1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitsbedenken

Dieses Thema im Forum "Allgemeines" wurde erstellt von Baumhoff, 11. Mai 2016.

  1. Baumhoff

    Baumhoff New Member

    Registriert seit:
    11. Mai 2016
    Beiträge:
    1
    Zustimmungen:
    0
    Hallo zusammen,
    ich bin nicht neu bei CMS-Systemen aber neu bei WordPress. Ich hatte mehrere Angriffe über Joomla auf dem Webserver, so dass es mir leid war und ich jetzt meine Seite mit WordPress erstellen möchte. Gesagt getan, eineVorlage gekauft und installiert.
    Dabei habe ich sofort 'WP Security' installiert, damit die bösen Buben es schwerer haben. Die Erweiterung sendet mir auch Mails, wenn jemand erfolglos versucht sich anzumelden.
    Jetzt kommt's: ein paar Tage nach der Installation erhalte ich mehrere Mails in längerem Abstand, dass jemand verucht sich mit meinem Benutzernamen einzuloggen. Dann habe ich meinen Benutzernamen geändert in 'DiesisteinTest'. Per Zufall findet sowas keiner heraus. 1 Woche später kommen wieder die Loginversuche und wieder mit dem richtigen Benutzernamen. Eingeloggt war (wahrscheinlich) niemand. Aber gibt es da ein Problem???
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Ist normales Grundrauschen. Sichere deine Admin Bereich per .htaccess ab, deaktiviere xmlrpc und Ruhe ist
     
  3. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.857
    Zustimmungen:
    437
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Ich würde unbedingt die eigene Umgebung mit _richtigen_ Werkzeugen auf Trojaner untersuchen. Oft kann man sich seinen Rechnern an gehackten WebSiten leider auch verseuchen.

    2. WordPress kann man wurderbar falsch installieren. Ich würde dort auch keinen Profi dranlassen.
    3. Wenn der Admin auch Artikel schreibt kann man sicherlich im Html Core von dem gekauften Theme den Namen von dem Admin lesen? Quellcode mal prüfen und nicht als Admin Beiträge schreiben?
    4. Den Admin Bereich würde ich absichern, so dass keine weitere Person Zugriff erhält. Dies geht zum Beispiel mit HTTP-Authentifizierung

    https://de.wikipedia.org/wiki/HTTP-Authentifizierung

    evtl. fragst du auch mal auf der offiziellen WordPress Seite http://de.wordpress.org nach aktuellen Tipps.

    Viel Glück

    Ralf
     
  5. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.988
    Zustimmungen:
    198
    Werden die meisten Wordpress Installationen nicht durch Sicherheitslücken gehackt, statt durch erraten von Passwörter?

    Wordpress immer aktuell halten, dann sollte man auch auf der sicheren Seite sein.
     
  6. tas2580

    tas2580 Member

    Registriert seit:
    11. Februar 2009
    Beiträge:
    9
    Zustimmungen:
    0
    Naja schlecht geschriebene Plugins tragen sicher auch ihren Teil dazu bei und sowas wie das hier findet man auch zu genüge wenn man mit den richtigen Tools sucht. Man muss oft gar nicht so viel super speziell absichern sondern einfach die üblichen Fehler vermeiden.

    Gruß Tobi
     
  7. Tubedesigner

    Tubedesigner Well-Known Member

    Registriert seit:
    24. April 2015
    Beiträge:
    2.048
    Zustimmungen:
    2
    http://forum.wpde.org/allgemeines/144023-wordpress-sicherheit-und-updates.html#post644357

    http://forum.wpde.org/allgemeines/146808-brute-force-attack.html#post635989

    http://forum.wpde.org/plugins-und-widgets/150634-frage-zur-wp-sicherheit-plugins.html#post648419
     
  8. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    kann ich zumindest so nicht bestätigen
    klar gibts generelle Angriffe auf bestimmte Plugins und das schießt gleich tausende in den Gehackt-Äther

    aber was bei mir landet Monat für Monat, manchmal Woche für Woche sind zu 90% gehackte FTP Zugänge

    verseuchte PCs , die alles offenlegen ...

    und so verdammt oft ist der FTP user derselbe wie der Datenbankuser und auch gleiche Passwörter
     
  9. sisnicha

    sisnicha Active Member

    Registriert seit:
    27. April 2016
    Beiträge:
    25
    Zustimmungen:
    0
    Grundsätzlich sollte der Benutzername (mit dem du dich anmeldest) immer ein anderer sein, als der öffentliche Name.

    Zum reinen Erstellen und Bearbeiten von Inhalten würde ich außerdem ein eigenes Benutzerkonto mit verminderten Rechten verwenden.
    https://codex.wordpress.org/Roles_and_Capabilities

    Als Administrator nur dann einloggen, wenn es wirklich administrative Aufgaben gibt.

    Mit "WP Security" meinst du vermutlich das "All-in-one WP-Security"?
    https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

    Die reine Installation des Plugins hilft allerdings nichts, du musst es auch konfigurieren.

    Sehr effektiv (aber nur dann ratsam, wenn die Zahl der Benutzer überschaubar ist), ist es, das wp-admin Verzeichnis per hataccess passwortzuschützen.
    Achte dabei darauf, eine Ausnahme für wp-ajax.php zu erstellen, sonst funktionieren manche Plugins nicht.

    Sei dir außerdem immer bewusst, mit welchem Gerät und in welchem Netzwerk du dich mit Wordpress, FTP, MySQL, control-panel verbindest.
     
  10. Woogie-Design

    Woogie-Design Well-Known Member

    Registriert seit:
    20. August 2014
    Beiträge:
    211
    Zustimmungen:
    0
    Eine weitere Möglichkeit das Wordpress abzusichern wäre es auf einem localen Rechner zu installieren und dann statische Seite per FTP auf dem Server hosten ;)
     
  11. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    9
    Und wie bitte soll man dann die Seite von außerhalb erreichen? Stichwort dynamische IP, Port forwarding [emoji6].
     
  12. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.988
    Zustimmungen:
    198
    Er meint auch was anderes @Hille.

    Er meint Wordpress lokal installieren und per Plugin z.B. Simply Static die Seiten als HTML exportieren und auf dem Webspace hochladen. Hat alles seine Vor und Nachteile.

    Aber dieses vorgehen widerspricht den Sinn eines CMS :)
     
  13. SuMu

    SuMu Well-Known Member

    Registriert seit:
    5. Januar 2006
    Beiträge:
    6.301
    Zustimmungen:
    84
    Offline bleiben, birgt dann "nur" noch "Gefahr" im Leben :mrgreen:
     
  14. Woogie-Design

    Woogie-Design Well-Known Member

    Registriert seit:
    20. August 2014
    Beiträge:
    211
    Zustimmungen:
    0
    Hille da hängt bei mir auch mehr dahinter als nur noch der Nutzen eines CMS ;)

    Ich erkläre das mal fix. Ich arbeite für einen Abkömmling des größten Vergleichsportal im Internet, das Hauptsystem läuft natürlich nicht mit WP. Aber unsere Tochterfirma hat ein WP für unsere Marketingmitarbeiter, damit die Ihre Seiten und Texte selbst pflegen können, da der Rest der IT keine Zeit hat sich mit Banneraustausch zu beschäftigen oder mal einen Text online zu stellen ;)

    Da WP nicht das sicherste System ist haben wir das WP auf internen Servern gehostet, wie Jaba schon sagt mit Simply Static verschieben wir die statischen Seiten auf einen Ordner, der von außen erreichbar ist. Da ich nur von Java Entwicklern umgeben bin, haben wir hierür sogar Jenkins mit eingebunden der uns die Backups macht, eine Preversion der Webseite auf extra Ordnern anlegt und erst nach Test live stellt.

    Wir haben das auch erst umgestellt, da die Seite bei Host Europe teilweise mehrere Sekunden am laden war bevor die Seite auf ging. Da bei uns Makler aber einloggen um in das Hauptsystem zukommen kann man sich die Ladezeiten nicht leisten und reine Optimierung hat nicht viel gebracht.
     
  15. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    ich versteh das Konstukt,
    was ich nicht verstehe, dass man , wenn die Ladezeit enorm wichtig ist, diese nicht bei der Erstellung berücksichtigt, sondern meist glaubt,man könne dann "Ladezeit drüberstülpen" :)

    Ladezeit liegt nicht an WP selbst, sondern ist meist hausgemacht =>
    angefangen von unperformten CSS
    bishin zu irren Scripten die wild wuchernd einfach durch Plugins in den Äther gejagt werden :)

    ich kenne ein anders Kontrukt: eine deutsche Bank hostet WP auswärts, nutzt es als corporate Website
    jedes Login ist auf der Startseite der "Mutterseite" die ist intern gehostet mit allen Sicherheitsvorkehrungen, die eine Bank hoffentlich hat :)
     
  16. Woogie-Design

    Woogie-Design Well-Known Member

    Registriert seit:
    20. August 2014
    Beiträge:
    211
    Zustimmungen:
    0
    Monika das musst nicht mir erzählen, das WP Theme hat eine Agentur gebaut, die ganze Seite wurde mit den ganzen Plugins so angelegt. Ich kam in die Firma als Webdesigner/Webentwickler ohne großem Plan von Wordpress :D, war auch eigentlich nicht geplant :D
    Nun hab ich mir aber das WP unter den Nagel gerissen und hab nun einiges geändert und neu gebaut. Das Theme was davor lief war nen geändertes Twenty Twelve mit Child Theme, was in meinen Augen ja völliger Käse ist, ich hab das Child neu gebaut und das Twenty gelassen wie es sein sollte damit es updatefähig ist.

    Und so kommt eins zum anderen und ich zum Wordpress :D aber macht Spaß und fühl mich hier im Forum ja auch wohl :)
     
  17. Frank9652

    Frank9652 Well-Known Member

    Registriert seit:
    10. Juni 2011
    Beiträge:
    742
    Zustimmungen:
    6
    Mal eine Frage...
    weiter oben wurde erwähnt, dass mit der Abfrage www.meinehomepage.de/?author=1 herausgefunden werden kann, wie der Benutzername mit der Zuordnungsnummer 1 einer Homepage lautet. Und das dieser meistens auch der Administrator der jeweiligen Seite mit Adminrechten ist.
    Obige Abfrage hat bei mir nicht geklappt - Error 404 - wahrscheinlich weil ich schon einige Security-Plugins installiert habe.
    Leider ist es mir bisher nicht gelungen herauszufinden welche Benutzer-ID meinem Admin zugeordnet ist.
    Ich möchte das natürlich überprüfen und gegebenenfalls ändern.
    Leider habe ich im Backend nirgends bisher eine ID-Zuordnung finden können.
    Kann mir jemand auf die Sprünge helfen wie ich die ID's herausfinden kann ohne meine Security-Plugins deaktivieren zu müssen?

    Danke fürs lesen.

    Gruß Frank
     
  18. Monika

    Monika Well-Known Member
    Ehrenmitglied

    Registriert seit:
    4. Juni 2005
    Beiträge:
    14.126
    Zustimmungen:
    2
    Dashboard => Benutzer => alle Benutzer anzeigen

    mit der Maus über einen Namen fahren, dann kannst in der Statusleiste des Browsers die ID auslesen "lange url/?user-id="

    das kann man aber nur dann so auslesen, wenn man den LoginNamen nicht in der Datenbank geändert hat, ist dieser dort geändert steht immer noch der "Name" dort mit dem der Account erstellt wurde, der ist aber dann falsch.
     
  19. Frank9652

    Frank9652 Well-Known Member

    Registriert seit:
    10. Juni 2011
    Beiträge:
    742
    Zustimmungen:
    6
    Vielen Dank für die Erklärung - habs nun gefunden und bin schlauer.

    Gruß Frank
     
  20. Michael_Drauer

    Michael_Drauer Well-Known Member

    Registriert seit:
    14. November 2015
    Beiträge:
    212
    Zustimmungen:
    0
    Darum ist bei uns in der Agentur SSH Standard.
    Einzige Ausnahme Hoster mit PHP 5.3 da nicht kompatibel. Aber solche Hoster sollte man sowieso weiträumig umschiffen ;)
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden