WordPress Sicherheit

Nachdem einige sehr bekannte Domains in Österreich gehackt worden sind. Hier ein paar Tipps wie Sie Ihre persönliche Firmen Verein oder Blog absichern können. Der Post ist etwas länger und hat 2 Teile Einführung plus Admin Tipps.


Die @anonaustria Opfer
Einige der bekanntesten Opfer der letzter Tage und Wochen waren Österreichische Seiten die entweder einer Partei oder Öffentlicher Natur waren. In fast allen fällen wurden Daten veröffentlicht und als Beweis bereitgestellt.

FPÖ                                                    Redirect htacces
ÖVP                                                    Redirect htacces
GIS                                                      Redirect htacces
Tiroler Krankenkasse                    Search Engine
BMI Wien                                          Search Engine
Polizei Datentenbank                    Search Engine
statistical analysis by  Leo Sour Blog Google Map visualization

 

 

Wie wurden die besagten Institute  gehackt ?

Laut anon “Es fand KEIN Hack oder ähnliches statt. Vielmehr sind wir zufällig drüber gestolpert.”, durch Zufall eindeckt  um genauer zu sein Suchmaschienen indexiert die Webordner  des TGKK , BMI oder deren Partner eine Einfache Suche mit einigen wenigen Parameter reicht um die Daten zu finden. Anleitungen dazu gibts auf jeder besseren Google Search Seite und bei Google selber. Heute braucht man kein Computer Führerschein um eine Google Suche durchzuführen jeder 12 Jährige kann das heute. Doch es wird oft vergessen es gibt nicht nur Google andere Kulturen andere Suchmaschienen welche sich nicht immer an  alle regeln halten. Russische suchmaschinen sind bekannt das sie die Robot.Txt gerne ignorieren Chinesische suchmaschienen sind besonders aggressiv im aufspüren von inhalten.

“ia_archiver”, “Yandex”, “Rambler

Bei genauerer Betrachtung würde ich eine Belohnung für das Aufdecken der Sichehitslücken vorschlagen die bei 1% des Millionen Schweren IT Kosten eines der Institute liegen sollte. So ist es zumindest in den US Üblich die besten Leute für eigene Dienste zu Rekrutieren. Wie am beispiel  Apple welche den bekannten  19 Jahre alten  iPhone hacker  Jailbrake coder  Nicholas Allegra, auch bekannt unter @Comex anheuerte.

Webtech Basiswissen
Wie verhindere ich Google indexierung von sensiblen verzeichnissen wie SQL backup directorys, Erstellen einer Robot.Txt Datei die unerwünschte Indexierungen auf Suchmaschienen  vermeidet .

 

Warum sollte ein Hacker eine kleine Webpage hacken ?

Eines der großen Irrtümer die man zu oft hört . Jeder Webspace is ein guter Wirt für weitere bösartige aktionen ob das nun Spam im grossen Stiel ist oder Lande Verkaufseiten für zweifelhafte Produkte

Wie sicher ist mein Server Host ? 
Die Recherche zu Server Sicherheit  Bereich hat selbst mich überrascht. Google betreib  ein Service “Safe Browsing  Diagnostic Advisory Page” welche Auskunft gibt welche Seiten und wie viele Seiten eines webhosts Kontaminiert bzw wie viele Kunden und welche Domains bereits Blacklisted sind bei Google. Auch wenn oft veraltete Software eines der Gründe sind warum sich Server zu Zombies mutieren ist doch meist der grund unzureichende Server Sicherheit. Die Paltete reicht von Installierten spoof oder shoping portallen , bis zu redirect hacks auf weitere schadhafte Seiten.

Hier ein kleiner Auszug Google Diagnose Österreichischer Hosts

UPC   , Silverserver , Nessus World4You ,

Überprüfung der eigenen Seite :

https://www.google.com/safebrowsing/diagnostic?site=MEINESEITE.COM

 

Als Webadmin hat man über das Webmast Tool von Google Einblick nehmen welche Files die Ursache sind.
Die Alarm Glocken können schon frühzeitig angehn wenn man bemerkt das die Seite ungewöhnlich langsam werden. Oft sind die Gründe das der Host unter Hacker Angriffen zu leiden hat und sogenannte Bots versuchen durch lücken- in das System einzudringen um Ihren Code zu platzieren. Weiter Anzeichen sind plötzlicher Traffic Anstieg oder massiver Abfall. Ohne Eitel zu sein ein blick in die Stats gehört zum Sicherheit relevanten Aufgaben eines jeden Webseiten Betreibers.

Der Google Bann Hammer
Google ist sehr  schnell im auffinden von Bösem Code und viren aller art . Findet er eine veränderte Seite welche umleitet  “redirected” auf eine “Schlechte Seite” wird sie aus allen Google Suchergebnissen heraus genommen. Im Best Case bekommt der Seite Admin eine Email im worst case bemerkt er selber nichts von dem meist gut versteckten code  da die Seite wie immer funktioniert. Das die  Seite  vollständig aus den Suchergebnissen von Google verschwunden ist bzw verbannt wurde fällt meist erst spät auf . Erst kürzlich wurde eine WordPress Plugin Entwickler von Google Blackgelistet sein Plugin war über eine Million mal verbreitet und linkte auf sein Server . Alle wurden von google auf die Schwarze Liste gesetzt  da sie auf eine vermeintlich infizierte Seite linkten. Gewollt oder indirekt spielt in diesem fall keine rolle .

Der Redirect Hack
Eine der Häufigsten Sicherheits hacks im moment angewendet auf unzählige Seiten, mit dem Effekt Besucher auf einschlägige xxx oder Pillenkauf Seiten umzuleiten ohne das der Webadmin es bemerkt. Beliebt sind Umleitungen von Such Anfragen von Google Bing ,Yahoo Twitter
Es besteht nur im seltensten fall Interesse die Webseite lahmzulegen sondern unbemerkt Umleitungen zu installieren die den Trafic auf E-Shoping Portalen umleiten.

Technisches Details dazu :
Die htacces im root wird verändert so das alle Suchergebnisse von Suchmaschienen wie Bing Yahoo google und andere zu einer gewünschten Zieladresse (Kaufportal, virenseite ) umgeleitet werden.

 

Sicherheits  – Update Update Update 
Es gibt kein 100% sicheren Webplatz  doch einige allgemeine Muster sind  in letzter Zeit auffällig. Die Angriffe erfolgen meist aus Länder mit schwachen bis nicht existenten Internet Recht. Wie Polen ,Russland und die Turkey oder TOR Netzwerken. Die Angriffe sind meist automatisch mit Script Roboter Software  durchgeführt, d.H es ist kein manueller Menschlicher sondern ein voll automatisches programm welches nach gewisse code Schnipsel oder Version sucht um zu erkennen ob der Webplatz angreifbar ist. harmlose test Post sind bereits ein zeichen das ein Roboter versucht einzudringen.

Ein WordPress Security Plugin um Länder zu Blocken ist IQ Block Country  einfacher als über htacces ganze IP ranges einzugeben. Das Plugin arbeitet mit der  GeoLite database von Maxmind.

Die ansicht einiger dieser Indtuder code schnippsel hat mich nicht schlecht staunen lassen , einmal in einem order plaziert … via Passwort zugriff geschützt und mit einer Tarnkappe für suchmaschienen getarnt . Durchsuchen Sie automatisch  alle Sicherheits relevanten files und Ordner ändern  File und Ordner permissions listen config, Backup ,SQL dumps und password files . Ein altes nicht aktiviertes Template oder Plugin reicht meist schon als Wirt für das “Virus” um dem Angreifer unbeschränkten zugriff auf den gesamten Webplatz zu geben.

IP Länder Block :

Man kann einzelner IPs den zugriff auf den Webspace blocken , auch ganzen IP ranges oder Länder welche man in die htacces einträgt . Wenn man z.B nicht unbedingt besucher aus China oder Polen braucht kann man das Unterbinden. Eine serh hilfreiche Seite um die IPs dieser Länder zu finden ist countryipblocks. Man wählt links das Land das geblockt werden soll sowie  das Format htaccess deny .
Das sieht dann so aus
2436 Netzwerke mit fast 17 Millionen Subnets sind geblockt aus Polen

# Country: POLAND
# ISO Code: PL
# Total Networks: 2,436
# Total Subnets:  17,953,128
deny from 31.0.0.0/15
deny from 31.2.0.0/17
deny from 31.6.64.0/21
deny from 31.6.128.0/17
.
.
Roboter zugriff auf wp-post.php verweigern

mit folgender zeilen vermeidet man das die Script Roboter direct auf die

SQL Absichern 
Jede weiterverbreitete Blogging CMS Plugins Software sind auch die beliebtesten Ziele für Skriptkiddie und andere Angreifer. Meist werden die vorgeschlagenen Standard Parameter übernommen somit ist ein automatisches eindringen ein Kinderspiel.

SQL    wp_   ändern  in irgend etwas anderes z.B haix23_

Solle Wordpess bereits installiere sein kann man das auch im Nachhinein ändern mit folgendem Befehl .

Some htacces sequre solutions:

Abschalten von Php Error Reports
Solle ein Fehler auf der Webseite möglich sein wird bei Error Report On der Vollständige Server Pfad zum File angezeigt wo der Fehler aufgetreten ist. Durch die Pfad Angabe sind Tür und Toor geöffnet für weitere Ziele. Soeben gesehen auf einer Führenden Medien Unternehmen am Zend  Server.
Error reports sind hilfreich für Admins und Test Zwecke im laufenden Betrieb sind sie Sicherheitskritisch.  Nur zu oft gesehen das Directory listing aktiv ist , findet der Besucher einen Ordern ohne index werden alle Inhalte am Browser gelistet.

 

Österreichische Medien Artikel , Twitter Accounts dazu.
@Futurezone  Jeder kann in Österreichs sensible Daten Googeln
#Kurier
#Standard

Scanner and more  :

Stopp Badware  (Google Empfohlen)

My Digital Live WordPress Hacks  

WordPress Expliot Scanner