Vor einigen Monaten hatte ich das Problem, daß mein Webserver (ein Linux-VPS) kompromittiert wurde und irgendwelche Script-Kiddies/CIA-Strohmänner/sonstige Flachwichser mit meinem Webserver Schweinkram anstellen konnten… Der Hack war relativ einfach zu beheben – aber ich beschloß, jetzt mal etwas gründlicher nachzusehen.

So sehr ich "echte Hacker" respektiere - für die Nasen, die harmlose WordPress-Blogs hacken, wäre die Axt angebracht.

So sehr ich „echte Hacker“ respektiere – für die Nasen, die harmlose WordPress-Blogs hacken, wäre die Axt angebracht.

Schwachstelle war irgendein Plugin/Theme in WordPress gewesen – genau war es aber nicht nachzuvollziehen. Hätte ich noch – wie vor ein paar Jahren – reichlich Themes und Plugins aus – ahem – „anderen“ Quellen im Einsatz, hätte ich das noch eher nachvollziehen können, aber ich habe schon seit geraumer Zeit nur noch kostenlose oder artig erworbene Originalthemes/plugins im Einsatz, auch keinen Unfug, sondern von bekannten und guten Programmierern/Designern (größtenteils renommierte Anbieter auf Themeforest/Codecanyon, wie Kriesi, einem der besten Theme-Programmierer überhaupt).

Egal – ich mich schlau gemacht, wie man auf WP-Installationen am besten Angriffe frühzeitig erkennt und blockt. Bin aus all diesen Server-Frickel-Spielchen etwas raus – so wie ich auch auf meinem eigenen Rechner am liebsten OS X verwende, weil es einfach ohne Gezeter funktioniert, jahrelang… Aber manchmal muß man halt.

Ich hatte schon früher diverse „WordPress Firewalls“ und „WordPress Virus Scanner“ im Einsatz – aber die brachten meist nicht viel, waren miserabel dokumentiert, und meldeten sich auch verdächtig selten bei mir mit Jagderfolgen…

Nach einigen Recherchen habe ich nun hauptsächlich zwei Lösungen im Einsatz:

  1. auf Betriebssystem-Ebene Fail2Ban – das Tool hat ein flexibles Regelwerk und ist vor allem gut dafür, Bruteforce-Attacken z.B. auf Mailserver, Shell-Zugriff, etc. zu erkennen und dann die nervende IP-Adresse permanent oder für einen gewissen Zeitraum zu sperren. Da die Erkennungsregeln ergänzt werden können, kann man z.B. auch versuchte Zugriffe auf bekannte WordPress-Schwachstellen erkennen lassen und Frechlinge, die den Server auf solche Schwachstellen abklopfen, gleich mal sperren. Sehr nützlich – und hat bei mir die Serverlast erheblich gesenkt, da teilweise dutzende Idioten parallel den Server mit Bruteforce-Attacken und Exploit-URLs bombardierten.
  2. als WordPress-Plugin WordFence – das Plugin wirbt zwar ein bißchen zu aggressiv für seine kostenpflichtige Pro-Version und tut so, als wäre es allmächtig – ist aber wirklich gut. Grob gesagt ist es eine Mischung aus Scanner (überprüft regelmäßig die WordPress-Installation auf bekannte Exploits und installierten Schweinkram), „Firewall“ (erkennt und blockt gängige Angriffe), Zugriffsmanagement (kann z.B. bei Zugriffsversuchen mit ungültigen Benutzernamen, häufig falsch eingegebenen Paßwörtern, wiederholten „Ich habe mein Paßwort verloren“-Abfragen, etc. dein Möchtegern-Einbrecher blocken), Echtzeit-Trafficüberwachung (nutze ich aber nicht, lohnt für mich nicht und belastet den Server), und eine recht schnelle und zuverlässige Caching-Lösung, die den Server entlastet und Zugriffe schneller macht (auch nicht unwichtig für Google-Ranking & Co)

Für beide (kostenlosen) Tools finden sich massig Tutorials im Netz, die offiziellen Webseiten sind hier: Fail2Ban.org und Wordfence auf WordPress.org Fail2Ban kannst Du nur einsetzen, wenn Du einen Server hast, der das zuläßt, WordFence geht auch auf den meisten SharedHosting Accounts.

Die Block-Einstellungen in WordFence sollte man übrigens anpassen – ich habe meine wesentlich schärfer eingestellt (weniger Fehlversuche erlaubt, wesentlich längere Blockzeiten), bringt eine Menge Ruhe rein ;-)

Erstaunlich fand ich die Unmenge an ständigen „Routine-Angriffen“, denen meine Handvoll harmloser kleiner WordPress-Blogs ständig ausgesetzt ist… ich lasse mir schon nur die ernsthafteren Attacken melden, aber der Mailfolder mit WordFence Alerts ist immer mit mehreren Hundert Meldungen über gesperrte IPs und schwerwiegende Zugriffsversuche gefüllt… abartig.

Du weißt nie, WER es war. Die Unlust von Hostern und Behörden, solche Hacks zu verhindern, legt allerdings "höhere" Beteiligung nahe..

Du weißt nie, WER es war. Die Unlust von Hostern und Behörden, solche Hacks zu verhindern, legt allerdings „höhere“ Beteiligung nahe..

Übrigens auch abartig, wie die meisten Hoster (und die Behörden, die lieber kleine Filesharer jagen…) mit dem Problem (nicht) umgehen: selbst wenn man dem eigenen Hoster (Hosteurope in meinem Fall) und dem Hoster des Angreifers (in einem Fall konnte ich präzise nachvollziehen, von wo der Angriff kam und von welcher Webseite – die heute immer noch online ist – die Schadsoftware nachgeladen wurde) exakte Logdaten etc. zur Verfügung stellt, wird meist GAR nichts unternommen.

Faulheit, Dummheit? – oder müssen wir davon ausgehen, daß genau wie bei „Computerviren“ oder im Drogenhandel auch die großen Botnetze nicht wirklich von „Hackergruppen“ betrieben werden, sondern (auch) von Gruppierungen/“Diensten“, denen man als Provider (oder als Strafverfolgungsbehörde) llllieber nicht ans Bein pinkeln sollte…?

Wie dem auch sei – auf meinem Server ist es seither bedeutend ruhiger geworden.

Natürlich bietet kein Tool „absolute Sicherheit“ – und wenn man, wie ich, vergißt, WordFence auf einer kaum genutzten Domain zu installieren, deren WordPress Installation man obendrein lange nicht aktualisiert hat, hat man schwuppdiwupp den neuesten PHPCrypt Hack an der Backe… Es bleibt spannend.

Namecheap.com

(((ich allerdings ziehe gerade meine Seiten Stück für Stück um – zum einen, weil ich künftig eher den nordamerikanischen Markt anpeile und daher besser Hosting dort verwende, zum anderen, weil ich keine Lust mehr auf VPS-Management habe und lieber shared/managed hosting verwende, und zwar bei Hostern, die proaktiv sich um Security-Belange kümmern)))

Share →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Fündig geworden?

Haben unsere Texte, Infos und Tips Dir gefallen? Hast Du gute Anregungen bekommen? Dann revanchiere Dich mit einem kleinen oder größeren Betrag - hilft uns bei der Umsetzung unserer "anderen" Lebensvisionen und dabei, Dich daran über diese Webseiten teilhaben zu lassen!
Iframe