Die “Attacken” auf WordPress-Blogs haben in der letzten Zeit deutlich zugenommen. Es wird versucht über die Login-Seite in das Backend einzudringen und den Blog zu übernehmen. Die Arbeit verrichten dabei Bots, die mittels automatisierten Scripten Login-Kombinationen aus Benutzernamen und Passwörtern durchprobieren. Dabei haben die Bots es wohl speziell auf den “admin”-Account abgesehen, da dieser standardmäßig bei jeder WordPress-Installation automatisch angelegt wird.
Um solchen Brute Force Angriffen nicht zum Opfer zu fallen und WordPress ein Stückchen sicherer zu machen, empfehlen sich folgende Maßnahmen:
Das Plugin sowie die Umbenennung des Admin-Accounts habe ich vor einiger Zeit bereits vorgestellt bzw. beschrieben. Ich denke es ist eine gute Gelegenheit den Artikel nochmal wieder vorzukramen.
Ich sehe am Protokoll des Plugins, dass sich gefühlte 99,9 % aller Login-Fehlversuche auf den Benutzer “admin” beziehen. Wer also den Benutzernamen “admin” ändert, hat den Angreifern schon den Wind aus den Segeln genommen und macht es den Bots doppelt schwer. Denn so müssen sie nicht nur das Passwort “erraten” sondern auch noch den Benutzernamen.
Auch zum Thema sichere Kennwörter habe ich einen Artikel verfasst, der dem ein oder anderen bei der heutigen Flut an Kennwörtern hilfreich sein kann.
Gestern hat mich ein Besucher (Danke Robert!) darauf aufmerksam gemacht, dass er keinen Kommentar in meinem Gästebuch hinterlassen kann. Trotz ausgefülltem Kommentarfeld wurde von WordPress ein leeres Feld angemeckert und der Kommentar abgelehnt. Ganz spontan fiel mir ein, dass ich vor kurzem ein Update von Antispam Bee, übrigens ein geniales Antispam-Plugin, durchgeführt habe.
Ich habe das Plugin testweise deaktiviert und schon war das kommentieren ohne Probleme möglich. Also gleich mal auf die Plugin-Seite geschaut, um eine Lösung zu finden. Leider war dort kein Hinweis auf das Problem zu finden. Google fand dann schnell bei fragr.de die Lösung für mich.
Um es kurz zu machen: die Update-Version von Ende Januar hatte einen Fehler und wurde durch eine neue Version, allerdings mit der gleichen Versionsnummer, ersetzt. WordPress zeigte daher keine Update des Plugins an. Als Workaround wurde vom Autor im einem Forum die manuelle Neu-Installation des Plugins vorgeschlagen.
Es kann auf Webservern mit bestimmten PHP-Versionen dazu kommen, dass das Eingabefeld nicht erkannt wird. Ich habe das Plugin bereits heute Vormittag angepasst.
Ihr müsste das Plugin erneut herunter laden und aufspielen.
Schade, dass der Autor keine neue Versionsnummer vergeben hat und die Benutzer so über den Fehler informiert wurden bzw. auf der Plugin-Seite auf das Problem hingewiesen wurde.
Aber vergeben und vergessen bei einem solch genialen Plugin.
Das Hannpspad SN10T1 erfreut sich mittlerweile großer Beliebtheit, nicht zuletzt wegen des günstigen Preises. Die Foren-Beiträge zu dem Tablet werden immer zahlreicher und auch die Custom-Roms werden immer besser an die Hardware angepasst. Ich habe in diesem Artikel beschrieben, wie das Hannspad gerootet wird und Custom-Roms installiert werden können. Natürlich kann dabei auch mal etwas schiefgehen. Gut, wer dann eine Sicherung parat hat.
Wer sein Hannspad bereits gerootet hat, kennt vermutlich die Möglichkeit mittels des CWM (ClockworkRecoveryMode) eine Sicherung zu erstellen und auch wiederherzustellen. Nur leider nützt die Sicherung nichts, wenn man nicht mehr in den CWM kommt, weil das Hannspad vorher abbricht. Diese Anleitung setzt bereits vor dem CWM an, und stellt im Falle eines Bricks die letzte Möglichkeit der Wiederherstellung dar.
Die Anleitung für das Sichern und Wiederherstellen habe ich aus dem SlateDroid-Forum ins Deutsche übersetzt. Auch die Dateien stammen aus dem Forum. Vielen Dank dafür an die Ersteller.
Und so funktioniert die Sicherung und Wiederherstellung des Backups:
Heute musste ich mal wieder schmunzeln. So landete folgende Mail in meinem Posteingang:
VisaCard Daten-Abgleich
Sehr geehrte/r Herr/Frau Oliver Gast,
Mit Festnetzanschluss xxx.
Wir möchten Ihnen aufgrund der ansteigenden Probleme im Internet anmerken, dass wir uns als Ihr Dienstleister dazu gezwungen sehen, für das höchste Maß an Sicherheit für Sie zu sorgen.
Verifizierungsvorgang
Nach langwierigeren Testphasen sowie Überarbeitungen unseres Systems freuen wir uns, Ihnen das neue Secure Transaction System kurz STS vorstellen zu dürfen.
Sie als Kunde werden nach der einmaligen Validation keinen feststellbaren Unterschied wahrnehmen, jedoch werden sie ab diesem Moment abgesicherte Transaktionen im Internet ohne Einschränkungen durchführen können. STS ist für sie Kostenlos und sofort nach erfolgreicher Verifizierung aktiv.
Bitte füllen Sie alle nötigen Details auf folgender Seite aus um ihr Verifikation abzuschließen.
Verifikation abschließen
WICHTIG:
Wenn Sie Ihre Kreditkarte regelmäßig nutzen, empfehlen wir Ihnen DRINGEND, dass Sie Ihre Kreditkarte schützen, um möglichen Betrugsversuche auszuschließen.
Mit freundlichen Grüßen,Visacard Services
Normalerweise würdige ich solche offensichtlichen und plumpen Phishing-Versuche keines Blickes, da aber meine Telefonnummer in der Mail genannt wurde, war ich doch neugierig, wer da meine Telefonnummer und vor allem wie ermittelt hat.
Nach einem Blick in den Quelltext der Mail, konnte ich mir dann das Schmunzeln nicht verkneifen: ich zitiere mal den Kopfbereich der HTML-Mail:
Seit einiger Zeit nutze ich das Plugin Limit Login Attempts von Johan Eenfeldt. Das Plugin dokumentiert fehlgeschlagene Login-Versuche und sperrt die IP-Adressen bei wiederholten Fehlversuchen. Für mich ein Plugin, dass jeder WordPress-Betreiber auf jeden Fall einsetzen sollte.
Warum ich das hier schreibe? Ganz einfach: ich habe erschreckt feststellen müssen, wieviele Unbekannte in jüngster Vergangenheit versucht haben sich in meiner WordPress-Installation anzumelden und damit meine Webseite unter ihre Kontrolle zu bringen. Und eins fiel mir noch auf: der dabei verwendete Benutzername, der vom Plugin auch protokolliert wird, lautete immer “admin”.
Und da muss ich einen recht simpel umzusetzenden, aber extrem wirkungsvollen WordPress-Sicherheits-Tipp weitergeben, den ich vor einiger Zeit gelesen und dann auch gleich angewandt habe:
Bei einer Standard WordPress-Installation wird der Benutzer “admin” automatisch vom System angelegt. Diesen Benutzernamen sollte man unbedingt ändern; entweder man benennt ihn über die Datenbank um oder man legt einen neuen Benutzer mit der Rolle Administrator und einem abweichenden Benutzernamen an und löscht anschließend den alten “admin”.
Den dann reicht dem Angreifer nicht nur dass Passwort, sondern er muss auch noch den dazu passenden Benutzernamen herausbekommen.
Bevor ihr jedoch zur Tat schreitet, sichert auf den Fall eure Datenbank.
Nach einer neuen Analyse von Datenschützern verstößt der auf Webseiten häufig genutzte “Gefällt mir”-Button von Facebook aktuell gegen deutsches Recht. Das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) stellte fest, dass dieser nicht mit den Bestimmungen des Datenschutzes und des Telemediengesetzes (TMG) vereinbar ist.
So heißt es in einer Presseerklärung:
Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.
Dieser Meinung hat sich nun auch der Niedersächsische Landesbeauftragte für den Datenschutz (LFD) angeschlossen.
Die ausführliche Datenschutzrechtliche Bewertung könnt ihr hier nachlesen.
Ich habe daher den Button bis zur Beseitigung der rechtswidrigen Zustände durch Facebook von meiner Webseite entfernt.
An Spam in den Kommentaren habe ich mich ja mittlerweile gewöhnt und mich mehr oder weniger damit abgefunden, da das Antispam-Plugin für gewöhnlich klasse Arbeit leistet. Derzeit aber trudelt ein Spam-Kommentar nach dem anderen ein, welche, warum auch immer, nicht von Antispam Bee aussortiert werden.
Absender:
Geworben wird übrigens für Sport-Fanartikel.
Da will ich die Gelegenheit nutzen und an einen etwas älteren Artikel erinnern. Ich beschreibe dort, wie man Spammer anhand der IP-Adresse über die .htaccess aussperrt.
Seit einigen Tagen trudeln in meinem Mail Postfach vermehrt Facebook Freundesanfragen ein. Und ich wundere mich, wer so alles mit mir befreundet sein will… Razeena Ommar, Khairi Omer, etc.. Nur leider kenne ich diese Personen nicht. Und die Mailadresse, an die die Nachricht versendet wurde, ist gar nicht bei Facebook hinterlegt. Komisch, oder?
Sieht so aus, als ob eine neue Welle von Phishing Attacken unter dem Deckmantel von Facebook im Anmarsch ist.
Ich krame nochmal diesen Artikel hervor und zeige, wie ihr fragwürdige Mails enttart. Denn zugegebenermaßen sehen diese den Facebook Benachrichtigungen zum verwechseln ähnlich.
Wer also Zweifel an der Echtheit einer Mail hat, dem zeige ich hier zwei Möglichkeiten auf, diese zu prüfen.
