WordPress unter Apache2 absichern

Bisher habe ich den WordPress dadurch abgesichert, dass ich einen Login nur über einen VPN zugelassen habe. Darüber hinaus verlasse ich mich auf lange, zufällige Passwörter. Mit regelmäßigen Aktualisierungen ist die Sicherheit schon sehr hoch. Ein wenig mehr Sicherheit bietet die Beschränkung des Zugriffe auf Administrative Dateien.

Im Gegensatz zum DSL-Anschluss hatte der VPN eine feste IP-Adresse, die über viele Jahre konstant blieb. Mit der Migration auf Debian musste ich den Server neu installieren. Dabei habe ich den Zugriff auf https umgestellt. HTTPS schützt die Datenübertragung, aber nicht vor Angriffen auf die Login und Admin Seiten. deprecated und sollten vermieden werden. Die Nachfolger sind RequireAll, RequireAny, und RequireNone Direktiven mit dem Parameter Require. Require funktioniert auch in den Direktiven Files und Directory. Hier gibt es die Möglichkeiten

Require all granted
Require all denied
Require host address
Require ip ip.address
Require not host address
Require not ip ip.address
Require expr

Für diesen Seite nutze ich nur Require all granted / denied und Require ip im die Datei wp-login.php und das Verzeichnis wp-admin zu schützen. Die Telekom bietet IPv6 an und die Rechner in meinem Heimnetz bekommen alle eine IPv6 Adresse. Diese wird beim Zugriff auf den Server bevorzugt, so dass ich mir keine Gedanken über wechselnde IPv4 Adressen machen muss.

<Files wp-login.php>
Require all denied
Require ip 2003:e2:af1f:f888::0/64 2
</Files>

<Directory „/var/www/html/wp-admin/“>
AllowOverride FileInfo
Options +FollowSymLinks
Require all denied
Require ip 2003:e2:af1f:f888::0/64
</Directory>

Leider funktioniert Require forward-dns noch nicht in der derzeitigen Apache-Version, was eine Steuerung der Adressen über DynDNS ermöglicht.

Zwar kann einem Gerät jede IP-Adresse zugeordnet werden, aber da diese Adressen aus dem Telekom Netz kommen und auch der Rückweg funktionieren muss, ist die Gefahr einer Adressfälschung gering.

DSVGO

Nun hat sie Sie und mich erwischt, die Datenschutz-Grundverordnung oder die

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Sie dürfen jetzt Ihre Zeit damit verplempern sich erklären zu lassen,

  1. dass ich angeblich personenbezogenen Daten verarbeite (DSVGO Artikel 4 Ziffer 2), zu denen ich die Personen nicht identifizieren kann und will.
  2. dass, wenn Sie hier einen Kommentar hinterlassen, dieser natürlich gespeichert, verarbeitet und anderen angezeigt wird.
  3. dass Sie Cookies akzeptieren müssen, damit ihre persönlichen Einstellungen auf Ihrem eigenen Rechner gespeichert werden.
  4. dass die Seitenaufrufe mittels eines automatisierten und anonymisierten Verfahren gezählt werden.

Vielleicht ist der vierte Punkt für einigen neu. Aber dazu später.

„DSVGO“ weiterlesen

Phishing: Sparkasse

Derzeit sind vermehrt Pishing Mails mit einer angeblicch notwendigen Bestätiung der Kontodaten unterwegs. Gemeinsames Kennzeichen der E-Mails ist, das der Linkt zur Pishinge -Site in einer angehängten HTML-Datei versteckt ist. Diese Links haben nun als gemeinsames Kennzeichen, dass die auf eine in der Filestruktur von WordPress versteckte Seite mit dem Namen /wp-includes/images/wlw/ok/mail.php zeigen.

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch
Paypal Betrugsversuch – Betrug! stammt natürlich von mir
Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
„(WordPress) Blogs gehackt – Fortsetzung 1“ weiterlesen

Netter Versuch

… aber ich sichere meinen Server nicht im document root.

Heute fiel mir ein seltsamer Besucher auf, der nach Dateien byggvir.de.zip, byggvir.de.rar oder .7z suchte. Hier ein Log Eintrag.


192.74.229.180 - - [01/Jun/2013:00:01:15 +0200] "GET /byggvir.de.zip HTTP/1.1" 200 139 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)"

Die Idee, dass ein Admin seinen Server sichert und die Sicherung auf dem Server selbst zum Herunterladen ablegt ist nicht schlecht. So käme man an die .htaccess oder das Password für den MySQL Server.

Daraus wird nichts: So etwas mach ich nicht!

BTW: Wer behauptet einen alten MSIE 6.0 zu nutzen, der erhält eine kleine Datei mit dem Hinweis, dass der Browser veraltet ist. Mit den Angaben im User Agent scheinen es die Kameraden nicht so genau zu nehmen. Da finden sich viele lustiger Einträge. Ein doppeltes „MSIE 6.0“ ist nur wirklich nicht nötig.

Falsche Bots finden

Geschützte Seiten, die trotzdem über Google gefunden werden wollen, erlauben den Zugriff, wenn er von Google kommt. Im einfachen Fall fragt der Server nur den User Agent String ab. Kennzeichnet er den Aufrufer als Googlebot, wird der Zugriff erlaubt. Dies wird gerne ausgenutzt um einen Zugriffsschutz zu umgehen.

Manche Crawler oder Nutzer – gut oder böse sei dahin gestellt – tarnen sich als Googlebot mit dem User Agent String Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html).

Frage: Wie kann ich erkennen, dass ein Zugriff wirklich von einem Googlebot kommt? Und was kann ich gegen dagegen tun?
„Falsche Bots finden“ weiterlesen

Web-Server schützen

Seit einiger Zeit beobachte ich verstärkte Zugriffe auf den Artikel Freundliche und unfreundliche Crawler. In den Monaten Februar und März hat er sich an die Spitze der abgerufenen Seiten gesetzt. Seit Anfang Mai geht jeder 4 Aufruf auf diese Seite; Zeit, der Ursache auf den Grund zu gehen.

„Web-Server schützen“ weiterlesen