Inhalt des Artikels.
Wie ich bereits in den letzten Tagen schrieb, ist dieser Blog ein Opfer von Hackern geworden. Zu Neudeutsch war ich ein sogenanntes Script-Kiddie-Opfer. Das hat man nicht daran erkannt, dass Milchzähne gefunden worden, aber ein befreundeter Blogger der sich dem Bloggen, über das Hacken verschrieben hat, klärte mich darüber auf, dass es gegen die Ethik der echten Hacker verstößt, solche Seiten wie meine anzugreifen und zudem noch auf FSK 18 Seiten zu verweisen. Wie dem auch sei, ich habe den Verdacht, dass hier eine Sicherheitslücke eines der zahlreichen Word-Press-Plug-ins genutzt wurde, um Smartphone Betriebssysteme auf jugendgefährdende Seiten zu lotsen. Dies soll allerdings nicht das Thema dieses Artikels sein.
Addons und Plugins, die auch vor Hackern schützen sollen.
Ein sehr sensibles Thema ist der Schutz des eigenen Blogs vor Hackern und vor allem solchen Menschen, die sich für solche halten. Sie verfolgen mich schon mein ganzes Internetleben lang mit ihren klebrigen Tentakeln und wollen nur mein Bestes, mein Geld. Der Verlust der Reputation, das zerstörte Gesamtbild und die viele Arbeit, die man nach der erfolgreichen Übernahme am Bein hat, ist in Arbeitsstunden nicht zu bemessen.
Reste von Angriffen beseitigen, das Aufräumen nach der Hacker Party.
Hier bedarf es im Ernstfall zuerst eines konkreten Verdachts, eine Recherche mit verschiedenen Betriebssystemen, wie Android, Windows, Mac oder auch Linux. Bei dem Angriff auf meinen Blog waren alle Win Systeme außen vor, so dass der Angriff oder besser gesagt die Übernahme erst ziemlich spät bemerkt wurden. Im konkreten Fall hat es mich fast eine ganze Woche an Arbeit gekostet, nach der ich mich dazu entschieden habe das ganze WP System neu zu installieren und einen Neuanfang zu machen. Also alles für die Katz. Aber wie kann man sich davor schützen?
Sicherheits Plugins für WordPress.
Eine sogenannte eierlegende Wollmilchsau gibt es nicht. Ganz genau genommen kann man seinen Administrationsbereich nur mit der Anlage einer .htacces Datei schützen. Außerdem kann man unter WordPress die Metas verbergen um solchen Bots die Möglichkeit zu nehmen, sich bereits im sichtbaren Bereich einzuloggen. Oder man greift auf Addons, wie bereits oben kurz angesprochen zurück.Viele dieser Addons, darunter auch einige Sicherheitsrelevante Tools für WordPress werden leider nicht mehr gepflegt, da die Gegenseite oft sehr schnell ist mit der Kreation von neuen Hackertools.
Kontrolle durch Ban von IP’s
Im obigen Blog ist oft die Rede von Login-spezifischen Tools, die anhand von IPS, bannen und so Logins gar nicht erste zulassen. Die Frage, die bestehen bleibt, ist die nach einer bestimmten Willkürlichkeit im Reich von dynamischen IP’s. Wer gewährleistet, dass entsprechend gebannte IP-Ranges nicht zufällig Unschuldige betreffen? Dann besteht natürlich noch das ungeschriebene Google-Gesetz, wonach generell Blogs schnell zu sein haben. Natürlich, denn langsame Blogs versauen dem Besucher den Tag. Bei meinen eigenen Surf Aktivitäten möchte ich ja auch nicht bis zum St.Nimmerleinstag auf das Laden von Artikeln warten. Warten, das haben Blogs mit der deutschen Bahn gemeinsam, lähmt.
Kontrollieren des Adminbereiches durch eine .htaccess Datei.
In grauer Internetvorzeit die oft einzige Methode um vertrauliche Inhalte vor fremden Augen zu schützen. Dann kamen die CMS wie WordPress, Joomla & Co und traten ihren Siegeszug an. Hier gibt es auch einige Addons, aber in der Regel ist es kein Problem sich eine solche Datei selbst zu programmieren bzw.umzuändern. Wie das geht, steht in der guten alten selfhtml Wiki.
Fazit zum Thema Sicherheit und Blog.
Als Blogger und Webmaster kommt man nicht darum, seine Passwörter oft zu wechseln und so kompliziert wie möglich zu halten. Das gilt nicht nur für den Blog-Login sondern auch für PHP, MySQL, FTP Server und Mail-Account. Ein Mailaccount wurde mal auf einer meiner Nischenseiten zerlegt. Statt Pflegeprodukte wurde hier fleißig Webung / Spam für blaue Megapillen verschickt.
Die angesprochenden Addons für WordPress Blogs halte ich zumindest nicht für falsch. Um Spammern den Garaus zu machen empfehle ich nicht als einziger Anti Spam Bee, welches auch mit den strengen deutschen Datenschutzgesetzen konform ist. Ob Spammern, die ein ähnliches Potenzial in sich tragen mit den gleichen Mitteln beizukommen ist, kann man nur bedingt zustimmen. Aber wer mit dem automatisierten Scripten xxx Pillen bewirbt, der ist von der Logik her auch ein Webseiten-Veränderer. Verboten ist in Deutschland im Übrigen alles, was Daten verändert. Der blanke Versuch eine Webseite zu übernehmen, war zumindest bis vor Kurzem, nicht verboten.