Blog gehackt? - wie verhindern?

Hmm.... nur aktualisieren reicht wohl nicht.
Evtl. hat derjenige ja seine Backdoor immer noch im Blog.
Hast Du vor dem aktualisieren alle alten Dateien gelöscht und auch mal in der DB nach Benutzern geschaut, bzw. auch das DB-Passwort geändert?

 

Ich empfehle dir, auch die Zugangsdaten für die MySQL-Datenbank zu ändern. Könnte ja sein, das er darüber Zugriff hat. (phpmyadmin oder so)...

Passwörter sollten nach Möglichkeit nicht im Duden stehen oder gar mit Google zu finden sein... ^^

 

Zum Thema gab es schon ein paar Threads!
Das wichtigste: Aktuellste WP-Version benutzen! Aktuelle Plugin-Versionen verwenden, denn Plugins können genauso Löcher reißen.

Ansonsten sei dir folgende Lektüre empfohlen: http://blogsecurity.net/projects/secure-wp-whitepaper-de.pdf

 

ich hatte heute morgen vier Angriffe , die per js über die Kommentare rein kommen wollten,

der Server hat geraucht, Spam Karma 2 ebenso-

schau dir die error logs an, dann siehst du es manchmal gleich was passierte

sperre den Zugriff auf wp.-admin via htaccess

ändere das PW oft!

lg

 

Hallo Monika,

würde mich auch mal interessieren! Verdammte Hacker - kenne mich damit nicht aus

Habe ich das richtig mitbekommen? Man soll noch eine zusätzliche Hürde aufbauen, indem man das Directory in dem 'wp-admin' liegt mit einem Verzeichnisschutz versieht?

Mein Provider bietet eine einfache Möglichkeit Directorys nur per Passwort zugänglich zu machen.

Bringt das wirklich was? Kommen die Hacker nur über 'wp-admin' rein indem sie das Passwort knacken? Dann müsste ja auch ein besonders langes Passwort die Sicherheit etwas erhöhen.

Grüße, Hansjörg

P.S. Falls diese Fragen zu brisant sind, um sie in der Öffentlichkeit zu erörtern, würde ich mich über PN freuen.

 

Nein, das ist nur eine Möglichkeit von vielen, neben Angriffen auf Plugins, über andere Schnittstellen, SQL-Injections, XSS...

Das hilft nur gegen das Erraten des Passwortes, aber nicht wenn es woanders Schwächen gibt.

PS: Schau doch mal in das von mir verlinkte PDF-Dokument. Da gibt es viele Anregungen um die Sicherheit zu verbessern. Das mit der .htaccess ist glaub ich auch dabei.

 

9 Quick Tipps zur Sicherheit - oder Hilfe mein Blog wurde gehackt


ich muss wieder zu meinem server daher so kurz

lg

 

Danke Jottlieb + Monika!

Werde mich im Laufe des Tages mal mit den genannten Dokus beschäftigen...

Die Illu finde ich schon mal gut gelungen:

http://www.texto.de/wp-images/0108/9quicktippszur-sicherheit.jpg



Grüße, Hansjörg

 

Monika, Danke für die 9 Quick Tips. Hat mir sehr geholfen

 

Hi Monika,

die Liste finde ich ganz gut, vielleicht könnte man die erweitern. Mein Eindruck ist, dass das Wissen zum Thema Wordpress vs. Security im Augenblick recht stark nachgefragt wird.
Worum die Liste erweitern könnte
- security_key in wp-config.php
- Zugriff auf wp-config.php via htacess unterbinden, hatte ich heute beim Frank Bueltge gelesen
- Deine Tip9 ist glaube ich für viele nicht praktikabel, weil sich ihre IP laufend ändert, vielleicht könnte man das um einen htpasswd + htacess Tip erweitern
- empfohlene Dateirechte für Ordner und Dateien

Da gibt es wahrscheinlich noch mehr?

 

Hallo,

ich wollte das Withepaper durcharbeiten und
WP Prefix Changer


einsetzen.

Der spuckt mir folgenden Hinweis aus und macht erstmal nicht weiter:

Kann mir jemand mitteilen welche Rechte der user in der DB braucht? Ich denke ich muss über phpmyadmin den User erstmal entsprechend konfigurieren das es weiter geht...

Grüße Dave

 

Weiß keiner was?