Schlagwort-Archiv: WordPress

Wieder massive Angriffe auf WordPress

Und wieder mal massive Angriffe auf WordPress Installationen.

Und es ist klar. Wir sind wieder mal mit dabei. Aber ich gehöre zu den GUTEN ! Sprich, eine meine Installationen wird durch einen Bot angegriffen. Und zwar der Philippinen Blog.

Vor 2 Tagen fiel mir auf, dass versucht wird, an das Login zu gelangen. Das geht aber bei meinen Seiten nicht so einfach. Da sind Hürden zu überwinden, die dieser Blödmann-Bot sicherlich nicht schafft.

In den Logfiles findet man folgendes: %tools.ua.random und man sieht, dass es mit dem Usernamen admin probiert wird. Er kommt so alle 1 bis 2 Stunden vorbei.

Man sieht also eindeutig, dass WordPress noch zusätzlich abgesichert werden muß. Einfach nur installieren reicht nicht aus.

 

Keine Angst vor Disavow Tool

Keine Angst vor dem Disavow Tool.

In den Tools von Google Webmaster besteht die Möglichkeit einen bestimmten Link entfernen zu lassen und Google zu beauftragen, diesen Link nicht mehr zu crawlen. Dann wird er nicht mehr gewertet.  Als Blogger lässt man dadurch einen Beitrag entfernen, ohne diesen im Blog zu löschen.

Und Google selbst schreibt dazu, das ist für Webseitenbetreiber nicht schädlich, sondern manchmal empfehlenswert oder erforderlich.

Nun gibt es aber SEO Spezialisten, die damit ein Drohgebärde aufbauen wollen. Siehe Ausschnitt aus einer Mail, die ich von so einer „Spitzenkraft“ bekommen habe:

drohung-mit-disavow

Und zwar hat ein Unternhemen in den vergangenen paar Jahren viel Werbung betrieben, viele Aufträge erteilt über sie zu berichten und verlinken, so dass man immer schön weit vorn in den Suchergebnissen bei Google steht.

Kann man ja machen. Ist ja nichts verwerfliches. Und Blogger haben an diesen Aufträgen verdient, weil sie Berichte über dieses Unternehmen schrieben, über Erfahrungen, Möglichkeiten u.s.w., und eben dabei auch den erwünschten Link setzten.

Nun hat aber dieses SEO fleissige Unternehmen von Google eines auf den Sack bekommen, wahrscheinlich weil zu viel Optimierung betrieben wurde und Google sagte wohl, dass die Seite in den Ergebnissen abgewertet wird, wegen unnatürlicher Links.

Nachvollziehbar, dass dieses Unternehmen dann seine Links entfernt haben möchte.

Im Grunde kein Problem. Aber damit zu drohen, dass die Seite mittel Disavow Tools gemeldet werden muss, geht ganz schön nach hinten los.

Nicht der Blogger ist der „gearschte“, sondern das Unternehmen muss zugeben, einen weiteren „unnatürlichen Link“ eingekauft und gesetzt zu haben. Sprich das besagte Unternehmen muss bei Google die Hosen runter lassen.

Also keine Angst vor diesem Tool.

Unterm Strich kann man somit sagen. Google ist langfristig doch schlauer, als dieses ganze SEO Zeugs.

Was natürlich nicht bedeutet, dass man den entsprechenden Link nicht entfernt, weil darum gebeten wird. Das soll hier auch nicht das Thema sein. Sondern es geht um die Dreistigkeit, wie die Linkentfernung angefordert wird.

 

 

WordPress 3.8

WordPress 3.8 ist heraus. Das Backend  (interner Admin Bereich) sieht ganz gut aus. Das mit Version 3.8 mitgelieferte Theme, Twenty Fourteen, gefällt mir jedoch nicht so richtig.

Enjoy würde damit so aussehen, wie in diesem Screenshot der Vorschau, die ich ansehen konnte.

enjoy-twenty-fourteen-theme

Neee, das wirkt mir zu duster. Sicherlich kann man andere Farben verwenden, aber…. neeee, ich lasse es so wie es ist. Hängt auch mit dem Wiedererkennungswert meiner Seiten zusammen. Der Philippinen Blog ist ja auch so gestylt wie Enjoy.

WordPress besser absichern

Als Blogger der WordPress einsetzt und sämtliche Updates immer aktuell installiert, geht man davon aus, dass man sich auf einer relativ sicheren Ebene bewegt. Aber der Schein trügt. Tagtäglich durchforsten Bots das www um Lücken zu finden, über die sie ihren Müll loswerden können.

WordPress hat für Webmaster viele Features. Und dadurch ergeben sich auch immer wieder Angriffsmöglichkeiten für Leute, die nichts anderes im Sinne haben als Lücken zu suchen und nach Möglichkeiten darüber Webseiten zu kompromittieren.

Jedem Blogger sei geraten WordPress besser abzusichern.

wp-besser-absichern

 

Als Sofortmaßnahme empfehle ich jedem Blogger den Tipp die XML-RPC Schnittstelle abzusichern. Dies kann man per .htaccess.

Einen Bericht und Anleitung dazu findet man auf XML-RPC Schnittstelle absichern. 

Und als zweite Sofortmaßnahme  der Tipp das Ausführen von Scripten im Upload Ordner zu verbieten. Siehe dazu WordPress absichern Teil 5 von Kuketz IT-Security. Und dort ganz speziell den Punkt 7 beherzigen.

Wer jetzt denkt, was soll an seinem kleinen Blog interessant sein, dem sei gesagt, dass man nicht unbedingt gezielt angegriffen wird, sondern automatisiert. Und da wird keine Rücksicht genommen, ob man einen Blog mit 50 Lesern am Tag führt oder einen mit 5000.

Mit WordPress umziehen

Mit WordPress umziehen ist kein Problem, so lange es sich nur um 1 Blog handelt. Sind es aber zwei oder mehr die von einem Hoster zum anderen sollen, dann gilt es aufzupassen.

Zunächst war ich sehr überrascht, wie schnell eine Domain wechselt. Meinen Plan den ich hatte, war wohl etwas naiv. Ich wollte beim neuen Hoster das Angebot für den Sommer nutzen, welches preislich sehr interessant war. Deswegen habe ich dort den Webspace gebucht. Dann schwebte mir vor, dass ich so nach und nach umziehe.

Das war mein erster Denkfehler. Denn das geht ruckzuck. Man kündigt beim alten Webhoster, bekommt für seine Domains eine so genannte Auth, also einen Nummern- und Zahlencode und diesen gibt man beim neuen Hoster ein. Und schwupp liegt die Domain innerhalb ein paar Stunden beim neuen Anbieter.

Aus dem Backend meiner WP Installationen konnte ich noch rechtzeitig die Exportfunktion nutzen und mir damit eine xml Datei auf den PC laden. Darin sind die Beiträge enthalten. Kurz darauf waren meine Seiten mittels Browser auch schon nicht mehr erreichbar. Also vorher daran denken.

Mittels Filezilla und ftp – Zugang habe ich dann die einzelnen Blogs komplett herunter geladen. Danach über den Webzugang zu meinem Hostingpaket zu den Datenbanken gegangen und über das dort enthaltene MySQL die Datenbanken exportiert.

Damit hatte ich alles komplett auf dem PC gesichert.

Beim neuen Webhoster habe ich danach ganz einfach über den normalen Kundenzugang eine neue Datenbank angelegt. Die erforderlichen Zugangsdaten habe ich dann in der Datei config.php, die ja in den heruntergeladenen Dateien auf dem PC lag, entsprechend geändert.

Wie man diese Datei ändert, findet man in den Anleitungen zur WP Installation.

Als nächsten Schritt habe ich den kompletten Ordner mit dem Blog per ftp Zugang auf den Server gebracht. Dann die SQL Datei auf dem PC umbenannt in den neuen Namen der Datenbank. Diese dann wieder über den Kundenzugang / Datenbank /MySQL, Import hochgeladen.

Als letzten Schritt dann wieder mittels Browser auf dem Blog ins Dashboard eingeloggt, in der linken Spalte unter Einstellungen, Permalinkstruktur ausgewählt wie ich es haben wollte bzw. vorher schon hatte, speichern und gut war es.

Das war es dann auch schon. Aber nur mit dem ersten Blog.

Genau die gleiche Vorgehensweise habe ich dann mit dem zweiten Blog gemacht.  Das ging aber überhaupt nicht. Da ließ sich nichts aufrufen. Ich hatte keinerlei Ahnung weshalb. Habe dann sämtliche Daten wieder vom Server gelöscht.

Den nächsten Versuch startete ich dann mit einer kompletten Neuinstallation, inklusive geänderter Präfix zur Datenbank innerhalb der config.php .  Als ich dann die admin/install.php mittels Browser aufrief, kam die Rückantwort es wäre schon installiert.

Und tatsächlich. Der zweite Blog war da. Ich habe dann schnell über das Backend die xml Datei importiert und zwar habe ich den WordPress Importer aus der Auswahlliste genommen. Dann aus der auf dem PC gesicherten Datei den Ordner Content per ftp auf den Server geschoben und zuletzt die entsprechende SQL Datei in die Datenbank geladen.

Dann passierte folgendes. Mir hatte es sämtliche Links durcheinander gebracht. Von einem Blog zum anderen. Kreuz und quer. Mal lud es eine Seite aus Blog 1, mal eine aus Blog 2 und häufig kam „not found“ 404 …

Nach langer Suche habe ich dann herausgefunden, dass es mir je nach Blog den ich konfigurierte, die htaccess überschrieb. Also jede Handlung hatte Auswirkungen auf den anderen Blog.

Bis ich dann kapierte, dass jeder Blog seine eigene htacess benötigt und zwar gehört diese in den Ordner direkt rein, wo die WP Installation liegt. Dort wo man zum Beispiel auch die config.php findet.

Nachdem ich das verstanden hatte, habe ich über das Backend der jeweiligen Installation den htaccess Text geben lassen, in dem ich auf Permalinkstruktur anpassen klickte. Diesen Text in Notepad eingegen und entsprechend als .htaccess abgespeichert. Diese Datei dann in den richtigen Ordner per ftp Zugang hochgeladen.  Dann mussten noch einige Berechtigungen von Dateien auf dem Server geändert werden. Auf 775, sonst funktioniert WP nicht.

Der Hammer war jedoch, dass bei einem Blog der Medien Upload überhaupt nicht klappte.  Es kam immer wieder die Meldung : Anhang konnte nicht gespeichert werden im Ordner Uploads/….

Dann habe ich genau diesen Ordner mit den Bildern auf dem Server gelöscht. Ihn dann wieder vom PC aus hochgeladen und kurzer Hand die CHMOD berechtigung auf 777 gestellt. Dieser Ordner war aus welchen Gründen auch immer im Safe Mode. Das bekommt man nur auf meine beschriebene Art und Weise weg oder man wendet sich an den Webhoster, dass der dieses übernimmt. Dann kann man seine Fotos wieder in den Beitrag ganz normal einfügen.

Ob jetzt WP im nächsten Monat den Ordner uploads/… 09 anlegt, weiß ich momentan noch nicht.

Und jetzt laufen beide Blog wieder einwandfrei.  Hoffe dass es so bleibt und nicht noch eine Überraschung kommt.

10 Jahre WordPress

10 Jahre WordPress. Der 27. Mai 2003 gilt als Tag der Geburtsstunde der Blogging Software WordPress, die aus einer anderen Blog Software hervor ging und eigenständig weiterentwickelt wurde.

Seit 2007 nutze ich WordPress selbst installiert und gehostet. Davor benutzte ich rund 2 Jahre eine Blogging Software namens Thingamablog. Diese gibt es heute nicht mehr bzw. wurde komplett eingestellt.

Vorher „arbeitete“ ich rund 2 Jahre mit einfachem HTML. Ein paar Zeilen wurden geschrieben. Wenn ein neuer Beitrag  dazugefügt wurde, hatte ich diesen mit einem HTML Editor verfasst und die geänderte Seite einfach neu hochgeladen.

Und davor wiederum, hatte ich eine Homepage im damalig typischen Stil. Grell, bunt, viel blinkende Flashmodule. Hat Augenkrebs verursacht, wie die meisten Webseiten vor 15 – 20  Jahren. Diese lag auf einem kostenlosen Speicherplatz bei Yahoo. Weiß gar nicht mehr wie das damals hieß. Auf jeden Fall war es langsam und hatte man eine bestimmte Besucherzahl pro Monat überschritten, lud sie überhaupt nicht mehr. Inhalte waren so bedeutende Dinge wie : Ich am Strand, mein Auto, mein Motorrad, meine Familie…

Was aber auch tatsächlich daran lag, dass man damals das Internet und die eigene Homepage als Verbindungsmöglichkeit entdeckte, im Familien-, Freundes- oder Verwandtenkreis den Kontakt zu erhalten und zu zeigen was aus einem selbst wurde. Ich konnte mir damals, Mitte der 90er Jahre, überhaupt nicht vorstellen, Artikel zu verfassen, die im Internet gefunden, gesucht und von Unbekannten gelesen werden.

So hat sich alles verändert und entwickelt. Man hat selbst auch dazu gelernt, seine Inhalte und den Schreibstil verändert. Man achtet bewusst darauf, dass Leser die Blog Beiträge finden…

Übrigens, mein erster Blog Beitrag auf selbst gehostetem WordPress hieß Rainbow. Alles was davor veröffetlicht wurde, ist vermutlich im Nirvana. Aber wer weiß das schon wirklich so genau und sicher…

Hacker aus China im Blog

Mal ganz abgesehen davon, dass seit einer Woche WordPress Installationen unter Brute-Force Angriffen zu leiden haben, sind noch ganz andere unterwegs.

Man erkennt das nur, wenn man sich die Log Files des Servers Zeile für Zeile ansieht, was ziemlich zeitaufwendig ist.

Aber so habe ich festgestellt, dass noch ganz andere üble Zeitgenossen verschiedene Dinge ausprobieren. So zum Beispiel ein Hacker aus China, der es wissen wollte. Beziehungsweise es wurde eine IP aus China geloggt, ob diese denn stimmt, ist mal offen.

chineseimblog

Und er hat folgendes probiert. Dazu sei gesagt, nicht einer dieser Wege ist richtig. Um sich einzuloggen ist von WordPress etwas völlig anderes vorgesehen. Das bedeutet, der Blog bzw. das WordPress CMS wurde auf Schwachstellen abgeklopft.

chineseimblog-2

Wer sich mit WordPress etwas auskennt, dem stehen die Haare zu Berge, was diese Drecksäcke so alles versuchen.

So etwas betrifft nicht nur mich. Sondern alle die Webseiten haben und es passiert ständig.

Brute-Force Angriff auf WordPress

Auch meine WordPress Installationen sind durch den weltweiten Brute-Force Angriff auf WordPress betroffen. Und zwar wurde vom Hoster die Login Möglichkeit zum Backend gesperrt, weshalb ich nicht auf dem üblichen Weg auf meine administrative Ebene zugreifen kann.

Ich komme aber ansonsten überall heran. Aber eben auf einem anderen Weg. Und zwar über den webbasierten Zugang zu meinem Hosting Paket über das ganz normale Kunden Login.

Meine sämtlichen Blogs sind eigentlich sowieso schon abgesichert, so dass nichts passieren kann. Nirgendwo benutze ich den von WordPress vorgegebenen admin, sondern das ist natürlich ein anderer Name.

Mein Name unter dem ich veröffentliche entspricht auch nur einem Phantasienamen und wird zudem versteckt.

Die Login Möglichkeiten sind beschränkt. Wer also jemals versuchen sollte sich einzuloggen, wird nach einer kleinen Anzahl von Fehlversuchen gesperrt.

Außerdem muss man sich noch zusätzlich anders authentifizieren, weil alles was mit administrativen Dingen zu tun hat, nochmals durch einen weiteren Passwortschutz in der htacces abgesichert ist.

Wer es also wirklich wissen möchte bzw. versucht einzudringen, scheitert eigentlich ganz schnell und kommt nicht mehr weiter. Von daher sind meine WordPress Installationen auf der sicheren Seite.

Das hilft mir aber nicht beim Schreiben oder Veröffentlichen, weil ja der Hoster bestimmte Pfade pauschal bei allen komplett blockiert. Auch bei denen, die sich bewusst abgesichert haben.

Diesen Blog Beitrag schreibe ich daher auch nicht über das normale Backend, sondern mit dem Live Writer, der auf eine ganz andere Schnittstelle zugreift und daher die Veröffentlichung zustande kommt.

Hoffen wir, dass dieser Brut-Force Angriff bald eine Ende findet. 

LSR Stopper

Ab sofort werkelt hier ein weiters WordPress Plugin. Das D64 LSR-Stopper Plugin.

Damit werden alle Links umgeleitet auf eine D64 Landeseite, von Verlagen und Presserzeugnissen, die das Leistungsschutzrecht unterstützt haben.

Denn ich habe sicherlich auch interessante Links zu diesen Presseverlagen im Blog schon veröffentlicht.

Mit ihren noch erlaubten Snippets können die mich gerade mal sonst was…., auch diese will ich nicht mehr.

Autor in WordPress verstecken

Das gleiche  WordPress Theme behandelt die Sichtbarkeit des Autors in den Beiträgen unterschiedlich. Auf meinem Philippinen Blog zeigte es den Autor an, aber hier auf Enjoy nicht.

Ich weiß absolut nicht, weshalb dies so ist. Aber ich weiß eines definitiv, dass es auf dem anderen Blog erforderlich war, den Autor auszublenden bzw. zu verstecken.

Denn unter jedem meiner Beiträge stand …author/admin , auch wenn dieser dann im Blogbeitrag selbst einen Spitzname anzeigte. Ging man mit der Computermaus auf diesen Spitznamen, dann hatte es jedoch den richtigen Admin Namen angezeigt. Dieser wird nun mal benötigt, um sich als Betreiber und Schreiber des Blogs einloggen zu können.

Jetzt hatte ich in den vergangenen Wochen immer wieder Versuche aus von uns östlich gelegenen Ländern, dass sich jemand einloggen wollte.

Daher hatte ich das WordPress Plugin Limit Login Attempts installiert, welches IP´s  nach einer bestimmten Anzahl von Fehlversuchen blockiert.

Ein weiterer Schutz um WordPress abzusichern, ist natürlich auch, dass man sich nicht selbst admin nennt, sondern einen anderen Nutzernamen hat, den man gleich nach der Installation von WordPress anlegen sollte.

Schlecht war jedoch, dass eben genau dieser Administrator- und Benutzername angezeigt wurde…und jetzt schließt sich der Kreis und wir sind wieder am Beginn dieses Blog Eintrages.

Gut war jedoch, dass diese Leute, die sich unberechtigt einloggen wollten, es immer mit admin, admins, administration etc. versuchten und nicht auf die Idee kamen, mit dem Mauszeiger über den Author zu fahren, dann hätten sie es nämlich bemerkt, was sie benutzen hätten müssen. Dann wäre dieser Part schon mal richtig gewesen.

Seit kurzem gibt es jedoch ein Plugin, welches sich Show/Hide Author nennt und damit kann man den Autor verstecken. Es nimmt einen Eingriff in der php Datenbank vor. Aber das Plugin wurde bisher nur auf einer Hand voll Themen getestet. Dies steht in der Beschreibung.

Wer also Bedarf und den Wunsch hat, die Autoren Namen nicht anzuzeigen, sieht sich mal dieses genannte  WordPress Plugin näher an.