 Hallo? Ja. Perfekt. So. Guten Morgen. Ich freue mich, dass so viele da sind und sich für das Thema WordPress-Website-Hacking interessieren. WordPress-Website-Security. Ich habe eine Frage an euch. Besten Website wurde schon einmal gehackt. Sind schon ein paar. Okay, cool. Und vielleicht wissen uns die einen oder anderen vielleicht gar nicht, dass die Website gehackt wurde. Wieso ist Website-Security so wichtig für uns? Wieso ist es für Dienstleiter so interessant, sich mit dem Thema zu beschäftigen? Wieso ist es für jemanden, der einen Onlineshop hat, betreibt interessant sich mit dem Thema zu beschäftigen? Das Thema ist sehr aktuell und man möchte ja natürlich nicht, dass die Website, die man online hat, die einen Umsatz bringt, dann einfach offline ist, keinen Umsatz bringt und die Daten verloren gehen. Und deshalb ist es für uns wichtig, sich mit diesem Thema zu beschäftigen. Mein Name ist Bart und ich zeige euch, wie man WordPress-Website-Hacking hacken kann. Eines vorweg, eine Warnung. Der widerrechtliche Eingriff in ein Computersystem ist strafbar. In Österreich nach dem Paragraf 118a des Strafgesetzbuches gibt es eine Freiheitsstrafe von bis zu drei Jahren. Also keine Kleinigkeit. Und wenn ich heute über Hacker spreche, dann meine ich natürlich auch Frauen. Ich möchte euch kurz erzählen, wieso ich so sehr für dieses Thema brenne. Ihr habt doch sicher schon mal was von den Panama Papers gehört. Die Panama Papers, das sind Dokumente, die veröffentlicht wurden. Es wurden 11,5 Millionen E-Mails, 2,6 Terabyte an Daten veröffentlicht im Jahr 2016 von einem Whistleblower. Und zwar die Daten stammen von einer Rechtsanwaltskanzlei Mosak von Säcker, den Panama das Unternehmen hatte. Und das Interessante an diesem Fall ist, dass dieser Whistleblower nur zu diesen Daten gekommen ist und sie veröffentlichen konnte, nur aus dem Grund, weil ein WordPress-Plagin nicht aktualisiert war. Das war diese Möglichkeit hineinzukommen in das System. Und zwar bei diesem Plagin hat es sich um den Revolution Slider gehandelt. Der wurde, diese Sicherheitslücke war schon zwei Jahre lang bekannt und wurde dann 2016 eben ausgenutzt und der Hacker konnte anhand dieser Sicherheitslücke, die sehr gut dokumentiert war, eine Webshell-Hochladen und dadurch Zugang zum der Perforzeichnis bekommen und konnte sich dann mal umschauen. Und durch das umschauen, hat er auch gesehen, nachdem er sich umgeschaut hat, hat er auch gesehen, dass der E-Mails, der Mailserver auf der gleichen Maschine lag, wieder Webserver. Und oft ist es ja so, dass bei einem Hack nicht eine Kleinigkeit, eine Sicherheitslücke dazu führt, dass es zu dieser Katastrophe kommt oder wie in dem Fall zu diesem glücklichen Zufall, sondern es ist oft eine Verkettung von mehreren Problemen. Das heißt, es kommt, es gibt irgendwo diese Sicherheitslücke, diese Einsitzstelle und dann gibt es dann falsche Datei-Rechte, also Datei-Rechte, die falsch gesetzt wurden, dann die Architektur des Ganzen ist fehlerhaft und dann kommt es eben zu so einem Problem. Und wie soll ich so begeistert bin von diesem Fall ist, die Auswirkungen, die das hatte, diese Kleinigkeit, dieses Plagin, was nicht aktualisiert war, so was kleines, lächerliches, hat eben dazu geführt, dass weltweit bekannte Persönlichkeiten wegen Geldwäschedelikten und Politiker eben zurückgetreten sind und steuerinteressante Steuerkonstrukte an das tageslich gekommen sind und dadurch sind eben Politiker zurückgetreten, nur wegen dieser einen Kleinigkeit, weil diese Sicherheitslücke vorhanden war. Und ich möchte euch zeigen, wie so ein Hake funktioniert oder wie es so ähnlich funktioniert hat, wie es passiert ist, dass dieser Angreifer es geschafft hat, in das System zu kommen. Die Fragen darüber gefahren wir am Ende dann. Also im Grunde weiß man natürlich das nicht ganz genau, wie das funktioniert hat. Wir haben das Glück, dass Wordfans ein Sicherheitsplagin anbieter es geschafft hat, zeitnah ein paar Tage danach herauszufinden oder nachzuvollziehen, wie das Ganze von Staaten gegangen ist und wie es dazu gekommen ist. Was ich jetzt habe, was ihr hier seht, das ist Kali Linux, das ermöglicht uns, ganz viele Tools auf Anhieb zu haben. Das ist ein toller Werkzeugkoffer, wenn man jetzt eben Security Audits macht und Penetration Tests und wir haben einfach von Haus aus eine unglaubliche Vielzahl an Tools, die uns zur Verfügung stehen, um eben mal zu schauen, was alles möglich ist. Als Vorbereitung habe ich eine lokale WordPress-Installation hier für euch vorbereitet und habe es geschafft, was nicht einfach war, ein Revolution-Slider-Plagin noch aufzutreiben in einer alten Version, findet man heute nicht so häufig. Was mir natürlich sehr hilft, ist dieses Portalexploit-Database und unter anderem ist eben diese Sicherheitsplagin, was dazu geführt hat, dass diese Webshell hochgeladen werden konnte, ist auch sehr gut dokumentiert auf diesem Portal. Was ich hier habe ist etwas anderes, hier möchte ich eine Datei runterladen und hier ist ziemlich gut beschrieben, wie man das macht und was welche Voraussetzungen es gibt. Und hier sehe ich auch zum Beispiel den Proof of Concept, wo ich hier einfach eine Datei runterladen kann und es wird beschrieben, wie ich eine Datei runterladen kann. Also in Wirklichkeit kinderleicht, wie man einfach bestimmte Sicherheitslücken ausnutzen kann. Welche Datei glaubt ihr, ist interessant für den Angreifer? Die WPconfig Datei wollen wir uns jetzt holen. Revolution Slider ist aktiv, ich laufe mich aus, kopiere mir diesen Link hier, weil ich natürlich weiß, dass jetzt der Revolution Slider in dieser Version zur Verfügung steht und siehe da, ich lade eine Datei runter, ok, mal sehen, was in dieser Datei ist. Ok, es schaut ziemlich interessant aus, ich würde sagen, da sind mal die Zugangsdaten zum, das ist meine WPconfig und da sind die Zugangsdaten zu Datenbank, auch die Soul-Tashes sind drinnen, also die Sicherheitsschlüssel von WordPress, mit denen ich dann zum Beispiel in der Datenbank das Passwort entschlüsseln könnte. Also wie ihr seht, es ist ein sehr einfacher Vorgang, weil natürlich die Anleitung da ist, weil jemand diese Sicherheitslücke gefunden hat und auch vielleicht ein Skript vorbereitet hat und ich kann mir sehr leicht hier helfen, indem ich einfach diese Anleitung durchgehe und das nachvollziehen kann. Ist das jetzt ein Einzelfall, ist das jetzt so eine Seltenheit, dass sowas passiert? Definitiv nicht. Weil erstens, wir haben sehr, sehr viele WordPress-Installationen weltweit, das sind circa ein Drittel und mehr aller Webseiten weltweit werden mit WordPress betrieben und letzte Woche, wo ich die Präsentation vorbereitet habe, habe ich einmal gegoogelt, wie viele Versionen von diesem Sliderplagin immer noch online sind oder einem Sliderplagin unter der Version 4.1 und es sind noch so über 4.000, die Google noch im Index hat und der Grund für die Sicherheitslücke oder die Einbrüche, der liegt bei über 90% bei den Plagins. Danach kommen die Films und dann der WordPress Core. Und Plagins mit Sicherheitslücken nach dem Sucuri Report sind eben welche, die ihr sicher auch kennt, sagt Form 7 und so weiter. Und letztens habe ich auch gesehen, dass Elementor auch angegriffen wird und Elementor ist auch sehr beliebt und auch über eine Sicherheitslücke kann man auch eine Webschall über Elementor hochladen. Wie geht es ein Hacker an die Sache heran? Ihr habt es jetzt gesehen, ich habe das ziemlich schnell mal, bin das Ganze durchgegangen und aber da gibt es auch grundsätzlich zwei Herangehensweisen. Die erste Herangehensweise ist, die für die meisten Angriffe sorgt und zwar automatisierte Angriffe über Bots. Und die zweite Herangehensweise, das sind individuelle Angriffe von einem Individuum, von einer Gruppe, einem Kollektiv, einem Staat. Und bei den, wo wir uns, wo die meisten Angriffe eben stattfinden, das sind diese automatisierten über Bots. Und grundsätzlich geht es dann darum, ganz viele WordPress Installationen zu scannen. Dann weiß man natürlich, welche WordPress Version mit welcher Plagins dann diese Sicherheitslücke haben. Man hat ja die Anleitung, man hat fertige Skripte, die man ausführen kann und dann wird zum Beispiel ein Kryptologer hochgeladen und dieser Kryptologer verschlüsselt dann die Datenbank und schickt dann in WordPress Admin automatisch dann eine E-Mail mit einer Lösegeldforderung. Und das ist zum Beispiel so ein beliebter Fall, wo eben das automatisiert stattfindet, ganz schnell über ganz viele Website. Und da geht es gar nicht darum, dass dann irgendwer rausgepickt wird, sondern da geht es einfach nur um nach gießkannen Prinzip, um zu streuen. Das heißt, jede WordPress-Webseite, die öffentlich zugänglich ist, ist in Gefahr sozusagen. Ich habe eine gute und eine schlechte Nachricht für euch. Die gute Nachricht ist, man kann sich sehr gut gegen diese Sicherheitslücke, also diese automatisierten Angriffe, die diese öffentlichen Sicherheitslücken angreifen, wehren. Man muss nicht viel Zeit und viel Aufwand investieren. Es ist auch nicht komplex, sich dagegen zu wehren. Aber da kann man über 90 Prozent dieser Angriffe sehr, sehr gut abwehren. Und die schlechte Nachricht ist, wenn ihr als Ziel von einem Hacker ausgesucht werdet, weil ihr Zugang zu sensiblen Daten habt, zu lukrativen Daten, dann ist es sehr schwer, sich dagegen zu wehren. Aber das sind die allerwenigsten Angriffe und vor denen muss man sich nicht fürchten. Außer man hat natürlich jetzt sensible Daten. Aber was kann man jetzt machen? Man legt die Hände in den Schoß und sagt, okay, kann man nichts machen? Nein, je mehr Hürden man dem Hacker auferlegt, je mehr Hürden man einbaut, desto eher wird dieser Hacker von einem Lasten und dann hat man natürlich schon Erfolg. Je mehr man sich um die Sicherheit der eigenen Website kümmert. Weil es gibt ja genug einfache Angriffsziele. Ich habe jetzt einen üblichen Einbruch hier. Da geht es um Daten, die man transferieren möchte. Der erste Schritt ist natürlich, man schaut sich mal an. Man hat eine Vorbereitung, man möchte anonym unterwegs sein. Die Anonymität ist über proxy Chains möglich, die das Tor-Netzwerk verwenden. Und man setzt eben so ein Tool wie Kali Linux ein und bereitet mal alles vor. Als nächstes will man natürlich jetzt, hat man ein konkretes Angriffsziel und welches lukrativ ist, wo es sich auszahlt, viel Zeit zu investieren. Man geht nach dem Blackbox-Ansatz vor und diese Phase wird Mapping und Reconnaissance genannt. Das heißt, man versucht unbemerkt so viele Informationen wie möglich zu erlangen. Dazu verwendet man Tools wie den Network-Mapper, um herauszufinden, welche Ports offen sind, welche Backend-Technologien eingesetzt wird. Dieses Tool ist auch sehr leise und man kann unbemerkt herausfinden, ob irgendwelche Firewalls dazwischen sind, die man umgehen kann und so weiter. Rekondoc gibt auch zum Beispiel Hueys, Datenpreis und es ist eine Ansammung von zahlreich interessanten Tools. Und Open Source Intelligent Tools, das ist zum Beispiel Google. Es gibt welche, die kostenpflichtig sind, die die öffentlichen oder halb öffentlichen Plattformen durchgehen. Google eignet sich auch ganz gut über Google-Dorking, um herauszufinden, welche Plagines mit welcher Version gerade auf einer Installation laufen. Ich habe das kurz gezeigt oder ich habe euch kurz erzählt, ich habe letzte Woche eben ge-googelt und habe gesehen, dass 4.000 Versionen von einem Plagin in einer bestimmten Version öffentlich sind. Zuerst über Google kann man einfach diese Information erlangen und dann hat man schon seine Angriffe, die man starten kann. Wenn wir jetzt genug Informationen gesammelt haben, dann kommt die Discovery-Phase und dann geht es darum herauszufinden, wir wissen ja, welche Technologie gerade eingesetzt wird. In unserem Fall ist es WordPress. Und wir möchten jetzt mehr über diese Technologie herausfinden. Und eines der besten Tools ist WP Scan. Hier gibt es eine Datenbank, die immer aktuell gehalten wird, wenn man WP Scan startet. Und man kann eben die Datenbank schauen, die dort gibt es alle Sicherheitslücken und die werden dann abgeglichen mit der Version, die gescanned wird, wenn natürlich so ein Scan zugelassen ist. Nikdo ist auch sein ähnliches Tool, ist nicht nur speziell für WordPress, aber ist ziemlich laut, also man es wird leicht erkannt. Und mit Burbsuit kann man HDTP Anfragen manipulieren, um herauszufinden, was alles, worauf das System anspringt oder nicht. Und wenn man jetzt genau weiß, es gibt diese Sicherheitslücke, es gibt WordPress mit dieser Version dieser Sicherheitslücke, dann geht es darum, diese Sicherheitslücke als nächstes auszunutzen und eine Anleitung dazu zu finden, zu diesem Exploit. Ich möchte ja wissen, okay, ich möchte ja nicht so viel Aufwand reinstecken und ich schaue mich mal um, hat nicht jemand zu dieser Sicherheitslücke schon etwas gefunden. Und eine Anleitung habt ihr ja schon gesehen, die ich eben selber auch benutzt habe mit einem Proof-of-Konzept auf Exploit-Debis. Und dann gibt es auch ein paar andere Plattformen, die regelmäßig diese Anleitungen veröffentlichen. Und jetzt kommen wir zu diesem Hauptding, dieser Exploit wird ausgenutzt. Es gibt diesen Zugriff. Und beim Zugriff ist es so, ein Tool wird, also die Sicherheitslücke wird ausgenutzt. Und das ist sozusagen der Eintrittspunkt. Und wenn das geschafft ist, werden weitere Tools nachgeladen. Die brauchen wir eben, um uns das ganze Netzwerk genauer anzuschauen. Und wenn wir uns das ganze Netzwerk angeschaut haben, können wir eben herausfinden, welche anderen Server, wie schaut die Netzwerkinfrastruktur aus, welche anderen Server gibt es, gibt es interessante Dateien. Was kann ich machen? Kann ich ein Backdoor noch installieren und so weiter und so fort. Und wenn ich dann eben interessante Dateien gefunden habe, wie im Fall von den Panama Papers, dann hole ich mir die Dateien. Aber vielleicht nicht alle auf einmal, sondern über einen längeren Zeitraum, damit das nicht sofort auffällt. Tools dafür sind Metasploit. Hier kann man, hier passieren schon mehrere Sachen auf einmal bei Metasploit. Es wird automatisch die Sicherheitslücke erkannt. Und auch das Skript für das Ausführen, zum Beispiel das Hochladen der Webshell, ist automatisch auch dann drinnen in diesem Prozess. Also ein ziemlich cooles Tool, welches uns viel Zeit erspart. Esquarell-Injections-Excessor für Cross-Site-Scripting-Attacken und Comics für Code-Injections. Das sind die Tools, die man bei einem Angriff verwendet. Aber die Tools, die ich jetzt genannt habe, können auch in der Phase davor gut verwendet werden, um zum Beispiel herauszufinden, welche weiteren Sicherheitslücken auch noch möglich sind oder gefunden werden. Wenn man jetzt keinen Erfolg hat mit diesen Punkten, also man hat keine Sicherheitslücke gefunden, man ist hier nicht weitergekommen, gibt es immer noch die beste Sicherheitslücke, und zwar den Menschen. Und das kann dann über Human Hacking können wir hier weitaus leichter auf, wenn man die Fähigkeit besitzt, an Daten herankommen. Und zu guter Letzt setzt sich der Hacker nicht ab und geht auf Urlaub. Nein, er schaut, dass noch eine Bector irgendwo versteckt wird. Und oft ist es sehr schwierig, die zu finden, dann muss man wirklich alle Daten löschen. Oft sind diese Bectors dann als kryptische Strings dann irgendwo in der Thein versteckt und können dann über Get-Parameter, können dann Admin-User aktiviert werden im Nachhinein. Das ist deshalb so, weil man vielleicht später auch noch mal vorbeikommen möchte als Hacker oder diesen Zugang weiterverkaufen will. Und wenn man noch länger im Geschäft bleiben möchte, dann löscht man noch alle möglichen Logs und schaut, dass man nicht auffällt und räumt auf. Kann man sich jetzt dagegen wehren? Man kann sich eben sehr gut wehren. Es gibt zahlreiche Sicherheitsmechanismen und die Frage, die wir uns oft stellen und die ich häufig höre, ist, ist WordPress sicher? Ja, definitiv. Es gibt zahlreiche Sicherheitsmechanismen, die für die Sicherheit sorgen. Die sind von Haus aus dabei und bei den meisten muss man sich gar nicht umkümmern. Wenn man zum Beispiel Sicherheitsfunktionen, wenn man selber Plagien entwickelt, dann gibt es auch zahlreiche Sicherheitsfunktionen, die von WordPress angeboten werden. Manche Sachen wie die Two Factor Authentification, die ist natürlich mühsam, aber schützt uns hier bei der Sicherheit. Was passiert jetzt, wenn man gehackt wurde? Kann ich mich jetzt irgendwie, wie wäre ich mich dagegen? Ich musste erst einmal erkennen, ob ich gehackt wurde. Oder ich muss, welche Anzeichen gibt es, dass ich gehackt wurde? Ich sehe vielleicht einen White Screen of Dev, das heißt, ich sehe gar nichts, ein Blank Screen. Oder ich sehe, dass Fehler ausgegeben werden, was häufig passiert, kein Zugang zu Datenbank. Ich sehe engartige Dateienordner auf meinem Webserver, wenn ich mich natürlich mit der Softwarearchitektur von WordPress ein bisschen auskenne, mit den Dateiverzeichnissen fällt mir das vielleicht auf. Ungewöhnliche Dateienhalte, kryptische Dateienhalte am Ende der Dateien. Und engartige Admin-Users wurden angelegt, die ich gar nicht kenne. Und was häufig auch so waren, ich auch denke, wenn ich jetzt überlege, wurde die Website gehackt oder nicht. Das ist, wenn die Website langsam ist. Und dann, oder ich merke es auch am Umsatz, wenn ich einen Online-Shop habe und wenn ich ein hohes Google-Ranking habe und auf einmal dieser Umsatz einbricht, dann kann das natürlich, muss nicht damit zusammenhängen, aber das ist vielleicht auch ein Anzeichen. Google hat gecheckt, dass ich eine Mailwehr auf meinem Webserver habe, auf meiner WordPress-Installation und tut mich downgraden. Ja, so fehlerhaftes Layout, Spam-Inhalte, Verlinkungen auf fremde Seiten, Hinweise von einem seriöse Hinweise einerseits von jemanden, der erkannt hat, dass meine WordPress-Installation für Phishing-Angriffe verwendet wird. Und dann andere Nachrichten, vielleicht von einem Hacker, wo einfach ich darauf hingewiesen werde, okay, die Website wurde gehackt, ich werde hier ein paar Bitcoins überweisen. Und auch beim Blog-Listing von meiner Webseite. Wenn ich jetzt erkannt habe, ja, jetzt wurde ich wirklich gehackt, was mache ich? Ich habe Panik, ich muss schnell das lösen. Und wie kann ich das jetzt lösen? Ich habe sieben Schritte zusammengestellt, wie man erkennen kann oder nach einer erkannten Manipulation, wie man vorgehen sollte. Also als erstes auf jeden Fall kühlen Kopf bewahren. Mal sehen, was von außen von dieser Webseite sichtbar ist oder welche Anzeichen gibt es, irgendwelche Anzeichen. Und da bietet Sugary seinen Side-Check, der mir sagt, okay, Webseite wurde geblocklisted, gibt es eine Mailware. Es ist jetzt nur eine Kleinigkeit, dauert ein paar Sekunden, aber ich kann zum Beispiel von außen mal sehen, was jetzt mit der Webseite los ist. Dann ist ein Zugriff möglich. Kann ich mit meinen Zugangsdaten auf den Web-Space, auf dem Web-Hoster, auf die Datenbank zugreifen? Sind die noch aktuell? Ich sollte auch so schnell wie möglich den Web-Hoster kontaktieren, um vielleicht auch eine Lösung zu finden. Es kann ja auch sein, dass es nichts mit mir zu tun hat. Wenn ich einen Shared-Host habe, dann kann es natürlich sein, dass ich von einer anderen Seite, von einem anderen Kundenkonto vielleicht diese Infektion da ist und die nichts mit meinen Sachen zu tun hat. Und jetzt sollte ich auf jeden Fall den Zugang sperren und schauen, dass ich alle Zugangsdaten aktualisiere und natürlich nicht vergessen, die WordPress Security Keys, die Sold-Hashes zu aktualisieren, damit dann alle User dann ausgelockt werden und sich dann wieder einloggen können. Als nächstes schaue ich, dass ich für Nachforschungszwecke die infizierten Daten runterlade, die Datenbank und die Dateien und Ordner und damit ich daraus lernen und später herausfinden kann, was da passiert ist. Um sicherzugehen, dass dann nichts, nicht irgendwo eine Bektor versteckt wurde, löscht meine ganzen Daten, Daten-Datenbank und hoffentlich habe ich ein sauberes Backup, ein aktuelles sauberes Backup, welches ich dann unverzüglich installieren kann und aufsetzen kann und kann dann als nächstes nachforschen, schauen, ob ich jetzt in den Log-Daten hinweise, darauf finde, was es für eine Sicherheitslücke war, welches Plagin dazu geführt hat, dass dieser Heck passiert ist. Wenn ich das Backup aufgesetzt habe, sollte ich natürlich bestenfalls schon wissen, was dazu geführt hat, dass dieses Problem entstanden ist. Ich aktualisiere alles und schaue, ob jeder Security-Sicherheitsplagin, welches ich habe, richtig konfiguriert ist und wenn alles geglückt ist, veröffentliche ich natürlich wieder die Website und beobachte sie laufen. Zu guter Letzt, den Punkt habe ich jetzt nicht als achten Punkt, aber ich sollte grundsätzlich das zur Anzeige bringen, was passiert ist, damit es dann eine höhere Gewichtung bekommt beim Bundeskriminalamt, damit mehr Ressourcen lukriert werden können, um dem ganzen entgegenzuwirken. Man muss natürlich auch angeben, wenn personenbezogene Stammdaten hier auch in Mietleidenschaft gezogen wurden. Wie schaffe ich jetzt, dass meine WordPress-Website sicher ist vor diesen Angriffen? Ich habe zu guter Letzt noch 9 Tipps für euch zusammengestellt, wie ihr schauen könnt, dass eure Website sicher ist. Die Basis ist immer unser Webspace, also der Webspace Provider. Und der sollte im besten Fall eine IDES-WARF und eine EPS haben, also Intrusion-Detection, eine Web-Application, Web-Application Firewall und eine Intrusion Protection System. Das ist die Basis, und das haben nicht viele, also die Bekannten bieten das nicht an, wie Host Europe, Domain Factory, haben das vielleicht nicht in diesen Basispaketen, aber zum Beispiel Wreckspeed hat das. Und wenn man jetzt eine Website hat, mit die Umsatz bringt, sollte man auch doch schauen, dass ebenso ein Schutz von außen gewährleistet ist, damit ein Angreifer nicht diese Tools verwenden kann, so leicht verwenden kann, die ich euch vorhin genannt habe. Was auch gut ist, ist, dass man automatisch meine Updates aktiviert in der WP-Config, dass man 2-Factor-Authentification verwendet, dass man ganz wichtig laufende externe Backups hat und die auch testet auf einer Subdomain, auf dem gleichen Webspace, dass man eben leicht schnell wieder das Ganze hochfahren kann, wenn ein Angriff stattgefunden hat, wenn es Website offline ist. Ich sollte auch die WordPress-Default-Einstellungen vermeiden, also keinen Admin-User mit Admin-Benutzernahmen, ich sollte auch starke Passwürde verwenden, das Login verstecken, damit es nicht bei Bruteforce-Attacken leicht zugänglich sichtbar ist und kryptische Datemank-Prefixes sind auch nicht schlecht. Also alles, was man eben in diesen Setup am Anfang durchführt, sollte man eher schauen, dass man hier bisher nachdenkt und Alternativen sich überlegt. Ein Sicherheitsplagin ist sicher nicht verkehrt, das heißt, man schaut das, dass man eines von den Bekannten, auch wenn sie kostenlos sind, besser ein kostenloses ASKAR-Kinds verwenden. Und meine Favoriten sind WordPress, Sucury, All-in-One, WordPress Security und iPhone Security. Und WordPress und Sucury sind ziemlich bekannt dafür, regelmäßig Reports herauszugeben, und sie sind wirklich dran und schauen das dann wirklich, die kennen sich sehr gut aus, die veröffentlichen auch regelmäßig jährlich Reports zu Sicherheitslücken und Problemen rund um WordPress. Dann feilen die Dinge im WP-Admin, die aktivieren über die WP-Config, XML-RPC, die aktivieren über HT-Access und WP-Config, über das die Functions-PHP von FIM. Und zu guter Letzt natürlich der wichtigste Tipp, so wenig Plagins wie möglich verwenden und also so sparsam wie möglich, nicht einfach nur für jede Kleinigkeit ein Plagin verwenden und alles auf dem Laufenden halten. Seit letztem Jahr schreibe ich an einem Buch über WordPress Security und WordPress Webseiten hacken und sichern. Und ich möchte der WordPress-Community etwas Praktisches Interessantes zum Nachschlagen anbieten, damit einfach sehr leicht immer für die Sicherheit gesorgt werden kann. Mein Ziel ist es, dass die Webseiten, eure Webseiten, WordPress-Webseiten sicher sind. WordPress sollte mit Sicherheit ein tolles CMS bleiben. Und ich habe was für euch. Wer eine Liseprobe möchte, schreibt mir heute eine E-Mail und kriegt eine Liseprobe zugeschickt. Ja, das war's. Vielen Dank. Ich freue mich auf die Fragen. Ich bin noch die nächsten Minuten da. Vielen Dank für den Vortrag. Inwiefern sind Klone von der Webseite ein Sicherheitsproblem? Also, wenn man für Staging Zwecke mehrere Klone anlegt, die dann vielleicht ein Doktor veraltet sind, wo man sich nicht um jeden genau dann kümmern kann. Inwiefern ist da die Sicherheitslücke? Bei Klonen von der Hauptseite für Staging Zwecke, wenn man die Seite klont, um die Sachen anzuprobieren und die dann nicht löscht. Ja. Ja, ja. Es ist, ich meine, wenn es auf dem gleichen Webspace liegt, sicher, es ist eine Eintrittsmöglichkeit und Staging-Entwicklungen schütze ich immer. Also, die sollten gar nicht zugänglich sein, öffentlich. Also, wenn sie öffentlich nicht zugänglich sind, dürfte das kein Problem sein. Ja, also das iklar. Also, wenn jetzt keiner zugelaufen kann, wenn die Webseite offenend ist oder in einem geschützten Rahmen, dann brauche ich mir keine Gedanken machen. Aber, wie du es schon richtig sagst, wenn ich eine Kopie habe und die nicht aktualisiere, weil ich denke, mir ab und zu ist das was. Und ich will nur ein bisschen testen. Natürlich ist das eine Eintrittsmöglichkeit für den Hacker, logisch, ja. Kann man auch mehrere Security-Plagines verwenden oder vertragen sich die nicht? Ja. Einmal habe ich mir das auch gedacht, je mehr, desto besser. Ja, also, erstens, das kennt sich sicher, bei WordPress kommt es manchmal zu Konflikten, wenn man viele Plagines hat und ich würde definitiv sagen nur ein gutes Plagin und wenn man schon sagt, okay, das eine Plagin gefällt einem und es passt ganz gut und man ist happy, dann sollte man sich auch die kostenpflichtige Lizenz von diesen Plaginen zulegen und das hilft einem, wenn das Plagin selber umfangreich ist, passt das. Was ich auf jeden Fall sagen kann, natürlich nicht jedes Plagin kann alles abdecken oder aber es deckt schon, wenn ich ein Plagin habe, ein Sicherheitsplagin und ich muss sagen, 90% aller Features, die ich benötige, werden gut damit abgedeckt und für die Restlichen muss ich natürlich selber handanlegen und da ist eben mein Buch ganz gut geeignet, damit man seinen Überblick hat und ein gutes Verständnis dafür hat, was vielleicht eventuell noch fehlen könnte oder wie ich es testen kann, damit ich weiß, okay, außerhalb dieses einen Plagins, welches ich habe, was ich noch machen kann, damit es sicher, aber sagen wir zu 99% oder 98%. Ja, wo ich eben an den Buch zu schreiben, habe ich mir gedacht, hey cool, es gibt alle möglichen Sachen, die ich selber machen kann, wo ich gar keinen Plagin bräuchte. Nur, es ist auch, wenn man jetzt sagt, okay, man will alle Punkte durchgehen, dann ist es schon aufwendig, dann muss man sich schon tief damit beschäftigen, tiefer gehend, mit all diesen Themen und dann hat man trotzdem vielleicht, wenn man jetzt nicht täglich damit zu tun hat, ein flaues Gefühl, da habe ich jetzt alle Punkte abgedeckt oder nicht. Ich würde sagen, es kommt eben auf die Wettbeisinstallation an, wie wichtig sie mir ist oder wie sicher sie sein sollte am Ende, welche Daten ich schützen muss usw. Zuerst Dankeschön, dass wir uns noch ein paar Fragen schreiben, weil das ist ja heute mehr idealismus, als das mal eine Einkommenswelle. Und ich habe ein paar Fragen, die ich versuche, kurz zu passen, jetzt vielleicht zum Thema verschiedene Plugins passen, das dazu, dass der wenig XML-RPC abdrehen, da gehört wahrscheinlich auch dazu, REST-AP abdrehen. Die eine Frage dazu ist, viele Tools bieten das per Checkbox und schreiben es dann einfach in die HTXS. Das heißt, wie schließt dazu, die unterschiedliche Tools sind jetzt nicht secure, aber sonst steht das ein Tool für WordPress Firewall, nicht whole application Firewall. Und ein zweites Tool hast du jetzt für den Heid vom Admin. Und weil es dazu einfach ist, das sind beiden Tools, z.B. diese Checkbox, REST-AP abdrehen, XLR abdrehen und jetzt kriegt man dort, man kriegt man da, doppelt gemoppelt, Problem oder steht es halt doppelt in der HTXS, okay? Ich denke, es ist, mein Ziel ist es, immer so wenig Plugins wie möglich zu verwenden. Am besten, und wenn man sich eh so auskennt, wie du das eben oft zählst, es ist das und jenes, ich würde nie ein Tool für eine Sache verwenden. Erstens, es ist der Aufwand, du musst dir an alle Sachen trotzdem denken. Ich würde eins von den Pluginanbietern verwenden, eben, die ich aufgelistet habe und wenn sie jetzt eben nicht 100% von allen Features abdecken, dann kann ich ja noch das ein oder andere nachziehen. Ich würde aber diese Sachen definitiv nicht, ich hoffe nicht, dass das jemand über einzelne Plugins macht und ich habe eben, deshalb beschäftige ich mich in dem Buch damit, wie ich das ausbalancieren kann oder was notwendig ist bei den einzelnen Sicherheitsplagins, welche ich verwende, was dann noch wichtig ist zu ergänzen. Aber ich hoffentlich nicht für jede Kleinigkeit ein Plaginier. Und kann ich das so sagen, aus dem Bauch heraus, dass wenn ich mir jetzt als Wertpress-Webseiten-Grader, Ersteller, Schmalschur-Entwickler bewusst bin, also wenn ich jetzt nicht weiß, dass ich jetzt eine Funktion habe, die definitiv rest-up gebraucht, XLR und RPC, einfach standardmäßig abdrehen. Also ich frage mich manchmal, soll ich es jetzt abdrehen, oder ob ich es mal abdrehe und was passiert oder gibt es da irgendwie eine kleine Checkliste, die ich durchgehen kann, ich brauche es oder brauche es nicht. Es geht ja nicht nur auf komplette Systeme, wenn es geht ja auch manchmal auch nur vielleicht zum Beispiel für ein Custom Pro Style oder so, oder für Endebefelder, das kommt ja schneller voran. Ja, es ist oft ein Trial and Error. Ich habe es schon mal begleitet, bei XML RPC ist es sowieso veraltet und wir haben eh die Rest-EPI von WordPress, somit würde ich sagen, es hängt auch so ein bisschen ab mit der Aktualität meiner WordPress-Installation, mit dem ganzen System, welches ich installiert habe, hat auch bisschen damit zu tun. Natürlich, wenn ich jetzt ein älteres System habe, eine ältere Webseite und dann tue ich mir natürlich schwerer hier, und muss vielleicht dann wirklich so mit diesen Plugins patchen und hoffen, dass alles dann passt oder mit diesen Kleinigkeiten und ich tue mich wesentlich leichter, wenn alles up to date ist und ich dann gar nicht mehr auf irgendwelche alten Schnittstellen zugreifen muss. Das ist zusammenfassend, wenn es quasi aktuell ist oder jetzt ein neues Projekt XML RPC komplett abdrehen wenn ich weiß, ich möchte was anbieten in die Richtung. Man muss ein bisschen auch darüber nachhängen, ich will jetzt nicht zu allgemein sagen, aber es ist sicher nicht verkehrt. Je weniger ich dem Angreifer anbiete, desto besser für mich. Danke vielmals. Hört man mich? Ich möchte noch fragen, inwiefern kann ein Service wie Cloudflare meinen Websites schützen? Kann, kann durchaus. Aber es gibt auch Mechanismen, die Cloudflare gut umgehen können. Also es ist einfach ein Proxy, der mir schon Schutz anbietet. Aber es ist, also ich habe bei der, wo ich mich damit beschäftigt habe, habe ich gesehen, dass es gar nicht kompliziert ist, das zu umgehen. Ich habe aber auch im Vortag vorhin gesagt, mir hört nicht ein, desto besser. Aber ich kann nicht jetzt davon ausgehen, dass, wenn ich wirklich sensible Daten habe, dass jetzt alles, dass es alles gut läuft. Also das, für 100 % Sicherheit kann ich nie Sorgen. 100 % gibt es nicht, aber es macht wirklich was? Ja, ja klar. Ja sicher, es ist ein Proxy, es ist wie eine Web Application Firewall, es bietet mir schon, ein bisschen Schutz, damit die Domäne schon es ermöglicht, es hilft mir auf jeden Fall. Die letzte Frage, oder die letzten 2 Fragen? Jetzt habe ich eine Frage. Also ich backup täglich meine Websites. Cool. Nur das einzige Problem, ich habe viele Seiten, die große Mediatheken haben. Und wenn ich die jetzt täglich backupe, geht mir irgendwann ein Speicherplatz aus. Was ich jetzt gemannt habe, ist, ich habe bei diesem Backup Plugin, alles gebacken, die Daten markt den Uploads Folder. Das wollte ich dich fragen, ist das ein Problem? Können Bilder, sage ich mal, mit Schadsoftware hinzugefügt werden, oder sage ich mal, ist es okay den Uploads Folder weg zu lassen, um das Speicherplatz auszugehen? Ja, es ist wirklich alles, auch Bilder sind in Gefahr. Es ist wirklich, ich würde sagen, vielleicht öffentlich zugänglich bekannt, wie das Verzeichnis ist und so weiter. Ich würde schon sagen, wenn, einmal, ich weiss nicht, wie häufig deine Mediensammlung anbächst, wie schnell und so weiter, aber wenn es jetzt nicht so rasant ist, dann würde ich schon jetzt nicht so häufig das natürlich aktualisieren, aber schon ab und zu. Genau. Selbst in Bildern kann was sein. Es ist einfach so, wenn du auf Nummer sicher gehen möchtest, dann würde ich das schon auf jeden Fall beigappen. Das Buch ist sehr aktuell, es wird auch laufend weiter entwickelt, weil das Thema auch so aktuell ist. Das Buch gibt es aktuell nur als Leseprobe, weil ich noch dann schalbe und die bekommt ihr zugeschickt, wenn ihr mir eine E-Mail schickt. Danke schön. Kannst du uns verraten, wie du Google benutzt hast, um das Vorkommen bestimmter Plug-in-Version zu checken? Ja. Noch mal, was hat die Frage? Ja, noch mal die Frage. Kannst du uns verraten, wie du Google benutzt hast, um herauszufinden, welche Plug-in-Version wir häufig und wo installiert sind? Ich kann das schnell schauen, ob ich das nicht hier habe. Hier ist eine ganze Liste von Google-Sucheabfragen, die ihr verwenden könnt, um an mehr Informationen zu kommen. Einfach hinter Exploit-Debinar schauen. Wie gesagt, es muss im Index sein und es muss öffentlich sein, der Teilverzeichnis. Und mit diesen Google-Darking kann ich einfach an einige Informationen herankommen. Ich habe jetzt erst gelesen, dass in E-Richt 24 steht, dass man eigentlich WordPress gar nicht verwenden soll, weil es einfach IP-Adressen speichert. Jetzt würde ich fragen, was du dazu sagst und noch eine Frage, wie versteckt man die WP-Admin-Login-Seite? Also zu Dattens? Es gibt sicher das Thema mit der Datenschutz-Grundverordnung und im Detail muss man sich das natürlich anschauen, je nachdem, ich finde WordPress ein sehr gutes Tool, aber es kann sein, dass es jetzt, wenn du zum Beispiel, wenn es wichtig ist, die Datenschutz-Grundverordnung zu beachten im Sinne von, dann kannst du dir das ja auch bekannt geben oder du kannst eine Einwilligung dir einholen. Also es gibt auch Sukuri, falls man jetzt eben sagt, WordPress ist wegen der Speichung der IPs, wenn man es nicht anonym schalten kann, dann muss man natürlich, das hat aber auch, also VPNs und so weiter, speichern das auch die IPs und man kann es ja tracken, außer man verwendet eben Tor oder so, aber man hat zum Glück noch ein paar andere Möglichkeiten. Ah, verstecken. Einfach über ein Plagin, all in one WordPress Security hat es auch so ad hoc bei den Brutforce-Attacken kannst du einfach einen anderen, statt WP-Admin kannst du einfach was anderes eingeben, irgendein anderes Wort und dann wird das einfach umgeleitet und ist nicht aber über WP-Admin zugreifbar. Das ist wichtig, weil WP-Admin kennt ja jeder und kann dann einfach drauf zugreifen. Einfach über ein Sicherheitsplagin. Ja, vielen Dank. Wir können ja später weiter klatschen. Also, kannst du mich anschalten?