In letzter Zeit liest man es überall und auch einige unserer Kunden waren betroffen: WordPress Blog wurde gehackt!
Wie ist das möglich? Warum ich? Ist mein Hoster unsicher?
Viele Fragen und große Panik ist angesagt. Dabei ist es zu 99,9% (leider) die eigene Schuld des Kunden. Es werden Blog Versionen von annodazumal verwendet. Es werden uralte oder permanent unsichere Plugins verwendet. Es wird einmal ein Blog eingerichtet und sich anschließend nie wieder darum gekümmert. Es werden Passwörter mit „123456“ oder „Passwort“ genutzt.
Und der böse Hoster ist natürlich alles Schuld 🙂
Wenn man heutzutage einen Blog betreibt, sollte man tunlichst darauf achten auch die aktuellste Version einzusetzen. WordPress gibt sich wirklich alle Mühe, die Blogsoftware immer wieder upzudaten und den Sicherheitsstandard hoch zu halten.
Nun zu den Einzelheiten der in jüngster Zeit vorgenommenen Mißbrauchsversuchen:
- Login: Bitte sichere Passwörter verwenden. Mann kann es nicht oft genug sagen. Ein Passwort sollte aus Ziffern, Sonderzeichen, Groß-UND Kleinschrift bestehen und mindestens 8 Zeichen lang sein.
- Login2: Bitte nicht „Admin“, „Administrator“ oder den eigenen, sowie den Seitennamen als Benutzername angeben.
- Plugins: auch Plugins müssen aktuell gehalten werden. Keine Plugins aus dubiosen Quellen, bzw. aus Quellen, die nicht von WordPress verifiziert sind.
- Dateirechte: Die config Dateien dürfen nicht beschreibbar sein. Dateirechte ändern!
- Dateirechte2: den Upload Ordner gegen ausführbares PHP schützen. Plugins, die auf dieses Recht bestehen sind zumeist nicht von WordPress empfohlen und sollten daher nicht eingesetzt werden.
- Der gefährlichste Mißbrauchsversuch wurde bisher über die WordPress hauseigene Datei „xmlrpc.php“ ausgeführt. Das ist die Datei, die u.a für das Pingback zuständig ist. Sollte die Funktion des Pingbacks nicht dringend erforderlich sein, so sollte diese Funktion komplett deaktiviert werden und der Zugriff auch via .htaccess Datei untersagt werden.
Die vorgenannten Punkte sind nur einige der bisher vorgefallenen Mißbrauchs-, bzw. Einbruchsversuche.
Wollen Sie mit Ihrem Blog auf der sicheren Seite sein und größtmöglich geschützt sein, so empfehlen wir unseres WP-Hosting.