So schützen Sie Ihr WordPress-Blog vor Hacker-Angriffen!

7. Mai 2013

Limit Login Attempts Einstellungen

Das von vielen WordPress-Nutzern verwendete Plugin Limit Login Attempts wird sehr oft auch als das Allheilmittel zum Schutz vor Hacker-Angriffen empfohlen. Das trifft natürlich nicht ganz zu, denn Limit Login Attempts kann für Brute Force Attacken eingesetzt werden, andere Angriffsmethoden kann es aber nicht abwehren. Dafür gibt es dann Plugins wie zB Better WP Security, BulletProof Security usw.

Limit Login Attempts richtig einrichten

Um Benutzernamen und Passwörter herauszufinden, verwenden Script Kiddies meist so genannte Hacker-Tools. Diese Tools konzentrieren sich meist darauf, die Standard-Einstellungen von Plugins zu hacken. Jede Änderung bzw. Anpassung der Standard-Einstellungen bringt diese Hacker-Tools an ihre Grenzen. Daher ist die Veränderung / Verschärfung der Standard-Einstellungen ein weiterer Schritt, der die Sicherheit etwas erhöhen kann. Weiterlesen →

Permalink

7. Mai 2013

Sichere Passwörter und Benutzernamen

Security conceprt: Login form on digital sreen

Kaum eine Schutzmaßnahme kann so einfach durchgeführt werden wie die Erstellung von sicheren Passwörtern und Benutzernamen. Es werden Sicherheits-Plugins installiert, in .htaccess IP-Adressen gesperrt usw, doch die einfachste Möglichkeit wird nicht angewendet.

Gerade der Bereich Passwörter und Benutzername wird von vielen WordPress-Nutzern absolut vernachlässigt. Wie ich in meinem Artikel “Brute Force Angriffe auf WordPress-Blogs” aufgezeigt habe, ist gerade der Login-Bereich das Erste, wo Hacker versuchen werden, in Ihren WordPress-Blog einzudringen. Weiterlesen →

Permalink

7. Mai 2013

Filezilla speichert Benutzerdaten unverschlüsselt ab!

Vielen Benutzern des Open Source Programms FileZilla ist nicht bewusst, dass das Programm die Benutzer- und Anmeldeinformationen des eigenen Webservers unverschlüsselt, also in Klartext, abspeichert. Dies ist von den Entwicklern bewusst so gewollt und wird daher auch nicht geändert.

Welche Gefahren ergeben sich durch das unverschlüsselte Abspeichern der Anmeldeinformationen?

Die Anmeldeinformationen, die FileZilla unverschlüsselt abspeichert, stellen an sich noch kein Risiko dar. Doch unter bestimmten Umständen kann dies sehr wohl zu einer Gefahr werden. Hier einige Beispiele: Weiterlesen →

Permalink

7. Mai 2013

Hacker, Cracker und Script-Kiddies – Gefahr für Ihren WordPress-Blog!

Hacker sind böse. Hacker sind gefährlich und richten großen Schaden an. Dies ist die allgemeine Meinung über Hacker. Daher wird es Sie verwundern, dass im Grunde genommen Hacker die “Guten” sind. Wenn aber nun die Hacker die “Guten” sind, wer sind dann die “Bösen”?

Wenn man die Begriffe Hacker, Cracker und Script-Kiddie mit dem Berufszweig der Ärzte vergleichen würde, dann hätte der Hacker die Position eines Universitäts-Professors inne. Sein Bestreben liegt in der Weiterentwicklung, Verbesserung und Wissenszurverfügungstellung in seinem Bereich.

Der Cracker würde eventuell einem Primar gleichgestellt sein, der vom Wissen her ähnlich dem Universitäts-Professor einzustufen ist, aber eher auf den finanziellen Vorteil bedacht ist. Um dies mit allen Mitteln zu erreichen, überschreiten Cracker auch schon mal die Grenzen des Rechts und der Ethik. Weiterlesen →

Permalink

7. Mai 2013

Brute Force Angriff auf WordPress-Blogs

Der Begriff “Brute Force Attack” stammt aus dem Englischen und bedeutet in der EDV / Informatik so viel wie “Angriff mit roher Gewalt”.

Bei einer Brute Force Attacke (von engl. brute force = rohe Gewalt und attack = Angriff) werden einfach so lange verschiedene Möglichkeiten von Passwörtern ausprobiert, bis das richtige Passwort gefunden wurde.

Da wir Menschen meist recht “faule” Zeitgenossen und leider auch “Gewohnheitstiere” sind, werden häufig einfache Passwörter erzeugt, die immer wieder auf den verschiedensten Plattformen verwendet werden. Wird eine solche Plattform einmal gehackt und die Passwörter ausspioniert, landen diese Passwörter in so genannten Passwortlisten (Rainbow Table – engl. für Regenbogentabelle). Weiterlesen →

Permalink

7. Mai 2013

Benutzername aus WordPress auslesen

In vielen WordPress-Blogs ist es möglich, den Benutzernamen auszulesen. Wie einfach das geht, möchte ich Ihnen in diesem Artikel zeigen.

WordPress verwendet den Benutzernamen als Klasse.

Hacker können über den Quelltext Ihres WordPress-Blogs Rückschlüsse auf vorhandene Benutzer ziehen. So zeigt WordPress die Benutzernamen eines angemeldeten Kommentators standardmäßig als CSS-Klasse an.

Da die meisten User in WordPress mit Administrator-Rechten schreiben bzw. kommentieren usw., kann man daher sehr leicht den Benutzernamen mit Admin-Rechten herausfinden. Weiterlesen →

Permalink

6. Mai 2013

Hacker Tools für Brute Force Attacken

Dieser Artikel ist nicht dafür gedacht, Sie zu einem Script Kiddie auszubilden, sondern aufzeigen, welche Tools Script Kiddies verwenden, um damit WordPress anzugreifen.

Noch ein Hinweis: Jedes dieser Tools ist für IT- und Sicherheits-Experten programmiert worden und kann sowohl für positive wie auch negative Dinge verwendet werden. Es handelt sich bei den vorgestellten Tools nicht um Hacker Tools. Sie werden nur von Hackern, Crackern und Script Kiddies missbraucht.

Als erstes möchte ich Ihnen aber ein Video eines YouTube-Benutzers zeigen, der live vormacht, wie einfach man WordPress hacken kann. Weiterlesen →