WIR WURDEN GEHACKT UND HABEN GEWONNEN - WIE DU DEINEN BLOG MIT DIESEN EINFACHEN SCHRITTEN SICHER MACHST
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WIR WURDEN GEHACKT
UND HABEN GEWONNEN
WIE DU DEINEN BLOG MIT DIESEN EINFACHEN
SCHRITTEN SICHER MACHST
1 VON 10 BLOGTOBUSINESS.DE
DA IST ES PASSIERT. ES IST MONTAGABENDS … und mein Geschäftspartner und ich ich chatten gemütlich rum. Wir stellen uns auf einen ruhigen Abend ein. Ich lehne mich zurück, lasse den Tag nochmal revue passieren und war schon am Weg in den Feierabend. Zumindest kurzfristig. Dann, wie aus dem nichts, ereilte mich eine Nachricht. Irgendwas auf unserem Blog. Wir kamen von einem zum anderen. Ein Datenbankfehler? Aber nicht bei jedem Laden der Seite, sondern nur in 90% der Fälle. Ernsthaft? Verbindungsdaten: Check Datenbankreparatur: Check Daten OK: Check Unser zweiter Gedanke: Hosteurope (unser Hosting-Anbieter) hat temporäre Probleme im System. Eine Stunde vergeht. Gleiches Problem noch immer bestehend. Nach einem kurzen Telefonat mit dem Support spätabends dann die Gewissheit: Wir werden gehackt. Das erklärt die Fehlermeldungen. Es fällt uns wie Schuppen von den Augen. Unser Server stand in der Zeit unter einer derart hohen Last, 2 VON 10 BLOGTOBUSINESS.DE
dass nichts mehr wirklich funktioniert hat. Nicht nichts, aber eben fast nichts zu 90% der Zeit. Doch unser System war doch sicher? Wir haben doch alle Vorkehrungen getroffen und es auch ewig gepredigt. Oder einfach gesagt: Die Must-Haves eines sicheren WordPress-Blogs. WORDPRESS SICHERHEIT Hier nochmal alle Schritte für dich: WORDPRESS UND ALLE PLUGINS AKTUELL HALTEN Mit Updates werden Sicherheitslücken geschlossen und neue Features ergänzt. Du bist nicht nur sicher, sondern auch am letzten Stand der Technik. Viele Hacker greifen bewusst ältere Versionen an, da sie einfachere Ziele sind. Update-Meldungen sehen so aus: Dauert wenige Sekunden und bringt eine Menge. Also: System und Plugins immer aktuell halten. 3 VON 10 BLOGTOBUSINESS.DE
ALS LOGINNAMEN NIEMALS “ADMINISTRATOR”, “ADMIN” ODER ÄHNLICHES VERWENDEN Hacker wollen es einfach haben. Sie versuchen also zuerst herauszufinden, ob du die Standard-Konfiguration von WordPress nutzt. Und dazu zählen auch altbekannte Variationen von Admin, wie “Administrator”, “admin”, “root”, … . Ob das bei dir der Fall ist kannst du im Admin-Bereich deiner Installation überprüfen. Klicke hierfür auf Benutzer/Dein Profil und sieh dir dieses Feld an: Benutzername ändern Sollte dort bei Benutzer “Admin” oder ähnliches (wie oben aufgezählt stehen), kannst du diesen mit folgendem Plugin ändern: http://wordpress.org/plugins/admin-renamer-extended SICHERE PASSWÖRTER VERWENDEN 8% der WordPress-Installation werden durch unsichere Passwörter gehackt. Wenn dein Passwort also in Richtung “12345”, “hallo12″, “passwort”, … gehen, solltest du es unbedingt ändern. 4 VON 10 BLOGTOBUSINESS.DE
Hier kannst du dir kostenlos sichere Passwörter generieren lassen: http://www.passwort-generator.com Diese kannst du dir in der Regel aber nicht mehr merken. Außer, du willst es unbedingt. Wobei – es gibt doch wichtigere Dinge im Leben ;-) Wir verwenden einen Password-Safe für alle diese Passwörter: 1Password für Mac. Damit müssen wir uns nie wieder lange, komplizierte Kombinationen merken. LOGIN-VERSUCHE EINSCHRÄNKEN Eine beliebte Methode unter Hackern ist die sogenannte “Brute-Force” Attacke. Das heißt: Es werden einfach Millionen von Nutzer-Passwort Kombinationen ausprobiert, bis die richtige dabei war. Und genau hier können wir ansetzen: Wir beschränken diese Versuche. Mit dem Plugin “Limit Login Attempts” hast du die Möglichkeit, eine maximale Anzahl an Versuchen festzulegen. Danach ist der Zugang für diese IP-Adresse für X Minuten gesperrt. Viele der großen Hacker-Angriffe verwenden aber eine Unzahl an IP- Adressen. Diese Methode erhöht deine Sicherheit schon drastisch, aber trotzdem noch nicht komplett. — Das alles hat uns im Endeffekt davor geschützt, erfolgreich gehackt zu werden. YES! 5 VON 10 BLOGTOBUSINESS.DE
Doch einen wirklich bitteren Beigeschmacken hatte die ganze Sache: Die Seite war für Stunden nicht erreichbar – und das an einem wirklich starken Tag. Wir waren den Angriffen ausgeliefert, obwohl sie nicht erfolgreich waren. Nach einer kurzen Recherche im Internet sind wir dann auf die finale Lösung gestoßen. Sergej Müller beschreibt in seinem Artikel noch eine zusätzliche Möglichkeit, den Admin-Zugang zu sichern. Hinweis: Dieser Tipp ist fortgeschritten. Solltest du Anfänger sein, bist du mit den obigen Methoden schon sehr gut bedient. Solltest du den kommenden Kniff trotzdem noch implementieren wollen, brauchst du einen WordPress-Ninja deines Vertrauens oder einfach etwas Technik- Verliebtheit. Der Vorteil dieser “doppelten” Passwort-Sicherung des Admin- Bereiches ist folgender: Der Hacker kommt nicht mal mehr direkt zu WordPress, um Passwörter zu probieren. Der Server fängt diese Last schon ab und belastet somit unser System nicht mehr so stark. Die Seite bleibt stabil und für den Besucher normal einsehbar. Schritt 1: Auf den FTP Server verbinden und die “.htaccess” Datei im WordPress Verzeichnis öffnen (oder erstellen, wenn nicht vorhanden). Dort folgende Inhalt ergänzen: AuthName "Admin-Bereich" AuthType Basic AuthUserFile /pfad/.htpasswd require valid-user 6 VON 10 BLOGTOBUSINESS.DE
order deny,allow deny from all Wie der richtige Pfad zur “.htpasswd” Datei lautet, ist von Hoster zu Hoster unterschiedlich. So kannst du den Pfad ermitteln: http://www.htaccesstools.com/articles/full-path-to-file-using-php Schritt 2: Eine Datei mit dem Namen “.htpasswd” im gleichen Verzeichnis erstellen. Diese Datei mit einem Editor öffnen und Benutzer/Passwort vergeben. Benutzer/Passwort kannst du dir hier sicher und im richtigen Format für diese Datei generieren lassen: http://www.htaccesstools.com/htpasswd-generator Wo du ein sicheres Passwort herbekommst, findest du etwas weiter oben im Artikel. Schritt 3: Testen. Gehe auf www.deinblog.de/wp-admin und achte darauf, ob ein ähnliches Fenster wie bei uns aufpoppt: 7 VON 10 BLOGTOBUSINESS.DE
GRATULIERE, DAMIT GEHÖRT DEIN BLOG WOHL ZU EINEN DER SICHERSTEN WEBSITES DIE DORT DRAUßEN STEHEN ;-) 100%ig kann man einen Übergriff aber wohl nie ausschließen. Solltest du dich aber an diese paar Kleinigkeiten halten, bist du schon sehr sehr gut dabei. Lass uns gemeinsam vom Bloggen leben! Jakob Schweighofer 8 VON 10 BLOGTOBUSINESS.DE
Wenn dir dieser Bonus weitergeholfen hat, dann teile ihn
bitte mit deinen Blogger-Kollegen und Freunden. Auch wenn
es nur eine einzige Person ist, die dir besonders am Herzen
liegt - es könnte ihren Blog vor Angriffen schützen.
Schicke ihnen hierfür einfach den Link zu diesem Artikel, wo
sie den Report direkt selbst anfordern können:
BLOGTOBUSINESS.DE/WORDPRESS-PLUGINS
Danke.
9 VON 10 BLOGTOBUSINESS.DEIIIIIIIIIIII 10 VON 10 BLOGTOBUSINESS.DE
Sie können auch lesen
