David Seffer

Mein Tipp: Bitten Sie auch Ihren Hosting-Anbieter, Ihre Website nach infi- zierten Dateien zu durchsuchen. Das hilft Ihnen zusätzlich, Probleme früh- zeitig ...
PDF Herunterladen
PNG-Bilder
290KB Größe 11 Downloads 566 Ansichten
Kommentar
David Seffer

HAFTUNGSAUSSCHLUSS DER INHALT DIESES E-BOOKS IST BESTMÖGLICH GESCHRIEBEN UND RECHERCHIERT. DENNOCH ÜBERNIMMT DER AUTOR KEINE GEWÄHR FÜR DIE VOLLSTÄNDIGKEIT DIESER TEXTE. WEITERHIN ÜBERNIMMT DER AUTOR KEINE VERANTWORTUNG FÜR DARAUS RESULTIERENDE HANDLUNGEN. DIE HIER ZITIERTE RESULTATE SIND KEINE GARANTIE FÜR EIN ZU ERREICHENDES ERGEBNIS. SIE SPIEGELN DAS ERGEBNIS VON PERSÖNLICHEM, KONSEQUENTEM EINSATZ WIEDER. IHR ERFOLG WIRD VON IHREN ENTSCHEIDUNGEN, ENGAGEMENT, ZEITEINSATZ, DISZIPLIN UND KONSEQUENZ ABHÄNGEN. WEITERHIN ÜBERNIMMT DER AUTOR KEINE VERANTWORTUNG FÜR DIE AK­ TUALITÄT DER GENANNTEN QUELLEN. ES KANN VORKOMMEN, DASS SICH DIENSTLEISTUNGEN ODER WEBSEITEN ÄNDERN. HIERMIT DISTANZIERT SICH DER AUTOR AUSDRÜCKLICH VON INHALTEN JEGLICHER ART AUF DEN IHM VERLINKTEN SEITEN. DIE IM E-BOOK GENANNTEN NAMEN UND PRODUKTE UNTERLIEGEN DEN MARKENRECHTEN DER JEWEILIGEN FIRMEN.

URHEBERRECHT DIE DURCH DEN AUTOR ERSTELLTEN INHALTE UNTERLIEGEN DEM DEUTSCHEN URHEBERRECHT. DIE VERVIELFÄLTIGUNG, BEARBEITUNG, VERBREITUNG UND JEDE ART DER VERWERTUNG AUSSERHALB DER GRENZEN DES URHEBERRECHTES BEDÜRFEN DER SCHRIFTLICHEN ZUSTIMMUNG DES JEWEILIGEN AUTORS BZW. ERSTELLERS. DOWNLOADS UND KOPIEN DIESER SEITE SIND NUR FÜR DEN PRIVATEN, NICHT KOMMERZIELLEN GEBRAUCH GESTATTET.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Vorwort Hi ich bin David Seffer. Seit 2003 betreibe ich Online Marketing und 2006 meinen ersten Blog mit WordPress. Seit dem nutze ich die Software für viele Websites. Ein großer Teil dieser Seiten ist dafür verant­ wortlich, dass ich seit 2009, hauptberuflich Online Marketing mache und meinen damaligen, gut bezahlten Job, als Grafiker, kündigen konnte. Ich lebe die meiste Zeit in Südostasien, bin finaziell frei und unabhängig, verdiene monatlich 3-4 mal so viel, wie in meinem damligen Job in der Werbeagentur, wo ich mein Leben nur aus dem Bürofenster sah und mache das, was mir Spaß macht. Ich kann für mich sagen, dass ich heute meinen Traum lebe und das dank Online Marketing. Die Idee mit diesem Report, kam sehr spontan. Besser gesagt, wäre ich nicht Ziel, einer großen Angriffswelle auf meine Seiten geworden, wäre es zu diesem Report nicht gekommen. Doch aufgrund der Tatsache, dass ich mich zwangsläufig, damit beschäftigen musste, dokumentierte ich all meine Recherchen und habe sie in einem Word-Dokument gespeichert. Diesen Inhalt haben Sie jetzt vor der Nase und ich hoffe, von ganzem Herzen, Sie machen nicht die gleichen Fehler, wie ich, denn das könnte Ihren WordPress Blog zerstören. Alles Gute und viel Erfolg! David Seffer

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Was ist passiert? Wordpress ist ein eine fantastische Software, mit der wir Websites einfach, schnell und professionell erstellen können. Dazu gibt es viele Zusatzfunktionen, wie Plugins und Themes, welche unseren Blog weiter optimieren und verschönern. Ich liebe WordPress! Doch genauso einfach, wie alles mit Wordpress ist, ist es auch einfach, Wordpress zu „hacken“. Auch wenn Sie es nicht wahrhaben wollen, auch Sie, können eines Tages davon betroffen sein. So wie ich. Anfang 2014 musste ich mit erschrecken feststellen, dass etliche Blogs, auch Kundenprojekte, „gehackt“ wurden und sich darauf unschöner Spam, in Form von Links und Werbebanner befand. Das absolute Horrorszenario. Das ist der Punkt, wo es schon, zu spät ist. Natürlich habe ich versucht meine Seiten zu säubern. Ich habe ein Wordpress Update gemacht und alle Plugins und Themes mit neuen Daten ersetzt. Doch all dies half nur wenige Tage, bis der Spam wieder auf allen Seiten war. Der Grund: Hacker lassen sich immer eine Tür offen, damit es ihnen wieder gelingt, in das System einzubrechen. Und was nun?

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Wie erkennen Sie überhaupt, ob Ihr Blog „gehackt“ wurde? Oft ist es so, dass der Angriff auf Ihr Wordpress System, schon viele Monate vorher passiert und Sie es nicht mitbekommen. Bis zum Tag, wo dann der Spam sichtbar wird. So machen Sie fröhlich weiter, schreiben Artikel, erstellen Inhalte und zack auf einen Mal, ist alles futsch. Nicht schön. Aber harte Realität. Doch es gibt zum Glück, Webseiten und Plugins, welche Ihren Blog nach Problemen durchsuchen. Nicht alle liefern die gleichen Ergebnisse, aber dennoch erkennen Sie frühzeitig, ob Sie betroffen sind. Daher empfehle ich Ihnen, nutzen Sie alle diese Tools oder zumindest viele davon. Hier ist eine Liste von Websites und Plugins: http://www.isithacked.com/ http://sucuri.net/ http://wordpress.org/plugins/wordfence/ http://wordpress.org/plugins/gotmls/ Mein Tipp: Bitten Sie auch Ihren Hosting-Anbieter, Ihre Website nach infizierten Dateien zu durchsuchen. Das hilft Ihnen zusätzlich, Probleme frühzeitig, ausfindig zu machen.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Wie können Sie sich im Vorfeld schützen? Nun es gibt eine Reihe guter Vorkehrungen, die es „Hackern“ erschweren, Ihre Arbeit zu vollenden. Aber eine 100%-ige Sicherheit gibt es nicht. Denn wenn Sie auf Ihrem Computer einen Trojaner haben, reicht es nicht aus, nur Ihren Blog, sicher zu machen. Hier brauchen Sie einen wirklich guten Antiviren- und Anti-Spyware-Schutz. Die folgende Liste soll Ihnen jedenfalls helfen, sich schon im Vorfeld richtig abzusichern. Hier sind, aus meiner Sicht, die wichtigsten Punkte: 1. Verwenden Sie immer die neueste Wordpress Version, d. h. machen Sie reglmäßig Updates 2. Vermeiden Sie den Benutzernamen „admin“ und den eigenen Namen 3. Das Passwort muss schwer zu knacken sein, d. h. es sollte lang sein, zufällig und Zahlen, Großbuchstaben und Sonderzeichen enthalten 4. Verwenden Sie für jeden Blog ein anderes Passwort (sehr wichtig) 5. Legen Sie eine index.php-Datei in die Upload-Ordner 6. Erstellen Sie eine .htaccess-Datei für den Admin-Ordner 7. Beschränken Sie die Datenbank-Rechte für den Datenbank-Benutzer 8. Verwenden Sie keine wp_ Datenbank-Tabellen-Prefixe Es gibt darüber hinaus, gute Plugins, die Ihnen helfen, Ihren Blog zu schützen, z. B. vor Login-Attacken. Das sind Massenangriffe auf das Login-Formular, wo versucht wird Ihr Passwort und Benutzernamen „zu knacken“. Hier wird vom Plugin, beim mehrmaligen Versuch, die IP-Adresse protokoliert und lässt sich somit einfach sperren. Danach ist es für den Angreifer, nicht mehr möglich, mit dieser IP-Adresse, Ihre Website aufzurufen. Sehr praktisch.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Weiterhin können Sie mit Plugins, die Versions-Nummer Ihres Blogs verstecken. Sehr schön, allerdings sollten Sie auch immer daran denken, die Liesmich- oder Readme-HTML-Datei vom Server zu löschen. Die liegt im Wurzelverzeichnis. Dort ist ebenfalls die Versions-Nummer sichtbar. Hier ist eine Liste von Plugins, die Ihren Blog schützen und auf Sicherheitslücken hinweisen: http://wordpress.org/plugins/wordfence/ http://wordpress.org/plugins/better-wp-security/ http://wordpress.org/plugins/wp-security-scan/ http://wordpress.org/plugins/gotmls/ Achtung: Denken Sie bitte daran, alle Ihre Plugins, auf dem neuesten Stand zu halten. Machen Sie immer Updates. Das betrifft auch Ihr Wordpress Theme. Alle Plugins und Themes, die Sie nicht nutzen, löschen Sie im besten Fall. Darüber hinaus, nutzen Sie bitte nur Themes und Plugins, von vertrauenswürdigen Quellen. Schauen Sie sich bitte immer die Downloadzahlen und Bewertungen an.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Wie schützen Sie die Inhalte auf Ihrem Blog? Was ist mit all den vielen Stunden, die Sie damit verbracht haben, Inhalte für Ihre Besucher zu erstellen? Das Beste ist, Sie machen frühzeitig Backups von allen Dateien und der Datenbank. Damit Sie im schlimmsten Fall, schnell auf eine saubere Instal­ lation zurückkehren können, falls es Ihren Blog, trotz der vielen Vorkehrungen, kalt erwischt. Auch hierfür gibt es Plugins, die Ihnen das Leben erleichtern. Hier ist eine Liste von Plugins, mit denen Sie regelmäßig Backups machen können: http://wordpress.org/plugins/updraftplus/ http://wordpress.org/plugins/backupwordpress/ http://wordpress.org/plugins/wordpress-backup-to-dropbox/ Ganz praktisch: Sie können Backups planen und direkt auf dem Server speichern oder bei Filehosting-Diensten, wie Dropbox ablegen. Somit sparen Sie Zeit und Platz auf Ihrem Computer. Das Zurückspielen der Dateien, im Notfall, ist dann sehr einfach, zu bewerkstelligen. Achtung: Eine Datensicherung ist Ihre Existenzsicherung und besonders für WordPress ein absolutes Muss. Denken Sie bitte immer daran!

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Was ist aber, wenn Sie es nicht schaffen, den Spam loszuwerden, wie in meinem Fall? Nun, dann gibt es keinen Weg daran vorbei, Ihren Blog neu zu erstellen. Sie müssen alle Dateien löschen und den Blog mit einer frischen Instal­ lation aufsetzen. Beginnen Sie mit einem neuen Verzeichnis auf Ihrem Server. Den „alten“ Blog lassen Sie solange laufen, bis Sie ihn exakt dupliziert haben, also eine Kopie gemacht haben. Hier sind die wichtigsten Schritte: 1. Bevor Sie beginnen, erneuern Sie das Passwort bei Ihrem HostingAnbieter. 2. Sie sollten die bestehenden FTP-Accounts entfernen bzw. alle Passwörter ändern. 3. Überprüfen Sie, dass keine Zugangsdaten auf Ihrem Computer und in FTP-Programmen gespeichert sind. Denn falls jemand auf Ihren Computer zugreifen kann, kann er auch auf Ihr FTP-Programm zugreifen. 4. Scannen Sie Ihren lokalen Computer nach Viren und Spyware mit einer Antiviren und Spyware-Software, wie z. B. McAfee So, wenn das gemacht ist, sollten Sie damit beginnen, alle Bilder und Dateien im Upload-Ordner Ihrer Wordpress-Installation zu sichern. Diese brauchen Sie, für den neuen „Klon-Blog“. Bitte nicht vergessen! Eine Datenbank-Sicherung, nach einem Angriff, ist keine gute Idee. Es kann durchaus sein, dass sich schädlicher Code, bereits in der Datenbank befindet. Nehmen Sie besser eine ältere Datenbanksicherung.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Wenn Sie keine vollständige Datenbanksicherung haben, sollten Sie, bevor Sie die bestehenden Datenbank-Inhalte für die neue Installation nutzen, diese vorerst nach schädlichen Code durchsuchen. So funktioniert es: 1. Am Besten alle Datenbank-Inhalte exportieren. Danach mit einem Textprogramm öffnen und über die Suchfunktion, nach Code und Links durchsuchen. Das Exportieren Ihrer Datenbank machen Sie mit phpMyAdmin. Die Zugangsdaten bekommen Sie von Ihrem Hosting-Anbieter. 2. Suchen Sie nun nach auffälligen Inhalten. Sollten Sie nichts finden, überprüfen Sie bitte nochmal, gesondert, alle Inhalte in den Tabellen, wie z. B. wp_options, wp_post und wp_postmeta, denn hier verstecken Hacker gern Ihren schädlichen Code. Nutzen Sie dafür wieder phpMyAdmin. 3. Importieren Sie die sauberen Datenbankinhalte in die Datenbank Ihrer neuen WordPress-Installation. Beachten Sie, dass die TabellenPrefixe, bei beiden Datenbanken, identisch sind, ansonsten erhalten Sie eine Fehlermeldung. Nachdem Sie dann alle Ihre Inhalte auf den neuen Blog übertragen haben, beobachten Sie diesen Blog einige Zeit und machen währenddessen, erneute Scans nach Maleware. Sollte der Spam nicht zurückkehren, ist das ein gutes Zeichen. Im letztes Schritt: Teilen Sie der Domain mit, dass sich die Inhalte in einem neuen Verzeichnis mit der neuen Blog-Installation befinden, so dass die Blog-Besucher, in Zukunft, auf diese weitergeleitet werden. Das können Sie im Kontrollbereich Ihres Hosting-Anbieters einstellen.

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Wenn alles gut gelaufen ist und die Weiterleitung aller Seiten tadellos funktioniert, löschen Sie die alten Dateien von Ihrem Server. Doch machen Sie bitte zuerst eine Datensicherung des Ordners wp_content/uploads. Oder alternativ, können Sie auch diesen Ordner auf Ihrem Server lassen. Doch versichern Sie sich, dass sich dort, kein bösartiger Code befinden. Und das Allerwichtigste: Machen Sie gleich nach dem erfolgreichen Umzug auf das neue Blog-Verzeichnis eine Datensicherung aller Dateien und der kompletten Datenbank.

Wollen Sie mehr Informationen zu WordPress in Zukunft erhalten? Besuchen Sie unsere Fanpage und klicken Sie auf Gefällt mir. Ich halte Sie dann auf dem Laufenden. Hier klicken

COPYRIGHT © 2014 . ALLE RECHTE VORBEHALTEN DAVID SEFFER . WP-REPORTER.COM

Kontakt zum Autor David Seffer Zürcherstr. 161 8010 Zürich Schweiz Website: www.wp-reporter.com Facebook: www.facebook.com/ichliebewordpress