Neukundengewinnung mit Leadgenerierung
13. März 2017
WordPress gegen Hacker schützen
19. Mai 2017Neukundengewinnung mit Leadgenerierung
13. März 2017WordPress gegen Hacker schützen
19. Mai 2017
Seit einigen Tagen ist das neue WordPress in der Version 4.7.5 erhältlich und sollte schnell upgedatet werden, da dies sechs wichtige Sicherheitslücken schließt. Demzufolge sind die älteren WordPress Versionen anfällig und leichter zu infiltrieren. Damit euer WordPress nicht gehackt wird ist nicht nur ein kontinuierlicher Updateprozess äußerst empfehlenswert, sondern simultan sollten auf viele weitere Dinge geachtet werden, welche wir später nachfolgend kurz erwähnen.
In der News von WordPress, welche am 17. Mai veröffentlicht wurde, stehen bezüglich der neuen Version einige nützliche Informationen bereit, auf die wir zeitgleich eingehen. Durch das updaten werden die bereits erwähnt sechs sehr wichtige Sicherheitslücken geschlossen.
Diese sind folgende:
- Mangelhafte Weiterleitungs-Validierung in der HTTP-Klasse.
- Eine ungenaue Handhabung von Daten-Werten der Post-Meta in der XMPL-RPC-API.
- Fehlerhafte Nutzerrechte-Überprüfung von Post-Meta-Daten in der XMPL-RPC-API.
- Eine Schwachstelle – Cross-Site-Request-Forgery (CRSF) – wurde im Dateisystem des Anmelde-Dialogs (credentials dialog) entdeckt.
- Eine Schwachstelle – Cross-Site-Scripting (XSS) – wurde beim Versuch sehr große Dateien hochzuladen entdeckt.
- Eine weitere Cross-Site-Scripting-Lücke (XSS) wurde im Zusammenhang mit dem Customizer entdeckt.
Wie bereits aus den sechs Sicherheitslücken hervorsticht, so sind diese signifikant und sollten unbedingt behoben / upgedatet und dadurch geschlossen werden. Neben den soeben dargestellten Sicherheitslücken wurden parallel auch drei Bugfixes beseitigt, sodass das Arbeiten in WordPress weiterhin viel Spaß und Freude bereitet.
WordPress updaten
Das updaten der eigenen WordPress Installation ist kinderleicht durchzuführen, denn es muss sich lediglich im Backend eingeloggt werden und auf die eingeblendete Meldung oben geklickt werden, welche zum Updaten auf die neueste WordPress Version hinweist. Optional hierzu kann auch WordPress über den FTP Zugang aktualisiert werden. Dazu müssen lediglich die Dateien von WordPress heruntergeladen und nachfolgend auf den eigenen Server hochgeladen und überspielt werden.
Zuzüglich ist es sehr empfehlenswert vorab ein Back-up der Datenbank und der Daten auf dem Server durchzuführen, sodass es zu keinerlei Komplikationen bei einem fehlerhaften Update kommen kann. Sollte dies der Fall sein, so kann das Back-up wieder eingespielt werden und sämtliche Daten sind wieder parat.
WordPress automatisch updaten
Für diejenigen, welche sehr beschäftigt sind und mit den vielen Updates nicht hinterherkommen und demzufolge nicht up to date sind, so können wir ein automatisches update Plugin empfehlen, welches auf den Namen „Easy Updates Manager“ hört. Dadurch haben Angreifer ein schweres Spiel, denn viele Sicherheitslücken werden sofort mit den jeweiligen Updates behoben. Demzufolge seid ihr vermutlich nur noch wenigen Hackerangriffen ausgesetzt und nicht primäres Angriffsziel.
Mit dem Easy Updates Manager Plugin kann ausgewählt werden, was genau aktualisiert werden soll und was nicht. Dies beinhaltet WordPress selbst und all eure Plugins. Nach einem erfolgreichen oder negativen Updateprozess wird (sofern gewünscht) eine E-Mail an den Webseiten Administrator Versand, welches sehr nützlich ist. Dadurch kann schnell in Erfahrung gebracht werden, dass alles positiv verlaufen ist und WordPress kontinuierlich auf dem neuesten Stand verweilt, oder aber auch das ein wichtiges update gescheitert ist, welches vermutlich manuelle Hilfe benötigt.
WordPress Login Bereich schützen
Natürlich ist auch ganz wichtig den Loginbereich von WordPress zu schützen. Dies beinhaltet im Regelfall die wp-login.php oder aber auch den bekannten wp-admin Pfad. Durch das Hinzufügen einer .htacess und .htpasswd Kombination wird den Angreifern kein leichtes Spiel gewährt. Zeitgleich ist eine IP Sperre sehr nützlich, mit der sämtliche Zugriffe auf diese beiden Pfade verweigert werden und lediglich von eurer persönlichen IP-Adresse erreichbar sind. Wie dies funktioniert werden wir in den Tagen näher erläutern.
Das Team von Fevarus Design.
