Zugriff auf sogenannte WP Rest API beschränken

Zugriff auf sogenannte WP Rest API beschränken

Warum es wichtig ist, den Zugriff auf die WP REST API einzuschränken

Kritischer Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Ihrer Website zu bearbeiten.

Hast Du eine WordPress-basierte Website? Herzlichen Glückwunsch! Sie bietet ein großartiges Tool für Hacker vom ersten Tag an. Es ist die WordPress REST API, die standardmäßig aktiviert ist. Die WP REST API erlaubt es, fast alle Aktionen und administrativen Aufgaben auf einer Website aus der Ferne auszuführen. Die WordPress REST API ist standardmäßig ab WordPress Version 4.7.0 aktiviert.

Aber es ist eine noch nicht ganz ausgereifte Technologie und ihr Code enthält derzeit einige Bugs. Deshalb musst Du den Zugriff auf die REST-API mit einem Sicherheitsplugin wie WP Cerber einschränken. Bitte, nehmt es ernst, Leute, denn ich habe schlechte Nachrichten für euch. Kürzlich, gleich nachdem eine neue Version von WordPress 4.7 veröffentlicht wurde, wurde ein kritischer Fehler gefunden. Dieser Fehler erlaubt es nicht autorisierten Besuchern, jeden Beitrag auf Deiner Website zu bearbeiten. Der Fehler wurde von Ryan Dewhurst gefunden und vom WordPress-Team allerdings schon in WordPress 4.7.2 behoben.

Die Vorgängerversion WordPress 4.7.1, die als Sicherheits- und Wartungsrelease angekündigt wurde und acht Fehler behebt. Leider ist der REST-API-Fehler noch nicht ganz behoben. Das lässt Millionen von Websites ungeschützt auf der ganzen Welt zurück. Es ist schwer zu glauben, aber die Aktualisierung von WordPress auf Shared Hostings kann bis zu mehreren Wochen, ja bei einem meiner Hoster gar Monate, dauern. Wie viele Websites wurden bereits gehackt und infiziert? Das weiss niemand genau, da viele Nutzer keine Ahnung haben und ihrem Hoster voll vertrauen. Dieser aber die Verantwortung den Nutzern per Vertrag aufbürdet.

Seitdem die REST-API für jede Website stillschweigend aktiviert wurde, wurden 20 (zwanzig) Fehler entdeckt und behoben. Es ist eine ganze Reihe von Fehlern für die Technologie verantwortlich, die es jedem ermöglicht, administrative Aufgaben auf einer Website im Hintergrund auszuführen.

Das WP Cerber Security Plugin ermöglicht es Dir, den Zugriff auf die REST API vollständig zu blockieren. Egal, wie viele Bugs REST API hat. Um den Schutz zu aktivieren, gehe einfach auf die Registerkarte”Härten” auf der Plugin-Administrationsseite und aktivieren Sie die Option “Zugriff auf die WordPress REST-API blockieren”. Optional kannst Du den Zugriff auf die REST-API für Hosts aus der White IP Access List zulassen.

Neues von der Hacker-Front

Angriffe auf WordPress-Webseite

Sind die Hacker-Ferien zu Ende?

Wie heißt es so schön: Smiley
“Über allen Gipfeln ist ruh”
Aber nicht im Internet. Die Hacker und Spamer sind aus dem Winterferien zurück. Woran merke ich das?
Gestern hatte ich auf 3 Webseiten ca. 100 Versuche sich einzuloggen.
WP Cerber schickt mir nämlich Mails wenn jemand mehrfach versucht sich einzuloggen. Interessant dabei ist, dass man das mit zum Teil gelöschten Benutzern versucht. Was heißt das jetzt für Dich?
Ändere Deinen WordPress-Benutzer, am besten auf einen Namen der nicht leicht zu erraten ist. Denn der Benutzername ist leicht für Profis auszulesen. Und zum anderen müssen Listen bzw. Datenbanken im Darknet existieren, denn meine alten Benutzernamen werden ausprobiert.
Das sind die aktuellen Nachrichten von der WordPress – Hacker Front.

Sicherheitsrisiken in 3 WordPress-Plugins

Sicherheitsrisiken in WordPress-Plugins

[ACHTUNG] Sicherheitsrisiken in folgenden WordPress​-Plugins: Formidable Forms, Duplicator und Yoast SEO Plugins

Die Angriffe auf WordPress-Seiten in den letzten Wochen, siehe hier, haben wiederum deutlich gezeigt wie wichtig es für jeden WordPress-Nutzer ist, regelmäßig folgendes zu tun:

  1. Regelmäßige sein WordPress zu sichern
  2. Regelmäßige sein WordPress upzudaten
  3. Regelmäßige seine WordPress-Plugins abzudaten
  4. Die folgenden WordPress-Plugins zur Sicherheit zu nutzen:
  5. Wordfence Security
  6. Cerber
  7. All-in -one-Security

So das war jetzt allgemein geschrieben. Mitte November hat Wordfence.com in einem Blogartikel darauf hingewiesen, dass die oben genannten WordPress-Plugins eine Sicherheitslücke aufweisen. Wobei wohl für die Allermeisten die 2 WordPress-Plugins. Duplicator und Yoast Seo infrage kommen dürften.

meine dringende Empfehlung lautet, sofort ein Update durchzuführen, unabhängig davon, ob Sie die Premium-Version von Wordfence verwenden oder nicht.

Die Details der Sicherheitslücken sind im Folgenden aufgeführt, wobei ich wie schon oben erwähnt nur auf die WordPress-Plugins Duplicator und Yoast Seo eingehe:

Duplicator 1.2.28 und älter anfällig für gespeichertes XSS
WPVulnDB berichtet auch, dass der Duplicator, der auf über 1 Million aktiven Sites läuft, eine gespeicherte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 1.2.28 und älter betrifft. In diesem Bericht wurden auch die Code-Änderungen berücksichtigt.

Duplicator Version 1.2.29 behebt dieses Problem, aber ihr Changelog erwähnt keine Sicherheitslücke (für Version 1.2.29 gibt es derzeit überhaupt keinen Eintrag). Wordfence verfügt über einen integrierten Schutz vor solchen Angriffen, so dass sowohl Premium- als auch Gratisbenutzer sicher sein sollten.

Yoast SEO 5.7.1 und älter anfällig für unauthentifiziertes XSS
Ryan Dewhurst’s WPVulnDB berichtet, dass Yoast SEO eine unauthentifizierte Cross-Site-Scripting-Schwachstelle behoben hat, die die Versionen 5.7.1 und älter betraf. Die Code-Änderung, die den Fix anzeigt, ist mit dem WPVulnDB-Report verknüpft. In der Version Yoast SEO 6.0 ist die Lücke behoben.

Schlussfolgerung

Ich ermutigen dich, diese Sicherheitslücken mit deinen Freunden in den Sozialen Medien zu teilen, um Website-Besitzer vor Schaden zu schützen.

WordPress-Sicherheit interessiert mich nicht

WordPress-Sicherheit, interessiert kein Schwein, oder?

WordPress-Sicherheit interessiert offensichtlich kein Schwein, oder?

In den letzten tagen habe ich, aus wichtigem Anlass, mehrere Artikel zum Thema “WordPress-Sicherheit” veröffentlicht. Und damit scheine ich nicht den Nerv meiner bisherigen Leser getroffen zu haben! Woran liegt das? 

  1. Ist das Thema nicht interessant?
  2. Ist WordPress-Sicherheit unwichtig?
  3. Oder, ist es weil du nicht davon betroffen zu sein scheinst?
  4. Vielleicht gibt es ganz andere wichtige Themen für dich!

OK, das kann ich alles gut verstehen. Du bist im Internet unterwegs um Geld zu verdienen, stimmt’s? Warum solltest Du dich trotzdem oder gerade deshalb mit diesem Thema beschäftigen! 

Bestimmt denkst Du, mir ist ja bisher noch nichts passiert und alles ist sicher mit WordPress. Denn WordPress ist eines der erfolgreichsten Systeme im Internet und mein Hoster wird schon dafür sorgen, das alles sicher ist.

Leute, glaubt ihr alle noch an den Weihnachtsmann? Es gibt nichts was 100 % sicher ist auf dieser Welt und das sollte wohl JEDEM schon klar geworden sein. Oder glaubst du, dass dein Hoster, dem du monatlich lächerliche 3-5 € für das Hosting und die Domain bezahlt, da ein Auge darauf haben kann, ob dein WordPress oder deine Domain zum SPAMEN auf der ganzen Welt benutzt wird. 

DU allein bist für die Sicherheit deines WordPress-Accounts zuständig und ja ich weis, das ist Arbeit! Woher weis ich das, weil ich ca. 50 WordPress-Seiten betreue und fast täglich Plugins und WordPress updaten muss.

tägliche Mitteilung auf einen meiner Server
jeden Tag 1 Mail, wenn Updates vorhanden sind
Übersicht welche Plugin ein Update brauchen

Mit großer Sicherheit, denkst du jetzt bestimmt, ich hab ja nur 1 o. 2 Blogs und die sind so neu die kennt ja keiner.

Bist Du dir da wirklich sicher? Hast Du das geprüft?

Schaue mal hier, da habe ich beschrieben, wie es mir geht und was dir dabei hilft. Und unterhalb habe ich dir eine Bild gemacht, das zeigt mit welchen Benutzernamen sich Häcker versuchen Zutritt zu verschaffen. Auf dem Screenshot den ich gerade gemacht habe, sieht Du, dass 82 versuche unternommen wurden mit 5 verschiedenen Benutzernamen.

Desweiteren wurden in den letzten 3 Tagen 28 Versuche unternommen, die Dank eines sehr starken Passwortes und eines guten Benutzernamens nicht überwunden werden. Mein Schutz ist sehr gut aber nicht 100%. Obwohl das Plugin WP-Cerber mir sagt mein Passwort könnte erst in 2 Millonen Jahren geknackt werden (nach dem jetzigen Kenntnisstand).

Aber der heutige Wissensstand, ist der Irrtum von morgen!

Darüber sollte sich jeder im klaren sein.

Top 5 Login failed

Du siehst hier ganz deutlich, meine Aussage bestätigt was die Haupt-Angriffspunkte der Häcker sind: “Nämlich hauptsächlich 5 Worte, die da lauten”:

  1. Admin
  2. Domainname
  3. Administrator
  4. Spitzname des Benutzers
  5. Benutzername

Darum mein Apell an dich, beschäftige dich einmal mit diesem Thema und richte dir zumindest das Plugin WP-Cerber auf deinem WordPress ein. Das kannst du dir über den Link oben im Text herunterladen oder du gibst in deinem WordPress unter Plugins  >> installieren den Suchbegriff cerber ein und installierst es dort. Falls Du Fragen hast, gib diese unten im Kommentar ein und ich beantworte diese zeitnah.

Jetzt wünsche ich dir noch eine ruhige Adventszeit, frohe und gesegnete Weihnachten und ein erfolgreiches Jahr 2018.

Herzliche Grüße aus Calau

Jörg Rothhardt

Das neue Elementor Beitrags Widget

Was ist jetzt ganz neu in Elementor PRO?

Neu ist seit heute “Das neue Beitrags Widget” ist seit heute in der neuen Version 10.2 von Elementor Pro integriert. Was bietet nun das Beitrags Widget für zusätzliche Funktionen? 

Zu nennen sind 5 zusätzliche Elemente o. Widgets, die unter dem Punkt “Themen Elements” in dem Seiten-Widget zusammen gefasst sind und in Zukunft Teil des mit Ungeduld erwarteten Elementor Theme Builder sein werden.

Dadurch wirst du bald imstande sein zusätzlich Seiten und Elementen auch Header, Footer, Blogbeiträge und weiteres mit Elementor zu realisieren. Das aber nur am Rande erwähnt.

Jetzt stelle ich dir die ersten, der neuen Widgets hier vor. Und 2 davon habe ich schon auf dieser Seite in dem Beitrag unterhalb eingebaut. Da ist zum einen die AutorenBox, welche du hier siehst und zum anderen gibt es darunter noch die Beitragsnavigation. Dort kann sich der Leser bequem durch die Beiträge klicken. 

Als weiter Punkte, die man im Moment hinzufügen kann, sind die Widgets: “WordPress Kommentare”, die”Yoast Breadcrumps” und das “Suchen Widget” zu nennen.

Unter den Breadcrumps (Brotkrümeln) versteht man eine Navigationsleiste, welche dir bzw. Dem Leser anzeigt, wo er sich gerade befindet. Oberhalb der Überschrift in diesem Beitrag habe ich das Widget eingebaut.

Ich hoffe dir gefällt der Artikel und du hast wieder einmal mehr von den Vorzügen des Elementor PageBuilders erfahren. 

Gerne höre ich von dir und beantworte gerne deine Fragen dazu.

Elementor themen-Elements,

WordPress-Sicherheit Teil 2

Warum hacken sich Hacker in eine Webseite ein?

WordPress-Sicherheit! Sie werden sich fragen, warum Leute sich überhaupt die Mühe machen, WordPress-Blogs zu hacken. Insbesondere auch ganz kleinere Blog, die nicht viel Traffic haben. Es gibt eine Vielzahl von unterschiedlichen Gründen, warum Hacker das machen, was sie machen.
Hier sind ein paar Faktoren:

  1. Eine Menge Hacker tun es aus Neugierde, Langeweile, Langeweile, oder aus Angst, sie hegen keine böse Absicht. Sie wollen einfach nur ihre gerade erlernten Fähigkeiten anwenden oder vor ihren Freunden prahlen, in die sie es geschafft haben in einen WordPress-Blog einzudringen. Das Übelste, was diese Art von Hacker wahrscheinlich tun wird, ist, Ihre Website mit einer Visitenkarte zu verunstalten, um ihren Freunden zu beweisen, dass sie es getan haben.
  2. Diese Sorte Hacker hat nur ein Ziel und das ist, dir zu schaden oder dich wütend zu machen. Sie sind in der Lage, Inhalte zu löschen, zu blockieren, indem sie dein Passwort ändern, deine WordPress-Seite auf pornografische Websites umzuleiten, um deinem Ruf zu schaden oder ähnliches.
  3. Sie können deinen Blog auf ihre eigene Website verweisen lassen, oder sie können finanzielle Informationen stehlen, die du in deinem Blog gespeichert hast. Diese Typen von Hackern stehlen wahrscheinlich vertrauliche Informationen und verwenden bzw. verkaufen sie oder installieren bösartige Software, die sich auf den Computern der Besucher installiert und deren System mit Adware infiziert.
  4. Du kannst sogar von Konkurrenten angegriffen werden, die dich hacken, um dich dazu zu bringen, deine Suchmaschinenplatzierungen zu verlieren, Traffic zu unterbrechen oder deinen Ruf zu schädigen.

Es gibt viele andere Gründe, warum jemand einen WordPress-Blog hacken möchte, aber diese sind eigentlich die gängigsten.

Hier unten mal ein Beispiel, mit welchen Benutzername, die Häcker versuchen sich einzuloggen. Das alles sind von mir ermittelte Ergebnisse, der vergangenen Monate von mehr als 10.000 Versuchen sich auf meine Webseiten einzudringen.

Benutzernamen bei Login-Versuchen

Grundlegende WordPress-Sicherheit

Dieser Abschnitt wird sich auf einige sehr grundlegende Dinge konzentrieren, die du tun kannst, um deine WordPress-Installationen abzusichern. Du solltest diese Schritte auf jedem einzelnen Blog, den du einrichtest, vornehmen und du solltest das unbedingt gleich tun!

WordPress aktualisieren

Die einfachste Sache, die du selbst leicht machen kannst, um deinen Blog vor Hackern zu schützen, ist, deine WordPress Installation regelmäßig zu aktualisieren. WordPress gibt von Zeit zu Zeit kritische Sicherheitsupdates heraus. Werde also nicht gleichgültig und denken nicht, dass alle Updates rein kosmetisch sind oder neue Funktionen bieten. Diese Sicherheitsupdates sind absolut lebensnotwendig und sie können einige wirklich üble Dinge aufhalten!

Wähle einen guten Benutzernamen

Achte darauf, keinen einfachen Benutzernamen für das Einloggen in deinen WordPress-Administrationsbereich zu wählen. Stelle sicher, dass dieser nicht einfach zu erraten ist und was auch immer du nimmst, verwende nie den Benutzernamen admin! Fast jeder benutzt ihn, weil dieser standardmäßig installiert ist, also vermeide ihn wie die Pest!
Verwende auch nicht deinen Namen oder eine Variation davon. Verwende ebenso nichts, was mit dem Namen oder der Nische deines Blogs zu tun hat. Verwenden Sie keine Variationen deiner E-Mail-Adresse oder anderer Benutzernamen, die du eventuell hast.

Verwende ein sicheres Passwort

Ein starkes Passwort ist absolut unverzichtbar, dennoch wählen die meisten Leute etwas, das leicht zu merken ist und denken, dass sie nie gehackt werden. Das könnte ein großer Fehler sein! dein Passwort sollte zumindest aus Ziffern und Buchstaben (Groß- und Kleinbuchstaben gemischt) bestehen und minimum 8 Zeichen lang sein. Besser 12 bis 20 Zeichen.

Verwende in der Konsequenz niemals eine Variation deines Benutzernamens, Namens, deiner E-Mail-Adresse, deines Geburtsdatums, deines Geburtstags, deiner Telefonnummer oder anderer Informationen, auf die ein Hacker Zugriff haben könnte. Und verwende resultierend daraus niemals gängige Passwörter oder nehme diese sogar in deine Passwörter auf.

Das Hasso-Plattner-Institut hat eine Liste mit den Top 10 der am meisten verwendeten Passwörter in Deutschland erstellt.
Die 9 gebräuchlichsten Passwörter in Deutschland sind:

  1. hallo
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort1
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1

Das zehnte der gebräuchlichsten Passwörter ist etwas frivol und deshalb nutze ich es nicht. Wen es dennoch interessiert, kann es hier nachlesen. Vermeide es, etwas davon zu verwenden, das auch nur in der Nähe dieser Passwörter liegt!

Aus meiner Sicht sind die häufigsten Benutzernamen, welche bei mir zum eindringen benutzt wurden, die folgenden:

  1. Der Webseiten-Name
  2. admin
  3. administrator
  4. Der Spitzname des Administrators
  5. Der Benutzername des Admin
  6. test
  7. Sonstige, wie  geld, demo, etc. 

Tatsächlich solltest du in jedem Fall einen Passwortgenerator verwenden. Ich selbst benutze Lastpass und  das kann ich dir nur empfehlen! Und das beste ist es ist kostenlos zu nutzen! Dort kannst du deine Passwörter dann mit Hilfe eines Passwort-Managers sicher aufbewahren. Es gibt viele natürlich auch noch andere auf dem Markt und die dein Passwort sicher aufbewahren, ohne dass du es vergessen kannst. das ermöglicht es dir auch, einfach unterschiedliche Login-Informationen über mehrere Blogs hinweg zu nutzen.
Ein weiterer Fehler, den zahlreiche Menschen häufig machen, ist die Verwendung der gleichen Login-Informationen für mehrere Blogs. Wenn du mehrere verschiedene Blogs hast, stelle  sicher, dass du jeweils unterschiedliche Benutzernamen und Passwörter für jedes einzelne verwendest, so dass, wenn eines davon kompromittiert wird, deine anderen nicht leicht angegriffen werden können.

Hier noch 2 Ausschnitte von meinen Webseiten die dir zeigen, das es wichtig ist sich damit zu beschäftigen. Zwar wird  täglich versucht in meine WordPress -Seiten einzudringen, was, Gott sei Dank, nicht gelingt. Warum? Nun, wie schon oben erwähnt benutze ich LastPass und bin so, durch starke Passwörter, recht gut geschützt. Aber es gibt keinen 100% Schutz. 

Ausschnitt aus Webseite1
Ausschnitt aus Website 2

Schön, das du alles bisher gelesen hast. Aber vielleicht fragst du dich gerade, wieso WordPress-Sicherheit Teil 2. Hier geht es zum ersten Teil des Artikels WordPress-Sicherheit.

Falls dir der Artikel gefallen hat, freue ich mich über einen Kommentar und du darfst gespannt sein auf den 3. Teil.

WordPress-Sicherheit mit WP-Cerber

WP-Cerber Security & Antispam-Plugin

Was ist denn jetzt Cerber?

DIE ABSICHERUNG deines WORDPRESS MIT WP CERBER!

Cerber Security & Antispam biete dir Schutz vor Hackerangriffen und Bots. Beschränken Sie den Zugriff mit IP-Zugriffslisten, verfolgen Sie Benutzer- und Bot-Aktivitäten.Mit  reCaptcha. Und beschränke Anmeldeversuche Deiner FEINDE!

WordPress-Sicherheit ist aus gutem Grund ein beliebtes und wichtiges Thema. Bedenken Sie: WordFence hat im Januar 2017 durchschnittlich 26 Millionen Brute-Force-Angriffe auf WordPress-Websites pro Tag gemeldet.  In demselben Bericht wurden für denselben Zeitraum komplexere, gezielte Angriffe mit durchschnittlich 4,7 Millionen Webseiten pro Tag registriert.
Das sind eine Menge Leute (und Bots), die dir nicht wohl gesonnen sind. Die Sicherheit Deiner WordPress-Website ist wirklich eine enorm grundlegende Sache. Und ein wesentlicher Ort, um es zu sichern, ist auf dem Login-Bildschirm ein wirklich sicheres Passwort zu haben!

Darum habe ich mich umgeschaut, da ich zum ersten auch die obige Aussage bestätigen kann und zweitens, das bisher und zum Teil immer noch empfohlene Plugin “WP Limit Login Attempts” seit Jahren nicht mehr weiter entwickelt und betreut wird. Dadurch ist “WP Limit Login Attempts” sehr unsicher geworden. Jedoch hatte ich bisher keine Alternative gesucht und gefunden. 

Aber JETZT! Ich präsentiere hier:

WP-Cerber Security & Antispam-Plugin

Was bewirkt diese Plugin WP-CERBER!

In den letzten Tagen habe ich, aus gegebenem Anlass, ja schon zu diesem Thema WordPress-Sicherheit einen Artikel geschrieben, den du hier nachlesen kannst. Bisher benutzte ich das Plugin “WP Limit Login Attempts” und ja ich weiß, das es nicht ganz sicher war. Aber es hat mir in der letzten Zeit auf 2 WordPress-Seiten sehr viele versuche angezeigt meinen Blog zu knacken. Was Gott sei Dank nicht gelungen ist. 

Darum auch diese Artikel-Serie, da sich wohl die Allermeisten nicht der enormen Bedrohung wirklich bewußt sind und diesen Punkt keine wirkliche Beachtung schenken. Aus diesem einfachen Grund habe ich mich umgesehen und das WP-Cerber Security & Antispam Plugin mir näher angesehen und am Wochenende auf 4 WordPress-Seiten installiert.

Hier unten siehst du auf 2 Bildern, wie massiv die Angriffe dieser Hacker sein können.

Beachte BITTE, das ist das Ergebnis nur eines einzigen Tages. Auf der rechten Abbildung siehst du über 700 Angriffe. Darum ist es so wichtig, dass auch DU dich damit auseinandersetzt.

gul-WP Cerber Security: report
EpM-WP Cerber Security report

WordPress-Sicherheit

WordPress - Sicherheit WARUM

Einführung in die WordPress-Sicherheit. Teil 1

Bestimmt hast du auch schon von den jüngsten Brute-Force-Angriffen auf WordPress-Blogs und Joomla-Websites gehört. Es gibt sogar ein kommerziell erhältliches, webbasiertes Tool, das derzeit zum Starten von Brute-Force-Angriffen verwendet wird, und es ist sehr effektiv.
Es kann viele katastrophale Auswirkungen haben, wenn dein WordPress-Blog gehackt wurde. Einige dieser Angriffsmethoden werden in diesem Bericht behandelt. Sie könnten einfach und leicht reparierbar sein, wie z.B. der Verlust des Zugangs zu Ihrer Website für ein paar Stunden. Oder sie könnten so katastrophal sein, wie der Verlust von deinem Geld, deiner Arbeit oder deinem Ansehen!
Glücklicherweise gibt es ein paar Möglichkeiten, die du tun kannst, um deine WordPress-Seite vor solchen Angriffen zu schützen und deine Seite, deinen Inhalt, deine Produkte, dein Einkommen, deine Daten und die Sicherheit deiner Kunden zu schützen!
Zuerst wirst du über einige der größten Gründe erfahren, warum es absolut wichtig ist, dass du deine WordPress-Installationen sofort absicherst. Dann lernst du ein paar Dinge, die du sofort tun kannst, um deine Website vor Hackern und anderen bösartigen Angriffen zu schützen. Schließlich erfährst du, wie du mehr Hilfe erhältst, um WordPress zu sichern, wenn es dir passiert sein sollte.
Also fangen wir an.

WordPress - Sicherheit WARUM

Warum WordPress schützen?

Es gibt eine Menge Dinge, die bei einem WordPress-Blog schief laufen können, und einige dieser Dinge könnten absolut katastrophal für dein Unternehmen sein.

Temporäre Probleme

Wenn du Glück hast (und mit Glück beziehe ich mich auf das im besten-Fall-Szenario, wenn du bzw. deine WordPress-Seite gehackt wurde), wirst du nur geringfügige, temporäre Probleme durch das Eindringen von Hackern feststellen. Diese Probleme können dann aber immer noch zu großen Problemen führen, wenn man sie nicht rechtzeitig bemerkt. Aber was das Eindringen von Hackern angeht, so ist dies einfach nur unschön, sodass es gerade noch mühsam geht.
Als Temporäre Probleme werden einfache Dinge, z.B. wie das Ändern des Passworts und das Aussperren aus deinem Blog für ein paar Stunden, bis du Hilfe bekommen könntest, um wieder in den Blog hineinzukommen, oder die vorübergehende Weiterleitung deines Blogs auf eine andere Website, bis du dich einloggen und ihn wieder in Ordnung bringen kannst, bezeichnet.

Der Verlust von Inhalten

Viel schlimmer als von den temporären Problemen, könntest du von einen Hacker-Login in deinem Konto und diese löschen dir alle deine Artikel. Wenn du kein aktuelles Backup haben solltest, könnte das bedeuten, dass unzählige Stunden harter Arbeit weg wären! Selbst wenn du regelmäßig sicherst, könntest du immer noch Inhalte verlieren, die zwischen den Backups hinzugefügt wurden, zusammen mit Kommentaren, Antworten, neuen Benutzerinformationen und vielem mehr. Du könntest sogar ein Backup verlieren, weil dein Webserver zu voll ist, um das Backup durchzuführen, und du wirst es vielleicht erst merken, wenn es zu spät ist!

Verlorene Produkte

Wenn du virtuelle Produkte wie Videos, eBooks, Grafiken oder andere Inhalte, die du vertreibst, auf deinem Server speicherst, könnten diese Produkte gestohlen werden. Und nicht nur das, sondern auch noch etwas anderes. Hacker könnten dann diesen Inhalt weiter verbreiten, was dir möglicherweise hunderte von Euros an verlorenen Einnahmen kosten würde!
Glaube nicht, dass es von Belang ist, wenn deine Inhalte verteilt werden? Dann denk mal darüber nach. Nun, viele Leute haben zugegeben, dass sie, wenn sie ein digitales Produkt finden, das sie unbedingt wollen, zuerst auf Piratenseiten überprüfen, um zu sehen, ob dieses Produkt kostenlos erhältlich ist. Wenn, und nur wenn, es nicht so zu finden ist, dann werden sie das Produkt kaufen.
Wenn Sie physische Produkte verkaufen, könnte der Schaden noch schlimmer sein. Ein Hacker könnte sich in Ihre Website einloggen und eine Bestellung so erstellen und manipulieren, so dass es aussieht, als ob die Bestellung bereits bezahlt wurde, und du könntest die Artikel unwissentlich versenden, bevor du merkst, dass das Geld nicht auf deinem Konto ist.

Geld verlieren

Wenn ein Hacker deine Website für einen längeren Zeitraum abschaltet, könntest du einen beträchtlichen Teil der Einnahmen verlieren. Wenn deine Website z.B. 2.400 € pro Tag macht, würde es dich möglicherweise 1.200 € kosten, wenn sie 12 Stunden lang nicht erreichbar ist. 10 Tage nicht erreichbar zu sein, könnte dich 24.000 € kosten!
Natürlich könnte der vorübergehende monetäre Einbruch noch zu einem größeren Schaden führen. Stelle dir vor, wenn ein paar deiner Stammkunden an einem solchen Tag vorbeikämen, um etwas zu bestellen und feststellen, dass die Seite nicht erreichbar war. Könnten sie vielleicht annehmen, dass du aus dem Geschäft ausgeschieden bist und nie wieder zurückkehren. Das könnte einen sehr großen Verlust bedeuten, der das Vertrauen dieser Kunden in dein Geschäft erschüttert hätte.
Schlimmer noch, in diesem Fall, wenn Menschen bereits Waren gekauft und bezahlt haben, können sie Rückerstattungen verlangen oder sogar Rückbuchungen über ihre Bank oder Kreditkartenunternehmen beantragen. Dies kann sich negativ auf dein Renommee bei deinem Händlerkonto auswirken!

Der Verlust persönlicher Daten

Wenn du sensible persönliche Daten und Informationen auf deinem Server speicherst, können diese Informationen gestohlen und von Hackern verwendet werden. E-Mails, Passwörter, Finanzinformationen und andere vertrauliche Informationen könnten alle ins Visier genommen werden.
Wenn Ihr WordPress Passwort zufällig mit Ihren E-Mail-Passwörtern, Bank-Passwörtern oder anderen kritischen Passwörtern übereinstimmt, könnten Sie mit finanziellem Verlust, Identitätsdiebstahl oder anderen katastrophalen Ereignissen konfrontiert sein.

Der Verlust der Reputation

Dein Ruf ist alles im Geschäft. Wenn dieser einmal beschädigt ist, kann es Jahre dauern, bis dies repariert ist. In der Tat kann es kaum jemals wieder zu seinem früheren Status zurückkehren.
Du wirst dich vielleicht fragen, wie dein Ruf durch etwas so scheinbar harmloses Ereignis so sehr geschädigt werden kann. Nun, es gibt viele Möglichkeiten, wie zum Beispiel:

  1. Wenn deine Seite unten ist, können die Leute denken, dass du verschwunden bist, oder deine Firma hat sich heimlich aus dem Staub gemacht. Dies gilt insbesondere dann, wenn die Leute eine Bestellung aufgegeben und bezahlt haben, die noch nicht geliefert wurde.
  2. Hacker könnten Ihre Website mit pornographischen Inhalten oder bösartiger Software versehen, die den Computern der Besucher schaden oder deren Daten stehlen könnten. Es kann schwierig sein, Leute davon zu überzeugen, dass Sie nichts damit zu tun haben, besonders wenn Ihr Ruf in Ihrer Branche noch nicht gut etabliert ist.
  3. Benutzerdaten könnten gestohlen werden. Wenn du Personen habest, die sich registrieren haben, um auf Deiner Website zu posten, oder wenn Sie ihre finanziellen Informationen nach dem Kauf auf deiner Website speichern, könnten Hacker diese Informationen stehlen und missbrauchen. Dies könnte extrem schädlich für deinen Ruf sein.

Dies sind nur einige der Möglichkeiten, wie Du im Falle eines Hackversuchs negativ beeinflusst werden könntest. Es gibt noch viel mehr!

Die war der erste Teil einer Serie von Beiträgen zum Theme WordPress Sicherheit. Warum schreibe ich das gerade jetzt. Nun wie oben bereits erwähnt nehmen die Angriffe auch WordPress-Seiten immer mehr zu.

Wie komme ich nun zu dieser Annahme?

Weiter unten wirst Du einen Screenshot aus einer WordPress-Seite sehen. Ich habe in der letzten auf 2 meiner WordPress-Seiten täglich mehrere Versuche erlebt, wie versucht wurde diese zu hacken.

Anzahl der Sperrungen
2323 mal wurde versucht in ene WordPress-Seite ienzudringen

Wenn Dir der Beitrag gefallen hat, schreib mir einen Kommentar, damit ich weiss was ich Dir noch erzählen kann.

Beste Grüße aus Calau

Jörg Rothhardt

Diese Website speichert einige Informationen über die Besucher. Diese Daten werden verwendet, um eine persönlichere Erfahrung zu ermöglichen und um Ihren Aufenthaltsort auf unserer Website in Übereinstimmung mit der Europäischen Allgemeinen Datenschutzverordnung zu verfolgen. Wenn Sie sich dazu entschließen, das Tracking zu deaktivieren, wird in Ihrem Browser ein Cookie eingerichtet, das diese Auswahl ein Jahr lang speichert.. OK, Nein
632