Webseite wird geladen!

Category: Wordpress

Aktualisierungsvorschläge nicht missachten!

Nicht nur die PHP-Programmiersprache entwickelt sich weiter, sondern auch WordPress und die dazugehörigen Plugins and Themes. 50% der Aktualisierungen sind für die Beseitigung von Sicherheitslücken oder funktionale Verbesserungen oder Beseitigung von Problemen (Fixes) des Plugins oder Themes notwendig. Nun kommt auch noch die AI oder KI dazu, die dazu führt, dass auch noch Plugins mit dieser gefüttert werden können.

Die Webseite ist also voll dynamisch und hat viele Schnittpunkte mit den Plugin-Hersteller oder anderen Anbietern wie z.B. Bezahlsysteme oder Buchungssystemen. Deswegen ist es notwendig in regelmäßigen Abständen die WordPress-Version, Plugins oder Themes auf dem neuesten Stand zu bringen. Denn wer will schon eine unsichere Webseite haben oder einen Schadcode, der bei anderen Nutzern Schaden anrichten kann?

Aus einem Beispiel eines Kunden kann man seine Lehrern ziehen. Die Webseite existiert seit 2013 wurde mit einem Theme installiert. Irgendwann in 2022 gab es Malware auf der Webseite, irgendwelche Links wurden auf Webseiten erzeugt und dienten wahrscheinlich dazu die Klickrate einiger Webseiten zu fördern oder in Suchmaschinen hoch zu katapultieren.

Für das Theme gibt es seit 2020 kein Update mehr! Die Webseite wurde von Schadcode befallen und ein Verzeichnis wurde im Ordner Plugins regelmäßig erzeut und Dateien dort abgelegt. Auch das Löschen dieser Files hat nur dazugeführt, dass diese für ein paar Monate verschwunden waren, diese aber immer järlich wieder kamen. Ein Szenario, dass nach langer Suche wohl auf eine Sicherheitslücke im Theme zurückzuführen ist. Da es kein Update des Themes mehr gibt, wird es wohl schwierig sein, diese Sicherheitslücke zu schließen. Daher auch ein Tipp, die Themes von Hersteller auszusuchen, die schon lange am Markt sind und immer wieder regelmäßige Updates oder Weiterentwicklungen des Themes planen.

Alte Themes können auch dazu führen, dass WordPress und PHP-Versionen nicht mehr auf die neueste Version aktualisiert werden können, da sonst die Webseiten nicht mehr ordnungsgemäß funktionieren. Dann ist natürlich später für Hacker Tür und Tor offen Zugang auf Verzeichnisse oder auch zum Inhalt der Webseite zu bekommen.
Daher regelmäßige sinnvolle Aktualisierungen sollten durchgeführt werden, auch Plugins oder Themes sind obsolet und hier ist es erforderlich abzuwägen, das alte vielleicht unsicher Plugin zu belassen oder durch ein neues zu ersetzen. Alles kostet seinen Preis aber eine gehackte Webseite, um diese wieder in einen sicheren und guten Zustand zu bringen, verursacht sicherlich einmalige Kosten, die nicht im Verhältnis zu einer regelmäßigen Aktualisierung einer Webpräsenz stehen.

WordPress - Creative Publisher

Wartung von WordPress

Fortlaufende Wartung – ein Muss für so ein dynamisches System.
Ohne Wartung läuft man auf folgende Szenarien zu wie z.B. das Entstehen von Sicherheitslücken, PHP-Fehler bei der Funktionalität der Seite, Datensicherungsprobleme und Bedienerfreundlichkeit der Webseite. Deswegen sind folgende Schritte unbedingt notwendig:

    1. Backup-Erstellung.
    2. Firewall-Schutz WordPress
    3. Plugin-Aktualisierung.
    4. Theme-Aktualisierung (bei Bedarf).
    5. Überprüfung Website-Zustand. (Datenbank-Check und Upload-Verzeichnis auf Größe überprüfen)
    6. Cookie-Complianz Check und Rechtliche Gesetzesänderungen regelmäßig überprüfen

WordPress - Creative Publisher

Vulnerability

Warum einen Firewall- und Malwarescanner für WordPress benutzen?

In der Computersicherheit ist eine Vulnerability eine Schwachstelle, die von einem Angreifer, wie z. B. einem Hacker, ausgenutzt werden kann, um Funktionen innerhalb eines Computersystems zu erhalten (d. h. nicht autorisierte Aktionen auszuführen). Um eine Schwachstelle auszunutzen, muss ein Angreifer über mindestens ein anwendbares Tool oder eine Technik verfügen, die eine Verbindung zu einer Systemschwäche herstellen kann. Schwachstellen werden in diesem Rahmen auch als Angriffsstellen bezeichnet.

Unter Schwachstellenmanagement versteht man das Ermitteln aller Assets, Priorisieren von Assets, Bewerten oder Durchführen eines vollständigen Schwachstellenscans, Berichte über Ergebnisse, Beheben von Schwachstellen, Überprüfen der Behebung – Wiederholen. Diese Praxis bezieht sich im Allgemeinen auf Software-Schwachstellen in Computersystemen. Agiles Schwachstellenmanagement bezieht sich auf das Verhindern von Angriffen, indem alle Schwachstellen so schnell wie möglich identifiziert werden.

Ein Sicherheitsrisiko wird oft fälschlicherweise als Schwachstelle eingestuft. Es gibt Schwachstellen ohne Risiko: zum Beispiel, wenn die betroffenen Daten wertlos sind.

Das Schließen einer Sicherheitslücke bedeutet somit etwas mehr als eine Schwachstelle. Hier wurde definitiv erkannt, dass mit gewissen Prozessen eine für den Besitzer der Webseite nicht gewünscht autorisierte Aktion durchgeführt werden kann, z.B. Linkeinbindung von Werbung in die Webseite bis hin zum Datenklau von Benutzerdaten der Anwender.

Beispiel einer XSS Vulnerability

Cross-Site Scripting (XSS)-Angriffe sind eine Art der Injektion, bei der bösartige Skripts in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. XSS-Angriffe treten auf, wenn ein Angreifer eine Webanwendung verwendet, um bösartigen Code, im Allgemeinen in Form eines browserseitigen Skripts, an einen anderen Endbenutzer zu senden. Schwachstellen, die den Erfolg dieser Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben von Benutzern innerhalb der von ihr generierten Ausgabe verwendet, ohne sie zu validieren oder zu codieren.

Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden. Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus. Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.

WordPress - Creative Publisher

WordPress Ordner regelmäßig überprüfen

Leider sind in der letzten Zeit immer mehr Schadcodes oder Schaddateien über einen gezielten Hack zu finden. Deswegen sollte man seine WordPress-Ordner gelegentlich überprüfen. Wenn das schon nicht einzeln geht, sollte man zumindest einmal im Monat einen Malwarescanner über die Seite laufen lassen, der alles durchcheckt.
Finden Sie z.B. eine admin_ips.txt oder cplugin.php Datei in Ihrem wp-conten/plugins Verzeichnis, deutet dass schon auf einen Angriff hin.
Die Dateien sind sofort zu löschen und natürlich auch weiter zu beobachten. Denn Sie können wieder kommen. Deswegen sollte auch die Datenbank, falls sofort bemerkt wiederhergestellt werden.

Es stellt sich immer die Frage, wem nützt einem ein Hack auf einer kleinen Webseite. Für das Weiterleiten auf eine Werbe-Seite werden Klickraten verkauft, also warum sich nicht so etwas Geld dazuverdienen. Wenn dies auf 100.000 Seiten weltweit am Tag passiert, dass Webseiten weitergeleitet werden oder beim Klicken von Elementen – Links verändert werden, ist das ein großes Geschäft.

So sieht dann das Ergebnis des Scanners aus:

Alert: Malware Detected!
Infection Details:
Type: File Infecting Malware.
Level: SEVERE
Initially Discovered On: Aug 14, 2019
Symptoms: Typically affects PHP, JavaScript & Themes.
Brief: Mc sig a file containing a list of ip addresses common in wp vcd infections ioc txt wp vcd ips 6675
Pattern: d 1 3 d 1 3 d 1 3 d 1 3 n 1 300 iS

Impact:
Leaked website / user passwords.
Website redirected.
Unwanted ads related to (including but not limited to) drugs, adult content etc.
Website blocked by Google and other search engines.
Search results hijacked resulting in low traffic.
Suspension of ad campaigns and / or loss of ad spending.
Website lockout by webhost.

Wahrscheinlich muss man noch in die betreffende Datenbank gehen unter wp_options und Tabelle activated_plugins, dort folgenden Eintrag der Fett dargestellt ist löschen:
a:3:{i:0;s:42:”backup-guard-platinum/backup-guard-pro.php”;i:1;s:27:”maintenance/maintenance.php”;i:2;s:11:”cplugin.php”;}

WordPress - Creative Publisher

WordPress Config Dateien definieren

WordPress und seine installierten Plugins speichern die Konfigurationen in seiner MYSQL-Datenbank. Somit kann man beim Abspeichern der Datenbank, diese Einstellungen sichern. Leider werden nicht alle Konfigurationen dort gespeichert, sondern auch außerhalb der Datenbank in diversen Dateien, z.B. die Zugangsdaten für die Datenbank selbst oder Konfigurationen, die vom Webserver verwendet werden sollen.

In einem WordPress Standard Setup verfügst du über die folgenden Konfigurationsdateien:

.htaccess:
Konfigurationsdatei, die in einem Webserver die Permalinks definiert, die unter Einstellungen > Permalinks und Umleitungen (über Plugins) definiert wurden.

wp-config.php:
Definiert alle globalen technischen Einstellungen für WordPress, einschließlich der Verbindungsdaten zur MySQL-Datenbank, die eine WordPress Website verwendet, um alle Inhalte zu speichern. Man sollte für diese Datei immer einen Zugang per FTP-Programm besitzen.

Beispiele und nützliche Funktionen für die Veränderung der wp-config.php Dateien sind:

Debug Modus aktivieren:
define( ‘WP_DEBUG’, true );

Begrenzung der Anzahl von Revisionen:
define( ‘WP_POST_REVISIONS’, 10 );

Core Updates festlegen:
Disables all core updates:
define( ‘WP_AUTO_UPDATE_CORE’, false );

Enables all core updates, including minor and major:
define( ‘WP_AUTO_UPDATE_CORE’, true );

Upload-Limit der Dateien festlegen:
define(‘WP_MEMORY_LIMIT’, ‘8M’); // Upload-Limit auf zum Beispiel 8, 16, 32, 64, 128 MB erhöhen

Upload-Verzeichnis für Medien und Dateien ändern:
define( ‘UPLOADS’, ‘wp-content/medien’ );

Auto Abspeicherung Interval definieren:
define(‘AUTOSAVE_INTERVAL’, 30); //Alle 30 Sekunden wird automatisch gespeichert (Standard 60)

WordPress - Creative Publisher

WP Downgrade

In der Vergangenheit war die neueste WP-Version das einzige Angebot für die automatische Update-Routine von WP. Dies ließ all jene zurück, die mit Core-Updates warten müssen, bis ihre Plugins mit neueren WP-Releases kompatibel werden. Wenn dies endlich geschieht, gab es in den meisten Fällen bereits ein weiteres Core-Update. Am Ende war früher ein gefürchtetes, umständliches, zeitraubendes und fehleranfälliges manuelles Update der einzige Weg.

Mit WP Downgrade | Spezifische Core Version das gehört nun der Vergangenheit an. Jeder, der hinter der neuesten WP-Version zurückbleibt, kann jetzt automatische Updates auch für niedrigere WP-Versionen verwenden. Was WP Downgrade einfach tut, ist, WP glauben zu machen, dass die Version, auf die Sie aktualisieren möchten, tatsächlich die neueste Version ist. Aus diesem Grund gibt es keinen Unterschied zum Aktualisieren auf die neueste Version.

Aus Sicherheitsgründen denke ich, dass dies ein Must-Have-Plugin für jeden ist, der eine “ausgereifte” WP-Installation betreibt, und es sollte eigentlich eine Core-Funktion sein, um nicht ausschließlich auf die neueste WP-Version aktualisieren zu können, sondern stattdessen die Wahl zwischen sicheren Releases zu haben.

WordPress - Creative Publisher

Warum Webseiten Updates?

Diese Frage stellen sich sehr viele Betreiber? Warum ist dies erforderlich?
Anhand eines Beispiels das kürzlich passiert ist, wird es einem eher bewusst, warum man nicht warten kann bis alles zu spät ist und viel Arbeitsaufwand nötig ist.
Ein potentieller Kunde rief mich an, eine Webseite umzuziehen.
Normalerweise kein Problem, wenn da nicht sehr viele Sachen zu berücksichtigen wären. Der neue Anbieter ein großer Provider empfahl ein Plugin Duplicator zu installieren, was auch kein Problem war. Weiter empfahl der Provider bestimmte Plugins zu löschen, die nicht mehr verwendet werden, um nicht unnötigen Ballast mit zu übernehmen. Gesagt getan, Plugin löschen und ….

…. die Seite crashte und konnte nicht mehr aufgerufen werden. Cool wie immer wurde im nachhinein festgestellt, die PHP-Version war absolut veraltet 7.2 und beim Aktualisieren der Plugins oder beim Löschen kam der Crash zustande und ein weiße Bildschirm mit einer kleinen Fehlermeldung war sichtbar. So nun kam die große Frage was tun. Upgrade der PHP-Version vornehmen. Da die Webseite von einer Agentur betreut wurde, gab es keine Möglichkeit selbst die PHP-Version upzudaten. So kurz vor den Feiertagen bekommt man keinen mehr ran und die Domain wird dann umgeschaltet. Nach der Umschaltung bekommt man eine nackte Seite, kann zwar eine WordPress Installation durchführen, aber wo ist die Sicherungskopie der Webseite. Diese ist ja nicht mehr gelungen, da die Seite gecrasht war.

So sollte man vor dem Umzug einer WordPress-Seite folgendes beachten:

  1. Sicherungskopie erstellen
  2. PHP-Version überprüfen und ggf. updaten (der neue Provider muss die angegebene PHP-Version auch unterstützen!)
  3. Plugins aktualisieren oder nicht benötigte Plugins löschen
  4. Malware Scanner oder Firewall Plugins deaktivieren
  5. Theme (Vorlagendatei) auf den neuesten Stand bringen
  6. WordPress Version auf den neuesten Stand updaten
  7. Danach mit einem Migrations-Tool die Webseite sichern und zum neuen Provider übertragen. (Am besten nutzt man hier sogar eine Demoinstallation um zu sehen, ob tatsächlich alles übertragen ist.
  8. Sofort Sicherungskopie erstellen
  9. Erst danach Domain umziehen und beim alten Provider abschalten
  10. Notfalls müssen Pfade in der Datenbank mit einem Tool korrigiert werden.
  11. Wieder Sicherungskopie bzw. Backup erstellen

Erst danach kann man sicherstellen, dass die Übertragung funktioniert hat und man zu jeder Zeit ein Backup besitzt.

 

 

WordPress - Creative Publisher

Warum WordPress?

Warum sollten Sie WordPress für Ihre Website wählen?

WordPress ist ein kostenloses und Open-Source-Content-Management-System (CMS). Es ist einfach zu bedienen, zu lernen und mit Hilfe von Tausenden von kostenlosen Themen anzupassen. Sie können Ihre Website auch einfach pflegen, indem Sie Plugins verwenden, um sie sicherer oder einfacher zu aktualisieren. Hier sind sieben Gründe, warum Sie WordPress verwenden sollten.

1. Einfache und schnelle Einrichtung

WordPress ist eine kostenlose, benutzerfreundliche Blogging-Plattform, die sich perfekt für kleine Unternehmen eignet. Es verfügt über eine intuitive Benutzeroberfläche und alle Tools, die Sie für einen schnellen Start benötigen. Hier sind nur einige der Gründe dafür:

Einfache und schnelle Einrichtung: Der Einrichtungsprozess ist unkompliziert, sodass Sie nicht stundenlang Dokumentationen oder Tutorials zur Verwendung von WordPress (oder einem anderen CMS) lesen müssen.
Einfache Updates: Wenn Ihre Website aktualisiert werden muss, melden Sie sich bei Ihrem Admin-Dashboard an und nehmen Sie die Änderung vor! Sie können auch neue Funktionen durch Plugins hinzufügen, die mit jeder WordPress-Kernversion vorinstalliert sind – oder sogar Ihr benutzerdefiniertes Plugin mit PHP-Code erstellen!
Einfache Verwaltung: Verwaltung von Inhalten auf mehreren Seiten über mehrere Websites hinweg!

2. Niedrige Entwicklungskosten

Um Ihr WordPress-Projekt zu starten, müssen Sie verstehen, wie viel Geld und Zeit dieser Prozess kostet.
Wenn Sie sich entscheiden, einen Entwickler zu beauftragen, wird er bereits auf  Themes oder Plugins zurückgreifen können, die nicht eigens entwickelt werden müssen. Diese sind oft sehr kostengünstig oder auch kostenfrei zu bekommen.

3. Website- Verwaltung

Mit WordPress können Sie Ihre Website selbst verwalten.
Sie haben die Kontrolle darüber, wie Ihre Website aussieht und sich entwickelt. Zusätzlich können sie Funktionalitäten in Form von Plugins kinderleicht hinzufügen und nutzen ohne einen Programmcode schreiben zu müssen. Sie können das Erscheinungsbild Ihrer Website so oft ändern, wie Sie möchten (oder müssen), um die Dinge auf dem neuesten Stand zu halten.

4. Benutzerfreundlichkeit

WordPress ist eine benutzerfreundliche Plattform zum Erstellen von Websites. Es ist einfach zu bedienen und zu verstehen, sodass Sie Ihre Website in wenigen Minuten erstellen können. Sie benötigen keine Programmierkenntnisse oder -erfahrung, um WordPress zu verwenden, und es ist kostenlos!

WordPress macht es Ihnen leicht, Ihre Inhalte mit der Welt zu teilen, indem es Tools wie Social-Sharing-Schaltflächen auf jeder Seite Ihrer Website und ein integriertes Kommentarsystem bereitstellt. Das bedeutet, dass jemand, der Feedback zu dem, was er auf einer Ihrer Seiten gelesen hat, hinterlassen möchte, dies tun kann, ohne seine aktuelle Website-Erfahrung (die Google+ oder Facebook sein könnte) zu verlassen.

5. Einfacher Zugriff und Berechtigungsverwaltung

WordPress ist einfach zu bedienen, zu verstehen und zu warten. Sie müssen kein Webentwickler oder -designer sein, um Ihre Website zu aktualisieren – Sie müssen lediglich den Anweisungen von WordPress folgen. Es ist auch einfach und intuitiv genug, dass auch technisch nicht versierte Personen es problemlos verwenden können, Backup erstellen können oder auch wieder problemlos Backups ins System zurückspielen können. Die Revisionen Funktionalität ermöglicht bei Fehlern auf die letzte oder vorletzte Änderungen zurückzugehen. Sie verlieren also keinen aus Versehen gelöschten Inhalt.

Sie können auch problemlos mehrere Benutzer verwalten und die Berechtigungen einschränken. Die Benutzer können gleichzeitig an der Webseite arbeiten, wie z.B. ein Autor kann einen Post setzen und der Administrator kann in der gleichen Zeit ebenfalls bestimmte Arbeiten durchführen.

6. Viele Geschäftsthemen und Plugins

WordPress ist ein kostenloses und Open-Source-Content-Management-System (CMS). Es wird verwendet, um Websites zu erstellen, die großartig aussehen, auch wenn sie weniger anspruchsvoll sind als diejenigen, die mit anderen Plattformen erstellt wurden.

WordPress verfügt über viele Themen, sodass Sie Ihre Website genau so anpassen können, dass sie zu Ihrer Marke passt, wie Sie es möchten. Sie können auch aus Tausenden von Plugins im offiziellen WordPress-Repository wählen, die Ihrer Website Funktionen wie Social-Media-Integration oder Analyse-Tracking-Tools hinzufügen.

7. Einfache Wartung

WordPress ist eine sehr einfach zu bedienende Plattform. Es basiert auf der PHP-Sprache, was bedeutet, dass Sie keine besonderen Fähigkeiten oder Kenntnisse in Programmiersprachen benötigen, um Ihre Website anzupassen.

WordPress stellt sicher, dass jeder Aspekt des Erscheinungsbilds und der Funktionalität Ihrer Website für Sie einfach zu verwalten ist, sodass Sie lediglich neue Inhalte hochladen und bei Bedarf Änderungen vornehmen müssen. Dies macht es einfach für jeden, der eine Website haben möchte, aber mehr Zeit für die Webentwicklung (oder Kenntnisse) benötigt!

 

WordPress - Creative Publisher

WordPress Backups auf Dateigröße überprüfen

Jeder verlässt sich gerne auf seine Backups und eine Automatik-Routine, die im Hintergrund automatisch abläuft. Aber wer hat schon einmal versucht, ob das Backup vollständig gesichert wurde? Eine Erfahrung aus einem Projekt zeigte, dass dies nicht immer der Fall ist.
Hier wurde auf dem Localhost ein Backup von 200MB gesichert.

Ein paar Tage später mit einer automatischen Testroutine auf die Cloud übertragen nur 20MB. Das sollte einem zu Denken geben.
Und es gab auch keine Fehlermeldung dazu – “Upload to Cloud completed”.

Denn Backup-Tools auf unterschiedlichen Servern bzw. Providern eingesetzt haben manchmal eine Eigenleben. Man kann natürlich nicht alle Dateien überprüfen, aber anhand der Dateigröße kann man sehr wohl feststellen, ob nahezu alles übertragen und gesichert wurde. Gut ist wenn das Backup-Programm noch ein Log-File hat, denn da kann man sehen welche Folders z.B.  Themes, Plugins und Uploads übertragen wurden. Also sollte man regelmäßig die Backups auf die Dateigröße überprüfen oder vergleichen.

WordPress - Creative Publisher