WordPress und IT Sicherheitsgesetz – hab ich da was zu beachten?

Am 25.7.2015 ist das IT Sicherheitsgesetz (BT-Drucks. 18/4096 und BT-Drucks. 18/5121) in Kraft getreten. Ziel ist die signifikante Verbesserung des IT-Sicherheitsniveaus für Deutschland. Nur am Rande sei der Funfact angemerkt, dass es nicht für die Abgeordneten des deutschen Bundestages und dessen Verwaltung gilt. Sprich: es nehmen sich mal wieder die aus, die es beschlossen haben und die just zum Zeitpunkt der Beratung Opfer einer der größten Hackerattacken in Deutschland …

Angriff auf Passwort Manager »LastPass«

Hatten wir nicht gerade eine Lanze gebrochen für Passwortmanager? Und jetzt dass: Hackerangriff auf Passwort-Manager LastPass | heise.de Wie so oft schlägt auch hier das Dilemma aus Sicherheit und Bequemlichkeit zu. Schön wenn man Passwörter einmal bequem auf dem Rechner zur Verfügung hat. Schöner und bequemer, wenn man sie gleich via Cloud auf mehreren Devices nutzen kann. An der Stelle helfen drei wesentliche Dinge: zum …

AdminPress @ WordCamp Cologne 2015

Ehrensache, dass wir da dabei sind! Nach Berlin 2012 und 2013 sowie Hamburg im letzten Jahr ist es das 4. WordCamp (ok, ok Berlin waren WP-Camps) das ich besuche. Neben den vielen, vielen spannenden Vorträgen die einen erwarten, freue ich mich dieses Jahr mal in einer ganz speziellen Rolle unterwegs zu sein: als Volonteer. Helfende Hände sind bei einem solchen Event immer gefragt, gilt es …

Was lange währt, … AWS reagiert

Wir hatten ja berichtet das es einen Angriff  via AWS EC2-Server gab und den wir dem Abuse-Department gemeldet hatten. Heute dann (endlich) die Reaktion von Amazon: Schade, das da nicht mehr steht als »investigated and resolved«. Hätte zu gerne gewusst ob da ein Schmutzbuckel für geteert und gefedert wurde oder ob der betroffene ehrliche Käufer des Service einfach nur eine Nachhilfestunde in Passwort-Kreation bekommen hat, weil sein Account aufgehebelt …

WordPress Sicherheit ist mehr als ein PlugIn

Wie zum Beweis unseres Credos tauchen diese Woche gleich zwei PlugIns in der wpvulndb.com Datenbank auf, deren Sinn und Zweck es eigentlich ist für mehr Sicherheit zu sorgen: Anti-Malware and Brute-Force Security by ELI Encrypted Contact Form Das wir uns nicht missverstehen: es geht nicht darum irgendeine Lösung als schlecht oder gar untauglich an den Pranger zu stellen. Oder dieses oder jenes PlugIn über ein …

Sicherheitsplanungen für WordPress 4.3

Neben dem akuten Klein-Klein des Tagesgeschäfts werfen wir auch gerne mal einen Blick voraus. Diese Woche berichtete das Core Developer Team des nächsten WordPress Release (4.3) über Ideen, wie Passwörter künftig behandelt werden könnten. Konkret diskutiert wurden für das Benutzerinterface: automatische Erzeugung von sicheren Passwörtern als Standardeinstellung. Alternativ kann der Benutzer ein eigenes Kennwort kreieren. Anstelle eines Bestätigungsfelds im dem das Kennwort ein zweites Mal eingegeben …

Mal sehen, wie lange AWS das zu läßt …

Mein Hoster meldete sich heute und zeigte einen enormen Traffic Zuwachs seit letzten Freitag an. »Da sind heftig viele Einträge für Deine ownCloud drin.« Nach ein bisschen Recherche (und dem Geraderücken seines Auswertungsscripts, das ein paar Events unterschlagen hatte ;-)) stellte sich nicht die ownCloud aus Traffic-Produzent sondern ein Angriff auf eine meiner WordPress Seiten als Übeltäter heraus. Konkret wurde die wp-login.php adressiert, also der …

Bot-Angriffe aus Südamerika

Aktuell rollt – zumindest auf meine WordPress Seiten – eine Angriffswelle vorrangig aus Südamerika. Neben den üblichen Brute-Force-Attacken auf den Benutzer »admin« versucht der Bot auch die URL als Benutzernamen einzusetzen, resp. ihn mit info@ zu kombinieren. Das »admin« als Benutzername nicht mehr taugt, sollte sich allgemein herum gesprochen haben. Seit WordPress Version 3.0 ist es möglich bei der Erstinstallation den Namen des ersten Benutzers frei …

WordPress 4.2.2 ist veröffentlicht!

Einmal mehr ein aktuelles Problem. Nachdem letzte Woche bereits 4.2.1 als Fix für das kurz zuvor veröffentlichte WordPress 4.2 erschienen war, stellte sich sehr schnell heraus, dass immer noch Bedarf zur Nachbesserung von Cross-Site-Lücken bestand. Version 4.2.2 schliesst diese Lücken und wird allen Anwendern dringlich empfohlen. Es beweist sich wieder, das nur aktuelle und gut gepflegte System wirklich sicher sein können! Wer auf eine ältere …