Massive Angriffswelle auf WordPress-Instanzen!

wordpress-fadenkreuz-290x163
Wie es scheint, greift derzeit mal wieder ein weltweites Botnet WordPress- und Joomla-Installationen an und versucht sich mit dem Nutzernamen «admin» ins BackEnd einzuloggen. Im Eiltempo wird dabei ein entsprechender Katalog aus tausenden Login-Einträgen abgearbeitet. Auf diesem Weg wird versucht, das richtige Passwort heraus zu finden. Die betroffenen Seiten stellen in dieser Zeit eine massiv erhöhte Anzahl an Login-Versuchen – sogenannten «Brute Force Attacken» – fest.

Gelingt es diesen Bots, in eine Installation einzudringen, können die Angreifer ein ungleich mächtigeres und schnelleres Botnet aufbauen, um damit schliesslich wirklich grosse Seiten anzugreifen. Angriffe auf Bankenseiten, haben dieses Vorgehen ja bereits aufgezeigt. Da serverseitig installierte Botnets zuverlässiger sind, als infizierte PCs, liessen sich so wirkungsvollere Attacken fahren.

So schützt du dein WordPress vor Angriffen

Die Informationen, wie man sein WordPress effektiv gegen Angriffe schützt, sind eigentlich weit verbreitet. Trotzdem kann es an dieser Stelle nicht schaden, einige Basics nochmals zu beschreiben:

– Als erstes solltest du den Nutzernamen «admin» vermeiden, resp. von deiner Installation verbannen. WordPress richtet diesen per Default ein und so ist es ein leichtes, Angriffe auf diesen Nutzer zu starten. Dieser Blog beschreibt, wie du den Admin-Nutzer los wirst.

– Dein Passwort sollte sicher sein. Das bedeutet, dass du Eigennamen, persönliche Informationen, einzelne Wörter oder Zahlenfolgen vermeiden solltest. Das Passwort sollte sich aus Zahlen, Sonderzeichen, Gross- und Kleinbuchstaben zusammen setzen. Dabei gilt, je länger, desto besser.

– In meinem Fall hat sich aber auch das Plugin «Limit Login Attempts» bewährt. Zum einen werde ich bei jedem Angriff darüber informiert, dass sich ein Unbefugter Zugang zum BackEnd verschaffen will, zum andern habe ich die Möglichkeit, nach einer definierten Anzahl an falschen Logins, IP-Nummern zu sperren.

– Eine weitere, effektive Möglichkeit, sein BackEnd zu schützen, ist ein Master-Passwort über die Datei .htaccess einzurichten. So wird den Angreifern schon der Zugriff auf das Login-Formular von WordPress verwehrt. Wie das funktioniert, seht ihr in diesem Beitrag. Diese Massnahme entlastet auch den Server, so dass die Ladezeiten deiner Seite nicht in die Höhe getrieben werden.

– Wem dies alles noch nicht reicht, kann ganzen Ländern den Zugriff auf die Page verbieten. Dazu kannst du dir auf dieser Seite beispielsweise sämtliche IP-Adressen der entsprechen Länder heraus picken und diese in deine .htaccess-Datei einfügen. So sollte anschliessend dafür gesorgt sein, dass aus den entsprechenden Ländern keine Attacken mehr gefahren werden können. Dazu lohnt sich initial ein «whois» über den Terminal abzufeuern, um erst einmal heraus zu finden, welche Länder gerade davon betroffen sind. Aktuell scheint es sich um Japan, Türkei und Asien zu handeln.

In 10 Schritten den WordPress-Admin-Bereich schützen.

WhatsApp verliert an Boden.

Diese Diashow benötigt JavaScript.


Kaum ein Tag vergeht, an welchem nicht auf irgend einem Medium eine Meldung zu WhatsApp zu lesen ist. Seit heute ist nun auch bekannt, dass der weltweit angesagteste Messenger den Besitzer wechselt. Facebook hat sich die App nämlich für die beachtliche Summe von 19 Mia. Dollar gekrallt. Dies, obwohl Facebook selber über einen technisch hochstehenden Messenger verfügt. Dieser Kauf macht klar, wie viel dem SocialMedia-Riesen unsere privaten Daten wert sind. Umgerechnet zahlt Facebook nämlich für jeden WhatsApp-Nutzer rund 40 Dollar und macht trotzdem noch immer seinen Schnitt! Aus Sicht von Zuckerbergs Imperium war diese Aquise nichts als logisch und letzten Endes überlebensnotwendig. Wanderte die junge Zielgruppe – für welche Facebook eigentlich auch nie gedacht war – kontinuierlich zu WhatsApp über, lief FB gefahr, an Überalterung zu sterben. Nun haben sie wieder alle «in einem Boot», die alte – zahlungskräftige – Zielgruppe in der Community und die Konsumenten von morgen – bis zu deren Rückkehr zu FB – bei WhatsApp.

Privatsphäre, alles eine Frage des Preises?

Es mag Zufall sein, dass just in der Zeit, als die Übernahmeverhandlungen wohl kurz vor deren Abschluss standen, zum wiederholten Mal publik wurde, dass WhatsApp zumindest ein riesiges Verschlüsselungs-Problem hat. Artikel wurden im Web herum gereicht, in welchen von Fotoklau oder Abhörfunktionen innerhalb der App zu lesen war. Dass auch Facebook ein – zumindest – amerikanisches Verständnis von Privatsphäre kultiviert, ist längst kein Geheimnis mehr und wird dessen Nutzern bei System-Upgrades immer mal wieder in Erinnerung gerufen, wenn persönliche Fotoalben wie durch einen schlechten Zauber öffentlich einsehbar werden. Welche Folgen hat denn nun diese Übernahme? Unvorhersehbare! Und genau da liegt das Problem.
Klar ist, dass jeder Internet-Nutzer unübersehbare Spuren im WWW hinterlässt. Ebenso unbestreitbar teilt man Inhalte von Cloud-Diensten nicht nur mit seinen persönlichen Freunden und wohl keine der abermillionen von Apps trackt nicht auf die eine oder andere Art Nutzerprofile. Google pflanzt Cookies in Browser und dank Analytics finde auch ich den idealen Zeitpunkt, an welchem meine Blogs am besten seine Leser finden. Und hier kommen wir zum springenden Punkt. Ich will als Nutzer selber entscheiden können, welchen Preis ich bereit bin für eine Dienstleistung zu bezahlen. Starte ich eine Suche über Google, bezahle ich mit den Informationen, was, wo, wie ich suche. Nehme ich einen Kartendienst in Anspruch, gebe ich den Entwicklern Auskunft über meine Geolocation-Daten. Lade ich einen Messenger aufs Device, gewähre ich den Machern vielleicht noch Zugriff auf meine Kontaktdaten, in meiner Fotogalerie hat die App aber nichts zu suchen! Greift die App jedoch Informationen und Daten ab, welche nichts mit ihrer Keyfunktion zu tun haben, will ich darüber zumindest offen und proaktiv informiert werden. Alles andere ist Diebstahl und Einbruch oder wer lässt denn heute noch beim Verlassen der Wohnung die Türe offen stehen? Macht es die Sache besser, wenn ein Ami in meinen privaten Dokumenten rum wühlt, als wenn dies eine Schweizer Behörde, ein zugewanderter Europäer, Afrikaner, Asiate oder Marsianer tut?

Ich habe ja nichts zu verbergen.

Diesen Satz kriegt wohl jeder sehr schnell zu hören, welcher sich mit dem Thema Privatsphäre und Web-Dienste auseinander setzt. Die etwas älteren Semester unter uns können sich aber bestimmt noch bestens an die als Fichenskandal in die Schweizer Geschichtsbücher eingetragene Sammelwut und Schnüffeleien des Staates, Ende der 80er-Jahre erinnern. Im Vergleich was jedes Facebook-Mitglied an einem Tag an privaten Informationen in die Welt hinaus posaunt, waren die bis 1990 angelegten Akten – rückblickend – eine Lachnummer! Die staatlichen Auftragsschnüffler von damals würden sich heute verwundert die Augen reiben. Es hat sich einiges getan in den letzten 20 Jahren. Heute ist es noch nicht mal mehr ein Aufreger, wenn über die Medien bekannt wird, dass Vater Staat einen Gesetzesentwurf in der Vernehmlassung hat, welcher es den Behörden erlauben soll – sich bei Bedarf – «legal» in Computer einzuhaken oder Telefonate präventiv und systematisch abzuhören. Wir haben ja alle nichts zu verbergen, also legitimieren wir doch gleich den rücksichtslosen und organisierten Missbrauch von Bürgerrechten …

Dieses Thema liesse sich noch beliebig weiter spinnen. Es ist mir auch bewusst, dass es ein «kampf» gegen Windmühlen ist, wenn ich ins Netz hinaus rufe, verkauft eure Haut/Daten wenigstens so teuer wie möglich und vergesst nie, dass ihr auf Facebook, WhatsApp und wie sie alle heissen niemals privat seid. Deshalb sei es mir an dieser Stelle erlaubt festzuhalten, dass es eben nicht egal ist, wer seine Nase in meine privaten Fotoalben rein hängt, dass es bald jedermann möglich sein soll, zu erfahren, wann ich wo mit wem nach Hause komme. Sexuelle Präferenzen und politische Gesinnung sollen nicht per Generalverdacht persönliche Existenzen bedrohen können und ich will auch künftig wissen, welchen Preis ich für eine entsprechende Gegenleistung bezahle. Ganz zu schweigen, von kommenden Generationen, welche möglicherweise die Bedeutung von Privatsphäre erst einmal googeln müssen.

Alternativen gefragt!

Weil mir freie Entscheidung, Auswahlmöglichkeit, Privatsphäre und freier Markt als schützenswerte Güter erscheinen, mache ich es mir seit je her zur sportlichen Herausforderung, meine «Spuren» zu verwischen, verteilen oder zwischenzeitlich auch mal zu «löschen», indem ich beispielsweise regelmässig Cookies oder Caches lösche. Piwik anstelle von Google Analytics verwende, Fotoalben auf Facebook äusserst selektiv anlege oder Suchanfragen über DuckDuck-Go iniziere und Google so ab und an die lange Nase zeige. Augenwischerei? Mag sein aber die freie Wahl ist mir etwas Wert und deshalb freut es mich immer wieder, wenn sich Entwickler zu den brennenden Themen, Gedanken machen. Wenn wir unsere Privatsphäre selber mit Füssen treten, kann man ja Facebook und Konsorten erst recht keinen Vorwurf machen, wenn sie ihr Geschäftsmodell bis zur – scheinbar – überstrapazierbaren Schmerzgrenze ausreizen.
Abgesehen davon, dass ich selber WhatsApp kaum genutzt habe, bin ich zumindest erleichtert, dass ich meinen Kindern eine Alternative bieten und sie so für die demokratischen Grundrechte sensibilisieren kann, ohne ihnen das Recht auf moderne Kommunikation zu verwehren.
Mit «Threema» stiess ich auf eine App, welche den Nutzer ernst nimmt und seine Privatsphäre respektiert. Dass es sich dabei um ein Schweizer Startup handelt, macht die Sache noch sympathischer. Für einen Unkostenbeitrag von CHF 2.– lädt man sich die App aufs Device und erstellt beim ersten Aufstarten einen persönlichen Schlüssel. Selbstverständlich benötigt auch Threema einen Zugriff auf die Kontaktdaten, diese werden jedoch nur noch verschlüsselt weiter gegeben. Damit ich die App überhaupt benutzen kann, melde ich mich mit einem Code erst einmal an. Dies ist die schlechte Nachricht für alle privaten Schnüffler innerhalb der Familie. Schnell einmal die Chats vom Partner durchforsten ist nicht mehr …

Threema verteilt sich nicht eigenständig, sondern jeder Nutzer bestimmt selber, mit wem er Kontakt aufnehmen will und wer draussen bleiben soll. Will man mit jemandem Kontakt aufnehmen, sendet man der Person via, (verschlüsseltem) SMS seinen persönlichen Schlüssel oder lässt sich von diesem den privaten QR-Code ab fotografieren.

Momentan hat das ganze noch einen entscheidenden Haken. In meinen Kontakten finden sich leider erst eine Hand voll Nutzer, welche auf Threema umgestiegen sind. Dies wird sich jedoch in den nächsten Wochen bestimmt ändern. Bis da hin verwende ich einfach iMessage – sende weiterhin meine Daten an Apple – und warte gespannt, wie sich meine Threema-Community entwickelt. Die CHF 2.– für ein Unternehmen, welches sich dem Thema «Schutz von Privatsphäre» ernsthaft annimmt, waren es mir allemal wert.

Zur Threema Website
Weitere Messenger-Alternativen
Wie die Superwanze «WhatsApp» unsere Privatsphäre aushöhlt
Geheimdienste stecken unter einer Decke.