No longer in directory

Das WordPress Plugin „no longer in directory“ ist no longer in directory
Ausschnitt aus dem WordPress Plugin Verzeichnis

„no longer in directory“ ist no longer in directory

Gestern hat Sicherheitsexperte Marc Nilius noch auf dem Bonner WordPress-Meetup drüber gesprochen, heute erscheint es in seinem WordPress Sicherheits Newsletter.

Plugins regelmäßig prüfen!

Eine Empfehlung zur Sicherheit von WordPress ist eine regelmäßige Prüfung auf stark veraltete oder gar zurückgezogene Plugins aus dem offiziellen WordPress Plugin-Verzeichnis (Plugins sind Programme die den Kern um Funktionen erweitern.) Um dies etwas zu vereinfachen gab es das Plugin „No longer in directory“.  Administratoren konnten mit diesem Plugin eine Prüfung durchführen.

Wie Marc jetzt feststellen musste, ist nun aber genau dieses Plugin selbst aus dem Plugin-Verzeichnis entfernt worden. Gründe sind ihm nicht bekannt, eine Kontaktaufnahme mit dem Autor verlief bisher erfolglos. Marc vermutet eine eher harmlose Ursache, nämlich das es bei Aufräumarbeiten im WordPress Plugin-Verzeichnis wegen einer nicht mehr erreichbaren E-Mail Adresse der Autoren gelöscht wurde.

Handeln und deinstallieren!

Trotzdem ist Vorsicht die Mutter der Porzellankiste und Thomas Blüm – Web & Consulting empfiehlt allen WordPress Admins dieses Plugin bis auf Weiteres umgehend zu entfernen! Bei meinen Kunden werde ich dies in den nächsten Stunden veranlassen. Als Alternative gilt „Vendy abandoned plugin check“. Bis jetzt gibt es mit diesem Plugin jedoch noch keine große Erfahrung.

Der WordPress Security Newsletter kann kostenlos unter https://www.wp-wartung24.de/newsletter/ abonniert werden.

Erfolgloser Angriff auf TB Web & Consulting

Angriffswelle im September 2018
Angriffswelle im September 2018
Mit bis zu 5.394 Anfragen pro Stunde – und das ist eigentlich noch wenig – wurde im September 2018 versucht den Webserver von https://tb-webconsulting.de zu hacken (Siehe Bild). Der oder die Angreifer haben in der zweiten Septemberwoche versucht Schwachstellen des Servers und der Software zu finden und parallel dazu die Zugangsdaten zu hacken. Mehr als 45 % aller Anfragen in diesem Monat kamen von einer IP-Adresse aus Großbritannien, wobei die Spur nicht zwingend dort endet. Der Angreifer hat jedoch keine Schwachstelle finden können und die Passworte waren sicher genug für diesen Angriff. Außerdem zeigt die Vorgehensweise, daß der Angreifer anscheinend nicht sehr erfahren war.
 

Wie kann ich vorbeugen?

Dieser Angriff ist nichts Besonderes. Solche Angriffswellen sind Alltag im Internet! Egal ob es um die Webseite einer Regierungsbehörde, eines DAX-Konzerns oder des Handwerkers um die Ecke geht. Deswegen mein Rat: Halten Sie Ihre Software und deren Erweiterungen (Plugins) mit regelmäßigen und zeitnahen Updates aktuell, prüfen Sie auf zurückgezogene Plugins und verwenden Sie sichere Passworte, die für jedes System unterschiedlich sind. Dazu sind Sie übrigens gesetzlich verpflichtet.
 
Wissen Sie was Social Engineering ist? Falls nein, dann nehmen Sie sich die Zeit und lesen Sie diese Hinweise vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
 

Sie haben doch ein Backup?

Und wenn alle Stricke reißen: Sie haben doch ein funktionierendes Backup und wissen, wie Sie ihre Daten zurückspielen, oder? 🙂
 
Die Ratschläge gelten natürlich nicht nur für den geschäftlichen Bereich, sondern auch für das private Umfeld.

Vorsicht mit BackUpWordPress Plugin

WordPress

Marc Nilius rät in seinem aktuellen WordPress Sicherheitsnewsletter zu Vorsicht beim Einsatz des Plugins BackUpWordPress. Anscheinend hat hier der Besitzer gewechselt.

An und für sich kein ungewöhnlicher Vorgang, aber da der neue Besitzer recht dubios erscheint und in letzter Zeit häufiger Fälle aufgetreten sind, in denen Plugins aufgekauft wurden, nur um anschließend mit neuen Versionen Schadcode auszuliefern, rät Marc vorerst von der Installation des Plugins oder dem Durchführen des aktuellen Updates ab, bis die genaueren Umstände hier geklärt sind.

Der Transparenz halber sei erwähnt, daß Marc meines Wissens unter anderem auch für den Hersteller eines anderen Backup-Produktes tätig ist. Allerdings halte ich Marc, der mir persönlich bekannt ist, für einen integren WordPress-Enthusiasten.

Den Newsletter zur WordPress-Sicherheit gibt es kostenlos unter www.wp-sicherheit.info

Speicherplatz für Kunden-Backups

Symbolbild Rechenzentrum. Hier werden Backups von Kunden gespeichert.
Symbolbild Rechenzentrum

Seit heute Nacht bekommen Kunden von TB Web & Consulting mit Wartungsvertrag jeweils bis zu 1 GB Platz für Backups der WordPress-Installation. Die Backups werden DS-GVO konform, automatisch und verschlüsselt vom Kundenserver zum TelemaxX-Rechenzentrum in Karlsruhe übertragen. Dort steht die Technik meines Dienstleisters WebhostOne, bei dem ich entsprechende Kapazitäten angemietet habe.

Grundsatz der Datenintegrität erfüllt

Mit dieser Maßnahme wird der DS-GVO Grundsatz der Datenintegrität (Schutz der Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung) weitergehend erfüllt als bisher.

 

WordPress will DSGVO-konform werden

Privacy Policy. Foto: ChristophMeinersmann via Pixabay. Lizenz: CC0 1.0 Universell (CC0 1.0)

WordPress ist derzeit nicht DSVGO-konform

Die Europäische Datenschutzgrundverordnung (DSGVO) tritt Ende Mai 2018 in Kraft. Laut Marc Nilius, Herausgeber des Newsletters „WP Sicherheit“ (einer der wenigen Newsletter, die ich abonniert habe) ist auch WordPress selbst davon betroffen, denn die DSGVO fordert, dass die personenbezogenen Daten der Nutzer nach dem „aktuellen Stand der Technik“ vor Angreifern geschützt werden.

Zum aktuellen Zeitpunkt ist WordPress nicht vollständig DSGVO-konform, es erfasst unötig Daten.

WordPress/Automattic arbeitet daran

Deswegen beschäftigt sich nun ein Team von Freiwilligen mit dieser Problematik. Automattic und WooCommerce (die Jungs und Mädels hinter WordPress) haben angekündigt, Ihre Produkte bis zum Inkrafttreten der DSGVO anzupassen.

Unabhängig davon, denken Sie daran, auch Ihre Datenschutzerklärung an die neuen Anforderungen der DSGVO anzupassen!