Wachhund – Alexa-Skill zur Serverüberwachung

Amazons Echo beherbergt die intelligente Assistentin Alexa. Foto: Fabian Hurnaus from Pexels
Amazons Echo beherbergt die intelligente Assistentin Alexa. Foto: Fabian Hurnaus from Pexels

Alexaguru Frank Neumann hat mit „Wachhund“ einen interessanten Alexa-Skill für Webworker veröffentlicht. Alle 15 Minuten (oder auf Zuruf) prüft der Skill ob selbst festgelegte Server erreichbar sind. Falls Störungen entdeckt werden, wird der Nutzer per Mail oder per Alexa-Benachrichtigung sofort informiert und kann reagieren. Es wird eine 30-Tage-Statistik über die Verfügbarkeit der Server und der geprüften Dienste geführt.

Natürlich gibt es professionellere Lösungen mit nanosekundengenauer Auflösung und detaillierten Statistiken. Wachhund ist aber ein sehr einfach zu bedienender Skill und dazu noch kostenlos. Paypal Spenden für den Betrieb des Servers, der hinter dem Skill steht, sind natürlich trotzdem gerne gesehen

Zum Alexa Skill auf Amazon geht es hier:
https://www.amazon.de/Frank-Neumann-Wachhund/dp/B0771Q6YLR/

Contact Form 7 braucht neue reCAPTCHA Schlüssel

Das Logo von reCAPTCHA
Das Logo von reCAPTCHA. © google

Der Wechsel zu reCAPTCHA V3 läuft nicht automatisch

Das beliebte WordPress Plugin Contact Form7 unterstützt in der neuesten Version 5.1 nur noch die Version 3 der reCAPTCHA API. Bisherige V2-Schlüssel sind nicht mehr benutzbar und führen zu Fehlermeldungen und Warnungen. Dementsprechend müssen nun auf der reCAPTCHA-Seite neue V3 Schlüssel generiert und in das Contact Form7 Plugin integriert werden.

Und wie mache ich das?

Wenn Sie keinen Dienstleister für Ihre Webseite haben, dann nutzen Sie die englischsprachige, bebilderte  Anleitung auf der Seite der Contact Form 7- Macher: https://contactform7.com/recaptcha/

Was ist reCAPTCHA?

reCAPTCHA ist ein Service von Google, der helfen soll, die Eingaben in z.B. Anmeldeseiten oder Kontaktformulare zu prüfen um Menschen von Robotern zu unterscheiden. So müssen die Nutzer vor dem Absenden beispielsweise alle Fahrräder, Ampeln oder Geschäfte in einer Auswahl von Bildern anklicken.

reCAPTCHA Abfrage „Ich bin kein Roboter“
reCAPTCHA Abfrage „Ich bin kein Roboter“

Damit sollen unerwünschte Mails (SPAM) eingeschränkt werden. Mit Version 3 soll diese Prüfung im Hintergrund verlaufen und die Nutzer nicht mehr mit zusätzlichen Eingaben nerven.

WordPress 5.0 kommt – Joost de Valk: Abwarten!

WordPress

Hohoho oder oh oh?

Das Rollout auf WordPress 5.0 ist überraschend kurzfristig für den 6.12. angesagt worden. Im Blog von Yoast (SEO-Unternehmen) stellt Gründer und CEO Joost de Valk die Frage, ob man auf WordPress 5.0 updaten sollte. Yoast arbeitet eng mit den WordPress-Entwicklern zusammen, seine Meinung hat also durchaus Gewicht.
 

Abwarten bis Januar!

Kurz auf deutsch zusammengefasst: Joost rät dazu bis Januar abzuwarten! Er schreibt „Wir denken nicht, dass WordPress 5.0 so stabil ist, wie es sein sollte.“
Weiterhin schreibt er „Wenn du das Upgrade machst, mach immer vorher ein Backup. Wenn du eine Testumgebung hast, bitte nutze sie. Wenn du keine hast und deine Seite kritisch für dein Geschäft ist, dann schaff dir eine Testumgebung an.“
Dies gelte, so Joost, natürlich für jedes größere Update, nicht nur für dieses.
Zum ganzen Artikel (englisch) geht es hier: https://yoast.com/should-you-update-to-wordpress-5-0

Testumgebung

Eine Testumgebung ist eine Kopie der Produktionsumgebung, also der Seite, die aktiv im Betrieb ist. Einige Kunden von Thomas Blüm – Web & Consulting nutzen diese Option.  Zum einen um Änderungen und neue Funktionen zu testen, zum anderen, um für Ausfälle sofort eine Ausweichseite bereitstehen zu haben.

No longer in directory

Das WordPress Plugin „no longer in directory“ ist no longer in directory
Ausschnitt aus dem WordPress Plugin Verzeichnis

„no longer in directory“ ist no longer in directory

Gestern hat Sicherheitsexperte Marc Nilius noch auf dem Bonner WordPress-Meetup drüber gesprochen, heute erscheint es in seinem WordPress Sicherheits Newsletter.

Plugins regelmäßig prüfen!

Eine Empfehlung zur Sicherheit von WordPress ist eine regelmäßige Prüfung auf stark veraltete oder gar zurückgezogene Plugins aus dem offiziellen WordPress Plugin-Verzeichnis (Plugins sind Programme die den Kern um Funktionen erweitern.) Um dies etwas zu vereinfachen gab es das Plugin „No longer in directory“.  Administratoren konnten mit diesem Plugin eine Prüfung durchführen.

Wie Marc jetzt feststellen musste, ist nun aber genau dieses Plugin selbst aus dem Plugin-Verzeichnis entfernt worden. Gründe sind ihm nicht bekannt, eine Kontaktaufnahme mit dem Autor verlief bisher erfolglos. Marc vermutet eine eher harmlose Ursache, nämlich das es bei Aufräumarbeiten im WordPress Plugin-Verzeichnis wegen einer nicht mehr erreichbaren E-Mail Adresse der Autoren gelöscht wurde.

Handeln und deinstallieren!

Trotzdem ist Vorsicht die Mutter der Porzellankiste und Thomas Blüm – Web & Consulting empfiehlt allen WordPress Admins dieses Plugin bis auf Weiteres umgehend zu entfernen! Bei meinen Kunden werde ich dies in den nächsten Stunden veranlassen. Als Alternative gilt „Vendy abandoned plugin check“. Bis jetzt gibt es mit diesem Plugin jedoch noch keine große Erfahrung.

Der WordPress Security Newsletter kann kostenlos unter https://www.wp-wartung24.de/newsletter/ abonniert werden.

Erfolgloser Angriff auf TB Web & Consulting

Angriffswelle im September 2018
Angriffswelle im September 2018
Mit bis zu 5.394 Anfragen pro Stunde – und das ist eigentlich noch wenig – wurde im September 2018 versucht den Webserver von https://tb-webconsulting.de zu hacken (Siehe Bild). Der oder die Angreifer haben in der zweiten Septemberwoche versucht Schwachstellen des Servers und der Software zu finden und parallel dazu die Zugangsdaten zu hacken. Mehr als 45 % aller Anfragen in diesem Monat kamen von einer IP-Adresse aus Großbritannien, wobei die Spur nicht zwingend dort endet. Der Angreifer hat jedoch keine Schwachstelle finden können und die Passworte waren sicher genug für diesen Angriff. Außerdem zeigt die Vorgehensweise, daß der Angreifer anscheinend nicht sehr erfahren war.
 

Wie kann ich vorbeugen?

Dieser Angriff ist nichts Besonderes. Solche Angriffswellen sind Alltag im Internet! Egal ob es um die Webseite einer Regierungsbehörde, eines DAX-Konzerns oder des Handwerkers um die Ecke geht. Deswegen mein Rat: Halten Sie Ihre Software und deren Erweiterungen (Plugins) mit regelmäßigen und zeitnahen Updates aktuell, prüfen Sie auf zurückgezogene Plugins und verwenden Sie sichere Passworte, die für jedes System unterschiedlich sind. Dazu sind Sie übrigens gesetzlich verpflichtet.
 
Wissen Sie was Social Engineering ist? Falls nein, dann nehmen Sie sich die Zeit und lesen Sie diese Hinweise vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
 

Sie haben doch ein Backup?

Und wenn alle Stricke reißen: Sie haben doch ein funktionierendes Backup und wissen, wie Sie ihre Daten zurückspielen, oder? 🙂
 
Die Ratschläge gelten natürlich nicht nur für den geschäftlichen Bereich, sondern auch für das private Umfeld.