Technisches zur Webseite

Hier berichte ich über die einige technische Aspekte meiner auf WordPress basierenden Webseite.

Einführung der Zweifaktor-Authentifizierung für das Backend

Nach rund einem Jahr mit entsprechenden Sicherheits-PlugIns für WordPress ergeben sich folgende verwertbare Ergebnisse:

  1. Die Zugriffe aus den „Osten“ haben abgenommen, aber immer mal wieder wird aus den Russischen IP-Raum und auch dem Chinesischen ein Zugriff versucht (die USA ist da auch, wenn auch selten, dabei). Ob dies Bots sind, oder reale human gesteuerte Zugriffe, das auszuwerten ist mir zu mühselig, ist letztlich egal. Im wesentlichen wird versucht man, das vorhanden sein unsicherer PlugIns zu testen. Nicht ganz auf Null gehen leider sie Zugriffe auf die Anmeldeseite des Backends, zwar immer nur mit den üblichen Namen (Admin – admin – administrator usw.), aber man hat es auch schon mit öffentlich bekannten Emailadressen meiner Domain versucht.
  2. Die „normalen“ Zugriffe aus den USA haben stark nachgelassen, gut so, gibt ja nicht wirklich was für die interessantes zu lesen.
  3. Aufgrund dessen, das meine Artikel so langsam auch in Google-Suchen immer häufiger gelistet werden, ist nun auch ein anderes Phänomen zu verzeichnen – das der SPAM-Einträge in den Kommentaren. Diese habe ich seit Anfang 2018 für alle meine Artikel freigeschaltet (zuvor nicht). Zum einen funktioniert die SPAM-Erkennung für Kommentare ganz gut, bisher wurde alles korrekt bewertet, zum anderen gebe ich sowieso alle Kommentare manuell frei.

Um die versuchten Zugriffe auf das Backend über die Anmeldeseite besser ab zu sichern, habe ich nun aktuell (Stand 2018/08) eine Zweifaktor – Authentifizierung nach dem TOTP – Verfahren für die Anmeldung im Backend eingeführt.


Nachtrag 4

Nachdem der letzte massive Angriff auf meine WordPress-Installation dann am 18. April 2017 abrupt endete, gab es nun am 31. Mai mal wieder ein Versuch über eine IP-Adresse aus Kansas City – Missouri und aktuell auch mal wieder einen Versuch der Russen (aber nur kurz).

Nachtrag 3

Am 10. & 11. April 2017 (läuft aktuell noch) gab es den ersten massiven Versuch aus dem russischen und italienischen Raum (vermutlich mal wieder Bot’s) auf die Backend-Anmeldung. Also hilft SSL hier halt auch nur begrenzt …….

Nachtrag 2

Bis zur Umstellung auf „https://“ hatte ich täglich zwischen 200 und mehreren 1000 Zugriffen auf die WordPress-Anmeldeseite, ich vermute mal stark über BOT-Netze. Diese Zugriffe verfolgen ein Anmeldung am Backend mit gängigen Benutzernamen, aber auch spezifischen zur Domain passenden Begriffen. Diese Versuche sind nun auf NULL gesunken.

Zwar verwendete ich schon entsprechende Schutzmechanismen, aber die sind natürlich nie zu 100% sicher.

Also Leute, stellt eure Webseiten um auf SSL-Verschlüsselung, dies schützt auch vor „feindlichen“ Zugriffen und Übernahmen, zumindest der einfacheren Art.

Nachtrag 1

Etwas zu viel des Guten getan; ich hatte auch alle Links zu externen Quellen auf „https://“ umgestellt. Leider habe ich nun feststellen müssen, das doch mehr als die Hälfte der verlinkten Seiten nicht verschlüsselt abgerufen werden können. Ich hoffe, ich habe alle fehlerhaften Links gefunden und korrigiert.


Umstellung Webseite auf HTTPS

Der Schritt ist vollzogen, diese Webseite ist nur noch per „https://“ zu erreichen, bei Aufruf der unverschlüsselten URL „https://…“ wird automatisch auf die SSL-verschlüsselte Webseite gewechselt.

Ging nicht ganz problemlos von statten, die WordPress-Datenbank umzustellen war keinerlei Problem, die ReWrite-Rule in der „.htaccess“ ergänzt, war auch OK.

Problem war dann aber, das die meisten Bilder im Medienkatalog nicht mehr angezeigt wurden, ebenso nur wenige Bilder auf der Webseite. Hmm……

Schlussendlich herausgefunden, das die angezeigten Bilder alle PNG’s waren. Die die nicht angezeigt wurden, aber im JPG-Format sind. Die Ursache fand sich dann in der „.htaccess“ – Datei, dort war eine ReWrite-Rule hinterlegt, die für alle Aufrufe von JPG’s die URL wieder auf „http://…“ umschreibt. Diese Regel gelöscht, nun ist alles OK. Fragt sich nur, wie diese Regel überhaupt mal da rein gekommen ist, ich vermute ein Überbleibsel aus der ersten WP-Installation meines früheren Hostings.

OK, zu guter letzt noch die komplette Seite über eine Online-Tool geprüft, ob auch alle Links korrekt umgestellt sind (prüft aber nur die internen Links, nicht die nach extern).


let's encryptServerumzug

Am Freitag 2016-02-10 war diese Webseite möglicherweise nicht erreichbar. Grund hierfür war der Umzug auf einen anderen VServer im Rahmen eines Hosting-Paketwechsel. Damit verbunden ist, das diese Domain, inkl. aller Subdomains, nun mit SSL-Zertifikaten versehen ist (Let’s Encrypt SSL). Damit ist die Grundlage geschaffen, die Webseite zeitgemäß SSL-verschlüsselt auszuliefern. Weiteres Schmankerl: Die SQL-Datenbank liegt nun auf einer SSD, was der Performance der Webseite durchaus zugute kommt.

Hosting-DienstleisterServer Profis

Übrigens, das Webhosting dieser Webseite erfolgt in Deutschland, bei den „Server-Profis„. Ich will hier keine Werbung machen, meine Zufriedenheit muß/darf ich hier allerdings mal ausdrücken.

2 Antworten

  1. Ulrich sagt:

    Ja, die meisten Scripts können kein HTTPS, weil sie kein openssl verwenden. So wird man wenigstens die Script-Kiddies los, allerdings nicht die Profies.
    Jetzt könnte man noch die Cipher Suites anziehen. Durch den Zusatz von !SHA1:!SHA256:!SHA384 bei SSLCipherSuite in der httpd.conf kann man noch zwei/drei kompromitierte Protokolle deaktivieren.

  2. Hallo Michael,

    das kenne ich. Ein guter Freund und Blogger hat mir deshalb den Umzug auf WordPress.com empfohlen. Da bin ich mittlerweile einige Jahre und habe seitdem keine Probleme mehr mit Hackern und Angriffen auf meine Webseite.

    Gruß Hannes

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner