WordPress unter Apache2 absichern

Bisher habe ich den WordPress dadurch abgesichert, dass ich einen Login nur über einen VPN zugelassen habe. Darüber hinaus verlasse ich mich auf lange, zufällige Passwörter. Mit regelmäßigen Aktualisierungen ist die Sicherheit schon sehr hoch. Ein wenig mehr Sicherheit bietet die Beschränkung des Zugriffe auf Administrative Dateien.

Im Gegensatz zum DSL-Anschluss hatte der VPN eine feste IP-Adresse, die über viele Jahre konstant blieb. Mit der Migration auf Debian musste ich den Server neu installieren. Dabei habe ich den Zugriff auf https umgestellt. HTTPS schützt die Datenübertragung, aber nicht vor Angriffen auf die Login und Admin Seiten. deprecated und sollten vermieden werden. Die Nachfolger sind RequireAll, RequireAny, und RequireNone Direktiven mit dem Parameter Require. Require funktioniert auch in den Direktiven Files und Directory. Hier gibt es die Möglichkeiten

Require all granted
Require all denied
Require host address
Require ip ip.address
Require not host address
Require not ip ip.address
Require expr

Für diesen Seite nutze ich nur Require all granted / denied und Require ip im die Datei wp-login.php und das Verzeichnis wp-admin zu schützen. Die Telekom bietet IPv6 an und die Rechner in meinem Heimnetz bekommen alle eine IPv6 Adresse. Diese wird beim Zugriff auf den Server bevorzugt, so dass ich mir keine Gedanken über wechselnde IPv4 Adressen machen muss.

<Files wp-login.php>
Require all denied
Require ip 2003:e2:af1f:f888::0/64 2
</Files>

<Directory „/var/www/html/wp-admin/“>
AllowOverride FileInfo
Options +FollowSymLinks
Require all denied
Require ip 2003:e2:af1f:f888::0/64
</Directory>

Leider funktioniert Require forward-dns noch nicht in der derzeitigen Apache-Version, was eine Steuerung der Adressen über DynDNS ermöglicht.

Zwar kann einem Gerät jede IP-Adresse zugeordnet werden, aber da diese Adressen aus dem Telekom Netz kommen und auch der Rückweg funktionieren muss, ist die Gefahr einer Adressfälschung gering.

DSVGO

Nun hat sie Sie und mich erwischt, die Datenschutz-Grundverordnung oder die

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Sie dürfen jetzt Ihre Zeit damit verplempern sich erklären zu lassen,

  1. dass ich angeblich personenbezogenen Daten verarbeite (DSVGO Artikel 4 Ziffer 2), zu denen ich die Personen nicht identifizieren kann und will.
  2. dass, wenn Sie hier einen Kommentar hinterlassen, dieser natürlich gespeichert, verarbeitet und anderen angezeigt wird.
  3. dass Sie Cookies akzeptieren müssen, damit ihre persönlichen Einstellungen auf Ihrem eigenen Rechner gespeichert werden.
  4. dass die Seitenaufrufe mittels eines automatisierten und anonymisierten Verfahren gezählt werden.

Vielleicht ist der vierte Punkt für einigen neu. Aber dazu später.

„DSVGO“ weiterlesen

Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen

Bots, Crawler und Spider

Bots, Crawler oder Spider sind Computer die das World Wide Web nach Inhalten mit unterschiedlichen Zielsetzungen durchforsten. Die bekanntesten sind sicher die Crawler der großen Suchmaschinenbetreiber Bing / MSN, Baidu, Google, Yahoo oder Yandrex. Dass deren Crawler regelmäßig vorbei schauen ist wichtig, damit eine Seite in den Suchergebnissen gefunden wird. Aber es gibt auch zahlreiche andere Crawler, deren Besuch mehr oder weniger sinnvoll ist. Wenn ein Portal keine Stellenangebote beinhaltet, ist es wenig sinnvoll, dass ein Crawler die Seiten regelmäßig besucht. Falls Sie keinen Shop betreiben, hilft es nichts, dass ein entsprechend spezialisierter Crawler Ihre Web-Seiten durchsucht.

Ob ein Crawler ein Portal durchsucht und welche Verzeichnisse durchsucht werden, kann bei kooperativen oder freundlichen Crawlern anhand des Robots Exclusion Standard über eine Datei robots.txt (Kleinschreibung beachten) im root-Verzeichnis gesteuert werden.

Unkooperative oder unfreundliche Crawler ignorieren den Inhalt der robots.txt. Gegen diese Crawler helfen nur stärkere Geschütze.

Die Zugriffe der letzten Tage auf dieses Blog habe ich hinsichtlich der besuchenden Bots, Crawler und Spider ausgewertet. Von Anfang des Monats bis heute, entfallen etwa 15% bis 20% der Seitenabrufe (Hits im Webalizer) auf über 50 verschiedene Crawler.[1] Der User-agent-string, mit dem sich der Bot, Crawler oder Spider im HTTP-Abruf meldet, ist nicht identisch mit dem User-agent in der Datei robost.txt, nach dem er sucht. Deshalb muss zu jedem Crawler der passende User-agent für die Datei robots.txt gefunden werden. Gute Web-Portale haben eine umfassende Beschreibung des Verhaltens ihrers Crawler; weniger gute verweisen auf die allgemeine Beschreibung der Datei; manche vergessen dabei den User-agent anzugeben, auf den ihr Crawler hört.

Die Bezeichnung „Standard“ ist für den Robots Exclusion Standard ist im Grunde eine Übertreibung. Die Syntax der Datei robots.txt ist nicht sehr streng definiert. Bei der Auswertung der Datei robots.txt sollte der Crawler die Groß-Kleinschreibung bei der Feldnamen (User-agent, Disallow …) und bei seinem Namen (wohlgemerkt sollte) nicht beachten. Als Parameter sind nur User-agent und Disallow definiert und es gibt nur die Wildcard „*“ für den User-agent. Viele Crawler akzeptieren aber auch Erweiterungen wie reguläre Ausdrücke. Einen einheitliche Art der Auswertung der Datei durch die Crawler wurde leider nie definiert. Eine gute Beschreibung des „Minimum“ anhand einer Beispiel-Site findet sich bei bjoernsworld.de · Suchmaschinen.

Hier nun eine Auflistung, kurze Beschreibung und Bewertung der Bots, Crawler und Spider, die ich in der letzten Zeit identifiziert habe.

„Bots, Crawler und Spider“ weiterlesen

  1. [1]Hierbei ist zu bedenken, dass es auch Kameraden gibt, die Web-Seiten mit dem User-Agent eines Crawlers abrufen um ihrer Zugriffe zu tarnen. Diese Zugriffe habe ich bei der Betrachtung nicht gefiltert. Einige Seiten verwenden einen Zugriffschutz oder verhindern, dass die Seiten auf anderen Rechnern – z.B. zum Offline Lesen – gespiegelt werden. Damit Google die Seiten trotzdem indizieren kann, werden die Crawler von Google geduldet. Bei einer fehlerhaften Implementierung dieses Schutzes kommt ein Angreifer mit dem User-agent-string eines GoogleBot ebenfalls Zugriff auf die Seiten.

So einfach wird man zur sicheren Seite bei Netzcheck.com

Ich habe soeben die Seite Netzcheck.com gefunden. Meine Seite ist also sicher. Nun gut, dass wusste ich auch vorher. Grundsätzlich ist es keine schlechte Idee Web-Seiten zu untersuchen und Sicherheitssiegel zu erzeugen, die der Web-Master auf seiner Seite einbinden kann, wie hier links geschehen. Allerdings lässt sich so ein Siegel leicht fälschen ; wer achtet schon darauf, ob es echt ist. Außerdem muss der Web-Master es selbst einbinden. Welcher Web-Master bindet ein Siegel ein: Diese Seite ist unsicher! Keiner!

Aber die Verwendung des Sicherheitssiegels hat noch zwei weitere Haken.

„So einfach wird man zur sicheren Seite bei Netzcheck.com“ weiterlesen

LG Köln und PIXELIO

Kaum legt sich die Aufregung über die Abmahnwelle, kommt das LG Köln mit einem neuen Urteil aus der Sonne, bei dem man sich fragt, wo leben diese Richter? Die legen im Moment wirklich einen tollen Lauf hin.

Nach dem sie sich bei den Auskunftsersuchen schon als leichtgläubig, unfähig oder unwillig, die Anträge – wenn überhaupt – sorgfältig zu lesen und zu verstehen, erwiesen haben, scheinen sie nicht aus Schaden klug geworden zu sein und müssen die Blamage nochmals toppen.

LG Köln ignoriert Urheberrecht und eigene Rechtsauffassung

Ganz nebenbei outen Sie sich selbst – und wohl fast alle staatlichen Institutionen mit Web-Seiten – als notorische Urheberrechtsverletzer, „LG Köln und PIXELIO“ weiterlesen