Wachhund – Alexa-Skill zur Serverüberwachung

Amazons Echo beherbergt die intelligente Assistentin Alexa. Foto: Fabian Hurnaus from Pexels
Amazons Echo beherbergt die intelligente Assistentin Alexa. Foto: Fabian Hurnaus from Pexels

Alexaguru Frank Neumann hat mit „Wachhund“ einen interessanten Alexa-Skill für Webworker veröffentlicht. Alle 15 Minuten (oder auf Zuruf) prüft der Skill ob selbst festgelegte Server erreichbar sind. Falls Störungen entdeckt werden, wird der Nutzer per Mail oder per Alexa-Benachrichtigung sofort informiert und kann reagieren. Es wird eine 30-Tage-Statistik über die Verfügbarkeit der Server und der geprüften Dienste geführt.

Natürlich gibt es professionellere Lösungen mit nanosekundengenauer Auflösung und detaillierten Statistiken. Wachhund ist aber ein sehr einfach zu bedienender Skill und dazu noch kostenlos. Paypal Spenden für den Betrieb des Servers, der hinter dem Skill steht, sind natürlich trotzdem gerne gesehen

Zum Alexa Skill auf Amazon geht es hier:
https://www.amazon.de/Frank-Neumann-Wachhund/dp/B0771Q6YLR/

No longer in directory

Das WordPress Plugin „no longer in directory“ ist no longer in directory
Ausschnitt aus dem WordPress Plugin Verzeichnis

„no longer in directory“ ist no longer in directory

Gestern hat Sicherheitsexperte Marc Nilius noch auf dem Bonner WordPress-Meetup drüber gesprochen, heute erscheint es in seinem WordPress Sicherheits Newsletter.

Plugins regelmäßig prüfen!

Eine Empfehlung zur Sicherheit von WordPress ist eine regelmäßige Prüfung auf stark veraltete oder gar zurückgezogene Plugins aus dem offiziellen WordPress Plugin-Verzeichnis (Plugins sind Programme die den Kern um Funktionen erweitern.) Um dies etwas zu vereinfachen gab es das Plugin „No longer in directory“.  Administratoren konnten mit diesem Plugin eine Prüfung durchführen.

Wie Marc jetzt feststellen musste, ist nun aber genau dieses Plugin selbst aus dem Plugin-Verzeichnis entfernt worden. Gründe sind ihm nicht bekannt, eine Kontaktaufnahme mit dem Autor verlief bisher erfolglos. Marc vermutet eine eher harmlose Ursache, nämlich das es bei Aufräumarbeiten im WordPress Plugin-Verzeichnis wegen einer nicht mehr erreichbaren E-Mail Adresse der Autoren gelöscht wurde.

Handeln und deinstallieren!

Trotzdem ist Vorsicht die Mutter der Porzellankiste und Thomas Blüm – Web & Consulting empfiehlt allen WordPress Admins dieses Plugin bis auf Weiteres umgehend zu entfernen! Bei meinen Kunden werde ich dies in den nächsten Stunden veranlassen. Als Alternative gilt „Vendy abandoned plugin check“. Bis jetzt gibt es mit diesem Plugin jedoch noch keine große Erfahrung.

Der WordPress Security Newsletter kann kostenlos unter https://www.wp-wartung24.de/newsletter/ abonniert werden.

Erfolgloser Angriff auf TB Web & Consulting

Angriffswelle im September 2018
Angriffswelle im September 2018
Mit bis zu 5.394 Anfragen pro Stunde – und das ist eigentlich noch wenig – wurde im September 2018 versucht den Webserver von https://tb-webconsulting.de zu hacken (Siehe Bild). Der oder die Angreifer haben in der zweiten Septemberwoche versucht Schwachstellen des Servers und der Software zu finden und parallel dazu die Zugangsdaten zu hacken. Mehr als 45 % aller Anfragen in diesem Monat kamen von einer IP-Adresse aus Großbritannien, wobei die Spur nicht zwingend dort endet. Der Angreifer hat jedoch keine Schwachstelle finden können und die Passworte waren sicher genug für diesen Angriff. Außerdem zeigt die Vorgehensweise, daß der Angreifer anscheinend nicht sehr erfahren war.
 

Wie kann ich vorbeugen?

Dieser Angriff ist nichts Besonderes. Solche Angriffswellen sind Alltag im Internet! Egal ob es um die Webseite einer Regierungsbehörde, eines DAX-Konzerns oder des Handwerkers um die Ecke geht. Deswegen mein Rat: Halten Sie Ihre Software und deren Erweiterungen (Plugins) mit regelmäßigen und zeitnahen Updates aktuell, prüfen Sie auf zurückgezogene Plugins und verwenden Sie sichere Passworte, die für jedes System unterschiedlich sind. Dazu sind Sie übrigens gesetzlich verpflichtet.
 
Wissen Sie was Social Engineering ist? Falls nein, dann nehmen Sie sich die Zeit und lesen Sie diese Hinweise vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
 

Sie haben doch ein Backup?

Und wenn alle Stricke reißen: Sie haben doch ein funktionierendes Backup und wissen, wie Sie ihre Daten zurückspielen, oder? 🙂
 
Die Ratschläge gelten natürlich nicht nur für den geschäftlichen Bereich, sondern auch für das private Umfeld.

Vorsicht mit BackUpWordPress Plugin

WordPress

Marc Nilius rät in seinem aktuellen WordPress Sicherheitsnewsletter zu Vorsicht beim Einsatz des Plugins BackUpWordPress. Anscheinend hat hier der Besitzer gewechselt.

An und für sich kein ungewöhnlicher Vorgang, aber da der neue Besitzer recht dubios erscheint und in letzter Zeit häufiger Fälle aufgetreten sind, in denen Plugins aufgekauft wurden, nur um anschließend mit neuen Versionen Schadcode auszuliefern, rät Marc vorerst von der Installation des Plugins oder dem Durchführen des aktuellen Updates ab, bis die genaueren Umstände hier geklärt sind.

Der Transparenz halber sei erwähnt, daß Marc meines Wissens unter anderem auch für den Hersteller eines anderen Backup-Produktes tätig ist. Allerdings halte ich Marc, der mir persönlich bekannt ist, für einen integren WordPress-Enthusiasten.

Den Newsletter zur WordPress-Sicherheit gibt es kostenlos unter www.wp-sicherheit.info

Speicherplatz für Kunden-Backups

Symbolbild Rechenzentrum. Hier werden Backups von Kunden gespeichert.
Symbolbild Rechenzentrum

Seit heute Nacht bekommen Kunden von TB Web & Consulting mit Wartungsvertrag jeweils bis zu 1 GB Platz für Backups der WordPress-Installation. Die Backups werden DS-GVO konform, automatisch und verschlüsselt vom Kundenserver zum TelemaxX-Rechenzentrum in Karlsruhe übertragen. Dort steht die Technik meines Dienstleisters WebhostOne, bei dem ich entsprechende Kapazitäten angemietet habe.

Grundsatz der Datenintegrität erfüllt

Mit dieser Maßnahme wird der DS-GVO Grundsatz der Datenintegrität (Schutz der Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung) weitergehend erfüllt als bisher.