Support » Allgemeine Fragen » Akkute und extreme Hackangriffe auf Onlineshop abwehren

  • Hallo,
    ich habe mich bewusst vor etwas mehr als einem Jahr für WordPress entschieden, als ich einen Onlineshop in Angriff nahm. Der vorherige wurde im PrestaShop CMS umgesetzt.

    Nur seitdem hatte ich bereits mehrfach Hacks auf die Seite. Habe ihn bereinigt und auf Backup Versionen zurückgegriffen.

    Erst gestern habe ich eine alte ‚vermutlich gereinigte‘ Version mit hochgespielt, die aber bereits seit ca 14 Stunden mit Hack Login Versuchen attackiert wird. Es wurden 47 (Bild auf Link) Login Versuche seitdem gezählt. Was läuft hier verkehrt? Was ist das Problem mit WordPress??? Andere CMS Systeme stehen nicht so im Fokus, wie ich durch den alten Shop weiss.

    Bildlink

    Ich denke, das mein Admin, Passwort und die Sicherungen jetzt recht schwer zu knacken sind, aber es scheint ja ständig Backdoors zu geben. Kann nur eine Frage der Zeit sein. Zur Zeit bereue ich mich für WordPress entschieden zu haben. Der e-Shop ist noch nicht einmal aktiviviert und schon im Fokus – vor allem warum?

    Meinungen?

    M.

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Moderator Torsten Landsiedel

    (@zodiac1978)

    Setze einen htaccess-Passwortschutz auf die wp-login.php, damit sollte das Aufhören. Zusätzlich wird der PHP-Interpreter entlastet, weil er die Login-Seite gar nicht erst ausliefern muss.

    „Ständig Backdoors“ ist falsch bzw. subjektiv. WordPress ist auch nicht sicherer oder unsicherer als jedes andere Open-Source-CMS. Wenn überhaupt, dann sicherer wg. der erhöhten Aufmerksamkeit.

    Problematisch sind eher Themes und Plugins mit Sicherheitslücken, weil sie nicht mehr weiter entwickelt werden, generell schlecht programmiert sind oder nicht aktualisiert wurden.

    Ist eine Seite mal kompromittiert, dann ist allen Daten nicht mehr zu trauen und eine 100%ige Reinigung ist etwas für Experten. Eine einzige Datei mit Backdoor kann wieder zur Infizierung führen. Das liegt dann aber nicht an WordPress, sondern an mangelnder Reinigung des Hacks.

    Was den Fokus angeht. Sobald eine Webseite online ist, ist sie auch einfach als WP-Seite zu erkennen und leicht mit diversen bekannten Sicherheitslücken zu testen. Die meisten Angriffe versuchen halt viele bekannte (geschlossene!) Lücken aus. Vielleicht hat der Cracker ja Glück und die Lücke besteht noch, weil WP, Theme oder Plugin nicht aktualisiert wurden …

    Gruß, Torsten

    Thread-Starter marcusschreiter

    (@marcusschreiter)

    Hallo Torsten,
    vielen Dank für die Antwort. Einen .htaccess Passwortschutz hatte ich damals vorm Hack auch schon installiert gehabt. Hatte nichts genützt, anscheinend.

    Um ehrlich zu sein bin ich immer wieder darüber überrascht wie die WordPress Community, dieses CMS lobt und auf Bedienfehler hinweist, natürlich mangelnde Fachkenntnis, das gibt es keine Frage. Dabei war WordPress doch meinesachtens als leicht ‚handhabbares CMS‘ angepriesen.

    Zudem bleibt für mich unbeantwortet, WARUM stürzen sich so viele – wie Heuschrecken fast – gerade auf diesen einen Blog, der ja noch nicht einmal richtig freigeschaltet ist, nur der Demoshop läuft???

    Meine anderen weniger professionellen Blogs, sind anscheinend völlig uninteressant für diese Hacks. Keinerlei Probleme.

    Da ich von der Apple Seite komme, kommt mir der Windows Vergleich nahe, das ja in der Vergangenheit extrem mit Viren überschüttet wurde. Mac OS war nahezu unbehelligt, oder es ist einfach nur gute Arbeit geleistet worden.

    100%ige Reinigung der Seite? Wer ist da zu empfehlen. Wer ist vertrauenswürdig und nicht auf ‚Nachfolgejobs‘ fixiert. Sucuri.net?

    Grüsse,

    Marcus

    Moderator Torsten Landsiedel

    (@zodiac1978)

    Einen .htaccess Passwortschutz hatte ich damals vorm Hack auch schon installiert gehabt. Hatte nichts genützt, anscheinend.

    Das wundert mich. Würdest Du mir den Link mal geben?

    Um ehrlich zu sein bin ich immer wieder darüber überrascht wie die WordPress Community, dieses CMS lobt und auf Bedienfehler hinweist, natürlich mangelnde Fachkenntnis, das gibt es keine Frage. Dabei war WordPress doch meinesachtens als leicht ‚handhabbares CMS‘ angepriesen.

    Dass die WP-Community WordPress lobt ist ihr wohl kaum vorzuwerfen. 😉
    Bedienfehler und mangelnde Fachkenntnis können *immer* ein problem darstellen. Als Forenhelfer kann ich nicht hellsehen, ich weiß nicht, ob ein 45jähriger IT-Experte eine Frage stellt oder ein 14-jähriger Anfänger. An der Frage ist das nicht immer zweifelsfrei erkennbar. WordPress ist leicht handhabbar. Ein Blog 100% abzusichern ist aber selbst für Experten unmöglich.

    Zudem bleibt für mich unbeantwortet, WARUM stürzen sich so viele – wie Heuschrecken fast – gerade auf diesen einen Blog, der ja noch nicht einmal richtig freigeschaltet ist, nur der Demoshop läuft???

    Das hatte ich versucht zu erläutern, bzw. du hast dir die Frage schon selbst beantwortet. WP hat eine große Verbreitung, daher ist die Wahrscheinlichkeit ein Blog mit Lücke (oder zu einfachem Passwort) leichter zu finden. Selbst, wenn man einfach blind alle Domains der Welt ausprobiert.

    100%ige Reinigung der Seite? Wer ist da zu empfehlen. Wer ist vertrauenswürdig und nicht auf ‚Nachfolgejobs‘ fixiert. Sucuri.net?

    Jobanfragen sind hier im Forum verboten. Aber die Leute hinter Sucuri sind auf jeden Fall bekannte Leute in der WP-Community. Es gibt aber auch in D ein paar vertrauenswürdige Freelancer, die so etwas anbieten.

    Gruß, Torsten

    Thread-Starter marcusschreiter

    (@marcusschreiter)

    Hier der Link:
    http://www.mathezsoka.com

    htaccess Passwortschutz ist aktiviert und zumindest gestern funktionierte er noch eindeutig.

    Allerdings fragt er mich jetzt selbst nicht mehr nach dem Passwort, ist wohl in den Cookies abgespeichert?

    Danke für all die Bemühungen!

    Marcus

    Thread-Starter marcusschreiter

    (@marcusschreiter)

    Zudem scheint heute Nacht jemand den Index.php File in der Zeile 19 verändert zu haben. = WordPress alert! Habe erstmal die alte Index.datei wieder draufgespielt. Mal schaun was passiert.

    Vermutlich verabschiede ich mich komplett von WordPress. Prestashop hatte nicht annähernd so viele Probleme. 🙁

    M.

    Moderator Torsten Landsiedel

    (@zodiac1978)

    Allerdings fragt er mich jetzt selbst nicht mehr nach dem Passwort, ist wohl in den Cookies abgespeichert?

    Bei htaccess-Passwörtern ist es kein Cookie, sondern der Browser selbst speichert das Passwort (sofern du es ihm erlaubt hast).

    Zudem scheint heute Nacht jemand den Index.php File in der Zeile 19 verändert zu haben. = WordPress alert! Habe erstmal die alte Index.datei wieder draufgespielt. Mal schaun was passiert.

    Wenn jemand Schreibrechte hat, dann hast Du irgendwo eine handfeste Sicherheitslücke und das liegt nicht an WordPress selbst…

    Ich habe mal mit wpscan deine Seite gescannt.

    Als erstes könntest Du das Directory-Listing auf deinem Server deaktivieren. Momentan kann man nämlich in die Verzeichnisse schauen.
    Zum Beispiel: http://mathezsoka.com/wp-content/plugins/qtranslate-slug/
    Das ist zwar keine echte Lücke, hilft aber dem Eindringling.

    Und dann solltest Du die Lücke finden. Hier ein möglicher Startpunkt:
    http://codex.wordpress.org/FAQ_My_site_was_hacked

    Gibt es noch andere (veraltete) Blogs/CMS auf dem gleichen Webspace?

    Gruß, Torsten

    Moderator Torsten Landsiedel

    (@zodiac1978)

    qTranslate 2.5.34 hatte laut wpscan z.B. eine Sicherheitslücke. (Aktuell ist bei dir 2.5.39 installiert, aber vielleicht ist die 2.5.34 ja mal aktiv gewesen und die Seite zu diesem Zeitpunkt kompromittiert worden)

    Gruß, Torsten

    Thread-Starter marcusschreiter

    (@marcusschreiter)

    Hallo Torsten,
    zwischenzeitlich sind alle Plugins aktualisiert worden (ändern sich aber fast täglich). Die o.a. Directory sollte nicht mehr ersichtlich sein. Zur Zeit scheint niemand direkt auf der Seite sein Unwesen zu treiben, Nur bin ich überrascht, das wieder direkte Anmeldeversuche und Sperrungen – fast mehrfach täglich – angezeigt werden, wo ich doch ein htaccess -Passwort eingebaut habe. Wie kann das nun wieder umgangen werden?

    Danke für den Link mit den WordPress FAQ Thema – My site was hacked. Leider bin ich zu sehr Designer, als das ich alle Inhalte und Vorschläge verstehen und durchführen könnte würde. Fachliche Hilfe wäre hier wohl notwendig?

    M.

    Ich persönlich setze – neben den notwendigen Updates, die immer zeitnah durchgeführt werden sollten – auf 2 weitere Dinge, welche die Sicherheit erhöhen:

    1. Two-Factor Authentication

    Da gibt es einige Plugins für WordPress. Ich selbst setze auf Authy, weil das auch für den 2. Punkt hilfreich ist, um auch den Account dort abzusichern.

    2. Cloudflare

    Neben der Entlastung für den Server, was sich in der Verfügbarkeit bemerkbar machen sollte, filtert Cloudflare auch schon so einige Bots weg, was die Sicherheit erhöhen sollte. Zudem gibt es hier auch noch SSL Certs gratis dazu.

    Und dann gibt’s sicher noch weitere Möglichkeiten, sofort die Sicherheit zu erhöhen, ohne Geld ausgeben zu müssen, auch wenn es bei Sicherheitsfragen für einen gut gehenden Shop sicher nicht schaden kann, irgendwann mal einen Fachmann mit einem Audit zu beauftragen.

    Cheers,
    Dennis.

    Thread-Starter marcusschreiter

    (@marcusschreiter)

    Danke Dir Dennis,
    habe die beiden empfohlenen Plugins eingebaut bzw. versucht. Beide sind extrem kompliziert in der Installation und machen den Login Prozess zunehmend kompliziert. Das ist es wo die Reise bei WordPress hingeht? Zunehmend schwerer in der Bedienbarkeit? Unüberschaubar. Ständige Kontrolle?

    Fachmann in Sicherheitsfragen einbauen? Da würde ich gerne hin. Nur wie trennt man hier die Spreu vom Weizen? Ideen wer empfehlenswert ist?

    Bereue zunehmend nicht bei PrestaShop geblieben zu sein … WordPress ist keine e-Commerce Alternative – wird mir immer klarer.

    Die „Two-Factor Authentication“ ist kein Alleinstellungsmerkmal von WordPress. Das wird zunehmend wichtiger für jede Art von Account, der schützenswerte Daten enthält. Ich selbst sehe das eher als beruhigend an, wenn mein Login hin und wieder auch ein Token braucht. Es kommt ja dann auch nicht jeden Tag vor, dass man das eingeben muss. Das Setup von Cloudflare macht man auch nur einmal und dann kann man das schon wieder vergessen. Zudem bekommt man soviel dafür „geschenkt“, dass es den Aufwand wieder rechtfertigt.

    Ich würde behaupten, dass es nicht die Software ist, die dazu führt, dass Dein Shop häufiger Ziel von Attacken ist, sondern bestimmt die steigende Popularität Deiner Website den Ausschlag dafür gab. Ob WordPress die richtige Wahl für einen Shop ist, kann man pauschal nicht sagen. Das ist eine Frage, die man nur mit „Kommt drauf an.“ beantworten kann. WordPress habe ich bereits in Banken und Verlagen verwendet. Attacken sind da naturgemäß an der Tagesordnung, aber mit den entsprechenden Vorkehrungen läuft alles meist perfekt.

    Einen Sicherheitsexperten kann ich nicht empfehlen. Vielleicht kann jemand anderes hier im Forum etwas dazu sagen…

Ansicht von 11 Antworten - 1 bis 11 (von insgesamt 11)
  • Das Thema „Akkute und extreme Hackangriffe auf Onlineshop abwehren“ ist für neue Antworten geschlossen.