WordPress Security Guide

Da wir auch in den letzten Wochen immer wieder bei Kunden mit gehackten WordPress Installationen tätig werden mussten möchten wir noch einmal einen kleinen Guide veröffentlichen der helfen soll nicht in solche Probleme zu gelangen. Alleine gestern haben wir wieder einen Kunden Account sperren müssen mit 10 infizierten WordPress Installationen. Das muss nicht sein, vor allem mit Plesk und der WordPress Toolbox stellen wir gute Werkzeuge zur Verfügung.

Angriffsszenarien

Auch wenn es sicher viele unterschiedliche Varianten gibt wie WordPress Installationen geknackt werden, so kann man diese in 3 Kategorie unterteilen:

  1. Angriff auf WordPress Accounts: Über verschiedenste Varianten kann es möglich sein das der Zugriff zu einem Benutzerkonto erfolgen kann, sei es durch zu einfach Passwörter, Viren auf lokalen PCs oder andere Quellen die zum Erfolg führen.
  2. Unsichere Themes oder Plugins: Es gibt eine Vielzahl von Plugins mit bekannten Sicherheitslücken. Kaum jemand hat die Möglichkeit sich über alle diese Fälle zu informieren und zu reagieren. Teilweise ermöglichen auch Kombinationen verschiedener Plugins erst die Angriffszenarien.
  3. Veraltete WordPress Versionen und Plugins: Vor allem WordPress liefert regelmäßig Security Updates für das Kernsystem, aber auch viele Plugin Updates beheben Schwachstellen. Wer einige Wochen lang keine Update durchgeführt hat läuft Gefahr zum Opfer zu werden!

Im folgenden zeigen wir drei grundlegende Dinge auf die helfen WordPress sicher zu halten.

Plesk – Auto Updates

Die WordPress Toolbox in Plesk bietet verschiedenste Möglichkeiten um WordPress Installationen zu managen. Das wichtigste Feature hier aber ist die Auto Update Funktion für WordPress. Diese funktioniert ohne die Notwendigkeit etwas in WordPress selbst zu konfigurieren. Aktiviert die Auto Update Funktion für die WordPress Installation sowie alle Themes und Plugins!
In eurem Plesk Account findet ihr rechts oben einen Link zur WordPress Toolbox für eure Installationen, egal ob diese über Plesk oder manuell installiert wurden.

Über den Punkt Auto-Updates aktiviert ihr die durch Plesk durchgeführten automatischen Updates für eure WordPress Instanzen. Somit wird eine Aktualisierung auch immer dann sicher durchgeführt auch wenn WordPress nicht benutzt wird und kein wp-cron eingerichtet ist.

Passwort Sicherheit

Sowohl Plesk als auch WordPress helfen euch mit der Sicherheit von Passwörtern. Ignoriert nicht die Anzeige der Passwortstärke. Nutzt ggf. wirklich eines der generierten Passwörter. Wenn ihr mehrere Installationen habt nutzt nicht das gleiche Passswort, auch wenn es aufwändiger ist sich mehrere merken zu müssen.

Denkt daran, es gibt mehrere Angriffspunkte, die folgenden Passwörter habt sicher gesetzt:

  • Plesk Controlpanel Passwort (Kundenaccount)
  • FTP Passwort für den Zugang zum Webspace
  • WordPress Admin Account Passwörter
  • Passwörter für E-Mail Adressen (Webmail)
  • Passwörter für die Web-Statistiken

Wordfence Security

Benutzt das Plugin Wordfence Security, wir können dieses ausnahmslos empfehlen! Und mit der wichtigste Punkt: Habt eine E-Mail Adresse eingestellt an die euch Wordfence Security auch Benachrichtigungen senden kann wenn etwas nicht stimmt. Ihr findet dies unter den Wordfence – Options unter dem Punkt „Where to email alerts“.

Wordfence Security hat einige bärenstarke Sicherheitsfunktionen die helfen Angreifer fern zu halten:

  1. Wordfence blockt Angreifer die versuchen Passwörter auszuprobieren, nach Fehlversuchen werden die IP Adressen geblockt.
  2. Wordfence kennt diverse Sicherheitslücken in Plugins und versucht über den eigenen Firewall Zugriffe auf diese Schwachstellen zu verhindern.
  3. Wordfence Security kann die Dateien in der lokalen WP Installation mit denen der originalen Versionen auf den WordPress Servern vergleichen und erkennt sofort wenn Dateien unerlaubt verändert wurden.

Zusammenfassung

Diese drei wichtigen Punkte werden enorm zur Sicherheit von WordPress beitragen wenn sie beachten werden. Des weiteren noch ein paar wichtige Anregungen:

  1. Befasst euch mit euren Log-Files! Diese könnt ihr entweder in Plesk unter dem Punkt „Protokolle“ live einsehen oder aber auf eurem Webspace im Ordner /logs finden. Ganz wichtig ist auch der error_log, allein dieser kann ausreichend Hinweise enthalten auf fehlerhafte WordPress Plugins. Oft findet ihr hier Log Einträge von php zu Fehlern in Plugins die ihr auf keinen anderen Weg zu Gesicht bekommt. Im xfer_log findet ihr Aktionen von Übertragungen die über ftp durchgeführt werden. Im access_log findet man ganz leicht Massenzugriffe von Bots die man nicht möchte.
  2. Haltet euer WordPress wirklich aktuell und befasst euch regelmäßig mit eurer Seite, kontrolliert den Spam Filter für Kommentare, schaut in den Wordfence Scan und kontrolliert die Inhalte eurer Seite und der Medien Datenbank. Ein WordPress welches nicht aktiv als Produktionsseite benutzt wird und euch zum Testen dient sichert einfach mit einem Web Passwort, der Punkt in Plesk:
  3. Weniger ist oft mehr, das gilt vor allem beim Einsatz von Erweiterungen und Themes in WordPress. Deinstalliert Themes die ihr nicht benutzt. Benutzt nur Plugins die ihr „wirklich“ braucht! Wenn ihr merkt das ein bestimmtes Plugin die WordPress Installation besonders stark ausbremst verzichtet auf dieses! In der Regel gibt es auch alternativen.

Mein WordPress wurde gehackt

Wenn ihr feststellt das eure WordPress Installation möglicherweise infiziert ist so sperrt euren Account sofort und informiert uns über unser Ticket System.
Es genügt keinesfalls nur einen Passwortschutz zu installieren! Somit kommt zwar niemand mehr von außen an die WordPress Installation heran, aber eure WordPress Instanz kann trotzdem nach außen hin agieren. Zudem beschränkt sich der Zugriff von eventuellen Backdoors nicht auf die WordPress Instanz selber, Bots / Tools / Viren / Trojaner / Hacks haben Zugriff auf ALLE eure Daten! Ist eine Backdoor aktiv und ihr loggt euch in das WordPress Dashboard ein so kann dieser Schädling in diesem Moment ggf. euer Passwort im Klartext mitlesen und weiter senden!!!
Eure Domains könnt ihr auf der Domain Startseite in Plesk über den Menu Punkt „Sperren“ komplett vom Netz nehmen!

Bitte habt Verständnis dafür das wir bei der Menge an WordPress Installationen auf unseren Servern nicht in der Lage sind uns um jede einzelne zu kümmern. Teilweise werden wir auf Probleme aufmerksam wenn sich einzelne Kunden Domain auffällig benehmen oder ungewöhnliche Ressourcen verwenden. Für die Sicherheit eurer Web-Anwendungen seid in jedem Fall nur ihr allein zuständig!
Solltet ihr Hilfe benötigen bei der Säuberung einer infizierten Webseite so können wir euch dafür keinen Preis nennen. Wir sind gezwungen diese Arbeiten „nach Aufwand und Stunden“ zu berechnen. Die Aufwände dazu sind teilweise enorm und es gibt keine Garantie dafür das sich eine Seite auch säubern lässt. Insbesondere wenn während der Analyse der Angriffspunkt nicht feststellbar wird über welchen die Infektion durchgeführt wurde bleibt oft nur die Löschung der betroffenen Daten.
Backups sind in der Regel wertlos da selten der Zeitpunkt festgestellt werden kann wann eine Infektion stattgefunden hat und unbekannt ist ob die Backups nicht auch die gleiche Sicherheitslücke beinhalten.

Weiterführende Links

Plesk Onyx Einführung

Wir führen auf allen Plesk Webservern die neue Version von Plesk mit dem Codenamen Onyx ein. Während der Migration der jeweiligen Webserver wird das Plesk Controlpanel für einen kurzen Zeitraum von ca. 15 Minuten nicht zur Verfügung stehen. Dies hat keine Einwirkungen auf andere Dienste wie www oder E-Mail. Diese Standard Dienste werden während dieser Zeit nicht unterbrochen!

onyxlogo

vServer bei be-webspace.DE

serverNach dem Erfolg unserer Projekte mit dynamisch konfigurierbaren CloudServern, die wir für Kundenprojekte einsetzen, stellen wir diese Plattform nun allen Kunden zur Verfügung die einen eigenen vServer betreiben möchten oder benötigen.

be-webspace.DE präsentiert ab sofort die Produktlinie CloudServer  S – XL. Hierbei gibt es eine Auswahl verschieden dimensionierter vServer mit Speicherplatz von 125GB bis 1TB. Der Kunde kann als Speichersystem sowohl herkömmliche SATA Festplatten wählen oder sich für deutlich schnelleren SSD Speicherplatz entscheiden. RAM Speicher steht von 2GB bis 48GB (dynamisch) zur Verfügung.

Bei Betriebssystemen kann aktuell gewählt werden zwischen:
Linux: Debian Wheezy, openSUSE, Ubuntu, CentOS
Windows: Windows Server 2008 R2, Windows Server 2012

Die vServer Systeme besitzen viele Funktionen die die Verwaltung vereinfachen: Backupsystem, Automatisierte Backups, RDNS, DNS, Reboot, Repair System, Neuinstallation und vieles mehr.

Aktuelle Übersicht

CloudServer S
8€ / Monat
1 Cores garantiert
2GB RAM / 4GB RAM
75GB SSD
Cloud Funktionen
Plesk Onyx
 
CloudServer M
12€ / Monat
2 Cores garantiert
4GB RAM / 8GB RAM
150GB SSD
Cloud Funktionen
Plesk Onyx
 
CloudServer L
20€/ Monat
4 Cores garantiert
8GB RAM / 16GB RAM
250GB SSD
Cloud Funktionen
Plesk Onyx
 
CloudServer XL
25€ / Monat
8 Cores garantiert
16GB RAM / 32GB RAM
500GB SSD
Cloud Funktionen
Plesk Onyx
 

Die vServer Angebote stehen ab sofort zur Verfügung. Zur Einführung jetzt einen Gutschein sichern und 10€ sparen! Der Gutschein ist gültig bis zum 31.10.2016!

Gutscheincode: bewebspacevserver

WordPress auf SSL umstellen

sslAb sofort unterstützen wir die freie Certificate Authority letsencrypt.org. Damit können sich alle Kunden ein SSL Zertifikat auf ihre Domain installieren und sofort problemlos https benutzen. Dies ist aber nicht nur eine Frage des Zertifikats und der Aktivierung von https. Insbesondere bei WordPress ist noch etwas Nacharbeit notwendig damit ihr wirklich eure Seite echt über https ins Netz stellt und das ein grünes https im Browser erscheint. Habt ihr WordPress bereits länger in Betrieb so sind viele Dinge, vor allem Bilder, auf die direkte http Adresse verlinkt. Da ihr https und http Inhalte nicht mischen dürft um ein grünes https zu erhalten müsst ihr dies anpassen. Bei vielen Beiträgen und Bildern geht das nicht von Hand!
Als erstes macht ein Backup eurer Daten, am einfachsten mit dem Plesk Backup Manager!

SSL Zertifikat installieren

Die Installation des Zertifikates ist äußerst simpel. Geht in Plesk auf die Seite eurer Domain auf welcher ihr SSL aktivieren wollt und klickt unten auf den Let’s Encrypt Link.

letsencrypt_plesk

LetsEncrypt in Odin Plesk

Zertifikat hinzufügen

Zertifikat hinzufügen

Dann prüft/gebt eure E-Mail Adresse an und setzt einen Haken ob euer Zertifikat zusätzlich auch www. beinhalten soll.

Tip:

  • Bei eurer Hauptdomain die ggf. eh schon per www erreichbar ist aktiveren.
  • Bei Subdomains deaktivieren

Mehr ist nicht zu erledigen ihr könnt dann bereits einmal eure Domain via SSL aufrufen und prüfen das das SSL Protokoll funktioniert.

WordPress URL anpassen

Im WordPress Adminbereich geht auf den Punkt Einstellungen > Allgemein. Dort gebt bei den beiden URL Einstellungen das https fest vor!

Wordpress URLs

WordPress URLs

Von nun an wird euer WordPress auf SSL erreichbar sein. In der Regel ist dann das https Symbol in der Adresszeile eures Browsers noch grau. Auf zum nächsten Schritt.

WordPress Links anpassen

Um die Links zu Bildern in Beiträgen etc. anzupassen installiert das WordPress Plugin
Velvet Blues Update URLs.  Mit diesem Plugin könnt ihr die Anpassungen automatisch vornehmen lassen. Ihr findet es nach Installation und Aktivierung im Menu Werkzeuge:

Update URLs Plugin

Update URLs Plugin

Danach sollte eure WordPress Seite vollständig auf SSL funktionieren.

Weitere Probleme

Sollte eure WordPress Seite immer noch nicht vollständig auf SSL funktionieren gibt es nun noch verschieden andere Punkte die ihr ggf. überprüfen müsst. Dies kann behindern:

  • Externe Statistiken und Scripte die noch nicht https nutzen wie Piwik, Analytics und ähnliche Dienste
  • Plugins die externe Daten einbinden
  • Bilder in Templates
  • Header / Logo und andere Bilder im Template
  • Webfonts welche nicht per https eingebunden werden
  • Caching Plugins

Wenn ihr euch selber nicht traut diese ganzen Dinge anzupassen und die Umstellung sicher durchzuführen so könnt ihr die Konfiguration durch unsere Techniker für nur 20,- € ausführen lassen.

WordPress Toolbox in Plesk

Mit der neuen Plesk Version bekommen alle Kunden die neue WordPress Toolbox an die Hand. Diese ermöglicht eine Verwaltung bestimmter WordPress Funktionen aus Plesk heraus. Dabei ist es egal ob WordPress über Plesk Applikationen installiert wurde oder von Hand.
Nun mag nicht jeder gleich verstehen wieso man insbesondere Plugins und Themes auch noch neben WordPress selbst verwalten sollte. Doch es gibt gute Gründe wieso das eine äußert tolle Sache ist.

  1. Solltet ihr das Passwort eures WP Admins mal vergessen haben, mit der Toolbox verschafft ihr euch wieder Zugang.
  2. WP kann den Dienst versagen wenn ihr mal (ungewollt) die URL zu eurer WordPress Seite geändert habt. Hier geht das zu beheben.
  3. Plugins und Themes können durchaus dazu führen das eure WP Installatione nicht mehr funktioniert. Mit der WP Toolbox könnt ihr das entscheidende Plugin oder Design einfach wieder deaktivieren, auch ohne WordPress
  4. Die Toolbox kann alle wichtigen Updates automatisch für euch ausführen. Auch wenn ihr mal im Urlaub seid. Sehr wichtig für das Thema Security!

Ein paar Screenshots.

Server Änderungen IPv6

Wir nehmen aktuell Änderungen an unserer Infrastruktur vor um auf allen Domain IPv6 zu implementieren. Hierbei ändern sich auch teilweise die IPv4 Adressen und der Zugang zu Plesk.

Bitte merken sie sich als einfachste Variante für den korrekten Plesk Zugang für ihre Domain einfach die Kombination aus ihrem Domain Namen, https und den Port 8443. Da darauf kein gültiges SSL Zertifikat vorhanden ist bestätigen sie einfach die Ausnahmeregeln.

Bsp: https://ihre-domain.de:8443 

WordPress CRON in Plesk

WordPress besitzt ein eigenes internes CRON System welches Plugins benutzen können um regelmäßig bestimmte Aufgaben auszuführen. Um das regelmäßig laufen lassen zu können, auch wenn kein Besucher die Seite besucht, kann man das Script /wp-cron.php aufrufen. Die lässt sich sehr wohl über einen der vielen WebCron Services tun.

Einfacher, und unter eurer eigenen Kontrolle aber bietet Plesk bereits eine Funktion für Geplante Aufgaben an mit der ihr das bereits problemlos einrichten könnt.

Geht in Plesk, wählt euren Domain Namen aus und geht zum Punkt Geplante Aufgaben. Klickt dort auf den FTP Benutzer der auch zu eurer WordPress Installation gehört. Wählt dann „Neue Aufgabe planen“.

  • Im Feld Minute gebt alle Minuten an denen in einer Stunde wp-cron.php aufgerufen werden soll. Für ein Intervall von je 5 Minuten: 0,5,10,15,20,25,30,35,40,45,50,55
  • Im Feld Stunde gebt einen * ein. Der Aufruf erfolgt zu jeder Stunde
  • In die Felder Tag des Monats, Monat, Wochentag geben wir ebenfalls einen * ein, unser Script soll immer laufen
  • In das Feld Befehl geben wir ein: wget –delete-after http://www.deine-domain-mit-wordpress/wp-cron.php

wget ist ein Tool welches Daten von Webseiten herunterladen kann, es wird hier später vom CRON System direkt aufgerufen. Der Parameter –delete-after sorgt dafür dass das heruntergeladene gleich wieder gelöscht wird, wir müssen das nicht aufheben.
Ihr könnt die /wp-cron.php auch testweise im Browser aufrufen. Es wird aber keine Ausgabe erzeugt, ihr werdet nur eine leere weiße Seite sehen!

wp-cron.php in Plesk

wp-cron.php in Plesk

Ab Plesk 12.5 ist es möglich das ausführen der cron.php direkt anzuwählen, es muss der Umweg über wget nicht mehr gegangen werden!

Migration BRUTUS – Plesk

Die Übernahme der Daten nach dem Hardware Problem des Confixx Servers BRUTUS zu PLESK ist abgeschlossen. Bitte beachten sie die folgenden Hinweise:

Nicht alle Web Inhalte haben sich in die Plesk Struktur integrieren lassen. Um nicht ungewollt Daten frei zugänglich zu machen die nicht für das www bestimmt sind wurden diese auch nicht automatisch eingespielt. Bitte wenden Sie sich an unseren Support.

E-Mail Adressen wurden insofern übernommen wie die Confixx Struktur das in Plesk ermöglicht hat. Bitte beachten sie das der Benutzername für Postfächer nicht mehr webXpX ist sondern die E-Mail Adresse selbst ist.

Wenn sie Probleme haben ihr Passwort für Plesk abzurufen wenden sie sich ebenfalls an unseren Support.

Den Zugang zu Plesk erreichen sie am einfachsten über ihre eigene Domain indem sie den Port 8443 anhängen.
Beispiel: http://www.be-webspace.de:8443

Umstellung Server BRUTUS

Betrifft Kunden auf dem Server BRUTUS.be-webspace.net

Die Verwaltungssoftware CONFIXX wird seid einiger Zeit nicht mehr weiterentwickelt und wird in den nächsten Wochen ersetzt werden. Dies ist auch notwendig um ihr Webhosting um IPv6 Support zu erweitern etc.

Es befindet sich bereits eine neue Webhosting Plattform für sie in Betrieb. Mit dem neuen Plesk Verwaltungstool haben sie neue bessere Möglichkeiten der Konfiguration ihrer Domains und E-Mail Adressen. Zudem steht ihren Web Anwendungen mehr Rechen Leistung zur Verfügung, Dropbox Backups usw.

Sie erhalten von uns in den nächsten Tagen bereits neue Zugangsdaten für die neue Plattform. Hier können sie ihre neuen E-Mail Adressen konfigurieren, ihre Webseiten umziehen und alles für die Umschaltung vorbereiten. Die Umschaltung kann vorab jederzeit durchgeführt werden, informieren sie uns dann etnsprechend über den gewüschten Zeitpunkt.

Die generelle Umschaltung erfolgt vom 27.04 .2014 – 28.04.2014. Nach diesem Termin ist zwar der Betrieb weiterhin gesichert, sie können aber keinerlei Änderungen an der Konfiguration in Confixx mehr übernehmen.

Wenn sie Hilfe benötigen stehen wir gern zur Verfügung, bitte öffnen sie ein Support Ticket über support@be-webspace.de

Plesk Backups auf Strato HiDrive speichern

Backups von Plesk Webhosting Paketen lassen sich hervorragend gut auf Strato HiDrive speichern. Die Vorgehensweise ist sehr einfach. Loggen sie sich in ihre Plesk Control Panel Oberfläche ein.

Unter Websites und Domains finden sie den Backup Manager:

plesk_backup_manager

Unter dem Backup Manager wählen sie die Einstellungen für ihr Persönliches FTP-Repository:

backup_manager_einstellungen

Hier nehmen sie die Einstellungen wie folgt vor:

repository_hidrive

Wichtig ist:

  • Server: ftps.hidrive.strato.com
  • Verzeichnis: Beginnt immer mit /users/DEIN-BENUTZERNAME
  • FTP-Benutzername: Dein HiDrive Benutzername
  • FTP-Passwort: Dein HiDrive Passwort
  • FTPS verwenden: aktivieren für die verschlüsselte Übertragung

Unter dem Punkt Einstellungen für geplantes Backup können nun die gewünschten Einstellungen vorgenommen werden, wichtig hier, bei Backup speichern in auch das Persönliche FTP-Repository einstellen!

Joomla 3.2

joomla_logWelch ein Zufall. Zeitgleich mit dem Release von Joomla 3.2 haben wir unsere letzte Kunden Seite, basierend auf Joomla 2.x, vom Netz genommen. Wie konnte es soweit kommen? Das ist sicher kein Verschulden von Joomla allein. In den letzten Jahren haben sich auch Kunden weiter entwickelt. Früher wollten sie selber an ihren Webseiten Änderungen vornehmen, heute tun sie das auch wirklich! Mit Facebook, Web 2.0 usw. haben sich Techniken entwickelt die auch Leuten ohne tiefgehende HTML und CSS Kenntnisse das Werkeln im Netz ermöglichen.
Mit Joomla war dieser Gedanke immer an Board, aber funktioniert hat er nie wirklich. Die meisten Kunden haben sich über die moderne Webseite mit CMS gefreut, aber wirklich selber Änderungen vorgenommen hat nur selten jemand. Das Handling war einfach zu speziell. Schön für den Webdesigner der dann immer wieder mit den Änderungen beauftragt wurde?

Auch die selbst installierten Joomla Installationen auf unseren Servern werden immer weniger. Nicht zuletzt auch weil vor allem ältere Versionen immer wieder Angriffsziele von Hackern wurden wenn Kunden ihre Installationen nicht aktuell gehalten haben. Und Joomla war hier das am meisten geknackte System und hat den häufigsten Ärger verursacht.

Und trotzdem, auch wenn wir selber keine Joomla Systeme mehr einsetzen, im Plesk Applikationskatalog können sie das aktuelle Joomla CMS mit einem Klick installieren. Das hat auch mittlerweile den Vorteil das der Kunde sich selber nicht mehr um das Update kümmern muss, Plesk ist dazu neuerdings selber in der Lage. Für ihre Sicherheit!

Backups mit Dropbox

Absofort testen wir auf allen neuen Plesk Servern die Möglichkeit Backups an den Cloud Speicherdienst Dropbox zu übertragen. Ihr findet den neuen Menupunkt unter Websites & Domains in Plesk.

Es ist im Prinzip nicht notwendig die Backups rotieren zu lassen und eine Anzahl x Backups rückwirkend aufzuheben, das erledigt bereits Dropbox für euch. Viel Spass beim Backupen!

Hier könnt ihr einen neuen Dropbox Account mit 500MB Bonus Speicherplatz anlegen lassen: http://db.tt/4BS9OOO

plesk_dropbox_backup