Info für Wordpress Nutzer

[Difool]

Hallo alle Wordpress-Nutzer,

aktuell geht mal wieder "der Buhmann" um.
War es zum Jahreswechsel die timthumb-Infiltration, so soll es jetzt
ein botnet-Angriff auf den Administrator-Namen "admin" bei wp geben.

Informationen dazu

Ändert also bestenfalls erstmal euren Accountnamen bei Wordpress von "admin" zu etwas anderem.
Zusätzlich kann man noch das Plugin: Limit Login Attempts aktivieren.

Und diejenigen welche, die evtl. noch ein Theme mit "timthumb" nutzen, sollten das besser auch ändern,
und ein Template bzw. Wordpress-Theme ohne "timthumb-Funktion" nehmen.

 

[doger]

Vielen Dank für die Meldung, obwohl man doch hoffen kann das es nicht so viele Wordpress „admins“ da draussen gibt.

Wenn Du mir erlaubst möchte ich an dieser Stelle gerne eine Warnung an diejenigen aussprechen die das Plugin Social Media Widget nutzen. Dieses Plugin schleust Schadcode direkt in den Wordpress Core ein und macht Blogs so zu einer Spamschleuder. Bei über 900.00 Downloads hat es vielleicht doch der eine oder andere MU User in seinem Blog verbaut. Einen generellen Schnelltest für sein Blog kann man direkt bei Sucuri anstossen.

1. Quelle 1: Sucuri Blog
2. Quelle 2: Wordpress.org

//doger

 

[JackTirol]

WordFence ist auch ein sehr empfehlenswertes Plugin um seine Wordpress-Seite abzusichern.

Nachtrag: Interessanterweise hat mir Wordfence just einen Loginversuch (mit Username admin) über eine fremde IP gemeldet und mir angeboten, diese IP dauerhaft zu blocken – was ich natürlich auch gleich getan habe.

 

[kuketz]

Hab mal in einem Artikel den Basisschutz zusammengefasst - sollte wirklich jeder umsetzen.

Basisschutz – WordPress absichern Teil1

 

[Difool]

@kuketz

Dann greif doch noch bitte die Infos von Sergej Müller mit auf: klick

 

[kuketz]

@ Difool

Wird in den kommenden Artikeln beschrieben. Dabei wird der .htaccess Schutz für Apache und Lighttpd natürlich ebenfalls Thema sein.

 

[kuketz]

Und weiter geht's mit Artikel Nummer zwei: Schutzmaßnahmen – WordPress absichern Teil2

 

[Difool]

@kuketz
Bin gespannt auf deinen Artikel zum Plugin "limit-login-attempts".
In einem meiner Blogs läuft das Plugin quasi aktuell in "Dauerbelastung".
Mittlerweile vergab ich den abfragenden Bots Sperrungen von 7 Tagen nach 3 abgelehnten Anfragen.
Soweit funktioniert das Plugin recht zuverlässig.

Die Abfragen wurden aber auch zunehmend abenteuerlich in den Begriffen.
Nicht nur "admin" wird abgefragt, sondern alle möglichen Usernamen.

 

[Difool]

Hallo,

aktuell sind ein paar übel und mit schmieriger Absicht gefertigte Themes im Umlauf.
Anscheinend aber schon länger – sie wurden nur jetzt "mit böse" aktiviert.

Ihr solltet besonders Themes mit epanel Nutzung kontrollieren – bitte umgehend die Theme-eigenen function.php-Dateien davon.
Viele Wordpress-User haben bereits Google-Mahnungen erhalten wegen Cloaking oder Malware-Links.

In eurem Theme-Ordner bsw. die Ordner "epanel" oder "includes".
Dort befinden sich zumeist die Theme-eigenen functions-Dateien (custom_functions.php oder core_functions.php etc. usw.)

Suchen solltet ihr u.a. nach folgenden Zeilen bsw: (via Editor)

$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'Googlebot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'bingbot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'msnbot')) {
add_action('wp_footer', 'ranking');
}
$seo_plugin=get_option("ranking");
if (strstr($_SERVER['HTTP_USER_AGENT'], 'Slurp')) {
add_action('wp_footer', 'ranking');
}
function ranking() {
  $pshow = "<span style='display:none;'>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
</span>
";
  echo $pshow;
}
?>

Wobei dieser Teil mit zig Space und Leerzeichen geschrieben wurde.
(Sucht jetzt aber nicht nach "boese-domain.com" – habe die spam-urls natürlich ersetzt )

function ranking() {
  $pshow = "<span style='display:none;'>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
</span>

Hier im Beispiel dann flugs löschen:

<span style='display:none;'>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
<a href='http://www.boese-domain.com'>boeser-link</a>
</span>

Durch das display:none; erzeugt man Cloaking und die a href-links könnten zudem noch auf Malware-Websites landen.

Als "schnelle Kontrolle", ob eure Website davon betroffen ist, googlet eure domain und lasst euch die Cache-Version
eurer Website als Text-Version anzeigen.
In den meisten Fällen sind die gesetzten Links ganz unten zu finden.

Zudem wäre es ratsam, solltet ihr davon betroffen sein,
die Theme-Update-Abfragen des Themes zu deaktivieren.
Alternativ das Theme wechseln.

 

[falkgottschalk]

Danke für den Hinweis. Gibt es da einen Zusammenhang zur letzten PN?

 

[Macy80]

Deshalb immer schön den Nick ändern

 

[Macuser30]

Hallo, ich schließe mich einmal hier an. Ich habe gerade eine Seite mit Wordpress erstellt mit einer passwortgeschützten Seite mit Boardmitteln.
Dann habe ich den Adminbereich mit einer htaccess geschützt, um genauer zu sein, ist nur die wp-login.php geschützt.

Eigenartiger Weise wird beim Login in die passwortgeschützte Seite auch noch zusätzlich der Zugang über htaccess angefordert?

Gibt es eine Möglichkeit, einen simplen Passwortschutz für eine einzelne Seite zu machen, und den Admin-Bereich mit htaccess zu schützen? Letzteres ist kein Problem.

Gruß macuser30

 

[Macuser30]

Auch wenn der Thread hier schon fast gestorben ist, ich habe eine sehr gute Lösung für Absicherung und internen Bereich gemacht. @kuketz Die Angaben unter deinem Link reichen nicht aus.


Nr. 1

Plugin: Limit Login Attempts als letzter Schützengraben, nach 3 oder beliebig festgelegten Fehleingaben wird der Account für eine Zeit gesperrt

Nr. 2

.htaccess für wp-login.ph Die Datei liegt im Hauptverzeichnis des Wordpress-Ordners und ist leicht erreichbar.

Eintrag:

<Files wp-login.php>
AuthName "Login - Hier kommst du nicht rein"
AuthType Basic
AuthUserFile /Pfad zur Passwort-Datei/.htpasswd
require valid-user
</Files>

<FilesMatch "(\.htaccess|\.htpasswd)">
  Order deny,allow
  Deny from all
</FilesMatch>

Nr. 3

Durch einen Zufall bin ich darauf gestoßen, wenn man den admin-Bereich (/Hauptverzeichnis WP/wp-admin/) in die Adresszeile eingibt, wird man auf das Login-Fenster umgeleitet. Also noch den admin-Bereich schützen, am besten mit einem anderen Nutzer und Kennwort:

AuthUserFile /Pfad zur Passwort-Datei/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthName "Administratorbereich"
AuthType Basic
<Limit GET>
require valid-user
</Limit>

Somit ist Wordpress richtig dicht! Das Problem mit dem internen Bereich habe ich auch gelöst. Ich verwende das plugin User Access Manager in Verbindung mit WP-Members. Beide Plugins kommen .htaccess nicht in die Quere.

Diese Kombination funktioniert super.


Wenn man mit Boardmitteln eine interne Seite baut, muss man beim betreten noch das .htaccess-Passwort eingeben....etwas sinnfrei.

Sollte ich bezüglich Sicherheit etwas übersehen haben, wäre ich dankbar für Hinweise.

Gruß m30

 

[kuketz]

Auch wenn der Thread hier schon fast gestorben ist, ich habe eine sehr gute Lösung für Absicherung und internen Bereich gemacht. @kuketz Die Angaben unter deinem Link reichen nicht aus.

Inwiefern reichen diese denn nicht aus?

[1] Basisschutz – WordPress absichern Teil1
[2] Schutzmaßnahmen – WordPress absichern Teil2
[3] Security Plugins – WordPress absichern Teil3
[4] .htaccess Schutz – WordPress absichern Teil4
[5] Serverseitiger Schutz – WordPress absichern Teil5
[6] Spam-Bot Protection – WordPress absichern Teil6

 

[Macuser30]

Oh sorry, ich bin nur über Teil 1 gestolpert. Bitte nicht übel nehmen. Kannst du mir sagen, warum der interne Bereich mit .htaccess kollidiert?

 

[kuketz]

Oh sorry, ich bin nur über Teil 1 gestolpert. Bitte nicht übel nehmen. Kannst du mir sagen, warum der interne Bereich mit .htaccess kollidiert?

Was meinst du mit kollidieren?

 

[Difool]

Auch wenn der Thread hier schon fast gestorben ist, ich habe eine sehr gute Lösung für Absicherung und internen Bereich gemacht.

Wieso sollte dieser Thread denn "fast gestorben sein"?
Gibt es etwas relevantes bei wp, dann poste ich es hier.
Das war zumindest mein Gedanke dabei.

Somit ist Wordpress richtig dicht! Das Problem mit dem internen Bereich habe ich auch gelöst.

Welches "Problem mit dem internen Bereich" hattest du denn?
Ich habe bisher keine bei gleicher htaccess-Belegung.

 

[Macuser30]

Hallo, ich habe den Admin-Bereich und die wp-config.php mit .htaccess gesichert. Ich habe bei Wordpress mit Boardmitteln eine interne Seite erstellt. Es findet nach dem Eingeben des Passwortes noch zusätzlich die Abfrage über .htaccess statt.

 

[Difool]

Deaktivierung der automatischen Aktualisierung bei Wordpress | disabling auto updates in WordPress

Seit Wordpress 3.7 gibt es die automatisierten Core-Updates.
Es gibt dafür oder dazu keine Option im Backend vom Dashboard bei Wordpress.

Doch manchmal möchte man keine Aktualisierung, weil man die Wordpress-Site und die verwendeten Plugins
vorher auf Kompatibilität überprüfen muss / möchte.

Einfacher Workaround zur Deaktivierung der automatischen Aktualisierung bei Wordpress 3.7:

config.php (folgenden HTML-Code in der config.php hinzufügen, um die automatischen Updates des Wordpress-Cores zu deaktivieren)

# Disables all core updates:
define( 'WP_AUTO_UPDATE_CORE', false );

ausführliche und weitere Infos dazu:
http://make.wordpress.org/core/2013...e-to-disabling-auto-updates-in-wordpress-3-7/

 

[KOJOTE]

Da Limit Login Attempts seit 5 Jahren nicht mehr aktualisiert wird und wohl auch nicht weiter fortgefuhrt wird haben sich ein paar Programmierer zusammen getan und ein neues Plugin, aufbauend auf dem alten, namens Limit Login Attempts Reloaded geschrieben.
Look & Feel sind dabei gleich geblieben.

Stellt sich mir die Frage, ob das neue Plugin auch genau so gut ist?