.htaccess Schutz für WordPress Admin-Bereich

Blog_20141013_V1
Wir betreuen eine größere Anzahl von WordPress-Installationen unserer Kunden und achten dort auch auf Sicherheitsaspekte. In den letzten Monaten zeichnet sich verstärkt der Trend ab, dass mehr automatisierte Angriffe auf die Loginformulare erfolgen.
Je nach Ausmaß und Passwortstärke kann das mehrere Auswirkungen haben.
Ohne zusätzliche Maßnahmen wie IP-Sperrungen oder den Einsatz hinter einer Firewall gibt man dem Angreifer die Möglichkeit, unendlich viele Passwörter auszuprobieren.
Je nach Häufigkeit und Intensität der Angriffe und Ressourcen des Servers kann dies wie eine DDoS-Attacke wirken, die bis hin zu zeitweisen Einschränkungen in der Erreichbarkeit der Sites führt.
Die einfachste Maßnahme ist hier ein .htaccess (basic)-Schutz.  Dieser funktioniert mit allen Webservern, ein zusätzliches Passwort bietet zusätzliche Sicherheit und verhindert, dass durch Aufruf des PHP der Server unter Last gerät.
Die gängigen Bots „verstehen“ im Übrigen .htaccess  nicht und probieren einfach stumpf weiter, diese Bots sind so sicher ausgesperrt.
Die Implementierung ist Webserver-spezifisch (nginx/Apache) –  falls Sie hier Hilfe benötigen, sprechen Sie uns gern an.

Die lange Leitung

blog_die-lange-leitungWir machen Software-Entwicklung, Webdesign und zu allem Überfluss hosten und betreuen wir diese Systeme häufig auch noch. In unserer täglichen Praxis treffen wir dabei häufig auf Werbeagenturen. Die machen sehr oft richtig coole Designs. Und ganz tolle Kamapagnen.
Chapeau. Manchmal aber machen die auch Dinge, die sind gar nicht cool. Und oft merken sie das gar nicht. Ein kleines Beispiel für diese technische Unbedarftheit ist uns gerade gestern über den Weg gelaufen. Eine neue Website machte plötzlich Zicken beim Laden. Komisch. Warum denn nur? Weiterlesen 

Mein Froind, die Klaut.

blog-grafik_klautAchtung – jetzt kommt ein Meinungsbeitrag. Und der geht so:
Die Cloud nervt. So, nun da der Dampf aus dem Kessel ist, wird es etwas differenzierter:
Im Moment scheint es so, als gäbe es in der IT nichts mehr, was ohne Cloud verkäuflich
sein soll, schaut man auf die Aussagen der großen Hersteller. Von der Armbanduhr bis zur Waschmaschine muss plötzlich alles cloudfähig sein.

Weiterlesen 

So bleiben Content Management Systeme geschützt

blog-cms-sammlungDas Bundesamt für Sicherheit und Informationstechnik (BSI) hat eine ausführliche Studie zu der Sicherheit der gängigsten Content Management Systemen wie Drupal, Joomla, Plone, Typo3 und WordPress veröffentlicht.
Die gesamte Studie ist als kostenfreies PDF auf der Seite des BSI zum Download bereitgestellt.
In der Studie wurden die Schwachstellen und die Bedrohungslage der oben genannten Content Management Systeme untersucht. Dabei kommt sie zu dem Ergebnis, dass die untersuchten Content Management Systeme grundsätzlich ein akzeptables Sicherheitsniveau bieten. Dennoch Weiterlesen 

„MMS“-Spam mit schädlichem Anhang

MMS Spam BeispielVerschiedene schädliche Erreger verbreiten sich wie die Grippe in Wellen. In der IT ist das ganz ähnlich. Gerade erreicht uns wieder eine Welle von Spam-Mails mit schädlichem Anhang, der vorgibt, eine MMS zu enthalten. Selbstverständlich sind die Absender komplett gefälscht, somit ist eine Rückverfolgung sehr schwierig.

Aus diesem Thema lassen sich einige sinnvolle Anregungen ableiten: Zuerst einmal sollten solche Mails unbedingt gelöscht werden, ohne die Anhänge zu öffnen. So ist eine Schädigung auszuschließen.

In Unternehmen wäre das Einrichten eines Virenscanners auf dem Mailgateway bzw. der Firewall sinnvoll.
Wenn sich solche Mails in Ihrem Umfeld häufen, (die Adressen, an die gesendet wird, sind durchaus real), dann ist es wahrscheinlich, dass sich der sendende PC ebenfalls in Ihrem Umfeld befindet. Die Schadsoftware liest nämlich in der Regel die E-Mail-Adressbücher der Opfer aus, um neue Mails zu versenden und sich so weiter zu verbreiten.
Besteht bereits der Verdacht eines Befalls, bitte den PC mit einem aktuellen Virenscanner überprüfen. Am besten ist es, den PC mit einer aktuellen Boot-CD einer Computerzeitschrift (c’t o.ä.) zu starten und mit dem enthaltenen Virenscanner (oder sogar mehreren Scannern) den Rechner eingehend zu untersuchen.

FI/X-Server – Datentransfer reloaded

FixServer - Up-/Download von Dateien

Sie wissen nicht, wo Ihre Daten in der Cloud am Ende landen? Freie Tools zum Austausch großer Dateien wirken oft wenig seriös wegen unkontrollierbar zugeschalteter Werbung? Große Mails sind auch keine Lösung? Ein eigener FTP-Server ist oftmals ein Albtraum des Datenschützers, wenn er nicht ständig gewartet und aufgeräumt wird?  Weiterlesen 

Telefonanlagen und Sicherheit – alles nur Komfort?

BlogTelefonanlagen verfügen inzwischen häufig über großartige Komfortfunktionen, unsere Auerswald-Anlage beispielsweise zeigt gern einmal den Namen des Anrufers im Display an. Allerdings sind Telefonanlagen oftmals noch nicht im Fokus der Verantwortlichen, wenn es um Datenschutz und Datensicherheit geht.
Was also geschieht im Hintergrund, und worauf sollte man achten, wenn man heute eine aktuelle Telefonanlagen mit Internetzugang einsetzt?!

Weiterlesen 

Social engineered Hacking


Social Engineering nennt man die zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking.

Social Hacking stellt sowohl im privaten als auch im Business-Bereich eines der Hauptprobleme für die IT-Sicherheit dar. „Die europäische Polizeibehörde Europol schätzt den weltweiten Schaden durch Cyberkriminalität auf 750 Milliarden € im Jahr (Quelle: wirtschaftsblatt.at).“ Weiterlesen