Webseite wird geladen!

Aktualisierungsvorschläge nicht missachten!

Nicht nur die PHP-Programmiersprache entwickelt sich weiter, sondern auch WordPress und die dazugehörigen Plugins and Themes. 50% der Aktualisierungen sind für die Beseitigung von Sicherheitslücken oder funktionale Verbesserungen oder Beseitigung von Problemen (Fixes) des Plugins oder Themes notwendig. Nun kommt auch noch die AI oder KI dazu, die dazu führt, dass auch noch Plugins mit dieser gefüttert werden können.

Die Webseite ist also voll dynamisch und hat viele Schnittpunkte mit den Plugin-Hersteller oder anderen Anbietern wie z.B. Bezahlsysteme oder Buchungssystemen. Deswegen ist es notwendig in regelmäßigen Abständen die WordPress-Version, Plugins oder Themes auf dem neuesten Stand zu bringen. Denn wer will schon eine unsichere Webseite haben oder einen Schadcode, der bei anderen Nutzern Schaden anrichten kann?

Aus einem Beispiel eines Kunden kann man seine Lehrern ziehen. Die Webseite existiert seit 2013 wurde mit einem Theme installiert. Irgendwann in 2022 gab es Malware auf der Webseite, irgendwelche Links wurden auf Webseiten erzeugt und dienten wahrscheinlich dazu die Klickrate einiger Webseiten zu fördern oder in Suchmaschinen hoch zu katapultieren.

Für das Theme gibt es seit 2020 kein Update mehr! Die Webseite wurde von Schadcode befallen und ein Verzeichnis wurde im Ordner Plugins regelmäßig erzeut und Dateien dort abgelegt. Auch das Löschen dieser Files hat nur dazugeführt, dass diese für ein paar Monate verschwunden waren, diese aber immer järlich wieder kamen. Ein Szenario, dass nach langer Suche wohl auf eine Sicherheitslücke im Theme zurückzuführen ist. Da es kein Update des Themes mehr gibt, wird es wohl schwierig sein, diese Sicherheitslücke zu schließen. Daher auch ein Tipp, die Themes von Hersteller auszusuchen, die schon lange am Markt sind und immer wieder regelmäßige Updates oder Weiterentwicklungen des Themes planen.

Alte Themes können auch dazu führen, dass WordPress und PHP-Versionen nicht mehr auf die neueste Version aktualisiert werden können, da sonst die Webseiten nicht mehr ordnungsgemäß funktionieren. Dann ist natürlich später für Hacker Tür und Tor offen Zugang auf Verzeichnisse oder auch zum Inhalt der Webseite zu bekommen.
Daher regelmäßige sinnvolle Aktualisierungen sollten durchgeführt werden, auch Plugins oder Themes sind obsolet und hier ist es erforderlich abzuwägen, das alte vielleicht unsicher Plugin zu belassen oder durch ein neues zu ersetzen. Alles kostet seinen Preis aber eine gehackte Webseite, um diese wieder in einen sicheren und guten Zustand zu bringen, verursacht sicherlich einmalige Kosten, die nicht im Verhältnis zu einer regelmäßigen Aktualisierung einer Webpräsenz stehen.

WordPress - Creative Publisher

Vulnerability Database WordPress

Diese Seite sollte man immer wöchentlich besuchen, um festzustellen welche Plugins oder Themes für eine Sicherheitslücke in der Datenbank oder für manipulierte Dateien im WordPress Verzeichnis sorgen.

https://patchstack.com/database/

Oder Wordfence-List


WordPress - Creative Publisher

Sicherheit geht vor!

Wenn diverse Plugin-Updates nicht gemacht werden, kann dies zu einem Inferno führen. Besonders wichtig dabei sind die Updates der Sicherheits-Tools von WordPress wie Firewall und Malware Plugins. Denn diese funktionieren nur, wenn sie auf dem neuesten Stand sind. Deswegen ist hier ein regelmäßiges und zeitnahes Update erforderlich um schadhafte Datenbankeinträge und schadhafte Dateien auf dem Server zu vermeiden und das WP-System optimal zu schützen.
Doch mit eine der wichtigsten Aktionen sind regelmäßige Backups der Webseite und Kontrollen der Webseiten. Leider sollte man dies täglich tun, um Probleme möglichst schnell zu erkennen. Backups können zwar ziemlich schnell zurückgespielt werden, bedeuten aber immer wieder einen größeren Aufwand. Was aber tun, wenn die Backups schon einen Hack oder Angriff mit einem Schadcode enthalten? Dann ist eine Neuinstallation fast unumgänglich.

Es gibt auch größere Firmen die gehackt wurden, da sie meist täglich größere Hackerangriffe auf Ihre Webseiten bekommen.
Beispiel Reuter

WordPress - Creative Publisher

WordPress Malware Scanner

Mit diesen Online-Scannern kann man grob feststellen, ob bei der gescannten WP-Seite große oder kleine Sicherheitslücken vorhanden sind.

Hier eine Liste der besten WordPress Malware Removal Plugins für den Malwareschutz!

  1. MalCare – WordPress Malware Removal Plugin
  2. WordFence Malware Cleaner
  3. Sucuri Malware Scanner and Cleaner
  4. Astra Security Suite
  5. CleanTalk Security
  6. BulletProof Security
  7. Cerber Security
  8. Anti Malware Security and Brute Force Firewall
  9. Defender Security

WordPress - Creative Publisher

Newsletter System gehackt

Seit Tagen bekommt man Spam Mails mit Gewinnspielen und weiß nicht woher. Haben Sie auf Ihrer WordPress-Seite einen Newsletter installiert, sollten Sie diesen auf Aktivitäten überprüfen lassen und ihre Newsletter-Mail Adressen mit denen ihrer erhaltenen Spam Mail überprüfen. Über gehackte Webseiten können zum einen die Mailadressen, die in ihrem Newsletter System vorhanden sind, geklaut werden oder sogar über ihr installiertes Newsletter System versendet werden. Diese können sie mit dem WP Mail Logging überprüfen oder monitoren lassen. Durch die Installation des Plugins wird jede Mail, die über WordPress versendet wird aufgezeichnet.

Wenn man dies nicht bemerkt und kontrolliert, können Tage lang Mails versendet werden. Normalerweise checken die meisten Provider den Ausgang der Mails. Falls diese z.B. 1000 in der Stunde überschritten hat, wird ein Flag gesetzt und das Versenden unterbunden. Aber man sieht wenn 200 Mails pro Stunde versendet werden, hat dies keine Auswirkung. Auch die Absender-Adresse kann dementsprechend gefälscht werden, so dass es nicht nach ihrer Mailadresse aussieht.

Sollten aber Mailadressen vorhanden sein, die ihnen bekannt sind oder in ihrem Newsletter gespeichert sind, werden sie aktiv und kontrollieren sie ihre WordPress-Seite auf jeden Fall. Schalten Sie das Newsletter System für ein paar Stunden inaktiv und sehen Sie, ob noch Spam-Mails bei ihnen eintreffen.

Es können auch einfach gesammelte Mailadressen aus dem Internet sein, aber man sollte zumindest sein System überprüfen.

WordPress - Creative Publisher

Angriffslustig!

Wie kann das sein, dass so viele Angriffe auf eine WordPress Seite stattfinden. Scheinbar auch auf solche Seiten, die eigentlich keinen Nutzen haben, da keinen Benutzerdaten wie z.B. bei einem Shop oder anderen Portalen vorhanden sind. Trotzdem ist es ärgerlich wenn eine Seite zu anderen Zwecken verwendet wird, wie z.B. Weiterleitung auf Werbeseiten oder Malware Infizierung. Das letzte Phänomen hatte ich bei einer Neukundenseite, die keine Betreuungsperson mehr für Ihre Webseite hatte. Das Kopieren der ganzen Webseite führte dazu, dass ich auf meinem Testserver mal schnell 600 Beiträge importiert bekommen habe! Wahnsinn! Deswegen hier aufgepasst und lieber zu viel Schutz als zu wenig! Unbedingte Schritte die man durchführen sollte:

  1. Backup, Backup, Backup ….
  2. Firewall und Malware Plugin installieren
  3. Keine leichten Benutzernamen und Passwörter verwenden
  4. regelmäßige Wartung der Plugins
  5. regelmäßige Wartung der WordPress Versionen

Mit diesen Maßnahmen kommt man schon sehr weit und kann wie im Bild unten Angriffe vermeiden. In einer Woche viele Login-Versuche. Mit einer Firewall werden dann die IP-Adressen für zukünftige Versuche des Admin-Bereichs geblockt und gesperrt!

WordPress - Creative Publisher

PHP8 Update

PHP7 wird demnächst von den meisten Providern nicht mehr unterstützt.
Was bedeutet dies? Entweder es kommen mehr Kosten auf die Webpräsenz zu, da man bei einigen Providern noch einen Support bekommt, der kostenpflichtig ist oder man aktualisiert die bestehende Webseite auf PHP8. Die Umstellung ist sehr einfach. In den meisten Fällen kann man die entsprechende PHP-Version im Provider Account auswählen. Aber Vorsicht: Ein Funktionstest der Webseite nach dieser neuen Einstellung ist unbedingt notwendig. In meiner Testarea waren ungefähr 10% der Webseiten nicht mehr lauffähig. Grund dafür kann ein altes nicht mehr weiterentwickeltes Plugin oder Theme sein. Also was ist nun sinnvoll? In Zukunft wird es notwendig sein auf die PHP8 Version umzusteigen. Dies ist für die nächsten Jahre unumgänglich. Ist Ihre Webseite in die Jahre gekommen, sollten sie auf ein neues Theme umsteigen und nur noch neue Plugins verwenden, die auch weiterentwickelt werden. Hier müssen auf jeden Fall Lösungen gefunden werden, wenn die Webseite mit PHP8 crasht. Meistens bekommen Sie eine Fehlermeldung per Mail zugesendet, die ihnen mitteilt welche Plugins das Problem verursachen. Dann kann man entweder das Plugin, wenn es nicht so wichtig ist abschalten und durch ein gleichwertiges neueres ersetzen.

WordPress - Creative Publisher