1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Seite wieder gehackt

Dieses Thema im Forum "Allgemeines" wurde erstellt von disk4711, 8. September 2015.

  1. disk4711

    disk4711 Member

    Registriert seit:
    19. Dezember 2013
    Beiträge:
    8
    Zustimmungen:
    0
    Guten Morgen alle zusammen,
    unsere Webseite ist in diesem Jahr schon zum 3. mal gehackt worden.
    beim letzten mal war es wohl eine Lücke in einem bekannten Slider Plugin.
    Nachdem ein externer Fachmann dieses Plugin manuell upgedatet hat ging es ein paar Tage und promt war es wieder gehackt, so das unser Provider wieder die Seite gesperrt hat.

    Ich stelle mir jetzt die Frage ob WP überhaupt das richtige ist oder ich wieder zurück gehe zu einer fertigen CMS Lösung aus einer Hand.

    Ich habe schon immer drauf geachtet das alle Updates eingespielt werden, o.k. zwar nicht tag täglich, jedoch alle 3-4 Wochen hab ich schon reingesehen ob PlugIns einen Update benötigen, Die WP Updates kamen ja immer automatisch.

    Oder stehen wir mit unserer Seite auf irgend einer Hacking Liste das ich immer zum Opfer werde ?
    Ich habe schon alle Passwörter 15-20 stellig kryptisch aufgebaut.
    Ich habe jedesmal einen "experten" hinzu gezogen

    Daher meine Frage an euch, kann ich mit vorhandenen Mitteln und ohne das ich stündliche meine Seite überwachen muß eine WP Installation sicher betreiben ?, Dann würde ich über die Jobbörse jemanden bauftragen der die Seite mal clean und Safe macht.

    Vielen Dank

    Gruß
     
  2. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Sowas hängt auch immer stark von den Themen ab, mit denen sich eine Website beschäftigt, insb. bestimmte meinungsbildende Inhalte ziehen gerne den geballten Hass gewisser Leute auf sich, die für ihre Ansichten stets die allerhöchste Toleranz einfordern, diese aber anderen nicht im mindesten gewähren wollen und bei der Unterdrückung abweichender Meinungsinhalte auch vor kriminellen Handlungen nicht zurückschrecken, ja, sich dazu sogar als legitimiert empfinden.

    Andererseits werden auch Websites mit solchen Inhalten gerne heimgesucht, die Scriptkiddies ansprechen, sei es nun inhaltlich oder durch bekannte Lücken, wie z.B. das o.g. Plugin oder eine insg. eher unsichere Installation.

    Hier im Forum und auch sonst im WP-Kosmos gibt es unzählige Anleitungen, die sich mit der Sicherheit von WP-Installationen beschäftigen, ebenso wie Dienstleister.

    Suche z.B. mal nach "hardening Wordpress" und "hardening Wordpress .htaccess" um die besseren davon zu finden, achte bei den Fundstücken aber unbedingt auf deren Aktualität, manche sind völlig veraltet und daher aktuell ungültig.

    Ansonsten solltest Du in der Tat auch die Dienste eines seriösen Anbieters in Betracht ziehen, denn solche Anleitungen, egal wie gut sie im Einzelfall auch sein mögen, sind stets nur allg. Natur und können daher nicht auf Deine ganz individuellen Konstellationen und Bedürfnisse eingehen.
     
  3. maxe

    maxe Well-Known Member
    Ehrenmitglied

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.581
    Zustimmungen:
    277
    Und dann kann es auch an nicht mehr aktualisierte Plugins oder Themes liegen. Schau mal wie viele deiner Plugins/Themes schon ewig keine Updates mehr bekommen haben.
     
  4. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    ein gehacktes Plugin zu erneruern ist die eine Sache...
    die Lücke zu finden eine andere...

    zb kann es auch der eigene PC sein...
     
  5. Brawler

    Brawler Gast

  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    so etwas ist sicherlich sehr ärgerlich und kostet auch den guten Ruf.


    Vermutlich bist du nur ein Opfer von einem merkwürdigen Marktplatz.

    Dies kann leider schon mal passieren - wie gesagt - Theme von einem merkwürdigen Marktplatz haben nicht nur eine Sicherheitslücke... sondern sind die Sicherheitslücke.

    WordPress ist meiner Meinung nach jetzt durch das eigene WordPress Security Team sicher geworden
    https://vip.wordpress.com/security/

    Das Team arbeitet auch mit anderen Entwicklern zusammen und so werden Sicherheitslücken in WordPress schnell gefunden und beseitigt.

    1. Einige Provider können durch eine Firewall das System gegen übliche Angriffe absichern - hier würde ich einen Provider wechsel empfehlen
    2. Wenn du ein Theme von Themefores verwendest, such dir ein anderes Theme - mit weniger Schnick Schnack und ohne Sicherheitslücken.
    3. man kann WordPress absichern und bereinigen. Das System kann man auch überwachen lassen.

    Viel Glück

    Ralf
     
  7. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.857
    Zustimmungen:
    437
    Die Entseuchung und Sanierung einer gehackten Blogs kann viele Stunden dauern. Es gibt nur wenige ausgewiesene Spezialisten, die in der Lage sind das Einfallstor sicher zu bestimmen und die Sicherheitslücke dauerhaft zu schließen. Sollte es sich allerdings um eine bekannte Sicherheitslücke handel, der Fachmann erkennt das meistens an den Symptomen, geht die Reparatur im Regelfall schnell. Falls dem aber so ist, war der Fachmann entweder kein Experte oder nach der Bereinigung ist eine neuer Sicherheitslücke entstanden.
     
  8. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Wenn er nicht zu groß ist, lohnt sich daher u.U. auch einfach ein Neuaufsetzen und nur das Übertragen der puren Inhalte, dabei aber auch gleich den eigenen Rechner und den Server checken (lassen).
     
  9. disk4711

    disk4711 Member

    Registriert seit:
    19. Dezember 2013
    Beiträge:
    8
    Zustimmungen:
    0
    Vielen Dank für eure Antworten.
    Die Webseite ist eine Firmenwebseite, also kein Blog o.ä.
    Wir haben es vor 2 Jahren von einem Freelancer aufbauen lassen, der hatte damals uns "Premium"Themes von Themenforest vorgestellt aus denen wir uns einen aussuchen sollten. Wir haben uns für Inovado entschieden. Da ist auch der Revulution Slider enthalten.

    Wenn ich mich für ein anderes Theme entscheiden sollte, wo bekommt man gute zuverlässige Themes her ?

    Bei ersten Hack hatten sich die Hacker haufenweise User angelegt, dann wurde wie gesagt Spammails versendet, unser Experte hatte beim vorletzen Hack Pligins installiert die mir zeigen wenn sich einer einloggt, und ein weiteres wenn Dateien geändert werden.

    VG
     
  10. Brawler

    Brawler Gast

    Von Themeforest. Allerdings sollte man sich in der Materie auskennen, um entsprechend Beurteilen zu können, ob der Anbieter und das Produkt etwas taugt.

    Lt. Changelog wurde "Inovado" kurzfristig nach Bekanntwerden der Sicherheitslücke im Slider entsprechend aktualisiert. Insofern habt ihr oder der FL keine Aktualisierung vorgenommen (oder einfach nur Pech gehabt).

    Ich empfehle euch zunächst eine Beratung, was man wie und wo machen kann. Möglichkeiten aufzeigen und je nach Unternehmensgröße entscheiden, ob man sich nicht einen echten, eigenen Charakter leisten möchte. Auch wenn Premiumthemes viel Komfort und Gestaltungsmöglichkeiten bieten, sind sie eben doch nur von der Stange. Sprich: einfach mal über Marketing, CI, CD und Zielsetzungen sprechen. ;)
     
  11. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Auch die kann Begehrlichkeiten der düsteren Art wecken, sei es nun weil das Unternehmen in einem hart umkämpften Verdrängungsmarkt positioniert ist oder wegen seiner Produkte bzw. Dienstleistungen ins Visier bestimmter selbstlegitimierter Weltverbesserer oder Fanatiker gerät.


    Tja, Premiumthemes – so easy, so kostengünstig und sooo viele Features, wenn man damit nur nicht fast immer auch einen Pferdefuß mit an Bord hätte...


    Und ruft damit schon mal mindestens die Scriptkiddies auf den Plan.


    Am besten eines nur für Euch von kompetenten Leuten bauen lassen, ich weiß ja nicht wie groß Euer Unternehmen ist, aber oft ist es schon lausig, was manche Unternehmen im Vergleich zu den anderen ihrer Investitionen bereit sind in eine ordentliche HP zu stecken.

    Erst kürzlich noch die HP eines vor nicht allzulanger Zeit im Umkreis von Köln neu eröffneten größeren Bowlingcenters samt angegliedertem Restaurant bestaunt und bin dabei fast vom Stuhl gefallen, was man sich da geleistet hat, insb. wenn man sich mal überlegt, was so ein Bowlingcenter samt Grundstück, eigens dafür gebauter Halle, Bowlinganlage, Restaurant etc. an Investitionskosten verschlingt – Dann eine HP der Preiskategorie klein dreistellig, das passt einfach nicht zusammen und ist heutzutage gerade für ein solches Unternehmen im Freizeitsegment der marketingtechnische und damit auch betriebswirtschaftliche Supergau.

    Auch krass, wenn auch betriebswirtschaftlich weniger gewichtig, die HP des letzte Woche neu eröffneten über zehn Jahre geplanten größten Einkaufscentrums der Region in Gummersbach (Forum Gummersbach östlich von Köln), auch mit WP gemacht, aber wie und vor allem mit welch mageren Inhalt und erst die Auffindbarkeit über Google für andere Bezeichnungen als nur genau dessen Name.

    Da weiß man gleich, was die Verantwortlichen nicht wissen...

    Egal, ich schweife ab


    Das übliche halt, scheint dann wohl eher nicht persönlicher Natur zu sein und Dein Experte hätte mal lieber, anstatt nur die Schmach der Panne zu dokumentieren, die Panne selbst beseitigen und die HP gegen neue Pannen dieser Art sicher machen sollen…
     
  12. tatort

    tatort Well-Known Member

    Registriert seit:
    4. Mai 2009
    Beiträge:
    258
    Zustimmungen:
    1
    Hallo,

    oftmals wird WP auch bei weitestgehend STATISCHEN Webseiten (ohne viele Änderungen) verwendet. Hier ist eigentlich kein CMS nötig. Aber weil der HP Besitzer gerne etwas ändern möchte, kommt das CMS auf den Webspace.
    Hier helfen oft die von einigen Hoster angebotenen Profilösungen. Die Veränderung der Webseite erfolgt wie bisher über den CMS das aber besonders abgeschlossen und für externe nicht erreichbar z.B. in einer Internen Cloud befindet. Die Daten werden automatisch nach erfolgter Änderung zu STATISCHEN Webseiten gebaut (Ausnahme: Suche, Kommentare) und die werden z.B. via FTP auf einen (für alle erreichbaren) Server gepackt.
    Vorteil für den Hoster ein Request benötigt nur einen BRUCHTEIL der Resourchen von vorher (Kein PHP, kein MYSQL nur NginX oder Apache), und der Kunde kann nur schwer bis garnicht mit seiner Lösung umziehen.

    Also zur Frage "Ist WP die richtige Software für mich". Hängt vom Einzelfall ab. Aber wenn du eh nur alle 4 Wochen dich einloggst bist du mit einer statischen Lösung wohl besser bedient.
     
  13. brandNeu

    brandNeu Well-Known Member

    Registriert seit:
    24. Februar 2015
    Beiträge:
    69
    Zustimmungen:
    0
  14. gericoach

    gericoach Well-Known Member

    Registriert seit:
    12. August 2008
    Beiträge:
    7.193
    Zustimmungen:
    0
  15. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Möchte den Thread hier nicht kapern, daher nur kurz und weil man aus schlechten Beispielen auch für das eigene Unternehmen lernen kann.

    Die Website mag in der Struktur und Aufbau ordentlich gemacht sein, aber das wichtigste leistet sie nicht, nämlich den Besucher zu animieren auch das Einkaufzentrum zu besuchen, außerdem ist sie schlecht in Google zu finden, wenn man nicht ganz gezielt nach ihr sucht, angemessenes Sozialmediamarketing, auch Fehlanzeige, man setzt halt wieder mal ganz ignorant auf die alten Medien und hofft, dass das gut geht...

    Insgesamt ein beschämendes Ergebnis für eine Website, die ein solch abermillionen schweres Großprojekt bewerben soll, welches dazu noch eine Planungsphase von rund 10 Jahren auf dem Buckel hat.

    So kann sowas auch umgesetzt werden, real größer zwar, aber das spielt für die Umsetzung in Form einer HP ab einer bestimmten Größenordnung keine entscheidende Rolle

    http://www.midvalley.com.my/


    oder aus der Region und in etwa gleicher Größenordnung, nicht optimal, aber wesentlich besser

    http://www.rheinberggalerie.de/


    oder dies, auch in etwa gleicher Größenordnung und mit Wordpress im ähnlichen Aufbau umgesetzt

    http://www.zuidplein.nl/


    Aber vielleicht kommen auf der monierten Website ja noch Inhalte dazu, habe meine Kritik deswegen auch schon den Beitreibern zukommen lassen, als nächstes geht diese Information an die Mieter der Ladenlokale, denn die dürfen solches Versagen auf der Führungsebene letztlich ausbaden...
     
  16. Brawler

    Brawler Gast

    Mich würde stören, dass es nicht regional vergeben wurde. :)

    Ansonsten sind die Center-/Forum-/Galerie-Seiten eh alle überflüssig. Ein Einzeiler mit den Öffnungszeiten reicht. Für alles Weitere fahre ich lieber hin! :D
     
  17. mfitzen

    mfitzen Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.820
    Zustimmungen:
    2
    Back to topic:

    Sich hier nur auf die besagten Plugins/Themes zu konzentrieren ist ein fataler Fehler. Meistens wurden irgendwo auf dem Server "Hintertürchen" eingebaut, mit denen es dann problemlos möglich ist die Seite wieder zu übernehmen. Diese Dateien tragen sehr oft annähernd die gleichen Namen, wie die originalen WP-Dateien und sind von daher nicht auf den ersten Blick zu finden. Wenn man nicht genau weiss, was man zu tun hat, ist eine "Komplettsarnierung" die beste Lösung. Ansonsten ist so eine Säuberung nicht mal eben so getan. Da spreche ich aus Erfahrung...
     
  18. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    Eben, daher kann u.U. der durchaus praktikabelste und evtl. auch kostengünstigste Weg sein, nur die blanken Inhalte zu retten und die HP komplett neu und sicher aufzubauen ohne den alten kontaminierten Rotz mitzuschleppen oder ein Vermögen für eine Profisanierung unter Beseitigung aller bestehenden oder gar vom Angreifer erst geschaffenen Sicherheitslücken der alten HP auszugeben.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden