Damit ihre Webseite morgen keine Viren-Schleuder ist.

Damit ihre Webseite morgen keine Viren-Schleuder ist.

Über die Hälfte aller mit einem CMS erstellten Webseiten sind mit WordPress erstellt. Denn die Software ist einfach zu bedienen und bietet unendliche Möglichkeiten. (WordPress Pro Kontra [1])

70% aller WP Seiten angreifbar

Durch die weite Verbreitung von WordPress ist dieses aber auch ein beliebtes Ziel für Hacker. Eine Statistik von WP White Security [2] zeigte erschreckende Ergebnisse.
1 Tag nach einem veröffentlichten Sicherheitsupdate waren 70% aller WP Webseiten angreifbar. Auch die Statistiken von w3techs legen nahe, dass nur etwa 70% aller WordPress Webseiten die aktuellste Version nutzen.

Interessante Zahlen analysierter Seiten aus diversen Studien:

  • 8% der Worpress Seiten werden wegen einem schwachen Passwort gehackt [3]
  • 52% gemeldeter Infektionen wurden durch Plugins verursacht [5]
  • 61% der infizierten Webseiten sind nicht aktualisiert worden [4]
  • 37% der Schwachstellen stammten aus WordPress Core Dateien [7]
  • 11% der Einfallstore wurde durch Templates Verursacht [7]
  • Im Jahr 2017 wurden 4000 WordPress Seiten durch Fake Seo Plugins infiziert! [5]
  • Wordfence (Sicherheitsplugin) meldet 90.000 Angriffe auf WordPress Webseiten PRO MINUTE! [8]

WordPress Sicherheits Updates

Sobald ein Sicherheitsupdate bereit steht, weiß auch der letzte Hacker wo er angreifen muss.
Wordpress Sicherheitsupdates müssen IMMER schnell erledigt werden. Mit jeder Stunde, jedem Tag, steigt das Risiko, dass Ihre Webseite gehackt wird!

WordPress Autoupdates als Lösung?

Das beliebte „WordPress auto update“. Für private Webseiten sicher eine Lösung. WordPress macht dann die meisten Updates des CMS sowie der Plugins selbstständig.
Bei Webseiten die wichtig sind und nicht unbemerkt ausfallen dürfen gilt: Auto Update aus! Warum? Einfach: Wenn bei einem Auto Update ein Fehler auftaucht, bekommt niemand die Fehlermeldung zu sehen. Niemand weiß, welches Update von welchem Plugin, Template oder Code den Fehler verursacht.

WordPress Wartung Services

Und vor allem bekommt niemand den Fehler mit. Eventuell ist die komplette Webseite nicht mehr aufrufbar, fehlerhaft oder zerstört.
Je länger dieser Zustand unbemerkt und unbehandelt bleibt, um so mehr schadet dies auch dem Google Ranking. Auto Updates sind nur etwas für private und weniger wichtige Projekte.

WordPress Updates machen oder machen lassen.

„WordPress Update Service“ hat nichts mit Faulheit zu tun, sondern kann ihre Webseite langfristig retten. Wie oft sind sie im Backend Ihrer Webseite und bekommen mit ob es ein neues Update gibt?
Was aber, wenn es ein Update gibt und Sie alles nach bestem Wissen durchführen und dann kommt es zu einer PHP oder MySQL Fehlermeldung. Können Sie diese sofort beheben oder ist Ihre Webseite dann Tage lang zerstört? Machen Sie wirklich vorher ein Backup oder klicken Sie nur schnell aufs Update-Knöpfchen?

WordPress Wartung Services sparen Zeit und Geld.

Wird die Webseite infiziert, wissen Sie oft nicht, wie lange dies unbemerkt schon der Fall ist. Sind die letzten Backups schon infiziert? Die Sicherheitsupdates müssen immer zeitnah erledigt werden.
Wartungsverträge sollten so gestaltet sein, dass diese Ihnen die Sorgen nehmen. Updates der Software und Plugins sollten ohne Ihre Aufforderung erledigt werden. Backups für den Notfall sollten angefertigt oder vorhanden sein. Und natürlich sollte die Agentur auch gleich Ansprechpartner sein, wenn Sie Fragen oder Änderungswünsche haben. Sprechen Sie mit Ihrer Agentur, fragen Sie nach Angebot, Leistung und Kosten.
Ihre Webseite wurde gehackt

Ihre Webseite wurde gehackt

Ist das Kind in den Brunnen gefallen, können Sie die Webseite meist in den Mülleimer entsorgen. Niemand kann Schadcode Zeilen in tausenden Dateien suchen und finden. Das ist auch nicht einfach mit einem Virenscanner zu erledigen. z.B. im Quellcode steht: Schreibe eine Mail. Der Virenscanner kann nicht unterscheiden ob es eine gewünschte Mail (z.b. Formular oder Bestellbestätigung) ist, oder eine E-Mail mit geklauten Daten oder Spam.
Auch beim Prüfen der Dateien weiß niemand, ob auch Schadcode in der Datenbank versteckt wurde. Wenn nicht heraus gefunden wird, wann und wie die Seite gehackt wurde, ist ein Backup fast sinnlos. Die sicherste Reaktion ist ein Löschen und neu erstellen der Webseite.

WordPress – Backup

Normalerweise sollte ich Ihnen an dieser Stelle erklären, wie genau man nun ein Backup erstellt. Aber diese ausführlichen Anleitungen gibt es genug und ich finde im Jahre 2018 ist es der falsche Ansatz.

Vorsichtig sollten sie auch mit Backup-Plugins sein. Diese können eine schwere Sicherheitslücken darstellen. Außerdem ihren Server stark belasten und Ihren Speicherplatz auffressen. Sie sollten aber auch keine manuellen Backups machen müssen, denn jeder anständige Provider sollte Backups haben.

Wir machen regelmäßig Updates von ca. 90 WordPress Installationen mit Template und je 5 – 20 Plugins. Wie viele Tage sollen wir brauchen, wenn wir für alles vorher ein Backup anfertigen müssen?

Fragen Sie Ihren Provider nach Updates

Sie müssen also klären, welche Backups ihr Provider anbietet und ob dies Geld kostet. Und fragen Sie, wie kompliziert ein Backup einzuspielen ist und ob man Ihnen dabei hilft. Bei einem bestimmten Provider in Deutschland (Name möchten wir nicht nennen) können Sie manuell auf einen Knopf drücken um ein Backup zu erstellen. Blöd natürlich wenn Sie unerwartet ein Backup brauchen. In diesem Fall berechnet dieser Provider 50€ für das Einspielen eines einzigen Backups. (Stand September 2018).

Selbst bei Strato haben Sie kostenfreie Backups und das soll schon etwas heißen. Allerdings müssen sie dort für ein Datenbank Backup per SSH zugreifen, das ist nicht jedermanns Sache.

Viele Provider spielen Backups auf Anfrage für den Kunden ein, kostenlos. Dazu bieten auch viele Webhoster im Kundenlogin ein Backup Tool an, wo Backups per Mausklick eingespielt werden können. Klären sie die Backup Situation!

WordPress Update

Im Backend von WordPress können Sie kaum übersehen wenn Updates zur Verfügung stehen. Alles leuchtet orange. Kleine orange Kreise mit einer Zahl, die angiebt wieviel Updates dort angeboten werden. Nutzen Sie NICHT die Möglichkeit, alle Updates auf einmal zu machen. Klicken sie jedes Update einzeln durch. Nur so wissen Sie bei Problemen, welches Update Mist gebaut hat.

Je nach verwendeter PHP Version und Einstellungen in der wp-config, brauchen Sie folgende Daten:
– FTP Login (Benutzername)
– FTP Passwort
– Hostname (in der Regel „localhost“ oder Ihr Domainname)

Also die gleichen Daten, die Sie auch beim Zugriff per FTP Software benötigen.

Häufigste Fehlermeldung „Out of memory „

Fatal error: Out of memory (allocated 67561436) (tried to allocate 7464520 bytes) in [path]/wp-content/plugins/pluginname/lib/script.php.php on line 4388

Ihr Provider versucht sie und andere Kunden vor schlechten Scripten zu schützen. Jeder Aufruf Ihrer Webseite und deren Scripte und Plugins verbraucht Arbeitsspeicher des Servers. Je aufwendiger oder schlechter Ihre Software – um so mehr Speicher pro Seitenaufruf benötigt Ihre Webseite.
Das Beispiel oben zeigt, Ihre Webseite bekam für den einen Klick 67 MB Ram (Arbeitsspeicher). Doch ihre Webseite versuchte weitere 7 MB zu fordern und kam damit über das erlaubte Limit.

Nehmen wir an das eine Seite pro Aufruf/Klick 67 MB RAM bekommt. Dank guter Besucherzahl kommen 50 Besucher gleichzeitig auf die Seite oder klicken etwas an. Dann verbraucht nur diese eine Webseite schon 3,3 GB RAM. Wenn ein schlecht gemachtes Script zu viel Speicher „frisst“ können schon 1-2-3 Besucher einen Server in die Knie zwingen. 74 MB wie im oberen Bispiel, ist aber heite nichts ungewöhnliches. Versuchen Sie Folgendes:

Öffnen Sie im FTP die wp-config.php mit einem einfachen Text Editor / Notepad (nicht mit Word!).

Dort können Sie folgenden Eintrag einfügen oder ändern:

define('WP_MEMORY_LIMIT', '128M');

Falls dies alleine nicht hilft:

In der .htaccess Date können Sie folgenden Eintrag machen:

php_value memory_limit 128M

Wenn Ihr Provider das Erhöhen des Limits über die .htaccess erlaubt, sollten nun jedem Aufruf 128MB Speicher zur Verfügung stehen.
Starten sie nun das Update erneut. Wenn 256MB RAM nicht ausreichen… trennen sie sich von dem Plugin welches derartig viel Speicher verbrennt.

Fehlermeldung: Die Installation ging schief

Wenn hiernach die Webseite nicht mehr funktioniert – Update einspielen. Ich selbst führe das Update dann einfach nocheinmal durch und in 80% der Fälle, geht es danach durch. Oft war es dann nur ein Verbindungsproblem zwischen dem Update Server und dem Webserver.

Bei einem Update werden als erstes die neuen Dateien herunter geladen und zwischengespeichert. Auf dem Server steht hierfür ein temporäres Verzeichnis zur Verfügung. Wo genau das temporäre Verzeichnis auf dem Webserver liegt, hat der Provider in der PHP-Konfiguration (php.ini) festgelegt.
Leider kommt es vor, dass Entwickler von Plugins oder Templates eigene Wege gehen. Sie definieren ein eigenes temporäres Verzeichnis – was leider Probleme bereiten kann.

Öffnet die wp-config.php mit einem einfachen Text Editor / Notepad (nicht mit Word!!).
Unterhalb von:

$table_prefix = 'wp_';

Fügt folgende Zeile hinzu:

define('WP_TEMP_DIR', sys_get_temp_dir());

Das ganze speichern und danach das Update erneu starten.

Passwort Sicherheit

Sicherheit.

Wordfence (Sicherheitsplugin) meldet 90.000 Angriffe auf WordPress Webseiten PRO MINUTE! [8] Und wie schützen Sie Ihre Webseite davor?

Die Passwörter
Das erste was Sie tun sollten, ist gescheite Passwörter verwenden. Hacker haben Millionen gestohlene Identitätsdaten frei ins Internet gestellt. Das „Hasso-Plattner-Institut“ hat 12,9 Millionen dieser Daten ausgewertet. Es wurde eine Liste der in Deutschlan am häufigsten genutzten Passwörter erstellt.
Hier die Top 10:

  1. 123456
  2. 123456789
  3. 1234
  4. 12345
  5. 12345678
  6. hallo
  7. passwort
  8. 1234567
  9. 111111
  10. hallo123

Erschreckend einfach oder? Fühlen sie sich ertappt?
Ein Passwort sollte zumindest aus einer Kombination von Zahlen und Buchstaben bestehen. Damit ist aber ganz sicher nicht 12345absde oder passwort12345 gemeint!

Können Sie sich komplexe Passwörter nicht merken? Dann benutzen Sie ein Passwort Save Tool. Darin können Sie Ihre Passwörter speichern, diese werden in bestem Fall auf Militär-Niveau verschlüsselt und extern gespeichert. (Damit sie nach einem PC Crash nicht weg sind). Speichern Sie die Passwörter NICHT in Ihrem Browser, dann können Sie diese gleich veröffendlichen!

Oder nutzen Sie eine Eselsbrücke um sich ein Passwort zu merken.

z.B. sie denken sich einen Satz aus: „Wir essen Freitags immer Fisch“

Nun brauchen Sie ein Passwort für Ihr Postfach: sabine.mustermann@gmx.de

Sie nehmen s von sabine, m von mustermann, g von gmx. Das sind 3 Buchstaben, also dazu noch die Zahl 3. Da man auch ein Sonderzeichen verwenden sollte, dahinter z.B. immer eine Route: #.
Dann die Anfangsbuchstaben Ihres Satzes WeFiF. Passwort: smg3#WeFiF

Statt einem Satz können Sie auch ein Sprichwort nehmen, oder die Anfangsbuchstaben mehrere Familienmitglieder – aber Bitte nicht den Ganzen Namen. Passwörter wie Martin6gmx sind nicht sicher.

Es gibt viele Eselsbrücken, finden Sie ihre eigene!

Bruteforce, Angriff auf Ihre Login Seiten.

Ein Bruteforce Angriff auf Ihre Login Seite. Der Angreifer versucht einfach unendlich viele Login / Passwort Kombinationen aus, bis eine passt. Natürlich nicht per Hand, sondern automatisiert. Hunderte Versuche pro Minute. Dafür werden auch gerne die Listen der häufigst genutzten Passwörter oder auch Lexika und Duden als Wort-Quelle genutzt.
Es gibt viele Plugins die vor diesen Angriffen schützen sollten. Doch im besten Fall schützt Sie Ihr Provider davor! Bei Suleitec z.B. wird bei mehrfachen falschen Login versuchen, sofort die IP des Angreifers gesperrt.

Sicherheitsplugins

Ein gutes Plugin welches wir empfehlen können, ist Wordfence. Es ist sicherlich recht umfangreich in der Konfiguration. Man sollte auch einige Benachrichtigungen abschalten, wenn man keine Spam Lawine wünscht. Aber es macht einen guten Job. Es informiert sogar per E-Mail über notwendige WordPress Updates und Plugin Meldungen.

Wenn dies zu viel Aufwand ist, empfehle ich mindestens WP Anti Virus zu installieren. damit einmal das Template bestätigen. Danach informiert das Plugin sobald Template Dateien verändert wurden. 11 % der Sicherheitsprobleme kommen von Templates – somit deckt das Tool schon mal ein großes Tor ab.

Ich hoffe der Artikel konnte Ihr Verständnis dafür verbessern, wie wichtig die Updates der WordPress Software sind. WordPress ist das beste CMS der Welt, aber wie jede Software müssen die Updates gemacht werden.

Quellangaben:

  1. https://www.gsl-webservice.de/2018/09/28/webseite-mit-wordpress-erstellen-pro-kontra/
  2. https://www.wpwhitesecurity.com/statistics-70-percent-wordpress-installations-vulneraichble/
  3. https://wpsmackdown.com/wordpress-hack-statistics-2013/
  4. https://blog.sucuri.net/2017/01/hacked-website-report-2016q3.html
  5. https://www.scmagazine.com/4000-wordpress-sites-infected-through-fake-plugin/article/648431/
  6. https://wpscan.org/
  7. https://ithemes.com/2016/01/14/understanding-wordpress-security-vulnerabilities/
  8. https://www.wordfence.com/
  9. https://de.wikipedia.org/wiki/Brute-Force-Methode

Also für alle WordPress Seiten : WordPress Updates (Vor allem die Sicherheits Updates) sind wichtig! Amen.