Blog

Nach Berlin, nun auch Nürnberg: wir sind Sponsor!

Einmal mehr sind wir stolz die WordPress Community als Sponsor unterstützen zu dürfen. Das WordCamp Nürnberg findet vom 16. – 17. April an der Technischen Hochschule Nürnberg Georg Simon Ohm statt. Ein echtes Heimspiel also. Wir freuen uns schon riesig auf zwei tolle Tage mit inspirierenden Vorträgen, auf zwei Parties mit netten Gesprächen und auf fleissige …

Nach Berlin, nun auch Nürnberg: wir sind Sponsor! Weiterlesen »

Verbesserter Datenschutz

Allen unseren Kunden und unseren Lesern ein frohes, gesundes und erfolgreiches neues Jahr 2016! Wir starten in das neue Jahr mit einer wirklich guten Nachricht und einem echten Mehrwert für unsere Kunden. Unsere Backups waren bisher nach europäischen Datenschutzrichtlinien archviert. Konkret: die Backups lagerten auf Servern in Irland. Mit dem Jahreswechsel haben wir den Datenschutz …

Verbesserter Datenschutz Weiterlesen »

Zur Qualität von Phishing eMails

Letzte Woche hatte ich gleich zweimal das zweifelhafte Vergnügen »Benachrichtigungen von PayPal« in meinem Eingangspostfach zu finden. In beiden Fällen stellten sich die Anforderungen nach Verfizierung des Account als Phishing-Mails heraus. Im ersten Fall sogar sehr offensichtlich: Designelemente von anno dazumals, eine Reply-Adresse in Russland, keine persönliche Anrede und ein Betreff mit kyrillischen Buchstaben. Wer …

Zur Qualität von Phishing eMails Weiterlesen »

WordCamp Berlin 2015

Berlin ist ja sprichwörtlich immer eine Reise wert. Und wenn es dann dort auch noch ein WordCamp gibt, erst recht. Wenn man das ausgesprochene Vergnügen hat es als Sponsor unterstützen zu dürfen und auch als Speaker eingeladen wird schon gleich zweimal. Das diesjährige WordCamp Berlin (hmm, eigentlich das erste WordCamp Berlin. Die beiden anderen Veranstaltungen …

WordCamp Berlin 2015 Weiterlesen »

Ein Fisch der nach Apfel schmeckt, ein gehacktes WordPress und eine Online Apotheke

Brandaktuell aus meinem Eingangspost stammt eine eMail, die vorgibt vom Apple AppStore zu stammen. Die Indizien für ein Phishing sind sehr umfangreich: Zum einen ist die Mail an eine meiner Adressen gerichtet, die mit dem Apple AppStore aber so gar nichts zu tun hat. Zum zweiten gibt der Absender der eMail lediglich vor der AppStore zu sein, …

Ein Fisch der nach Apfel schmeckt, ein gehacktes WordPress und eine Online Apotheke Weiterlesen »

Es kann immer etwas schief gehen …

Die Webseite ist TipTop abgesichert gegen Angriffe, alle Updates sind drin, die elementaren Do’s und Dont’s in Sachen Sicherheit sind beachtet und dann passiert’s trotzdem: die Webseite wurde gehackt! Gut wer jetzt ein Backup hat. Noch besser dran ist der auch noch eine Wiederherstellungsstrategie vorweisen kann! Der erste gute Tipp heisst: Ruhe bewahren. Wer angesichts …

Es kann immer etwas schief gehen … Weiterlesen »

Datenkonsistenz und Produktivität

Heute mal ein Thema leicht Abseits von »nur« WordPress und Sicherheit. Aber wer die unsere Vorträge verfolgt oder für sich anhand der Slides aufgearbeitet hat, weiss, dass wir ein paar Sachen größer und weiter sehen. Ein Thema ist die eigene Infrastruktur. Nicht nur das sie ein Teil im Sicherheitskonzept für die Verteidigung von WordPress Installationen …

Datenkonsistenz und Produktivität Weiterlesen »

CMS Security – Vorträge in Essen und München

Vortrag beim WP Meetup in München – WordPress Security: Betrifft mich die Diskussion um Angriffe auf WordPress überhaupt? Welche Angriffsvektoren gibt es überhaupt und wie kann ich meine Installation dagegen verteidigen?

Was der User nicht weiss …

… macht ihn nicht heiss Redakteure, Autoren und andere Benutzer, die weniger Rechte als Administratoren besitzen, werden in WordPress immer noch mit Update-Hinweisen für Core-Updates behelligt. Da sie selbst keine Möglichkeit haben ein solches Update auszuführen, erfolgt stattdessen der Hinweis, dass der Admin zu benachrichtigen sei. Einerseits ist das blamabel genug für den Admin, wenn …

Was der User nicht weiss … Weiterlesen »

Heute ist Billie Holiday Tag

Billie Holiday ist die Namensgeberin für das akuelle Major-Release 4.3 von WordPress. Und natürlich haben wir alle unsere betreuten Installationen auch gleich damit ausgestattet, während uns ihre Musik im Hintergrund bei unserer Arbeit inspirierte. Wir als Sicherheitsfanatiker freuen uns natürlich vor allem über die starken Passwörter die nun gefordert werden. Aber auch die Möglichkeit Artikel …

Heute ist Billie Holiday Tag Weiterlesen »

WordPress und IT Sicherheitsgesetz – hab ich da was zu beachten?

Am 25.7.2015 ist das IT Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten. Ziel ist die signifikante Verbesserung des IT-Sicherheitsniveaus für Deutschland. Nur am Rande sei der Funfact angemerkt, dass es nicht für die Abgeordneten des deutschen Bundestages und dessen Verwaltung gilt. Sprich: es nehmen sich mal wieder die aus, die es beschlossen haben und die just zum …

WordPress und IT Sicherheitsgesetz – hab ich da was zu beachten? Weiterlesen »

Angriff auf Passwort Manager »LastPass«

Hatten wir nicht gerade eine Lanze gebrochen für Passwortmanager? Und jetzt dass: Hackerangriff auf Passwort-Manager LastPass | heise.de Wie so oft schlägt auch hier das Dilemma aus Sicherheit und Bequemlichkeit zu. Schön wenn man Passwörter einmal bequem auf dem Rechner zur Verfügung hat. Schöner und bequemer, wenn man sie gleich via Cloud auf mehreren Devices …

Angriff auf Passwort Manager »LastPass« Weiterlesen »

AdminPress @ WordCamp Cologne 2015

Ehrensache, dass wir da dabei sind! Nach Berlin 2012 und 2013 sowie Hamburg im letzten Jahr ist es das 4. WordCamp (ok, ok Berlin waren WP-Camps) das ich besuche. Neben den vielen, vielen spannenden Vorträgen die einen erwarten, freue ich mich dieses Jahr mal in einer ganz speziellen Rolle unterwegs zu sein: als Volonteer. Helfende …

AdminPress @ WordCamp Cologne 2015 Weiterlesen »

Was lange währt, … AWS reagiert

Wir hatten ja berichtet das es einen Angriff  via AWS EC2-Server gab und den wir dem Abuse-Department gemeldet hatten. Heute dann (endlich) die Reaktion von Amazon: Schade, das da nicht mehr steht als »investigated and resolved«. Hätte zu gerne gewusst ob da ein Schmutzbuckel für geteert und gefedert wurde oder ob der betroffene ehrliche Käufer des Service einfach nur …

Was lange währt, … AWS reagiert Weiterlesen »

WordPress Sicherheit ist mehr als ein PlugIn

Wie zum Beweis unseres Credos tauchen diese Woche gleich zwei PlugIns in der wpvulndb.com Datenbank auf, deren Sinn und Zweck es eigentlich ist für mehr Sicherheit zu sorgen: Anti-Malware and Brute-Force Security by ELI Encrypted Contact Form Das wir uns nicht missverstehen: es geht nicht darum irgendeine Lösung als schlecht oder gar untauglich an den …

WordPress Sicherheit ist mehr als ein PlugIn Weiterlesen »

Sicherheitsplanungen für WordPress 4.3

Neben dem akuten Klein-Klein des Tagesgeschäfts werfen wir auch gerne mal einen Blick voraus. Diese Woche berichtete das Core Developer Team des nächsten WordPress Release (4.3) über Ideen, wie Passwörter künftig behandelt werden könnten. Konkret diskutiert wurden für das Benutzerinterface: automatische Erzeugung von sicheren Passwörtern als Standardeinstellung. Alternativ kann der Benutzer ein eigenes Kennwort kreieren. Anstelle …

Sicherheitsplanungen für WordPress 4.3 Weiterlesen »

Mal sehen, wie lange AWS das zu läßt …

Mein Hoster meldete sich heute und zeigte einen enormen Traffic Zuwachs seit letzten Freitag an. »Da sind heftig viele Einträge für Deine ownCloud drin.« Nach ein bisschen Recherche (und dem Geraderücken seines Auswertungsscripts, das ein paar Events unterschlagen hatte ;-)) stellte sich nicht die ownCloud aus Traffic-Produzent sondern ein Angriff auf eine meiner WordPress Seiten …

Mal sehen, wie lange AWS das zu läßt … Weiterlesen »

Bot-Angriffe aus Südamerika

Aktuell rollt – zumindest auf meine WordPress Seiten – eine Angriffswelle vorrangig aus Südamerika. Neben den üblichen Brute-Force-Attacken auf den Benutzer »admin« versucht der Bot auch die URL als Benutzernamen einzusetzen, resp. ihn mit info@ zu kombinieren. Das »admin« als Benutzername nicht mehr taugt, sollte sich allgemein herum gesprochen haben. Seit WordPress Version 3.0 ist es …

Bot-Angriffe aus Südamerika Weiterlesen »

WordPress 4.2.2 ist veröffentlicht!

Einmal mehr ein aktuelles Problem. Nachdem letzte Woche bereits 4.2.1 als Fix für das kurz zuvor veröffentlichte WordPress 4.2 erschienen war, stellte sich sehr schnell heraus, dass immer noch Bedarf zur Nachbesserung von Cross-Site-Lücken bestand. Version 4.2.2 schliesst diese Lücken und wird allen Anwendern dringlich empfohlen. Es beweist sich wieder, das nur aktuelle und gut …

WordPress 4.2.2 ist veröffentlicht! Weiterlesen »