Was möchtest du denn kommunizieren? Mit wem?
Was du nach einem Angriff auf deine Website tun solltest, haben wir in unserer FAQ beschrieben:
Seite gehacked, was tun?
Hallo @mrcashde tut mir leid, ich kanns nachfühlen, welch ein Schock sowas ist. Hatte bisher 3x bei Bekannten sowas. Und die hier gegebenen Ratschläge zu befolgen ist das einzige Mittel gegen Datenlücken. Anders findest die vielleicht nie.
Eine Zusatzbemerkung habe ich schon: Selbst wenn alles ratzeputz clean ist, wenn alles neu ist, was man neu installieren kann, kann es sofort wieder krachen.
Warum?
Weil, was wenn ein kompromittiertes Plugin installiert ist? (Das war immer die Ursache bei „meinen“ Hacks)
Was hilft?
Früher gab es an jeder Ecke so Dienste, Websites, Newsletter, welche genau das thematisierten und einen warnten. Doch alle sind wieder verschwunden und so weiß ich dzt. keinen „Vorwarndienst“.
Ja, man könnte im Pluginverzeichnis hier nachsehen, ob alle installierten Plugins eh noch aktiv gelistet sind oder ob gar eins aufgrund von Sicherheitslücken klammheimlich aus dem Verzeichnis entfernt wurde. Doch wer tut das schon?
Es wäre echt toll, würde es einen offiziellen WP Newsletter geben, der genau das „kommuniziert“.
PS: https://wpletter.de/ tut das leider nicht …
@pezi
Es wäre echt toll, würde es einen offiziellen WP Newsletter geben, der genau das „kommuniziert“.
Nicht offiziell, aber trotzdem informativ, es gibt bei Facebook eine Gruppe „WordPress Sicherheit – Hackerangriffe, Sicherheitslücken, etc.“
Und hier kann man sich kostenlos anmelden und einen Filter für WordPress erstellen: https://www.cert-bund.de/
-
Diese Antwort wurde geändert vor 2 Jahren, 3 Monaten von
bscu.
Bei FB bin ich nicht
Cert kenn ich, zumindest unseres in AT, wo ich die Feeds hole: https://cert.at/de/. Mal sehen, ob die auch einen Filter für WP haben.
Beim DE Cert wäre das also dieser Permalink.
Naja, irgendwie wäre mir faulen Menschen lieber, wenn mir das als Newsletter serviert würde. Oder als Feed. (Beim AT Cert hab ich RSS, aber die kennen WP nicht …?)
Danke!
@pezi
Naja, irgendwie wäre mir faulen Menschen lieber, wenn mir das als Newsletter serviert würde.
Registrieren, anmelden, Abo anlegen und schon bekommst du die Infos per Mail
Kriege sowas eh auch vom österr. Cert.
Nur: da kommt alle paar Monate was, immer ein paar hundert News auf einen Rutsch. Und davon verstehe ich vielleicht 1%. (sind eben nur News für IT-Spezis, nix für Laien)
Und bez. WP ist da nie was dabei.
Es gab halt mal so Dienste, welche NL nur zT. WP versandten, das auch noch in verständlicher Formulierung. Doch die sind alle weg …
PS: Hab mich grade beim DE Cert anmeldet und da kann man echt ein Suchprofil (zB. „WordPress“) nicht nur definieren, sondern auch als Abo anlegen. Cool. Gespannt bin, was da kommt.
Gespannt bin, was da kommt.
Im Idealfall nichts, denn das würde bedeuten, dass keine Sicherheitslücke in WordPress gefunden wurde. 😀
Ach die schreiben mir nicht, wenn Herr Gutenberg auswandert oder WP 6.0 als Standardbildschirm im Tesla kommt? Hmmm …
PS: ja, keine Meldung ist idF. gut!
-
Diese Antwort wurde geändert vor 2 Jahren, 3 Monaten von
pezi.
Danke.
Naja, so Website-Scanner gibts ja etliche, doch bisher sind alle ausgestiegen, sobald Cloudflare hinter der zu untersuchenden Site steht.
SIWECOS Schnell-Check scheint aber ok und die Zusatzservices scheinen mir wertvoll.
Problem hab ich aber mit so lapidaren Meldungen wie:
Unsicheren JavaScript-Code verwendet
Es wurden „DOMXSS-Sources“ gefunden.
Kling recht besch… aber wo, was, wie, warum und wie beheben sagen die nicht …
@mrcashde
back 2 topic.
Mit “ wie ich diesen Vorfall am besten kommuniziere“ meinst du, wie du deine User benachrichtigst, was du ja tun musst, wenn es die Chance gibt, dass personenbezogene Daten betroffen sind?
Oder hast dich einfach vertippt und uns triggert das Wort „kommunizieren“ in einem anderen Kontext?
Grundsätzlich helfen ein paar Basic-Things, um nicht mehr gehackt zu werden:
+ Den Admin-Account so gut wie geht NICHT benutzen – und daher automatische Updates einschalten.
+ Ergo: Für das Texte-Schreiben usw einen zb Redakteursaccount machen.
+ /wp-admin/ mit einem htaccess-PW versehen, dann kommt keinern in das Backend
+ Caching verwenden, weil dann nur statische Dateien ausgeliefert werden und die Angriffsvektoren geringer sind.
-
Diese Antwort wurde geändert vor 2 Jahren, 3 Monaten von
souri.
