Wie hol ich mir sicher die Hacker ins Haus

Einer kann alle am Server gefährden - wer haftet dann
Einer kann alle am Server gefährden – wer haftet dann
Hilfe! WordPress wurde gehackt! Eh klar, WordPress ist schuld! Es ist unsicher und schlecht programmiert und was weiß ich noch alles. So lese ich es ziemlich oft im deutschen Supportforum und in XING. Hacker brauchen Helfer und Helferinnen. Wer Schadcode unterbringen mag, braucht die Möglichkeit dazu.

Malware Lieferanten und Hacker haben viele freiwillige Helferleins.

  1. An erster Stelle sind alle zu nennen, die ohne Firewall surfen, weil sie ja nichts wichtiges am Rechner haben.
  2. Sie werden gefolgt von all denen die zu geizig sind für Arbeit zu bezahlen. Diese Gruppe freut sich narrisch, wenn sie irgendwo im Netz ein kostenpflichtiges WordPress Theme oder Plugin kostenfrei herunterladen können.
  3. Und nicht zu vergessen sind die Update Verweigerer und Verweigerinnen – unter dieser Gruppe sind auch etliche WordPress Agenturen und professionelle WordPress Anbieter zu finden.

kostenpflichtiges Theme kostenfrei anbieten

Damit man ein kostenpflichtiges Theme kostenfrei anbieten kann, muss man es vorerst bezahlen, sonst kann man es ja nicht hacken.
Wer dann glaubt irgendwer zahlt, um es mir dann ohne Gegenleistung zu schenken ist mindestens unendlichst naiv.

Das bedeutet:

  1. Mit irgendwas bezahlt man so ein gehacktes, gestohlenes Theme. => Mit eingeschleustem Schadcode.
  2. Man nutzt Diebesgut. => Braucht keine Erklärung oder?
  3. Man macht sich strafbar. => Urheberrechtsverletzung, etwaig Rufschädigung der Ursprungsautoren uvm.
  4. Man gefährdet massiv das Eigentum anderer. => Mit dem Schadcode sind alle am Server und alle Besucher der Site gefährdet.

Nachlese bei:
Immer Ärger mit gestohlenen Themes.. Hoster Uberspace geht an die Öffentlichkeit und bei Michael.

Update Verweigerer haben viele Gesichter

  1. Sie nutzen die Unwissenheit ihrer Kunden aus.
  2. Sie haben Angst was kaputt zu machen.

„Meine Kunden sind ganz nervös, wenn Update E-Mails kommen!. Wie kann ich das verhindern?“.

Kunden darüber aufklären, dass Sicherheitsupdates sofort gemacht werden müssen.
Das ist die einzig seriöse Art und Weise damit umzugehen.

E-Mails unterbinden, Update-Meldungen unterbinden mag praktisch sein so im alltäglichen Geschäft. Schlussendlich werden damit aber alle Hostingpakete auf einem Server gefährdet!
Außer man macht absolut zuverlässig alle Updates sofort.

Zur Zeit wachsen die WordPress Agenturen schneller als die Pilze im Wald es je können. Alle sind Profis. Manche in verdammt schneller Zeit. Gestern wurden noch Anfängerfragen im Supportforum gestellt, heute WordPress Profi mit eigener Agentur.

Dann gibts die WordPress Anbieter, die hervorragende Grafiker sind, aber keine Programmierer. Für diese Anbieter ist jedes Update zusätzlich Stress, weil sie etwaige Fehler gar nicht selbst lösen können.

Und manche Hoster, der nun auch WordPress mit einem Klick anbietet. Selten seh ich „Ein-Klick-Installationen“ am allerneuesten Stand.

Ich bin mir unsicher, ob die Kollegen und Kolleginnen sich schon mal mit Haftungsfragen auseinandergesetzt haben.
Z.B.: Was passiert, wenn der Hoster die Domain wegen Schadcode sperrt – weil Update-Meldungen unterbunden wurden und so der Kunde, der Domaineigentümer nicht über das Feuer am Dach informiert wurde?

Eigentum verpflichtet – Domaineigentümer sind haftbar

Ich habe Angst, dass was kaputt wird bei einem Update
Wird das Update nicht gemacht, kann WordPress gehackt werden.
Geht bei einem Update was schief, wird in vielen Supportforen ganz sicher geholfen.
Wartungsverträge schließen ist ebenfalls eine Möglichkeit.

  • Das Auto muss zum TÜV oder zum Pickerl. Eine Software muss ebenfalls gepflegt werden.

Wer Angst vor dem TÜV hat, riskiert Verwaltungsstrafen. Wer Angst vor einem Update hat riskiert Datenverlust und schlimmstenfalls die Sperrung der Domain durch den Hoster.

WordPress, der Motor ist frei wie Freibier

WordPress ist frei wie Freibier. Hunderte Programmierer und Programmiererinnen geben ihr Können kostenfrei her.
Aber WordPress ist nur der Motor. Plugins und Themes können kostenpflichtig sein. Niemand hat das Recht alles kostenfrei zu bekommen. Aber jeder hat die Pflicht sein Eigentum, seine Homepage sorgsam zu sichern und somit niemanden absichtlich zu gefährden.

Nachlese bei t3n, WordPress 4.01 ist ein Sicherheitsupdate!

Wer Themes aus dubiosen Quellen nutzt, wer Updates nicht macht gefährdet alle, auch die eigenen Kunden.
einfach weitersagen bitte
13

13 Beiträge zu “Wie hol ich mir sicher die Hacker ins Haus

  1. Kommentar Autor
    blitzmaerker
    Kommentar

    100% Zustimmung. Da zu kommt: immer erst mal in Ruhe lesen, was so an Meldungen auf dem Bildschirm kommen oder was für Mails in meinem Postkasten landen. Dann: NACHDENKEN, danach ggf. recherchieren, fragen und nochmals NACHDENKEN !
    „Klicken“ kann man DANN immer noch. Auch in der Planungsphase und bevor ich was downloade,installiere,verwende hilft: informieren und NACHDENKEN.

    MfG der Blitzmaerker (seit Jahren störungsfrei im Netz unterwegs)

  2. Kommentar Autor
    Monika
    Kommentar

    stimmt Blitzmärker,
    ruhig durchlesen, dann entscheiden und tun.

    @sabinies :-) ich habe hier auch keine Sicherheitsplugins, htaccess und sonstiges schützen auch, nebst regelmäßig unregelmäßig geänderten Passwörtern und Co

  3. Kommentar Autor
    Tut nix zur Sache
    Kommentar

    Hallo,
    du verwendest Copyright „2013“ im fingerprint deines RSS Feeds. Ich glaube du benutzt auch das Plugin (C)Feed von Frank Bültke nicht wahr? Einfach mal anpassen oder 6 Wochen warten und gleich auf 2015 umstellen ;-)

    Schönen Gruß
    Torsten

    PS: den Kommentar kannst du natürlich löschen …

  4. Kommentar Autor
    Monika
    Kommentar

    och Torsten das lösch ich nicht => danke für den Hinweis :-)))
    ich glaub ich wart nun auf 2015

  5. Kommentar Autor
    Rudolf Fiedler
    Kommentar

    Hallo zusammen,
    Neben der laufenden Aktualisierung habe ich sehr gute Erfahrungen gemacht mit dem Absichern der Ordner /wp-content, /wp-include durch htaccess, bzw. direkt über die Apache-Konfiguration der Webs. Die Ausführung von php-Dateien in diesen Ordnern wird verhindert. Bei WordPress-Webs stelle ich das automatisch so ein. Seit dieser Absicherung habe ich nur noch einen kleinen Bruchteil neuer Schadscripte als vorher.

  6. Kommentar Autor
    Petra
    Kommentar

    Guten Morgen,
    Nun den Hinweis, ich solle die Updates nicht sofort installieren und erst abwarten ob WordPress dadurch nicht kaputt gemacht würde hab ich schon öfter bekommen, ich update aber trotzdem sofort, ausserdem nutz ich ein Antiviren Plugin und hab die Anmeldemöglichkeiten bei mir eingeschränkt, seit dem hab ich zwar oft ein überquellendes Postfach aufgrund gescheiteter Anmeldeversuche, aber mit meinem Blog keine Probleme;)
    Lieben Gruß
    Petra

  7. Kommentar Autor
    Monika
    Kommentar

    grüß euch Rudolf und Petra
    Danke für eure nützlichen Tipps zur Sicherheit!

  8. Kommentar Autor
    Frank
    Kommentar

    Höre ich einen leicht ironischen Unterton zu Sicherheitsplugins? :-)

    Dazu würde ich gern mal eine „amtliche“ Meinung hören, denn ich setze die Teile zwar auch ein (iThemes Security, Limit Login Attempts etc.), frage mich aber immer, ob das eine gute Idee ist.

    Vilele Grüße, Frank

  9. Kommentar Autor
    Monika
    Kommentar

    grüß Dich Frank
    ironischen Unterton hatte ich dabei nicht, Frank.
    aber nachdenklich:
    gerade dann, wenn eine Site sowieso unter Spambeschuss steht, der Server beansprucht wird, verschicken viele dieser Plugins auch noch „info-emails“. D.h. zu der Arbeit Spamabwehr kommt noch die Arbeit E-Mail senden dazu… dies meist bei kleineren Webpaketen.
    Außer die Neugierde befriedigen ist sowas sinnlos, weil was habe ich davon, wenn ich weiß 1000wollen grade rein, wenn ich sie serverseitig nicht abwehren kann.

    Manche dieser Plugins können die Angreifer erst rausschmeißen, wenn sie fast drin sind, also sehr sehr spät => ist mir persönlich zu unsicher.

    Und ein „security“ Plugin löst automatisch das Empfinden aus: ich habe eh schon alles getan.
    Unabhängig, dass es einfach nichts nutzt, wenn ich alte Themes, alte, ungenützte Plugins noch am Webspace habe oder mich kein Update machen getraue.

    Ich habe etliche Anfragen wegen Probleme mit genau diesen Plugins, dies färbt natürlich meine Sicht und wen sich wer nicht auskennt ist die beste Sicherheitsanlage nutzlos.

  10. Kommentar Autor
    Bernhard
    Kommentar

    Hallo Monika,

    m.E. hast Du noch die Frage vergessen, die Du wahrscheinlich auch schon 1.000mal gehört hast: „welcher Hacker interessiert sich schon für meine kleine unbedeutende Website, wo es doch 100.000 viel interessantere Sites zum Hacken gibt?“…

    Und genau da finde ich „Limit Login Attempts“ (eingestellt auf „1 erlaubter Anmeldeversuch“) praktisch, weil das dem Kunden deutlich zeigen kann, dass seine kleine unbedeutende Website eben doch auf großes Interesse bei den unerwünschten Gästen stößt.

    Die E-Mail-Benachrichtigungen lassen sich deaktivieren.

    Desweiteren besteht m.E. nach wie vor großer Bedarf, die Menschen aufzuklären, was ein sicheres Passwort ist, und was nicht. Da ist mir auch die Anzeige „stark“ von WordPress noch viel zu schwach.

    Aber ich stimme Dir zu, dass kein Plugin helfen kann, wenn sich jemand nicht auskennt.
    Da besteht dann tatsächlich die Gefahr, dass man sich in falscher Sicherheit wähnt, weil man ja ganz tolle Plugins hat.

    Grüße
    Bernhard

  11. Kommentar Autor
    Koslowski
    Kommentar

    Update Verweigerung als logische Konsequenz aus Funktionsweise von Word-Press!

    Ich selbst hatte 10 Jahre 2 Agenturen, die zum einen für viele Kunden CMS erarbeitet hat und zum anderen recht erfolgreiche Portale im Netz stehen hatte. Nach 5 Jahren Paus habe ich jetzt ein kleines, neues eigenes Projekt. Die alten CMS-Systeme sind natürlich nicht mehr zu bekommen, also habe ich mich für Word-Press entschieden.
    Die Erfahrung aus jedem Update ist, das aus der laufenden Seite eine weiße Seite wird. Das heißt bei mir tagelanges Nacharbeiten um eine abgespeckte Version meiner vorherigen Seite zum laufen zu bringen. Ich bin nicht aus Langeweile im Netz, sondern um Geld zu verdienen.
    Mit Updateverweigerung reskiere ich nur das, was ich mit Update sowiso erhalte. Der Schaden aus Stundenlohn nach Update kostet mehr als die Versicherung gegen Server-Schäden durch Hacker.

    Wenn PlugIns und Themes einfach weniger berechtigungen im Core hätten, wäre vielleicht einiges nicht für jeden Laien möglich, aber es würde wenigstens mit Garantie laufen.

    Mit freundlichsten Grüßen
    Koslowski

  12. Kommentar Autor
    Monika
    Kommentar

    @Bernhard stimmt diese habe ich vergessen:-)

    @Koslowski
    ich kann deinen Ärger verstehen, jedoch die Gründe nicht nachvollziehen. Ich habe bei zigInstallationen noch keine weiße Seite gehabt und ich fahre so manche Installation mit mehr als 40Plugins auf einen Shared Hoster.
    Allerdings bei einem Hoster und keinen „PotscherlWebspace“ wie ich dies mal auf G+ nannte.

    Wenn du selbst coden kannst, kannst du dir doch diese kaputten Plugins zur Brust nehmen oder zumindest nicht nutzen. Genauso bei den Themes.