News Angriffe gegen Wordpress-Installationen bei Web-Hostern und Blogs

[fethomm]

Viele Web-Hoster und Betreiber von Blogs auf der Basis von Wordpress berichten in den letzten 72 Stunden von vermehrten Brute-Force-Attacken hauptsächlich gegen Wordpress-Installationen. Vereinzelt wurden auch Attacken auf Joomla-Setups vermeldet, wie etwa gestern vom Hoster 1&1, der sich starken Angriffen ausgesetzt sah.

Zur News: Angriffe gegen Wordpress-Installationen bei Web-Hostern und Blogs

 

[D1rty]

Hat noch einer "Web-Hipstern" als erstes gelesen?

 

[flugser]

Wer Wordpress benutzt ist selber schuld.

 

[steff0rn]

warum selber schuld?

 

[flugser]

Schlechter Code und ständig neue Sicherheitslücken. Aber da man damit schnelle Ergebnisse bekommt finden es alle top.

 

[MaverickM]

Wer Wordpress benutzt ist selber schuld.

So ein kompletter Schwachsinn.
Wenn man keine Ahnung hat...

 

[Heavymaxx]

Wer Wordpress benutzt ist selber schuld.

Wer Windows als Betriebssystem nützt, ist wohl auch selbst schuld? Geh schlafen, Troll!

Habe vorübergehend die im Blog ersichtlichen IP-Adressen im Plugin Wordfence eingetragen und geblockt! Natürlich ist es auch ratsam, die wp-login.php zu schützen! Weiters alle Plugins upgedated (obwohl die ohnehin 1-2x im Monat upgedated werden) und gleich auch noch ein Komplett-Backup auf meine NAS gezogen! Ich bin bereit für den Sturm!
​Winter is coming!

 

[dobro385]

Und ich dachte schon wieso mein dedizierter Server so ausgelastet war. Teilweise war mein Apache Server für paar sekunden nicht erreichbar. Einige Seiten mussten in meinem Netzwerk auch drunter leiden.

Aber irgendwie konnte es meine Hardware Firewall lösen.

Krass was es so alles gibt.

 

[Cordesh]

Ein bisschen was kann man tun ohne große Ahnung von .htaccess usw. zu haben.

1. Löschen des Standard "Admin" Users.
Legt einen neuen User an, vergebt ihm ein sicheres Passwort (Strong).
Gebt ihm Adminrechte und loggt euch mit ihm ein.
Dann könnt ihr den User "Admin" löschen. Die Posts vom Admin könnt ihr dem neuen User zuordnen, so geht nichts verloren.
Damit wird es schon mal schwerer, weil man nicht mehr nur das Passwort, sondern auch noch den Usernamen wissen muss.

2. IP's der Angreifer sperren
Dafür gibt es ein hilfreiches Plugin "Limit Login Attempts", welches man direkt in WP installieren kann.
"Installed Plugins" - "Add new" - "Search Plugins" ...
Damit sperrt man die IP des Angreifers für eine gewisse Zeit wenn er die eingestellte Anzahl der Loginversuche aufgebraucht hat.
Außerdem wird einem nicht mehr angezeigt, was denn nun falsch war.

3. Updaten
Alte Versionen enthalten oft ausnutzbare Sicherheitslücken.
Also WP und alle Themes und Plugins immer auf dem neuesten Stand halten.

Damit hat man schon einiges getan.
Wer noch mehr tun will (wp-login.php per .htaccess schützen etc.), findet dazu einiges im Web.
Man sollte sich dann aber auch bewusst sein was man tut.
Das ist meiner Erfahrung nach, bei vielen Nutzern von WP nicht der Fall.

Und wie immer gilt: "Daten von denen kein Backup existiert, sind per Definition nicht wichtig!".

 

[flugser]

So ein kompletter Schwachsinn.
Wenn man keine Ahnung hat...

Jep, habe absolut keine Ahnung ^^ Wenn man 65 Validierungsfehler auf der Seite hat, sollte man sich evtl. an die eigene Nase fassen.

Zu Wordpress:
Wordpress kann nur durch seine Einfachheit punkten. In den Code sollte man aber möglichst nicht schauen. Dort findet man in Plugins beispielsweise ein switch case über 1000 Zeilen oder der echo-Wurm hat wieder zugeschlagen. Das Problem an Wordpress ist es, dass durch den drittklassigen Code und die teilweise grottenschlecht programmierten Plugins, ständig neue Sicherheitslöcher gefunden/geöffnet werden. Aber hey, es gibt ja Plugins, welche versuchen diese zu stopfen.
Ich hoffe ich hab den Wordpress-Anhängern nicht die Suppe versalzen. War nicht meine Absicht! Wordpress ist für Blogs und die Einfachheit, welches das System ausmacht, ganz nett. Aber wie man an der News schön sieht, ist Wordpress ein gefundenes Fressen, wenn es darum geht Sicherheitslücken auszunutzen.

 

[Cordesh]

Du magst allgemein Recht haben, aber wenn man schon so genau sein mag:

Aber wie man an der News schön sieht, ist Wordpress ein gefundenes Fressen, wenn es darum geht Sicherheitslücken auszunutzen.

Ich hab die News so verstanden, dass es um Bruteforceattacken auf die Login-Funktion geht.
Also nicht um Sicherheitslücken.

 

[Kamikaze84]

Gibt es denn vernünftige Alternativen zu Wordpress. Kann da jemand von guten Erfahrungen berichten?

Gruß, Kami

 

[Mr.Blade]

Jep, habe absolut keine Ahnung ^^ Wenn man 65 Validierungsfehler auf der Seite hat, sollte man sich evtl. an die eigene Nase fassen.

Validierungsfehler sagen weder etwas über die Sicherheit noch über die Qualität des Inhaltes einer Webseite aus und sind somit für die Leser nahezu irrelevant. Ist eine Webseite nicht W3C konform, besteht lediglich die Gefahr, dass sie in (aktuellen, )konformen Browsern nicht einheitlich dargestellt wird. Aber deine Argumentation hakt schon ganz woanders: Du liest nach dieser wohl lieber leere Seiten, die W3C konform sind, als Seiten mit anständigem Inhalt.

 

[Kraligor]

Es gibt auch diverse Plugins gegen Attacken, etwa WordFence (inklusive Website-Scanner und Firewall).

 

[FrAGgi]

Ein CMS anhand der dafür vorhandenen, von Dritten stammenden, Plugins zu bewerten, sagt eigentlich schon alles aus.

 

[Kraligor]

flugser:

Gibt es denn ein ebenso intuitiv bedienbares und einfaches Blog-CMS, das auch völlig IT-fremde Personen problemlos bedienen können und das auf den meisten Webhostern läuft? Ich wäre für Tipps wirklich dankbar, es gibt ja tausende von CMS, aber die wenigsten, die ich mir angesehen hatte, genügen meinen Ansprüchen (bzw. den Ansprüchen meiner Partnerin für ihr Blog).

 

[Enigma]

So ein kompletter Schwachsinn..

Ich Muss flugser recht geben. Schonmal den Quellcode durchgelesen? Such mal eine Datenbankabstraktionsebene, die SQL Injection grundlegend verhindert. Oder such mal ein Templatesystem, das erlaubt den Quellcode sauber zu strukturieren. Jeder der ein Skin runterlädt holt sich ungeprüften Quellcode auf den Server. Ich halte es für hoch-kritisch ein Wordpress einzusetzen.

 

[Kraligor]

Enigma:

Auch an dich dieselbe Frage. Siehe #16.

 

[flugser]

Validierungsfehler sagen weder etwas über die Sicherheit noch über die Qualität des Inhaltes einer Webseite aus und sind somit für die Leser nahezu irrelevant. Ist eine Webseite nicht W3C konform, besteht lediglich die Gefahr, dass sie in (aktuellen, )konformen Browsern nicht einheitlich dargestellt wird. Aber deine Argumentation hakt schon ganz woanders: Du liest nach dieser wohl lieber leere Seiten, die W3C konform sind, als Seiten mit anständigem Inhalt.

SEO und Pagespeed wird überbewertet ^^ Klar kann man daraus auch sicherheitstechnische Rückschlüsse ziehen. Wenn sich ein Entwickler schon nicht um ein sauberes Markup kümmert, wie sauber ist dann sein restlicher Code?

@Enigma Danke

@Kraligor
Wenn man es intuitiv, schnell und sicher haben möchte greift am besten zu Contao. Die Einrichtung ist sicherlich für den Laien eine gewisse Herausforderung, jedoch läuft es wesentlich stabiler und schneller. Für das System gibt es auch Blog-Extensions und vorinstallierbare Themes.

 

[F_GXdx]

Hab mal den admin account meiner installation gelöscht, zu mehr hab ich grad keine Lust ^^

Sollte aber reichen..