Baukastensystem für Webseite

[MacEnroe]

Das ist praxisferne Verunsicherung. WordPress wird Millionen-fach eingesetzt, ist das häufigste System
auch für Shops weltweit. Wenn, dann werden interessante, große und lohnende Sites angegriffen.

 

[maccoX]

Klar ist eine kleine Seite als Ziel nicht wirklich interessant. Aber halt trotzdem nicht per se sicher da passwortgeschützt

Aber ja, für den TE sollte das kein Problem darstellen

 

[Olivetti]

Das ist praxisferne Verunsicherung. WordPress wird Millionen-fach eingesetzt, ist das häufigste System
auch für Shops weltweit. Wenn, dann werden interessante, große und lohnende Sites angegriffen.

Klar ist eine kleine Seite als Ziel nicht wirklich interessant. Aber halt trotzdem nicht per se sicher da passwortgeschützt

das ist und war schon immer unfug, weil man gerade über kleine sites genauso mails verschicken und neuerdings "cryptos" minen lassen kann. auf den kleinen sites bleibt das ganze dann noch eher unentdeckt, weil das knowhow nicht vorhanden ist.
also gut einlesen und selber absichern (wichtigster punkt: automatische updates) oder halt vom hoster machen lassen. der TS macht das jetzt schon richtig.

 

[wegus]

Das ist praxisferne Verunsicherung. WordPress wird Millionen-fach eingesetzt, ist das häufigste System
auch für Shops weltweit. Wenn, dann werden interessante, große und lohnende Sites angegriffen.

wenn Du meinst....ich habe da andere Erfahrungen!

 

[MacMac512]

(ausser bei handgecodeteten, kleinen HTML/CSS Seiten )

Warum auch immer das nicht fortgeführt wurde. Vielleicht stellt und ja der TE am Ende mal sein Resultat vor.
Mir kommt das ganze hier etwas vor wie "Kanonen auf Spatzen", aber Drops ist ja gelutscht.

 

[MacEnroe]

wenn Du meinst....ich habe da andere Erfahrungen!

Das ist interessant, weil höchst selten. Wie wurdest du auf den Hack aufmerksam? Was wurde verändert, was war
die Intention des Hackers? Wo genau lag die Schwachstelle? Was hast du dagegen unternommen? Verwendest du
ab jetzt wirklich nur noch handgestrickte HTML Seiten?

 

[wegus]

Wie wurdest du auf den Hack aufmerksam?

Der Server wurde angegriffen, sobald er verfügbar war. Alles Attacken aus dem Osteuropäischen Raum. Gleiches habe ich auch von neu aufgesetzten Webspaces gehört. Beim Server hast Du halt die Gelegenheit schön mitzulesen. Da konnte ich auch sehen, wie jede meiner einzelnen Abschottungen gegriffen hat. Welche Maßnahmen ich im einzelnen ergreife hängt ja von der Umgebung ab - auch werde ich nicht alle hier kommunizieren. Ein Anfänger fühlt sich nur meist auch besser, wenn er ungestört testen kann und gerade Wordpress kann man auch problemfrei umziehen. A

Was ich verwende hängt vom Auftrag ab! CMSe sind es eher selten. Meist Frameworks aus dem PHP/Java Umfeld.

 

[MacEnroe]

das ist und war schon immer unfug, weil man gerade über kleine sites genauso mails verschicken und neuerdings "cryptos" minen lassen kann.

Das git es auch, aber ist da eine neue einfache WordPress-Installation ohne Plugins wirklich die richtige Adresse dafür?
Die ist mit am besten dagegen geschützt.

 

[Olivetti]

mei @MacEnroe, google halt einfach mal: https://www.google.de/search?q=angriffe+wordpress

im winter gab's zuletzt 'nen konzertierten großangriff. ansonsten schau einfach in deine eigenen logfiles.

 

[Olivetti]

Welche Maßnahmen ich im einzelnen ergreife hängt ja von der Umgebung ab - auch werde ich nicht alle hier kommunizieren.

eine der wirkungsvolleren ist, die wp_login-seite mittels .htaccess abzusichern.
ftp, nach gebrauch, abschalten – besser gleich hoster mit ssh/sftp nutzen.

 

[MacEnroe]

Also wollt ihr jetzt ernsthaft von WordPress abraten?
Das ist, wie jemandem die Nutzung von Windows abzuraten.

Ein gutes Passwort zu verwenden sollte selbstverständlich sein.

 

[Olivetti]

lies nochmal #43, die letzten beiden sätze.
und als ergänzung: alles im netz wird attackiert. es spielt keine rolle, was dahinter läuft.

Ein gutes Passwort zu verwenden sollte selbstverständlich sein.

und was ist ein gutes passwort?

 

[MacEnroe]

und was ist ein gutes passwort?

Guter Trick Ich verrate doch hier keine Passwörter

 

[Loki M]

Das ist interessant, weil höchst selten. Wie wurdest du auf den Hack aufmerksam? Was wurde verändert, was war
die Intention des Hackers? Wo genau lag die Schwachstelle? Was hast du dagegen unternommen? Verwendest du
ab jetzt wirklich nur noch handgestrickte HTML Seiten?

check: exploit-db.com

Sowohl Angriffe auf php wie auf Wordpress gehören da zu den häufigsten Einträgen. Wordpress-Angriffe gehören bei jedem guten Pentest-Kurs zu den Allgemeinplätzen

 

[wegus]

Also wollt ihr jetzt ernsthaft von WordPress abraten?
Das ist, wie jemandem die Nutzung von Windows abzuraten.

Ein Windows kann Sinn machen und dann sollte man davon auch nicht abraten. So ist es auch mit einem CMS! Wenn aber ein CMS der Ersatz für "ich kann kein HTML/CSS/Javascript" sein soll ohne das Content zu managen sei, dann ist es in Frage stellbar. Man kann das dann trotzdem mit einem CMS lösen. Sollte aber eine erprobte Backup/Recover Strategie haben. Denn Standardsysteme wie Wordpress werden zwar gut abgesichert, aber auch die guten machen Fehler und die Einfallsvektoren sind heiß begehrt, denn damit hat man meist Millionen von Targets. Darum: CMS eigentlich nur, wo wirklich Content geändert wird regelmäßig.

 

[MacMac512]

Darum: CMS eigentlich nur, wo wirklich Content geändert wird regelmäßig.

Wird hier nicht gehört.

Der TE hat eine handgestrickte HTML Webseite mit 7 (sieben! nicht sieben hundert!) einzelnen Seiten und ansonsten Bilder.
Da hätte es eine responsive Design Vorlage getan, stattdessen kommt eben ein Content Management System zum Einsatz, obwohl weder Content - noch regelmässig neuer Content vorhanden wäre.
Content Management ohne Content ist halt wenig sinnvoll, aber klar kann genauso machen wie Kanonen gegen Spatzen einzusetzen.

 

[Olivetti]

bei einem verein könnte der fall auftreten, dass sich ein weiteres mitglied um die seite kümmern möchte -> CMS.
und der TS kriegt ja schon unterstützung eines WP-kundigen und evtl. @Difool.

 

[MacEnroe]

Darum: CMS eigentlich nur, wo wirklich Content geändert wird regelmäßig.

Das Problem: Der TE kennt sich mit Deamweaver nicht (mehr) aus und schreibt selbst nicht
HTML/CSS .. und will deshalb ein einfaches System.

Selbst wenn man nur ab und zu etwas ändert, ist das komfortabler ohne Software direkt im Browser
jederzeit überall erledigt. Es reicht das Passwort.

Erstelle ich „händisch“ eine neue Rubrik/Seite, muss ich mich um sämtliche internen Links kümmern und
diese wieder aktualisieren. Und auf Fehler testen. Ein System macht das automatisch.

Und: Eine Website, auf der sich nichts ändert, ist bei Google uninteressant, wenn man gefunden werden will
sollte man also regelmäßig texten. OK, ist für den TE eher weniger relevant, aber in der Regel ist das
auch ein Thema.

 

[wegus]

Das Problem: Der TE kennt sich mit Deamweaver nicht (mehr) aus und schreibt selbst nicht
HTML/CSS .. und will deshalb ein einfaches System.

Das Argument kenne ich! Ich kenne auch Firmen denen man als Webseite für diverse Kilo-Euro ein Wordpress Template verkauft hat, plus Link zu einem Tutorialvideo wie der Kunde sein "tolles neues einfaches System" bedienen kann.

Ganz so einfach ist das nämlich für Laien alles nicht und ein CMS ist meist nur deswegen eine einfache Lösung, weil der Auftragnehmer nix anderes kann als das eine CMS. Dem Kunden kann es fast egal sein, ob er nicht HTML lernt um ein paar Seiten zu modifizieren oder ob er die Bedienung von Wordpress lernt.

Das ist auch grundsätzlich o.k., sollte dann aber auch so kommuniziert werden. Ich hab auch nichts gegen CMSe und Wordpress ist ein Gutes! Allerdings wer ein CMS verkauft, der muß wegen der Angriffsvektoren ein Backup/Restore-Konzept mitliefern finde ich.

 

[MacMac512]

Das Problem: Der TE kennt sich mit Deamweaver nicht (mehr) aus und schreibt selbst nicht
HTML/CSS .. und will deshalb ein einfaches System.

Wo kam das denn im Thread vor?

Er hat doch mit HTML die Seite gebaut und alles selbst geschrieben. Ob jetzt DW oder textedit ist ja völlig egal.

Der Baukasten kam auf, weil der TE meinte, dass man diesen bräuchte um eine Webseite responsive zu machen, nicht weil es per se eine Anforderung gibt, die ein CMS benötigen würde.

Ich muss die Seite nun neu machen - und zwar mit einem Baukastensystem, damit man die auch auf dem Handy betrachten kann.

Braucht man aber nicht und ist eben etwas overpowered, wenn man seine tatsächliche Anforderung an die "neue" Seite vor sich hat, nämlich...

Ich möchte nur eine ganz einfache Infoseite mit ein wenig Navigation aufbauen und fertig.

Da ist der TE auf die nächsten Monate und Jahre hinweg öfter mit dem Updaten von diversen Datenbanken etc. beschäftigt, als dass es wirklich einen Nutzen für ihn hat. Eine Infoseite/Landing Page braucht doch letztlich keine Datenbank und PHP/SQL etc.