Webseite wird geladen!

Wartung von WordPress

Fortlaufende Wartung – ein Muss für so ein dynamisches System.
Ohne Wartung läuft man auf folgende Szenarien zu wie z.B. das Entstehen von Sicherheitslücken, PHP-Fehler bei der Funktionalität der Seite, Datensicherungsprobleme und Bedienerfreundlichkeit der Webseite. Deswegen sind folgende Schritte unbedingt notwendig:

    1. Backup-Erstellung.
    2. Firewall-Schutz WordPress
    3. Plugin-Aktualisierung.
    4. Theme-Aktualisierung (bei Bedarf).
    5. Überprüfung Website-Zustand. (Datenbank-Check und Upload-Verzeichnis auf Größe überprüfen)
    6. Cookie-Complianz Check und Rechtliche Gesetzesänderungen regelmäßig überprüfen

WordPress - Creative Publisher

Vulnerability

Warum einen Firewall- und Malwarescanner für WordPress benutzen?

In der Computersicherheit ist eine Vulnerability eine Schwachstelle, die von einem Angreifer, wie z. B. einem Hacker, ausgenutzt werden kann, um Funktionen innerhalb eines Computersystems zu erhalten (d. h. nicht autorisierte Aktionen auszuführen). Um eine Schwachstelle auszunutzen, muss ein Angreifer über mindestens ein anwendbares Tool oder eine Technik verfügen, die eine Verbindung zu einer Systemschwäche herstellen kann. Schwachstellen werden in diesem Rahmen auch als Angriffsstellen bezeichnet.

Unter Schwachstellenmanagement versteht man das Ermitteln aller Assets, Priorisieren von Assets, Bewerten oder Durchführen eines vollständigen Schwachstellenscans, Berichte über Ergebnisse, Beheben von Schwachstellen, Überprüfen der Behebung – Wiederholen. Diese Praxis bezieht sich im Allgemeinen auf Software-Schwachstellen in Computersystemen. Agiles Schwachstellenmanagement bezieht sich auf das Verhindern von Angriffen, indem alle Schwachstellen so schnell wie möglich identifiziert werden.

Ein Sicherheitsrisiko wird oft fälschlicherweise als Schwachstelle eingestuft. Es gibt Schwachstellen ohne Risiko: zum Beispiel, wenn die betroffenen Daten wertlos sind.

Das Schließen einer Sicherheitslücke bedeutet somit etwas mehr als eine Schwachstelle. Hier wurde definitiv erkannt, dass mit gewissen Prozessen eine für den Besitzer der Webseite nicht gewünscht autorisierte Aktion durchgeführt werden kann, z.B. Linkeinbindung von Werbung in die Webseite bis hin zum Datenklau von Benutzerdaten der Anwender.

Beispiel einer XSS Vulnerability

Cross-Site Scripting (XSS)-Angriffe sind eine Art der Injektion, bei der bösartige Skripts in ansonsten harmlose und vertrauenswürdige Websites eingeschleust werden. XSS-Angriffe treten auf, wenn ein Angreifer eine Webanwendung verwendet, um bösartigen Code, im Allgemeinen in Form eines browserseitigen Skripts, an einen anderen Endbenutzer zu senden. Schwachstellen, die den Erfolg dieser Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben von Benutzern innerhalb der von ihr generierten Ausgabe verwendet, ohne sie zu validieren oder zu codieren.

Ein Angreifer kann XSS verwenden, um ein bösartiges Skript an einen ahnungslosen Benutzer zu senden. Der Browser des Endbenutzers kann nicht wissen, dass das Skript nicht vertrauenswürdig ist, und führt das Skript aus. Da es davon ausgeht, dass das Skript von einer vertrauenswürdigen Quelle stammt, kann das schädliche Skript auf alle Cookies, Sitzungstoken oder andere vertrauliche Informationen zugreifen, die vom Browser gespeichert und mit dieser Website verwendet werden. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.

WordPress - Creative Publisher

WordPress Ordner regelmäßig überprüfen

Leider sind in der letzten Zeit immer mehr Schadcodes oder Schaddateien über einen gezielten Hack zu finden. Deswegen sollte man seine WordPress-Ordner gelegentlich überprüfen. Wenn das schon nicht einzeln geht, sollte man zumindest einmal im Monat einen Malwarescanner über die Seite laufen lassen, der alles durchcheckt.
Finden Sie z.B. eine admin_ips.txt oder cplugin.php Datei in Ihrem wp-conten/plugins Verzeichnis, deutet dass schon auf einen Angriff hin.
Die Dateien sind sofort zu löschen und natürlich auch weiter zu beobachten. Denn Sie können wieder kommen. Deswegen sollte auch die Datenbank, falls sofort bemerkt wiederhergestellt werden.

Es stellt sich immer die Frage, wem nützt einem ein Hack auf einer kleinen Webseite. Für das Weiterleiten auf eine Werbe-Seite werden Klickraten verkauft, also warum sich nicht so etwas Geld dazuverdienen. Wenn dies auf 100.000 Seiten weltweit am Tag passiert, dass Webseiten weitergeleitet werden oder beim Klicken von Elementen – Links verändert werden, ist das ein großes Geschäft.

So sieht dann das Ergebnis des Scanners aus:

Alert: Malware Detected!
Infection Details:
Type: File Infecting Malware.
Level: SEVERE
Initially Discovered On: Aug 14, 2019
Symptoms: Typically affects PHP, JavaScript & Themes.
Brief: Mc sig a file containing a list of ip addresses common in wp vcd infections ioc txt wp vcd ips 6675
Pattern: d 1 3 d 1 3 d 1 3 d 1 3 n 1 300 iS

Impact:
Leaked website / user passwords.
Website redirected.
Unwanted ads related to (including but not limited to) drugs, adult content etc.
Website blocked by Google and other search engines.
Search results hijacked resulting in low traffic.
Suspension of ad campaigns and / or loss of ad spending.
Website lockout by webhost.

Wahrscheinlich muss man noch in die betreffende Datenbank gehen unter wp_options und Tabelle activated_plugins, dort folgenden Eintrag der Fett dargestellt ist löschen:
a:3:{i:0;s:42:”backup-guard-platinum/backup-guard-pro.php”;i:1;s:27:”maintenance/maintenance.php”;i:2;s:11:”cplugin.php”;}

WordPress - Creative Publisher

WordPress Config Dateien definieren

WordPress und seine installierten Plugins speichern die Konfigurationen in seiner MYSQL-Datenbank. Somit kann man beim Abspeichern der Datenbank, diese Einstellungen sichern. Leider werden nicht alle Konfigurationen dort gespeichert, sondern auch außerhalb der Datenbank in diversen Dateien, z.B. die Zugangsdaten für die Datenbank selbst oder Konfigurationen, die vom Webserver verwendet werden sollen.

In einem WordPress Standard Setup verfügst du über die folgenden Konfigurationsdateien:

.htaccess:
Konfigurationsdatei, die in einem Webserver die Permalinks definiert, die unter Einstellungen > Permalinks und Umleitungen (über Plugins) definiert wurden.

wp-config.php:
Definiert alle globalen technischen Einstellungen für WordPress, einschließlich der Verbindungsdaten zur MySQL-Datenbank, die eine WordPress Website verwendet, um alle Inhalte zu speichern. Man sollte für diese Datei immer einen Zugang per FTP-Programm besitzen.

Beispiele und nützliche Funktionen für die Veränderung der wp-config.php Dateien sind:

Debug Modus aktivieren:
define( ‘WP_DEBUG’, true );

Begrenzung der Anzahl von Revisionen:
define( ‘WP_POST_REVISIONS’, 10 );

Core Updates festlegen:
Disables all core updates:
define( ‘WP_AUTO_UPDATE_CORE’, false );

Enables all core updates, including minor and major:
define( ‘WP_AUTO_UPDATE_CORE’, true );

Upload-Limit der Dateien festlegen:
define(‘WP_MEMORY_LIMIT’, ‘8M’); // Upload-Limit auf zum Beispiel 8, 16, 32, 64, 128 MB erhöhen

Upload-Verzeichnis für Medien und Dateien ändern:
define( ‘UPLOADS’, ‘wp-content/medien’ );

Auto Abspeicherung Interval definieren:
define(‘AUTOSAVE_INTERVAL’, 30); //Alle 30 Sekunden wird automatisch gespeichert (Standard 60)

WordPress - Creative Publisher

WP Downgrade

In der Vergangenheit war die neueste WP-Version das einzige Angebot für die automatische Update-Routine von WP. Dies ließ all jene zurück, die mit Core-Updates warten müssen, bis ihre Plugins mit neueren WP-Releases kompatibel werden. Wenn dies endlich geschieht, gab es in den meisten Fällen bereits ein weiteres Core-Update. Am Ende war früher ein gefürchtetes, umständliches, zeitraubendes und fehleranfälliges manuelles Update der einzige Weg.

Mit WP Downgrade | Spezifische Core Version das gehört nun der Vergangenheit an. Jeder, der hinter der neuesten WP-Version zurückbleibt, kann jetzt automatische Updates auch für niedrigere WP-Versionen verwenden. Was WP Downgrade einfach tut, ist, WP glauben zu machen, dass die Version, auf die Sie aktualisieren möchten, tatsächlich die neueste Version ist. Aus diesem Grund gibt es keinen Unterschied zum Aktualisieren auf die neueste Version.

Aus Sicherheitsgründen denke ich, dass dies ein Must-Have-Plugin für jeden ist, der eine “ausgereifte” WP-Installation betreibt, und es sollte eigentlich eine Core-Funktion sein, um nicht ausschließlich auf die neueste WP-Version aktualisieren zu können, sondern stattdessen die Wahl zwischen sicheren Releases zu haben.

WordPress - Creative Publisher