Sicherheit

24. Mai 2025 /

Ein immer wieder beliebtes Thema bei Webauftritten.

Wie bekomme ich meine Seite absolut sicher?
Antwort: Überhaupt nicht!

Bei Webauftritten, insbesondere mit einem sehr beliebten CMS-System, wie WordPress, sind natürlich immer wieder Personen unterwegs, die versuchen, in die Systeme einzubrechen und dann für ihre Zwecke zu nutzen.

Einige Hinweise will ich trotzdem geben.

Sicheres Kennwort
Wenn Du schon die beliebten Kennwörter abc123 oder kennwort oder ähnliches verwendest, darfst Du Dich nicht wundern. Verwende ein sicheres Kennwort, mindestens 12 Stellen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen. Und das Kennwort sollte auch nicht einen Begriff darstellen. Inzwischen wird von den meisten Browsern ein sicheres Kennwort angeboten, dass Du dann auch dort speichern kannst, ebenso bei der Anlage eines Users durch WordPress.
Der Admin sollte nicht die Nr. 1 haben!
Gehe zum Dashboard, Benutzer und richte einige weitere User ein. Einer davon erhält Admin-Rechte. Melde Dich mit dem neuen User an und lösche den bisherigen Admin und die „Test“-User, die Du nicht benötigst. Da viele „Böse“ versuchen, über die User-Nummer 1 den Admin zu finden und dann mit einem Passwortgenerator das Kennwort ermitteln wollen, scheitern sie schon an dieser Stelle.
Benutze ein Sicherheitstool!
Ich habe seit Jahren die kostenlose Version von WordFence im Einsatz. Bei Unternehmensseiten oder Vereinen ist der Abschluss eines AV-Vertrages dringend anzuraten, da WordFence in den USA sitzt. Hier werden die üblichen Einbrüche in Systeme zumindest aufgehalten. Bislang hatte ich nur Probleme, weil ein Provider-Server gehackt wurde und ausführbare Dateien auf unserer Seite mit einmal vorhanden waren. Das ließ sich aber mit dem Wiedereinspielen einer Datensicherung heilen. Anschließend waren wir schlauer und hatten dort dann auch WordFence im Einsatz.
Bei WordFence erhältst Du immer Hinweise darauf, dass wieder jemand versucht, sich als Admin einzulocken. Ach so, der Name Deines neuen Administrators darf natürlich nicht Admin lauten!
2FA
Um – zumindest – das Admin-Kennwort weiter abzusichern, ist es sehr ratsam, eine Zwei-Faktor-Authentifizierung einzurichten. Dieses bietet das WordFence-Plugin mit an. Als Generator benutze ich auf meinem IPhone 2FAS Auth. Problemlos.
Themes und Plugins
Wie immer – jeder der schon einmal selbst programmiert hat, weiß es – sind Programme fehlerhaft, natürlich nicht sofort schwerwiegend, sondern möglicherweise erst in der Folgezeit. Insbesondere dann, wenn die WordPress-Version sich ändert und der Programmierer des Plugin seinerzeit die entstehende Lücke gar nicht erkennen konnte.
Hier ist es immer wichtig, auch die Plugins permanent zu aktualisieren und diese möglichst nur aus dem WordPress-Verzeichnis heraus zu installieren. Dabei solltest Du auf die Anzahl der Installationen und die Bewertung achten. Eine hohe Anzahl mit einer mittelguten Bewertung ist dem vorzuziehen, bei dem nur eine geringe Anzahl mit einer sehr guten Bewertung steht.
Bei Plugins, die nur extern zu erhalten sind, muss sehr sorgfältig auf die Reputation des Unternehmens und die Beurteilung ihrer Arbeit geachtet werden. Ich habe schon häufig unsauber programmierte Dinge gesehen – egal woher – (fehlendes php-Ende, fehlende Kommentierung, unsaubere Aufrufe von Funktionen), die die Funktion des Plugins oder Themes im Moment nicht beeinflussen, aber für einen „Einbruch“ prädestiniert sind.
Also immer Vorsicht!
SSL
Vor wenigen Jahren noch etwas Neues, inzwischen alltäglich: Die Absicherung der Seite mit einem SSL-Zertifikat, so dass sie durch https:// erreichbar ist. Hinzu muss natürlich eine Umleitung von http:// auf https:// treten, die einige Hoster schon automatisch anbieten. Ansonsten ein Eintrag in die functions.php und fertig

Eine Antwort schreiben Antworten abbrechen

Zuletzt

Sicherheit

24. Mai 2025Ein immer wieder beliebtes Thema bei Webauftritten. Wie bekomme ich meine Seite absolut sicher? Antwort: Überhaupt nicht! Bei Webauftritten, insbesondere mit einem sehr beliebten CMS-System, wie WordPress, sind natürlich immer wieder Personen unterwegs, die versuchen, in die Systeme einzubrechen und dann für ihre Zwecke zu nutzen. Einige Hinweise will ich trotzdem geben. Sicheres KennwortWenn Du schon die beliebten Kennwörter abc123 oder kennwort oder ähnliches verwendest, darfst Du Dich nicht wundern. Verwende ein sicheres Kennwort, mindestens 12 Stellen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen. Und das Kennwort sollte auch nicht einen Begriff darstellen. Inzwischen wird von den meisten Browsern ein sicheres Kennwort angeboten, dass Du dann auch dort speichern kannst, ebenso bei der Anlage eines Users durch WordPress. Der Admin sollte nicht die Nr. 1 haben!Gehe zum Dashboard, Benutzer und richte einige weitere User ein. Einer davon erhält Admin-Rechte. Melde Dich mit dem neuen User an und lösche den bisherigen Admin und die „Test“-User, die Du nicht benötigst. Da viele „Böse“ versuchen, über die User-Nummer 1 den Admin zu finden und dann mit einem Passwortgenerator das Kennwort ermitteln wollen, scheitern sie schon an dieser Stelle. Benutze ein Sicherheitstool!Ich habe seit Jahren die kostenlose Version von WordFence im Einsatz. Bei Unternehmensseiten oder Vereinen ist der Abschluss eines AV-Vertrages dringend anzuraten, da WordFence in den USA sitzt. Hier werden die üblichen Einbrüche in Systeme zumindest aufgehalten. Bislang hatte ich nur Probleme, weil ein Provider-Server gehackt wurde und ausführbare Dateien auf unserer Seite mit einmal vorhanden waren. Das ließ sich aber mit dem Wiedereinspielen einer Datensicherung heilen. Anschließend waren wir schlauer und hatten dort dann auch WordFence im Einsatz.Bei WordFence erhältst Du immer Hinweise darauf, dass wieder jemand versucht, sich als Admin einzulocken. Ach so, der Name Deines neuen Administrators darf natürlich nicht Admin lauten! 2FAUm – zumindest – das Admin-Kennwort weiter abzusichern, ist es sehr ratsam, eine Zwei-Faktor-Authentifizierung einzurichten. Dieses bietet das WordFence-Plugin mit an. Als Generator benutze ich auf meinem IPhone 2FAS Auth. Problemlos. Themes und PluginsWie immer – jeder der schon einmal selbst programmiert hat, weiß es – sind Programme fehlerhaft, natürlich nicht sofort schwerwiegend, sondern möglicherweise erst in der Folgezeit. Insbesondere dann, wenn die WordPress-Version sich ändert und der Programmierer des Plugin seinerzeit die entstehende Lücke gar nicht erkennen konnte.Hier ist es immer wichtig, auch die Plugins permanent zu aktualisieren und diese möglichst nur aus dem WordPress-Verzeichnis heraus zu installieren. Dabei solltest Du auf die Anzahl der Installationen und die Bewertung achten. Eine hohe Anzahl mit einer mittelguten Bewertung ist dem vorzuziehen, bei dem nur eine geringe Anzahl mit einer sehr guten Bewertung steht.Bei Plugins, die nur extern zu erhalten sind, muss sehr sorgfältig auf die Reputation des Unternehmens und die Beurteilung ihrer Arbeit geachtet werden. Ich habe schon häufig unsauber programmierte Dinge gesehen – egal woher – (fehlendes php-Ende, fehlende Kommentierung, unsaubere Aufrufe von Funktionen), die die Funktion des Plugins oder Themes im Moment nicht beeinflussen, aber für einen „Einbruch“ prädestiniert sind.Also immer Vorsicht! SSLVor wenigen Jahren noch etwas Neues, inzwischen alltäglich: Die Absicherung der Seite mit einem SSL-Zertifikat, so dass sie durch https:// erreichbar ist. Hinzu muss natürlich eine Umleitung von http:// auf https:// treten, die einige Hoster schon automatisch anbieten. Ansonsten ein Eintrag in die functions.php und fertig [...] Weiterlesen...

Providerwechsel 4 – eigene Webseite

23. Mai 2025Tja für die anderen Webseiten war die Lösung gefunden, aber was ist mit dieser Seite? Durch den durchgeführten Domainwechsel hatte ich keinen Zugriff mehr auf die Webseite in der alten Form, konnte also auch nicht mehr Duplicator installieren. Guter Rat war teuer, eigentlich aber doch nicht. Gehirnschmalz war gefragt!Der Fehler liegt im charset innerhalb der Datenbank! Also Datenbank herunterladen, mit einem Editor öffnen, suchen, finden, charset entsprechend ändern, Datenbank fehlerfrei bei neuem Provider hochladen, die Webseiteninhalte mit ftp herunterladen und wieder hochladen und . . .? Tatsächlich fertig und das fehlerfrei! Und wie bin ich darauf gekommen: Im Schlaf! Oder fast zumindest. Langes Grübeln und Lösungen finden, verwerfen, andere finden, klappen bei mir am Besten mit geschlossenen Augen im Bett. Auf jeden Fall bei diesem Problem, bei anderen . . . na ja. [...] Weiterlesen...

Providerwechsel 3 – Webseite übertragen

23. Mai 2025Die Mailkonten war da und auch erreichbar. Jetzt sollte nur noch die Webseite übertragen werden. Also Datenbank heruntergeladen, per ftp alle Inhalte heruntergeladen, wieder hochgeladen in eine neue Datenbank und in ein neues Verzeichnis, vorher natürlich die Zugangsdaten in der wpconfig.php geändert. Beim Hochladen der Datenbank gab es einen Fehler, den ich in der Hektik übersehen hatte, aber das wird wohl nicht so schlimm sein, oder? Nachdem alles hochgeladen war, habe ich die Webseite aufgerufen und sie sah gut aus. Darüber wollte ich in diesem Blog berichten. Aber das Erstellen eines Beitrags oder auch einer Seite war nicht möglich. Ebenso führte das Duplizieren von Beiträgen zu „Leichen“, die anschließend nicht änderbar waren. Der Support konnte mir letztlich auch nicht helfen. Somit habe ich die ganze Installation wieder gelöscht. Mist, jetzt musst Du den ganzen Kram mühsam wieder nachbilden? Also musste Google her, um mir alternative Übertragungsmöglichkeiten zu benennen. Hier ist Duplicator wärmstens empfohlen worden. Dieses habe ich mit einer anderen – später zu übertragenden – Webseite ausprobiert. Also Subdomain einrichten, Datenbank und Verzeichnis anlegen, die Duplicator-Datei auf den Server laden und die installer.php ausführen. Hah! Da war der Fehler: Das Plugin gdpr-cookie-compliance definiert einen charset: utf8mb4 mit collate: utf8mb4_0900_ai_ci. Genau dieser collate wird von dem Server bei All-Inkl nicht unterstützt. Bei der Übertragung mit Duplicator wurde mir angeboten, auf einen Standard-Collate zu gehen, was ich angenommen habe. Näheres findet man hier: https://satisfyhost.com/blog/how-to-fix-unknown-collation-utf8mb4_0900_ai_ci-error/ Damit war die Installation mit Duplicator fehlerfrei möglich. Anschließende Tests in den übertragenen Webseiten waren fehlerfrei. Änderungen und Hinzufügungen waren problemlos möglich. Damit kann ich mit den anderen Webseiten demnächst in Ruhe – ohne Angst davor, alles manuell noch einmal einzugeben – auf den neuen Provider umziehen. [...] Weiterlesen...

Providerwechsel 2 – Mails übertragen

23. Mai 2025Nachdem ich den Vertrag abgeschlossen und auch die Domain benannt hatte, konnte ich sofort die Mailkonten einrichten. Sie waren auch schon über den Webmailer erreichbar. Zum Übertragen gibt es bei All-Inkl eine Funktion, für die ich natürlich die Kennwörter der alten Mailkonten kennen musste. Da sie mir nicht vorlagen, habe ich überall (beim alten Provider) ein neues Kennwort vergeben, dieses entsprechend eingetragen und die Mails übernommen. Um diese Funktion im Vorwege zu testen, hatte ich einen Testaccount angelegt und mit dem gearbeitet. Das war unproblematisch und das war damit das ausschlaggebende Kriterium für All-Inkl und nicht für Manitu. Anschließend hatte ich natürlich den Anwendern den neuen Server und das Startkennwort mitgeteilt. Jetzt fehlte nur noch der Domain-Wechsel. Beim alten Provider beantragt, war nach 10 Min da, beim neuen eingetragen und den Transport beauftragt. Nach weiteren 30 Min lag die Domain dann bei All-Inkl. Jetzt nur noch die Webseite übertragen . . . [...] Weiterlesen...

Providerwechsel – welcher?

23. Mai 2025Mein bisheriger Hoster aus Köln kam auf die glorreiche Idee, die Mailkonten künftig nicht mehr selbst zu führen, sondern nach MS365 zu übertragen. Was ich zur Speicherung von Daten im Ausland halte, habe ich schon an verschiedenen Stellen, wenn auch nicht gerade hier, geäußert. So weit, so schlecht. Geschickterweise lässt er sich dieses auch noch bezahlen: 0,99 € pro Monat pro Mailkonto. Vermutlich für die Massenlizenz bei Microsoft? Bei nur einem oder zwei Mailkonten hätte man über die Mehrausgabe hinwegsehen können, aber bei den von mir dort gehosteten Domains waren fünf, neun und 16 Mailkonten eingerichtet. Diese ließen sich auch nicht reduzieren. Also bin ich auf der Suche nach einem neuen Hoster gegangen, auch unter finanziellen Gesichtspunkten. Die Anbieter Strato und IONOS sagten mir nicht zu, es blieben von den bezahlbaren letztlich nur all-inkl.com und manitu.de übrig. Preislich gab es keinen sehr großen Unterschied, aber die Unterstützung bei der Übertragung der Datenbank/Daten/Mailkonten ist bei all-inkl.com professioneller ausgeprägt. Von daher war die Entscheidung getroffen. [...] Weiterlesen...

Wie fängt „man“ an?

9. August 2024Das weiß ich natürlich nicht, wie andere anfangen, aber da ich es nur als Hobby betreibe und kein Einkommen damit erzielen will, ist es bei mir immer ziemlich gleich: Zunächst informiere ich mich, was der Auftraggeber will: Für wen ist die Seite, was soll sie aussagen/darstellen, wer will künftig damit arbeiten/Inhalte ergänzen/ändern, gibt es sowas wie ein allgemein verwendetes Logo oder eine eigene Schriftart, wie häufig wird der Inhalt geändert, ist so etwas wie eine regelmäßige Erzählung beabsichtigt, wer sind die „Kunden“, welche Erwartung haben diese, soll auch ein interner Mitgliederbereich geschaffen werden, was sollen die Mitglieder dürfen (nur lesen, auch ändern, auch veröffentlichen)? Da meine „Zielgruppe“ idR kleine Vereine oder Organisationen sind, ist ein kostenloses Tool für diese das Mittel der Wahl. Nicht immer ist es umsetzbar, schließlich muss der Hoster bezahlt werden und einige notwendige oder für erforderlich gehaltene Anwendungen sind kostenlos meist zu stark in ihrer Funktion beschränkt oder erst gar nicht vorhanden. [...] Weiterlesen...

Alles wieder neu

2. August 2024Tja, alte Seite gecrasht – ich weiß, ich hätte sie noch retten können, aber wollte sie sowieso noch ändern -, und dann wieder neu erstellen. Eigentlich wie immer Datenbank beim Hoster anlegen Domain auf die DB verweisen WordPress-Installation mit filezilla hochladen Theme auswählen (eine der schwierigsten Aufgaben, kein Theme passt 100%ig und Geld wollte ich dafür auch nicht ausgeben und auch keine 5 Stunden mit der Suche verbringen) Theme einrichtigen, Header usw. soll ja auch etwas nett aussehen Schriften lokal hosten und einbinden Impressum und Datenschutz machen Erste Beiträge schreiben Das war es dann erstmal. Schließlich noch suchen, wie man Blogbeiträge auf eine Seite bekommt, damit nicht immer domain/category/Kategorie in der Zeile steht (Lösung: z.B. mit Display Posts). Schließlich noch WordFence installieren und die Seite aus dem „Under Construction“-Schlaf holen. Fertig? Nee, eigentlich nie. Da diese Seite eigentlich nur dazu dient, bestimmte (neue?) Anwendungen zu testen, wird sich in der Zukunft bestimmt noch was ändern. [...] Weiterlesen...

Sach mal, hast Du Lust?

31. Juli 2024Mit dieser Frage kam eines Tages – jetzt auch schon 6 Jahre her – der damalige Vorsitzende des Ortsvereins auf mich zu. „Lust, wozu?“ „Wir suchen jemanden, der für die Gemeindevertretung kandidiert. Du bist doch jetzt nicht mehr im Beruf, da hast Du doch bestimmt Zeit!“ Na ja, so oder so ähnlich lief das Gespräch, was mich dann doch dazu brachte, meinen bisherigen Status als schlafendes Mitglied zu verlassen, um die örtliche SPD zu unterstützen. Gesagt, getan. Kandidiert und von der Mitgliedschaft gewählt und schließlich auch in der Gemeindevertretung (GV) gelandet. Da wir nur einen Stimmenanteil von gut einem Viertel der Stimmen hatten, konnten wir direkt nichts umsetzen, aber durch kluge Beiträge bestimmte Dinge mit beeinflussen. Mir wurde darüberhinaus auch der Vorsitz im Koordinierungs- und Finanzausschuss angeboten. „Du verstehst ja was davon“ meinten viele im Hinblick auf meine bisherige berufliche Tätigkeit. Seit 2018 vertrete ich meine Partei somit in der GV und leite den Ausschuss. [...] Weiterlesen...

Warum WordPress?

31. Juli 2024Als ich den Auftrag bekam, für unsere Band die Webseite zu pflegen, war diese noch unter Drupal erstellt worden und der bisherige Webmaster konnte nicht mehr die notwendige Zeit hierfür aufbringen. Also ran an den Speck und erst einmal schlau gemacht, ein dickes Drupal-Buch half mir, mich in die Besonderheiten einzulesen bzw. einzuarbeiten. Aber so ganz war das dann nicht das, was ich und die Verantwortlichen wollten. Neben der Außendarstellung sollte auch noch ein interner Bereich mit Bandkalender, bestimmten Dateien, interne Kontaktdaten und weiteres angeboten werden. Also habe ich mich auf die Suche nach Alternativen gemacht und diese testweise eingesetzt. Letztlich blieb für mich WordPress übrig. Wenn man sich auf dieses Open-Source-Produkt einlässt, ein wenig CSS und PHP verstanden hat, kann man (fast) alles machen. Zumal die Community sehr umfangreich ist und idR auch sehr hilfreich Lösungen für ein bestimmtes Problem anbietet. Wichtig ist die Absicherung der Seite, natürlich https, aber auch sicherstellen, dass die Seite nicht von Dritten übernommen werden kann. Hier kann WordFence helfen, dass ich bei fast allen Projekten im Einsatz habe. Zwar wird es in den USA gehostet, aber mit einem Auftragsverarbeitungsvertrag kann man einigermaßen sicherstellen, dass die übermittelten Daten nicht unrechtmäßig verwendet werden. Für uns war es ebenfalls wichtig, die Seite selbst zu hosten und nicht einen Fremden mit der Betreuung zu beauftragen. Im Zweifel ist es dann auch die teuerste Lösung, für einen gemeinnützigen Verein meist nicht machbar. [...] Weiterlesen...

SOATEBA, immer ein Genuss!

31. Juli 2024Zumindest unsere Besucher habe dieses sehr häufig auf unseren Konzerten gesagt. Wir sind eine Truppe von über 20 Leuten, die in unterschiedlicher Besetzung in diesem Jahr in Kaltenkirchen und Umgebung bereits 6 Konzerte gegeben hat, auf Privatfeiern, beim Stadtfest und beim „Fest der Nationen“. Der nächste Termin ist unser Top-Event in der Bürgerhalle Kaltenkirchen am Sonntag, den 13. Oktober 2024 um 17:00 Uhr. [...] Weiterlesen...