Angriff auf den WordPress-Login

Oder: Was mache ich, damit das endlich aufhört?

Vor ein paar Tagen bekam ich mit, dass mein Server die Webseiten nur noch zögerlich bis gar nicht mehr ausliefert. Was eigentlich verwunderlich ist, steht dieser doch im Hause eines absoluten Expertenteams die sich schnell und unkompliziert über jeden kleinen Husten des Servers kümmern, wenn sie gebeten werden. Grund dafür war, ein massiver Versuch sich bei meinen WordPress-Installationen einzuloggen. Man kann in diesem Falle durchaus schon ein einem Angriff sprechen, denn es waren tausende Versuche innerhalb von nur Sekunden.

Weiterlesen

Facebook – Spam 2.0 – was erwartet uns?

Hallo, mein Name ist Martin, der, der sich eigentlich um die Seite saitensprunk.de kümmern sollte, jedoch nicht mehr dazu kommt. Aus diesem Grund bin ich froh, dass Peter mir hier die Gelegenheit gibt, diesen Artikel zu schreiben.

Viele werde denken, hey – Facebook, Spam, nichts neues, das gehört dazu. Das stimmt (leider) auch so weit. Bisher lief der Spam durch die üblichen Methoden ab. Ein User klickt auf einer Seite ohne sein wissen einen „like-Button“, dieser wird dann auf die Pinnwand geschoben. Dank vieler (eigentlich guter) Eigenschaften, die Facebook einen mit den Metatags bietet, sieht der Pinnwandeintrag dann auch so aus, wie es der Seitenbetreiber will, auf welchem der Like-Button platziert ist.
Weiterlesen

Lokale Linuxssicherheit, oder: wie entschärf ich die Bombe?

Hallo werte Leser,

der liebe Peter fragte mich, ob ich nicht Lust habe als Gastautor etwas über Linux-Sicherheit von mir zu geben. Nerd wie ich bin, konnte ich da natürlich nicht nein sagen.

Fangen wir also mit was simplen am: Integrity Management Architecture im Linux-Kernel.

Nein, keine Angst, natürlich fangen wir mit etwas leichterem an:
Dem Grundgerüst der lokalen Unix-Sicherheit – PAM –
Genauer: dem Modul „pam_limits“.
Weiterlesen

HowTo: wp-config.php vor unerlaubtem Zugriff schützen

Die wp-config.php ist bekanntlicherweise die Hauptkonfigurationsdatei von WordPress. In dieser Datei sind unter anderem auch die Zugangsdaten zur Datenbank eingetragen. Also Host, Name, Nutzer und Passwort der Datenbank. Dies sind Informationen, die man schützen sollte, also sollte man den Zugriff auf die wp-config.php etwas schwerer gestalten oder ganz blockieren. Also nicht den Zugriff generell, das wäre fatal, dann könnte auch WordPress selbst nicht mehr darauf zugreifen, sondern den Zugriff von ausserhalb.
Weiterlesen

Vorsicht bei Plugindownloads

Ich musste vor einiger Zeit feststellen, dass meine Plugins nicht nur über das WordPress-Verzeichnis – wie es ja sein soll – sondern auch über eine andere Seite zum Download angeboten werden. Diese Seite sieht auf dem ersten Blick so aus, als würde sie zu WordPress gehören, was wohl auch beabsichtigt ist. Jedoch gehört die Seite keineswegs zu WordPress, sondern ist lediglich eine Kopie des WordPress-Designs und soll somit Vertrauen erwecken.
Weiterlesen

Schwachstellen in iPhone, iPod touch und iPad – BSI warnt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor gleich zwei Schwachstellen in iPhone, iPod touch und iPad. Verwundbar sind laut BSI die iOS-Versionen 3.1.2 bis 4.0.1 für das iPhone, iOS 3.1.2 bis 4.0 für den iPod touch sowie iOS 3.2 und 3.2.1 für das iPad. Es sei nicht auszuschließen, dass auch ältere Versionen verwundbar sind. Ans Tageslicht sind die Schwachstellen übrigens die durch die Jailbreak-Website des iPhone-Tüftlers comex.
Weiterlesen

WordPress: Installation absichern

Die Sicherheit eines WordPress-Blogs ist ja nicht ganz so  unwichtig. Gerade in Zeiten von immer ausgeklügelteren Methoden der Angriffe auf eine Webseite. Die Jungens hinter nettuts haben da einen sehr schönen Artikel mit dem Titel „20 Steps to a Flexible and Secure WordPress Installation“ verfasst und ich habe mir mal die Mühe gemacht, meine .htaccess wie in dem Artikel beschrieben zu erweitern. Hierzu nun einige Anmerkungen, von denen ich denke, dass sie recht nützlich sind, denn ich bin dabei auf einige Hindernisse gestoßen.

Weiterlesen

WordPress: Standardnutzer „admin“ ändern

Eines der Features vom kommenden WordPress 3.0 ist die Möglichkeit bei der Installation den Nutzernamen des Administrators anzugeben, was bei Version 2.x leider noch nicht funktioniert. So gibt es wahrscheinlich eine Menge WordPress-Seiten, deren Administrator immer noch „admin“ heißt. Somit bietet sich da eine kleine Sicherheitslücke, da dieser Loginname in Nachhinein nicht mehr änderbar ist.

Um diesen zu ändern, gibt es nun zwei Möglichkeiten.
Weiterlesen

WordPress 3.0 bekommt zusätzliche Sicherheitsschlüssel

Wordpress 3.0 ging heute in den Beta2-Status. Das heißt, dass es nicht mehr sehr lange dauern kann bis zum offiziellen Release.

Wie WordPress Deutschland schrieb, gibt es ab Version 3.0 gleich vier neue Sicherheitsschlüssel in der wp-config.php, welche hauptsächlich auf die Multi-User-Funktionalität von WordPress abzielen. Diese sollten in die wp-config.php eingetragen werden, damit dies nicht in Vergessenheit gerät.
Weiterlesen

MySQL-Injection in PHP verhindern

Eines der beliebtesten Mittel eines Angriffes auf eine Webpräsenz ist neben DDoS die mySQL-Injection. Dabei werden „unsichere“ SQL Statements ausgenutzt um die Datenbank zu kompromittieren, oder um sich in eine Seite einzuloggen. Der Trick dahinter ist eigentlich nichts anderes, als das man über die richtigen Eingaben – und nein, ich schreibe diese nicht hier hin – in den Loginfeldern das SQL-Statement so weit verändert, dass es immer TRUE, also WAHR zurück gibt.
Weiterlesen