versuche unternommen, die Dank eines sehr starken Passwortes und eines guten Benutzernamens nicht überwunden werden. Mein Schutz ist sehr gut aber nicht 100%. Obwohl das Plugin WP-Cerber mir sagt mein Passwort könnte erst in 2 Millonen Jahren geknackt werden (nach dem jetzigen Kenntnisstand).

Aber der heutige Wissensstand, ist der Irrtum von morgen!

Darüber sollte sich jeder im klaren sein.

Top 5 Login failed

Du siehst hier ganz deutlich, meine Aussage bestätigt was die Haupt-Angriffspunkte der Häcker sind: “Nämlich hauptsächlich 5 Worte, die da lauten”:

  1. Admin
  2. Domainname
  3. Administrator
  4. Spitzname des Benutzers
  5. Benutzername

Darum mein Apell an dich, beschäftige dich einmal mit diesem Thema und richte dir zumindest das Plugin WP-Cerber auf deinem WordPress ein. Das kannst du dir über den Link oben im Text herunterladen oder du gibst in deinem WordPress unter Plugins  >> installieren den Suchbegriff cerber ein und installierst es dort. Falls Du Fragen hast, gib diese unten im Kommentar ein und ich beantworte diese zeitnah.

Jetzt wünsche ich dir noch eine ruhige Adventszeit, frohe und gesegnete Weihnachten und ein erfolgreiches Jahr 2018.

Herzliche Grüße aus Calau

Jörg Rothhardt

Das neue Elementor Beitrags Widget

Was ist jetzt ganz neu in Elementor PRO?

Neu ist seit heute “Das neue Beitrags Widget” ist seit heute in der neuen Version 10.2 von Elementor Pro integriert. Was bietet nun das Beitrags Widget für zusätzliche Funktionen? 

Zu nennen sind 5 zusätzliche Elemente o. Widgets, die unter dem Punkt “Themen Elements” in dem Seiten-Widget zusammen gefasst sind und in Zukunft Teil des mit Ungeduld erwarteten Elementor Theme Builder sein werden.

Dadurch wirst du bald imstande sein zusätzlich Seiten und Elementen auch Header, Footer, Blogbeiträge und weiteres mit Elementor zu realisieren. Das aber nur am Rande erwähnt.

Jetzt stelle ich dir die ersten, der neuen Widgets hier vor. Und 2 davon habe ich schon auf dieser Seite in dem Beitrag unterhalb eingebaut. Da ist zum einen die AutorenBox, welche du hier siehst und zum anderen gibt es darunter noch die Beitragsnavigation. Dort kann sich der Leser bequem durch die Beiträge klicken. 

Als weiter Punkte, die man im Moment hinzufügen kann, sind die Widgets: “WordPress Kommentare”, die”Yoast Breadcrumps” und das “Suchen Widget” zu nennen.

Unter den Breadcrumps (Brotkrümeln) versteht man eine Navigationsleiste, welche dir bzw. Dem Leser anzeigt, wo er sich gerade befindet. Oberhalb der Überschrift in diesem Beitrag habe ich das Widget eingebaut.

Ich hoffe dir gefällt der Artikel und du hast wieder einmal mehr von den Vorzügen des Elementor PageBuilders erfahren. 

Gerne höre ich von dir und beantworte gerne deine Fragen dazu.

Elementor themen-Elements,

WordPress-Sicherheit Teil 2

Warum hacken sich Hacker in eine Webseite ein?

WordPress-Sicherheit! Sie werden sich fragen, warum Leute sich überhaupt die Mühe machen, WordPress-Blogs zu hacken. Insbesondere auch ganz kleinere Blog, die nicht viel Traffic haben. Es gibt eine Vielzahl von unterschiedlichen Gründen, warum Hacker das machen, was sie machen.
Hier sind ein paar Faktoren:

  1. Eine Menge Hacker tun es aus Neugierde, Langeweile, Langeweile, oder aus Angst, sie hegen keine böse Absicht. Sie wollen einfach nur ihre gerade erlernten Fähigkeiten anwenden oder vor ihren Freunden prahlen, in die sie es geschafft haben in einen WordPress-Blog einzudringen. Das Übelste, was diese Art von Hacker wahrscheinlich tun wird, ist, Ihre Website mit einer Visitenkarte zu verunstalten, um ihren Freunden zu beweisen, dass sie es getan haben.
  2. Diese Sorte Hacker hat nur ein Ziel und das ist, dir zu schaden oder dich wütend zu machen. Sie sind in der Lage, Inhalte zu löschen, zu blockieren, indem sie dein Passwort ändern, deine WordPress-Seite auf pornografische Websites umzuleiten, um deinem Ruf zu schaden oder ähnliches.
  3. Sie können deinen Blog auf ihre eigene Website verweisen lassen, oder sie können finanzielle Informationen stehlen, die du in deinem Blog gespeichert hast. Diese Typen von Hackern stehlen wahrscheinlich vertrauliche Informationen und verwenden bzw. verkaufen sie oder installieren bösartige Software, die sich auf den Computern der Besucher installiert und deren System mit Adware infiziert.
  4. Du kannst sogar von Konkurrenten angegriffen werden, die dich hacken, um dich dazu zu bringen, deine Suchmaschinenplatzierungen zu verlieren, Traffic zu unterbrechen oder deinen Ruf zu schädigen.

Es gibt viele andere Gründe, warum jemand einen WordPress-Blog hacken möchte, aber diese sind eigentlich die gängigsten.

Hier unten mal ein Beispiel, mit welchen Benutzername, die Häcker versuchen sich einzuloggen. Das alles sind von mir ermittelte Ergebnisse, der vergangenen Monate von mehr als 10.000 Versuchen sich auf meine Webseiten einzudringen.

Benutzernamen bei Login-Versuchen

Grundlegende WordPress-Sicherheit

Dieser Abschnitt wird sich auf einige sehr grundlegende Dinge konzentrieren, die du tun kannst, um deine WordPress-Installationen abzusichern. Du solltest diese Schritte auf jedem einzelnen Blog, den du einrichtest, vornehmen und du solltest das unbedingt gleich tun!

WordPress aktualisieren

Die einfachste Sache, die du selbst leicht machen kannst, um deinen Blog vor Hackern zu schützen, ist, deine WordPress Installation regelmäßig zu aktualisieren. WordPress gibt von Zeit zu Zeit kritische Sicherheitsupdates heraus. Werde also nicht gleichgültig und denken nicht, dass alle Updates rein kosmetisch sind oder neue Funktionen bieten. Diese Sicherheitsupdates sind absolut lebensnotwendig und sie können einige wirklich üble Dinge aufhalten!

Wähle einen guten Benutzernamen

Achte darauf, keinen einfachen Benutzernamen für das Einloggen in deinen WordPress-Administrationsbereich zu wählen. Stelle sicher, dass dieser nicht einfach zu erraten ist und was auch immer du nimmst, verwende nie den Benutzernamen admin! Fast jeder benutzt ihn, weil dieser standardmäßig installiert ist, also vermeide ihn wie die Pest!
Verwende auch nicht deinen Namen oder eine Variation davon. Verwende ebenso nichts, was mit dem Namen oder der Nische deines Blogs zu tun hat. Verwenden Sie keine Variationen deiner E-Mail-Adresse oder anderer Benutzernamen, die du eventuell hast.

Verwende ein sicheres Passwort

Ein starkes Passwort ist absolut unverzichtbar, dennoch wählen die meisten Leute etwas, das leicht zu merken ist und denken, dass sie nie gehackt werden. Das könnte ein großer Fehler sein! dein Passwort sollte zumindest aus Ziffern und Buchstaben (Groß- und Kleinbuchstaben gemischt) bestehen und minimum 8 Zeichen lang sein. Besser 12 bis 20 Zeichen.

Verwende in der Konsequenz niemals eine Variation deines Benutzernamens, Namens, deiner E-Mail-Adresse, deines Geburtsdatums, deines Geburtstags, deiner Telefonnummer oder anderer Informationen, auf die ein Hacker Zugriff haben könnte. Und verwende resultierend daraus niemals gängige Passwörter oder nehme diese sogar in deine Passwörter auf.

Das Hasso-Plattner-Institut hat eine Liste mit den Top 10 der am meisten verwendeten Passwörter in Deutschland erstellt.
Die 9 gebräuchlichsten Passwörter in Deutschland sind:

  1. hallo
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort1
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1

Das zehnte der gebräuchlichsten Passwörter ist etwas frivol und deshalb nutze ich es nicht. Wen es dennoch interessiert, kann es hier nachlesen. Vermeide es, etwas davon zu verwenden, das auch nur in der Nähe dieser Passwörter liegt!

Aus meiner Sicht sind die häufigsten Benutzernamen, welche bei mir zum eindringen benutzt wurden, die folgenden:

  1. Der Webseiten-Name
  2. admin
  3. administrator
  4. Der Spitzname des Administrators
  5. Der Benutzername des Admin
  6. test
  7. Sonstige, wie  geld, demo, etc. 

Tatsächlich solltest du in jedem Fall einen Passwortgenerator verwenden. Ich selbst benutze Lastpass und  das kann ich dir nur empfehlen! Und das beste ist es ist kostenlos zu nutzen! Dort kannst du deine Passwörter dann mit Hilfe eines Passwort-Managers sicher aufbewahren. Es gibt viele natürlich auch noch andere auf dem Markt und die dein Passwort sicher aufbewahren, ohne dass du es vergessen kannst. das ermöglicht es dir auch, einfach unterschiedliche Login-Informationen über mehrere Blogs hinweg zu nutzen.
Ein weiterer Fehler, den zahlreiche Menschen häufig machen, ist die Verwendung der gleichen Login-Informationen für mehrere Blogs. Wenn du mehrere verschiedene Blogs hast, stelle  sicher, dass du jeweils unterschiedliche Benutzernamen und Passwörter für jedes einzelne verwendest, so dass, wenn eines davon kompromittiert wird, deine anderen nicht leicht angegriffen werden können.

Hier noch 2 Ausschnitte von meinen Webseiten die dir zeigen, das es wichtig ist sich damit zu beschäftigen. Zwar wird  täglich versucht in meine WordPress -Seiten einzudringen, was, Gott sei Dank, nicht gelingt. Warum? Nun, wie schon oben erwähnt benutze ich LastPass und bin so, durch starke Passwörter, recht gut geschützt. Aber es gibt keinen 100% Schutz. 

Ausschnitt aus Webseite1
Ausschnitt aus Website 2

Schön, das du alles bisher gelesen hast. Aber vielleicht fragst du dich gerade, wieso WordPress-Sicherheit Teil 2. Hier geht es zum ersten Teil des Artikels WordPress-Sicherheit.

Falls dir der Artikel gefallen hat, freue ich mich über einen Kommentar und du darfst gespannt sein auf den 3. Teil.