Contact Form 7 braucht neue reCAPTCHA Schlüssel

Das Logo von reCAPTCHA
Das Logo von reCAPTCHA. © google

Der Wechsel zu reCAPTCHA V3 läuft nicht automatisch

Das beliebte WordPress Plugin Contact Form7 unterstützt in der neuesten Version 5.1 nur noch die Version 3 der reCAPTCHA API. Bisherige V2-Schlüssel sind nicht mehr benutzbar und führen zu Fehlermeldungen und Warnungen. Dementsprechend müssen nun auf der reCAPTCHA-Seite neue V3 Schlüssel generiert und in das Contact Form7 Plugin integriert werden.

Und wie mache ich das?

Wenn Sie keinen Dienstleister für Ihre Webseite haben, dann nutzen Sie die englischsprachige, bebilderte  Anleitung auf der Seite der Contact Form 7- Macher: https://contactform7.com/recaptcha/

Was ist reCAPTCHA?

reCAPTCHA ist ein Service von Google, der helfen soll, die Eingaben in z.B. Anmeldeseiten oder Kontaktformulare zu prüfen um Menschen von Robotern zu unterscheiden. So müssen die Nutzer vor dem Absenden beispielsweise alle Fahrräder, Ampeln oder Geschäfte in einer Auswahl von Bildern anklicken.

reCAPTCHA Abfrage „Ich bin kein Roboter“
reCAPTCHA Abfrage „Ich bin kein Roboter“

Damit sollen unerwünschte Mails (SPAM) eingeschränkt werden. Mit Version 3 soll diese Prüfung im Hintergrund verlaufen und die Nutzer nicht mehr mit zusätzlichen Eingaben nerven.

WordPress 5.0 kommt – Joost de Valk: Abwarten!

WordPress

Hohoho oder oh oh?

Das Rollout auf WordPress 5.0 ist überraschend kurzfristig für den 6.12. angesagt worden. Im Blog von Yoast (SEO-Unternehmen) stellt Gründer und CEO Joost de Valk die Frage, ob man auf WordPress 5.0 updaten sollte. Yoast arbeitet eng mit den WordPress-Entwicklern zusammen, seine Meinung hat also durchaus Gewicht.
 

Abwarten bis Januar!

Kurz auf deutsch zusammengefasst: Joost rät dazu bis Januar abzuwarten! Er schreibt „Wir denken nicht, dass WordPress 5.0 so stabil ist, wie es sein sollte.“
Weiterhin schreibt er „Wenn du das Upgrade machst, mach immer vorher ein Backup. Wenn du eine Testumgebung hast, bitte nutze sie. Wenn du keine hast und deine Seite kritisch für dein Geschäft ist, dann schaff dir eine Testumgebung an.“
Dies gelte, so Joost, natürlich für jedes größere Update, nicht nur für dieses.
Zum ganzen Artikel (englisch) geht es hier: https://yoast.com/should-you-update-to-wordpress-5-0

Testumgebung

Eine Testumgebung ist eine Kopie der Produktionsumgebung, also der Seite, die aktiv im Betrieb ist. Einige Kunden von Thomas Blüm – Web & Consulting nutzen diese Option.  Zum einen um Änderungen und neue Funktionen zu testen, zum anderen, um für Ausfälle sofort eine Ausweichseite bereitstehen zu haben.

Erfolgloser Angriff auf TB Web & Consulting

Angriffswelle im September 2018
Angriffswelle im September 2018
Mit bis zu 5.394 Anfragen pro Stunde – und das ist eigentlich noch wenig – wurde im September 2018 versucht den Webserver von https://tb-webconsulting.de zu hacken (Siehe Bild). Der oder die Angreifer haben in der zweiten Septemberwoche versucht Schwachstellen des Servers und der Software zu finden und parallel dazu die Zugangsdaten zu hacken. Mehr als 45 % aller Anfragen in diesem Monat kamen von einer IP-Adresse aus Großbritannien, wobei die Spur nicht zwingend dort endet. Der Angreifer hat jedoch keine Schwachstelle finden können und die Passworte waren sicher genug für diesen Angriff. Außerdem zeigt die Vorgehensweise, daß der Angreifer anscheinend nicht sehr erfahren war.
 

Wie kann ich vorbeugen?

Dieser Angriff ist nichts Besonderes. Solche Angriffswellen sind Alltag im Internet! Egal ob es um die Webseite einer Regierungsbehörde, eines DAX-Konzerns oder des Handwerkers um die Ecke geht. Deswegen mein Rat: Halten Sie Ihre Software und deren Erweiterungen (Plugins) mit regelmäßigen und zeitnahen Updates aktuell, prüfen Sie auf zurückgezogene Plugins und verwenden Sie sichere Passworte, die für jedes System unterschiedlich sind. Dazu sind Sie übrigens gesetzlich verpflichtet.
 
Wissen Sie was Social Engineering ist? Falls nein, dann nehmen Sie sich die Zeit und lesen Sie diese Hinweise vom BSI: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html
 

Sie haben doch ein Backup?

Und wenn alle Stricke reißen: Sie haben doch ein funktionierendes Backup und wissen, wie Sie ihre Daten zurückspielen, oder? 🙂
 
Die Ratschläge gelten natürlich nicht nur für den geschäftlichen Bereich, sondern auch für das private Umfeld.

Vorsicht mit BackUpWordPress Plugin

WordPress

Marc Nilius rät in seinem aktuellen WordPress Sicherheitsnewsletter zu Vorsicht beim Einsatz des Plugins BackUpWordPress. Anscheinend hat hier der Besitzer gewechselt.

An und für sich kein ungewöhnlicher Vorgang, aber da der neue Besitzer recht dubios erscheint und in letzter Zeit häufiger Fälle aufgetreten sind, in denen Plugins aufgekauft wurden, nur um anschließend mit neuen Versionen Schadcode auszuliefern, rät Marc vorerst von der Installation des Plugins oder dem Durchführen des aktuellen Updates ab, bis die genaueren Umstände hier geklärt sind.

Der Transparenz halber sei erwähnt, daß Marc meines Wissens unter anderem auch für den Hersteller eines anderen Backup-Produktes tätig ist. Allerdings halte ich Marc, der mir persönlich bekannt ist, für einen integren WordPress-Enthusiasten.

Den Newsletter zur WordPress-Sicherheit gibt es kostenlos unter www.wp-sicherheit.info

WordPress 4.9.6 – das DS-GVO Release

WordPress 4.9.6
WordPress 4.9.6
Die Version 4.9.6 von WordPress ist jetzt verfügbar und kann installiert werden. Das Wartungs- und Privacy-Release passt WordPress an die Anforderungen der EU DS-GVO an und enthält 37 Verbesserungen und 51 Bug fixes.
Unter anderem werden jetzt die Anforderung an Datenlöschung und Datenübertragbarkeit erfüllt.  Die entsprechenden Punkte finden sich im Dashboard unter „Werkzeuge.“
 

Bis zum 25. Mai installieren!

Bei meinem Kunden mit Wartungsvertrag installiere ich das Update. Verstöße gegen die DS-GVO können teuer werden, darum sollten auch Sie als WordPress-Nutzer dieses Update bis zum 25. Mai installieren!
 
Alle Infos zu 4.9.6 (Englisch): https://codex.wordpress.org/Version_4.9.6