WordPress Hackerangriff „Hacked By MuhmadEmad“

In den letzten Tagen wurden Hunderttausende Webseiten auf WordPress Basis gehackt. Geändert wurde dabei meistens der aktuellste Beitrag. Dort wurde der Titel umgeschrieben und ein Text (manchmal mit Bild) eingefügt, der die folgenden Wortlaute enthalten kann:

„Hacked By MuhmadEmad“
„Hacked By SA3D HaCk3D“
„hacked by magelang6etar“
„by w4l3XzY3“
„By+NeT.Defacer & By+Hawleri_hacker“
„Fuck ISIS!“
„Long Live to peshmarga“
„KurDish HaCk3rS WaS Here“

Die Hacker haben anscheinend eine Sicherheitslücke in der WordPress REST API ausgenutzt, welche die WordPress Version 4.7.0 und 4.7.1 betrifft. Diese Sicherheitslücke erlaubt die Änderung von Inhalten durch Dritte. Mit der aktuellsten WordPress Version 4.7.2 wurde diese Sicherheitslücke geschlossen.

Entdeckt wurde die Sicherheitslücke Anfang Februar von dem Sicherheitsanbieter Sucuri: https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html. Nur wenige Tage später fand bereits der Hackerangriff um den 4./5. Februar 2017 herum statt.

Ihre WordPress Seite wurde gehackt. Was tun?

Wenn Sie noch nicht das Update auf WordPress 4.7.2 auf Ihrer Webseite eingespielt haben, sollte das jetzt dringend nachgeholt werden. Prüfen Sie daher ALLE Ihre Webseiten ob diese noch die veraltete WordPress Version 4.7.0 oder 4.7.1 einsetzen.

Löschen Sie danach alle Beitrags-Revisionen in WordPress. Prüfen Sie anschliessend, ob alle Plugins und Themes aktuell sind und spielen Sie ggf. auch diese Updates ein. Eine Änderung der Passwörter ist nicht nötig, da diese für den Hackerangriff nicht benutzt wurden.

Wenn Ihr WordPress gehackt wurde und Sie Hilfe benötigen?

Kein System und keine Software ist zu 100% sicher. Denken Sie daran, wie häufig allein große Software-Hersteller wie Microsoft, Adobe, Apple oder IBM Sicherheitspatches und –updates für ihre Software veröffentlichen. Auch der Angriff auf die IT-Infrastruktur des Deutschen Bundestages zeigt, das Cyberangriffe auf behördliche Infrastrukturen oder große Wirtschaftsunternehmen an der Tagesordnung sind. Natürlich kann man sehr viel tun, um seine Webseite zu schützen. Aber selbst die besten Vorkehrungen können keine 100% Sicherheit vor Hacking bieten.

Benötigen Sie Unterstützung?
Ich habe mich auf die Betreuung von WordPress-Webseiten spezialisiert und biete schnelle Hilfe in allen (Not-)Fällen. Wurde Ihre Webseite beim obigen Hackerangriff mit gehackt?
Rufen Sie mich an unter Tel. 09294 / 975682 – oder senden Sie eine E-Mail an info@rietsch-design.de.
Update-Service WordPress nur 59.- EUR
Das Wartungspaket beinhaltet:
– WordPress-Update auf die aktuelle Version 4.7.2
– Update der Plugins+Themes (falls diese vorhanden sind)
– Backup Ihrer kompletten Webseite inklusive Datenbank
– Gültig für eine WordPress-Installation

Die Preise verstehen sich inklusive 19% MWST. Bei Bedarf sind auch längerfristige Wartungsverträge möglich.

Online-Skimming: 1.000 deutsche Magento Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Schadsoftware nutzt Sicherheitslücken in Magento Shops aus

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Den Magento-Shop auf Sicherheitslücken prüfen

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

WordPress Fehler „SSL certificate problem, verify that the CA cert is OK“

Manchmal kann es bei WordPress zu folgendem Fehler kommen:

Der Fehler kann beim Installieren von Themes, beim Updaten von Plugins oder beim Erstellen von Backups auftreten – je nach Serverkonfiguration. WordPress benutzt ein eigenes Zertifikat, das versucht die globalen Systemzertifikate des Servers zu überschreiben. Gibt es hier Probleme, sollte man das Zertifikat das WordPress mitliefert, manuell aktualisieren.

Das geht ganz einfach: Man lädt sich die Datei https://curl.haxx.se/ca/cacert.pem herunter und speichert sie als „ca-bundle.crt“ ab. Die Umbenennung ist wichtig – sonst funktioniert es nicht! Am besten also einen rechten Mausklick auf den Link machen und dann mit „Ziel speichern unter“ bzw. Link speichern unter“ herunterladen – als Dateiname „ca-bundle.crt“ nehmen und speichern.

Die heruntergeladene und umbenannte Datei muss man nun noch ins WordPress-Verzeichnis hochladen unter: /wp-includes/certificates/ca-bundle.crt

Häufig ist der WordPress Fehler „SSL certificate problem, verify that the CA cert is OK“ nun verschwunden und die Updates / Aktualisierungen klappen wieder.

 

Sicherheitsupdate für Akismet WordPress Plugin

Das bekannte WordPress-Plugin „Akismet“ macht dieser Tage Schlagzeilen. Es gibt hier aktuell eine Cross-Site Scripting (XSS)-Sicherheitslücke. Benutzer sollen das Plugin auf ihren Webseiten daher so schnell wie möglich auf Version 3.1.5 aktualisieren. Weiterlesen

WordPress wird immer langsamer? Was tun?

Sie besitzen eine Webseite auf WordPress-Basis, deren Ladezeiten mit der Zeit immer langsamer geworden sind? Timeout-Fehler häufen sich, der Admin-Bereich wird immer träger oder hängt manchmal beim Speichern?

Das Szenario ist leider kein Einzelfall. Eine langsame Webseite nervt nicht nur den Administrator oder Redakteur, sondern kann im schlimmsten Fall Auswirkungen auf negative Besucherzahlen oder sogar entgangene Umsätze haben. Auch die Suchmaschine Google bevorzugt schnellere Ladezeiten und bewertet Webseiten – je nachdem – entsprechend positiv oder negativ.

Warum werden WordPress Seiten langsamer/schlecht benutzbar?

WordPress selbst ist im Grunde ein recht effizientes Content-Management-System. Häufig werden aber von den Benutzern viel zu große Bilder in die Seite eingebettet oder zu viele Plugins (Erweiterungen) aktiviert. Das kann den Seitenaufbau erheblich verzögern.

Auch schlampiger oder fehlerhafter Quellcode sowie eine recht große oder zugemüllte Datenbank kann eine Ursache für eine Verlangsamung des CMS-Systems sein.

Und wenn das Hosting bzw. der Webserver nicht für die Besucher-Last ausgelegt ist oder von vornherein zu wenig Arbeitsspeicher zur Verfügung stellt (Stichwort Memory Limit), dann kommt es schneller zu Problemen und Hängern einer Webseite als einem lieb ist.

Tipps & Hilfe zum Optimieren der WordPress-Installation

wordpress beschleunigen

Es gibt einige Möglichkeiten der Fehlerbehebung:

  • Entfernung überflüssiger WordPress-Plugins
  • Optimierung des Theme-Quellcodes
  • Optimierung der Datenbank
  • Überprüfung der Leistungsfähigkeit des Webservers (ggf. Wechsel)

Ziel ist es, die Ursachen zu finden –  um dann durch eine Optimierung der gesamten WordPress-Installation die Webseite wieder zu beschleunigen. Ich berate Sie fair und unterbreite Ihnen gerne ein individuelles Angebot.

Ihre WordPress Webseite läuft langsamer als erwartet?
Sie brauchen Unterstützung? Nehmen Sie jetzt mit mir Kontakt auf.

xtCommerce Veyton neues Textfeld erstellen

Wie kann man in xtCommerce Veyton 4.0 ein neues Textfeld in die Produktbeschreibung einfügen?

Dazu loggt man sich man sich in phpMyAdmin ein und wählt die Datenbank mit der xtCommerce Installation aus. Wichtig ist es, vor den folgenden Änderungen ein Sicherungsbackup der Datenbank zu machen!

Nun zur Tabelle „xt_products“ gehen und die Struktur ansehen. Ganz unten in der Ansicht wählen wir nun „1 Felder hinzufügen“ aus.

Als Option kann sich folgendes aussuchen: einem Feld. Ich wähle hier meistens ein bestimmtes Feld aus, an welcher Stelle das neue Feld halt dann erscheinen soll.

Nun muss noch der Feld-Name vergeben werden: als Beispiel nehmen wir „Kennzeichnung“. Den Typ VARCHART wählen und bei Länge 255 eingeben. Bei NULL „null“ wählen, dann erfolgt die Textausgabe im Shop nur wenn im Feld später auch Daten eingegeben wurden. Alles gleich noch Abspeichern!

 

Geht man jetzt in den Adminbereich von xtCommerce Veyton 4, so sollte man nun unter der Artikelbeschreibung ein Feld mit Namen „TEXT_KENNZEICHNUNG:“ sehen.  Das möchten wir nun noch umbenennen.

Wir gehen dazu in Veyton auf Einstellungen – Lokalisierung – Sprachtexte, suchen nach „TEXT_KENNZEICHNUNG“ und geben folgende Daten ein:

TEXT_TRANSLATED: 1
Sprachcode (iso-2): de
Schlüssel: TEXT_KENNZEICHNUNG
Text: Herstellerkennzeichnung (oder wie immer das Feld heissen soll!)
Klasse: admin

Wenn man nun zurück zu „Artikel bearbeiten“ im Admin-Bereich geht, sieht man das aus dem Feld „TEXT_KENNZEICHNUNG:“ nun „Herstellerkennzeichnung“ geworden ist.

 

Als letztes muß noch das Template bearbeitet werden. Dazu per FTP einloggen und im Unterordner \templates\euertemplate\xtCore\pages\product die Datei „product.html“ rausuchen. An der Stelle, an der das neue Feld „Kennzeichnung“ (in meinem Beispiel) ausgegeben werden soll, fügt Ihr folgendes ein: {$kennzeichnung}.

Abspeichern, Template hochladen, fertig!

Nutzen kann man zusätzliche Felder z.B. in den Produktdetails oder für Beschreibungen in der Artikelansicht.

WordPress Dashboard Adminbereich Menüpunkte ausblenden

Im Dashboard, dem Adminbereich von WordPress, kann man bei Bedarf Menüpunkte ausblenden. Das geht auch ohne Plugin ganz einfach. Bei Kunden-Projekten nutze ich das manchmal um das Dashboard an die Bedürfnisse des Kunden anzupassen und nicht benötigte Menüpunkte verschwinden zu lassen. So findet sich der Kunde in vielen Fällen sicherer und einfacher zurecht. Weiterlesen

index.html auf index.php umleiten

Ein kleines Problem, was man oft bei der Umstellung von statischen Webseiten auf ein CMS wie WordPress hat: die eingehenden Backlinks welche auf die index.html Seite verweisen verlaufen plötzlich ins Leere. Abhilfe schafft hier die Umleitung / der Redirect von index.html auf index.php. Weiterlesen

Timthumb und Get the image zeigen keine Thumbnails mehr an

Die Thumbnails, die kleinen Vorschau-Bilder in WordPress, verschwinden nach dem Update des Plugins „Get the Image“ auf die Version 1.0.0. Die Suche nach der Lösung war nicht so einfach. Daher beschreibe ich diesen kleinen Blog-Beitrag kurz die Lösung, falls jemand das gleiche Problem mit einem Theme hat. Weiterlesen

Broken Link-Checker für Webseiten

Broken Links sind sozusagen „kaputte Links“ auf einer Webseite. Man glaubt gar nicht, wie viele Links im Laufe der Zeit nicht mehr korrekt funktionieren: Sei es durch Umzug einer Seite oder Einstellung. Hat eine Webseite z.B eine hohe Anzahl fehlerhafter interner Verlinkungen, kann sich das auch negativ auf die Rankings auswirken. Mittels eines „Broken Link Checker“ kann man die Links einer Webseite aber schnell überprüfen. Weiterlesen