Am Donnerstag letzter Woche hatten in den Staaten einige Hoster wohl nicht viel Spaß. Wurden an diesem Tag zahlreiche Attacken gegen WordPress-Blogs gefahren. Das Problem scheint offenbar jedoch nicht an WordPress direkt zu liegen, sondern viel mehr am Server selbst bzw. der Verbindung zwischen diesen. So ist man sich noch nicht schlüssig, ob es nun an älteren WordPress-Versionen liegt oder an der allgemeinen ‘Sicherheit’, von denen so viele WordPress-Admins ausgehen.
Diese ‘Sicherheit’ spüre ich auch immer wieder, selbst wenn ich mit anderen Web-IT’lern spreche und dort Aussagen wie ‘WordPress? Ne mir zu unsicher’ kommen und man dann nachfragt, selbst der Login noch über den Benutzer ‘admin’ erfolgt oder gar über Passwörter mit sagenhaften 6 Stellen und teilweise gar ohne Zahlen & Co. Das ist natürlich noch lange nicht alles, zeigt aber einen Blick, den man eigentlich von genau diesen Personen noch weniger erwartet, wie vom Normalbetreiber. Aber nunja, ich setze nichts mehr daran diese Profis zu belehren oder gar bekehren.
Um aber mehr auf das Thema zurück zu kommen: dass ihr euren Blog möglichst absichern solltet, muss jedem Betreiber klar sein. In der Regel liegen die Blogs auf Webpacks oder auch mal VPS’, aber selten auf wirklich eigenen Root-Servern, bei denen ihr den Zugriff auf die volle Konfiguration habt. Darauf verließen sich wohl auch die Kunden von GoDaddy, Dreamhost, Media Temple und Bluehost. Aber es war eine neue Attacke, eine neue Möglichkeit und oftmals kann man dabei halt erst hinterher reagieren. Klar fuhren die Anbieter Backups und stellten so auch das System wieder her, doch erst mal waren die Seiten platt und der Ärger groß. Davon abgesehen wurden bei den von der Attacke betroffenen Seiten auch schädliche Scripte untergeschoben, die potentiellen Besuchern der Websites tolle Malware unterjubeln. (via)
In diesem Sinne guckt ruhig auch mal im Backend bei eurem Hoster vorbei. Guckt ob auch alles auf dem neuesten Stand ist, geht auch kritisch und nicht blauäugig mit ihrer Sicherheitspolitik um. Eine Homepage kann oftmals ohne großartigen Aufwand zu einem anderen Hoster umziehen, denn heute muss sich niemand mehr mit weniger Sicherheit oder dummen Ausreden zufrieden geben – auch nicht bei Webpacks oder ähnlichen Produkten, also sehr günstigen Webhosting-Angeboten. (Auch bei sehr großen und namhaften Webhostern in Deutschland braucht man sich nicht als ‘dumm’ und ‘Lügner’ beschimpfen zu lassen, vor allem schon gar nicht, wenn man die teuersten ihrer Server mietet und es der blaue Anbieter nicht mal gerallt bekommt seine Backups vertragsgemäß zu fahren. Aber das ist eine andere Geschichte.)
Unabhängig von den Attacken die nun in Amerika gefahren wurden, solltet ihr bei eurem WordPress-Blog ein paar Punkte zum Thema Sicherheit checken und sicherstellen, zumindest gegen das größte Übel im Netz bestmöglich gewappnet zu sein:
Lieber einmal absichern, wie das Problem irgendwann an der Backe zu haben.
Mehr Lesestoff zum Thema der Attacken auf GoDaddy, Dreamhost, Media Temple und Bluehost:
Exploit on WordPress Returns – Go Daddy Responds!
New attack today against WordPress
Breaking News: WordPress Hacked with Zettapetta on DreamHost
Verwandte Artikel:
4 Kommentare zu “Attacke auf WordPress-Blogs & Sicherheitstipps”
Und wie macht man das via htaccess?
Aloha Chrissy :)
Was ist eine htaccess: http://de.wikipedia.org/wiki/Htaccess
Weitere Infos: http://de.selfhtml.org/servercgi/server/htaccess.htm
Generatoren für den einfachen Weg: http://www.fueralles.de/htaccess-Generator.html und http://www.homepage-kosten.de/htaccess/
Solltest du noch Fragen haben, schreib einfach hier :)
Pizzapizza. Woher kennst Du mein Passwort?!