WordPress absichern

Durch die Umstellung von Debian 8 auf Debian 9 ist  eine neue Version des Apache2 auf dem Server verfügbar. Diese unterstützt in der Direktive Require nun den Provider forward-dns host-name.

Mit folgenden Einstellungen kann ich nun den Zugriff auf die administrativen Seiten und das Login Script nur von meinem Laptop (lt) und Desktop (dt) erlauben, die zwar dynamische IP-Adressen verwenden, aber diese mit nsupdate auf meinem DNS-Server registrieren.

 <Files wp-login.php>
    Require all denied
    Require forward-dns lt.dyn.byggvir.de dt.dyn.byggvir.de 
 </Files>

<Directory "/var/www/html/wp-admin/">
  Require all denied
  Require forward-dns lt.dyn.byggvir.de dt.dyn.byggvir.de 
</Directory>

Allerdings versuchen kriminelle Mitmenschen trotzdem hier einzubrechen.

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen

LG Köln und PIXELIO (Fortsetzung 1)

Gestern hatte ich über mein liebstes Landgericht Köln und sein jüngstes Urteil zu den Lizenzbedingungen bei PIXELIO geschrieben. Nachdem ich gestern über das Landgericht gelästert habe, habe ich heute dem Webmaster vier Fragen zur weiteren Nutzung der PIXELIO Bilder gestellt. Bin gespannt, ob ich eine Antwort bekomme. Nicht, dass ich vom Webmaster eine juristische einwandfreie Antwort erwarte, aber ich denke, dass gerade der Webmaster eines renommierten – ehemals renommierten – Landgerichtes hervorragende Rechtsberatung genießt. Was nirgendwo so genau zu lesen ist, ist einer Erklärung, warum die Bilder ohne Urheberrechtsangabe im Netz gelandet sind. Dies möchte ich hier für Nicht-Webmaster und weltfremde Richter und sonstige Juristen nachholen.
„LG Köln und PIXELIO (Fortsetzung 1)“ weiterlesen

WordPress Kommentar Spam

Heute erhielt ich folgenden Kommentar auf einen meiner Artikel.

{Online|On-line|On the internet|On the web|On the net|On line|Internet|Over the internet|Via the internet|Web based|Using the web} {Article|Post|Write-up|Short article|Report|Posting|Piece of writing|Guide|Content|Document|Brief article}…

The knowledge outlined inside the posting are some of the greatest readily available…

Es ist mir schleierhaft, was mein Post mit einem Artikel über eine X-Box zu tun hat, auf die der Link verwies. Aber ich muss nicht alles verstehen. Natürlich gebe ich dem Spammer auch recht, was seine – wenn auch untertriebene – Bewertung meines Artikels angeht, aber dies ist doch selbstverständlich und nicht der Rede wert. 😉

Das mein captcha von einigen Tools gelöst werden kann, ist mir auch bekannt. Aber es reicht um die Zahl der Spam-Kommentare, die ich prüfen muss, zu reduzieren.

Nein, was ich gerne verstehen würde, ist die erste Zeile. Hat der Spammer versehentlich seine Versatzstücke mit in den Kommentar kopiert? Als zusätzliche Stichwörter sind diese Worte wenig hilfreich. Sinnvoll wäre es einen Text mittels derartiger Auswahllisten zu modifiziert und so jeden Eintrag individuell erscheinen zu lassen.

WordPress mit The Webalizer auswerten

Die logs auf diesem Server lasse ich durch den Webalizer auswerten. Ohne Permalinks gibt die Auswertung jedoch keine Übersicht über die abgerufenen Artikel. Auch führen die internen Dateien der Style Sheets und Java Scripts die Statistiken regelmäßig an, da sie in fast jeder Seite eingebunden sind. Um dies zu ändern habe ich Permalinks der Form /YYYY/MM/DD/Titel/ eingeführt. Dies geht mit WordPress recht einfach, wenn man in der Definition des VHost alles richtig gemacht hat. Auch wenn WordPress meldet, dass es die .htaccess erfolgreich geschrieben hat, bedeutet dies nicht, dass die .htaccess auch angezogen wird. Hier ist an den richtigen Stellen darauf zu achten, das AllowOverride auf mindestens FileInfo steht. Ist dies erledigt, gilt es die nicht interessierenden Dateien im Report zu verbergen. Dies erfolgt in der webalizer Konfigurationsdatei mit HideURL. Jeder verfolgt mit einem Report seinen Zweck. Wer wissen will, was den Traffic auf dem Rechner verursacht, braucht einen anderen Report als der, der wissen möchte, welche Artikel gelesen werden. Da mich die Frage bewegt, lohnt sich das Schreiben überhaupt. Habe ich den Report so beschränkt, dass hauptsächlich Artikel angezeigt werden. Dazu noch die Aufrufe einzelner /topics/, /tags/ oder /author/. Daraus ergab sich nach einigen Versuchen die folgende Auswahl an HideURL Befehlen:


...
HideURL *.js
HideURL *.css
HideURL /favicon.ico
HideURL /readme.html
HideURL /robots.txt
HideURL /feed/
HideURL /comments/feed/
HideURL /wp-admin/*
HideURL /wp-includes/*
HideURL /wp-login.php
HideURL /wp-cron.php
HideURL /xmlrpc.php
HideURL *.gif
HideURL *.GIF
HideURL *.jpg
HideURL *.JPG
HideURL *.png
HideURL *.PNG
HideURL *.ra
...

WP SPAM und CAPTCHA

Nachdem ich auf allen WordPress-Seiten ein CAPTCHA1 eingerichtet habe, sind die SPAM Einträge unter den Kommentaren auf Null runter gegangen. Sowohl der einfache CAPTCHA als auch der komplexere grafische Test wirken. Wenn ich nach diesen SPAM Kommentaren suche und sehe, wie viele Seiten sich nicht dagegen schützen kann ich nur den Kopf schütteln. (Ich gebe zu, auf einen bin ich auch reingefallen, denn er passte trefflich, da ich mit dem Facebook Button experimentiert habe.) Schmunzeln muss ich, wenn eine SPAM die vorherige kommentiert und Ketten entstehen – teilweise mit menschlichen Anmerkungen dazwischen.

Jetzt Frage ich mich, welchen der beiden Test ich den Vorzug geben sollte? Per Grafik oder nur alphanumerisch? Welcher ist für den Nutzer einfacher?


  1. CAPTCHA = Completely Automated Public Turing test to tell Computers and Humans Apart