Wordpress Agentur

Aktuelle Seite: Start / Archiv für Webdev

Webdev

von

DDOS Atacke bei best-bottles.de erfolgreich abgewehrt

Heute konnten wir einen Kunden, den Spirituosen Versand best-bottles.de erfolgreich von einer DDOS-Atacke befreien. Seine WordPress-Installation wurde anfänglich von einem russischem BOT-Netzwerk, später noch von einem litaunischem BOT-Netzwerk angegriffen.

DDOS Angriff abgewehrt
DDOS Angriff abgewehrt

Zeitlicher Verlauf des DDOS Angriff

2016-04-26, 16:39:34 : erster Request des BOT-Netzwerkes
2016-04-26, 16:51:54 : Das BOT-Netz startet den Angriff
2016-04-26, 17:39:10 : Die Infrastruktur gerät ins straucheln. Anfragen dauern sehr lange (>30s)
2016-04-26, 18:02:05 : Die Infrastruktur bricht zusammen, Anfragen werden teilweise nicht mehr beantwortet (502, Bad Gateway)
2016-04-26, 18:02:05 : Das Überwachungssystem meldet uns einen Serverausfall
2016-04-26, 18:07:22 :Wir beginnen mit der Analyse des Angriffes
2016-04-26, 18:15:07 : Wir haben das Problem erkannt und stellen eine Liste von BOTs zusammen
2016-04-26, 18:17:02 : Die Firewall wird neu konfiguriert, das bisher identifizierte BOT-Netzwerk wurde ausgesperrt

FAZIT des DDOS Angriff

Gegen einen DDOS Angriff ist kein Kraut gewachsen. Wenn die Angreifer genügen Resourcen zur Verfügung haben, kann ein DDOS Angriff nicht verhindert werden. Wir haben aber gut und schnell reagiert und den Ausfall auf ein Minimum reduziert. Es sei an dieser Stelle erwähnt, dass der Angriff auf das System „nicht erfolgreich“ gewesen ist. Die Kundendaten in dem System waren zu keiner Zeit gefährdet. Wichtige Zahlungsdaten (wie z.B. Kreditkarteninformationen oder Kontotransaktionen) werden eh nicht auf dem Kunden-Webserver gespeichert.

Update 2016-04-26, 21:37:05

Neben dem russischem BOT-Netzwerk kam nun noch ein Litaunisches BOT-Netzwerk dazu. Wir waren aber auf der Hut und es ist nicht zu einem Ausfall gekommen.

 

von

WordPress 4.4 RC1 veröffentlicht

Am letzten Mittwoch, 25. November 2015 ist der Release Candidate für die neue WordPress Version 4.4 veröffentlicht worden.
Zu den Neuerungen gehören:

  • Das neue Theme TwentySixteen
  • responsive Images
  • Erweiterung der eingebetteten Objekte nach dem oEmbed Standard
  • erste Phase der REST-API (ehemals REST-API-Plugin)
  • Metadaten für Terms
  • verbesserte Ausgabe des Title-Tags
  • Performance-Verbesserung im comment-query

Wir testen gerade selber intensiv um unseren Kunden eine Empfehlung zum Update geben zu können. Das öffizielle Release-Datum von WordPress 4.4 soll der 08. Dezember 2015 sein.

von

WordPress 4.3 BETA 3 veröffentlicht

Am letzten Donnerstag, 15. Juli 2015, hat das WordPress Entwickler-Team das dritte BETA Release von WordPress 4.3 offiziell zum Download bereitgestellt.

Download WordPress 4.3 BETA 3

Es wird ausdrücklich darauf hingewiesen, dass es sich um ein BETA-Release handelt, welches nicht in einer Produktionsumgebung eingesetzt werden sollte. Trotzdem wollen/sollen wir WordPress Programmierer unsere WordPress-Plugins und WordPress-Themes mit dem BETA-Release testen.

Wie bereits in den letzten beiden Blog-Artikeln bekannt gegeben, gab es erwartungsgemäß im dritten BETA keine Neuerungen. Es wurden nur Bug-Fixes durchgeführt.

Das Release ist für den August 2015 geplant. In der Regel wird ein Monat vorher ein Code-Freeze eingeleitet und die Entwickler arbeiten nur noch am BugFixing und bringen keine neuen Funktionen mehr hinein.

von

WordPress 4.3 BETA 2 veröffentlicht

Gestern, am 08. Juli 2015, hat das WordPress Entwickler-Team das zweite BETA Release von WordPress 4.3 offiziell zum Download bereitgestellt.

Download WordPress 4.3 BETA 2

Es wird ausdrücklich darauf hingewiesen, dass es sich um ein BETA-Release handelt, welches nicht in einer Produktionsumgebung eingesetzt werden sollte. Trotzdem wollen/sollen wir WordPress Programmierer unsere WordPress-Plugins und WordPress-Themes mit dem BETA-Release testen.

Zu den Neuerungen von WordPress 4.3 BETA 2 zählen:

  • Menüverwaltung: Menü-Handling wurde verbessert
  • Site-Icon: Site-Icon-Handling wurde verbessert
  • Bugs: Über 100 Änderungen (unter anderem Bug-Fixes) wurden in der Woche seit der Veröffentlichung des WordPress 4.3 BETA 1 Releases durchgeführt.

Das Release ist für den August 2015 geplant. In der Regel wird ein Monat vorher ein Code-Freeze eingeleitet und die Entwickler arbeiten nur noch am BugFixing und bringen keine neuen Funktionen mehr hinein.

von

WordPress 4.3 BETA 1 veröffentlicht

Am letzten Donnerstag 02. Juli 2015, hat das WordPress Entwickler-Team das erste BETA Release von WordPress 4.3 offiziell zum Download bereitgestellt.

Download WordPress 4.3 BETA 1 Es wird ausdrücklich darauf hingewiesen, dass es sich um ein BETA-Release handelt, welches nicht in einer Produktionsumgebung eingesetzt werden sollte. Trotzdem wollen/sollen wir WordPress Programmierer unsere WordPress-Plugins und WordPress-Themes mit dem BETA-Release testen.

Zu den neuen Features von WordPress 4.3 BETA 1 zählen:

  • Menüverwaltung: Es gibt nun eine Live-Preview des Menüeditor.
  • Site-Icon: Endlich kann das favicon im Backend festgelegt werden.
  • Mobile-Devices: Die Ansicht der Posts und Pages (List-View) wurde für schmale Geräte angepasst.
  • Securitry: Das wichtigste Update betrifft aber die Passwort-Sicherheit. Passwörter werden nicht länger per Mail verschickt und es werden „sicherere“ Passwörter vorgeschlagen.

Das Release ist für den August 2015 geplant. In der Regel wird ein Monat vorher ein Code-Freeze eingeleitet und die Entwickler arbeiten nur noch am BugFixing und bringen keine neuen Funktionen mehr hinein.

 

von

WordPress Security Teil #2, Sicherheitslücken im Core

Im ersten Teil meiner WordPress Security Serie ging es darum das Backend gegen Brute Force Angriffe abzusichern. Im heutigen Teil soll es darum gehen die WordPress Sicherheitslücken im Core zu sichern.

WordPress Sicherheitslücken im Core absichern

Viele werden sich nun sicherlich Fragen: „Was kann ich denn gegen Sicherheitslücken im WordPress Core machen?“. Das ist auch tatsächlich eine gar nicht so leicht zu beantwortende Frage. Der „Enduser“ von WordPress oder der reine Blog-User kann sicherlich nichts gegen Sicherheitslücken im WordPress Core anrichten. Auch wir als WordPress Profis haben da nur eingeschränkte Mittel.

Der reguläre WordPress User schaut in den Core in der Regel gar nicht rein. Er wird also möglicherweise erst durch die Medien von einer Sicherheitslücke in Kenntnis gesetzt. Wenn ein User erfolgreich angegriffen wurde, werden meist wir Profis gerufen und dann geht es in erster Linie um Schadensbegrenzung.

  • Lücke finden
  • Lücke schließen
  • Lücke melden
  • auf Update warten

Das sind für uns Profis die begrenzten Werkzeuge die wir haben. Der Core ist und bleibt heilig. Er darf auf keinen Fall angepasst werden (dafür ist das Core Team zuständig).

Nun gut, warum schreibe ich heute einen zweiten Teil über ein Thema, wo man so wenig machen kann? Wie bereits erwähnt können wir an den Sicherheitslücken im WordPress Core sehr wenig machen. Wir können aber verhindern dass die Sicherheitslücken größeren Schaden anrichten.

Security vs. Usability

Ich muss mal einen kurzen Abschnitt zur WordPress Security einwerfen. Security vs. Usability ist immer ein großes Thema. Ich bin schon in „WordPress Security Teile #1“ bei den sicheren Passwörtern auf diese Problematik eingegangen.

Je sicherer ein System ist, je schlechter ist die Usability!

Spätestens morgen werden einige Kommentare auf mich hereinprasseln, wie ich so was in die Welt setzen kann. Es gibt auch sichere benutzerfreundliche Systeme werden andere Blogger sagen. Nein wird meine Antwort sein, die gibt es nicht. Es ist immer eine individuelle Meinung. Es wird sicherlich hunderte von Menschen geben, die ein 12 Zeichen langes Passwort mit Sonderzeichen für benutzerunfreundlich halten; Und die die am lautesten schreien, werden spätestens nach dem 10 mal eintippen auf dem iPad meiner Meinung sein.

Also um es kurz zu fassen.
Wir müssen uns zwischen Sicherheit und Benutzerfreundlichkeit entscheiden oder einen guten Kompromiss finden.

WordPress Schreib- & Leserechte

Ich werde ganz häufig gefragt wie ich die Schreib- & Leserechten des Dateisystems einer WordPress Installation handhabe. Das kann so global nicht beantwortet werden und hängt sehr von dem Kunden und dessen Anforderungen an Komfort und Usability ab. Am liebsten würde ich Allen alle Schreibrechte entziehen. Geht aber leider nicht immer. Schauen und diskutieren wir die einzelnen Verzeichnisse mal durch:
Anmerkung: Ich gehe in den Beispielen davon aus, dass der Web-Server-User ein anderer ist, als der SFTP (FTPS-User).

/wp-admin/*, /wp-includes/*

Es gibt nur eine einzige Situation, wo ins wp-admin Verzeichnis geschrieben werden muss. Nämlich beim Update. Wenn der Webserver-Prozess in das Verzeichnis schreiben darf, kann ein Angreifer Dateien modifizieren oder neue anlegen. Wenn wir die WordPress Installation via FTPS oder SFTP auf den Webserver kopiert haben, dann kann man dem Ordner also eine 7-5-5 Berechtigung geben (so der FTPS/SFTP User ein anderer ist, wie der Webserver-User).

Vorteil:

Ein potentieller Angreifer kann keine Dateien im wp-admin-Ordner verändern oder neue anlegen.

Nachteil:

Das automatische Update funktioniert nicht mehr, weil eben der Web-Prozess die Dateien selber nicht überschreiben darf. Hier ist ein kurzer Klick zum Update notwendig, sowie die Eingabe des SFTP/FTPS User / Passwortes. (Sicherheit vs. Usability)

/wp-content/uploads/*, /wp-content/cache/

Der Webserver muss in diese beiden Verzeichnisse rein schreiben dürfen. Wir müssen Ihm (leider) ein Schreibrecht einräumen. Diese beiden Ordner bekommen also eine 7-7-5 Berechtigung. Nun haben wir hier einen potentiellen Angriffspunkt geschaffen. Ein Angreifer könnte in Zusammenhang mit einer Sicherheitslücke PHP-Dateien in diesen Ordner ablegen und ausführen. Wir verbieten deshalb gleichzeitig den direkten Zugriff auf die .php Dateien.

Dazu legen wir eine .htaccess Datei mit folgendem Inhalt in die betreffenden Ordner:


<Files *.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>

Die Zeile „Allow from 127.0.0.1“ ist übrigens dafür, damit z.B. CRON-Jobs in den Ordnern vom localhost dort ausgeführt werden dürfen.

Alle anderen Ordner

Alle anderen Ordner benötigen meines Erachtens keinen Schreibzugriff. Auch der Theme-Ordner oder die Plugin-Ordner nicht! Natürlich das Update muss jetzt von Hand durchgeführt werden. Aber dafür ist es sicherer. (Security vs. Usability)

Was haben jetzt die Schreibrechte mit dem WordPress Core absichern zu tun?

Es passte gerade an diese Stelle. Es hat nicht direkt etwas mit dem WordPress Core absichern zu tun. Es verhindert aber, dass sich ein Angreifer unkontrolliert im selbigen ausbreitet.

Updates

Das wichtigste sind Updates. Sehen Sie zu, dass Sie zeitnah alle Updates installieren. Gerade solche, die als „Kritisch“ getagt sind. In der Regel ist es so, dass wenn Sicherheitslücken bekannt werden, diese im Security Team besprochen und so lange „geheim gehalten“ werden. Es wird ein fix entwickelt und mit der Veröffentlichung der Sicherheitslücke steht auch ein Update bereit.

Es währe ja Wahnsinn alle Sicherheitslücken von WordPress zu veröffentlichen, ohne vorher einen FIX anzubieten. Das wäre ja eine Einladung an alle Hacker, nach dem Motto:

Ihr braucht keine Lücken zu suchen, wir sagen Euch wo die sind!

WordFence

Durch die Installation und richtige Konfiguration von Plugins wie z.B. WordFence wird auch im WordPress Core ein großer Bereich überprüft. Das WordFence Plugin prüft die WordPress Installation gegen das WordPress Repository und meldet veränderte Dateien. So werden zumindest erfolgreiche Angreife sehr schnell erkannt und können bekämpft werden. Das Plugin prüft aber noch viel mehr, darauf gehe ich aber in den einzelnen Teilen weiter drauf ein.

Natürlich prüft WordFence auch die Version der Core-Files und meldet via Mail ob Updates zur Verfügung stehen.

So, genug für heute, im nächsten Teil geht es um die Absicherung der Themes.