Tapetenwechsel: Ein neues Theme für mein Castle und ein Sicherheitstest

Last Updated on 2 Jahren by TmoWizard

Datenschutz und Sicherheit!

Nun komme ich aber zu einem Punkt, der wohl für alle von uns sehr wichtig ist! Passend dazu wurden auch das Impressum heute … (noch 10.12.2020, inzwischen ist es 23:51 Uhr) angepaßt an den aktuellen Stand.

Ein weiteres Problem betrifft das Impressum und Gravatar, das muß ich leider noch einmal anpassen, Zitat:

Durch das Plugin Avatar Privacy ist es nun jedoch so, daß diese Avatare inklusive Gravatar hier auf dem Server gespeichert werden. Ein Kontakt zu Gravatar.com findet dadurch nicht mehr statt, auch eure dazu benötigte Daten (die Mail-Adresse) bleiben dementsprechend bei mir verschlüsselt gespeichert.

Hier habe ich mir ein ganz böses Foul erlaubt, denn natürlich kommt kurzfristig einmal ein Kontakt zu Gravatar zustande. Woher denn sonst wenn nicht von dort sollen denn die passenden Gravatare zu euren Mail-Adressen kommen? 😵

Doch reden wir einmal darüber, wie man sich bzw. sein System vor Trackern, Cookies und bösen Scripten schützen kann. Fangen wir hierbei mit meinem Castle an, denn das betrifft ja auch euch als meine Besucher! Wie auch auf dem eigenen System zuhause gilt natürlich auch bei einem Blog, daß immer alles auf dem aktuellen Stand gehalten werden sollte. In meinem Fall also WordPress selbst, die installierten Plugins und das verwendete Theme. Zudem sollte natürlich auch der verwendete Server auf dem neuesten Stand sein, in meinem Fall übernimmt das wie bei den meisten Anbietern dieser selbst.

Hier gehen dann schon die Probleme los:

Wie bereits beim Theme Calotropis gibt es für einige bzw. sogar recht vielen Plugins schon seit Jahren keine Updates mehr, weil z. B. der Ersteller keine Lust mehr hat oder gar nicht mehr existiert. Bei Calotropis war das kein Problem, da es unter einer freien Lizenz stand und ich es entsprechend übernehmen konnte. Bei einigen Plugins geht das jedoch nicht, so daß eine weitere Benutzung ein Risiko werden kann.

Vier solcher Plugins habe ich selbst installiert, wobei zwei jedoch immer nur ganz kurz von mir aktiviert werden. Ich habe hier ein extra Plugin, welches mir die Aktualität der installierten Plugins anzeigt. Zwei dieser Plugins sollten kein Problem darstellen, so daß ich diese eigentlich selbst kurz verändern und als neue Version weiter verwenden kann. Beim Dritten bin ich mir noch nicht sicher und das vierte Plugin ist leider *etwas* umfangreicher.

Gerade dieses letzte Plugin halte ich jedoch für sehr nützlich, so daß ich mich wohl um alle vier kümmern muß… ich habe ja sonst ganz bestimmt keine anderen Probleme!

Doch sehen wir mal weiter, was es zu dem Thema noch gibt. Wichtig ist auf jeden Fall, daß man bei WordPress direkt nach der Installation einen neuen Administrator erstellt, dann sich als dieser anmeldet und den original Admin löscht. Ein Admin namens „Admin“ ist mehr als nur Scheiße, er ist wirklich ganz dumme Scheiße! Passend dazu das am häufigsten verwendete Paßwort „123456“ und man hat nicht ganz zu Unrecht für alle Ewigkeit den Titel „dümmster DAU aller Zeiten“ gewonnen.🤪

Fast hätte ich jetzt was vergessen! WordPress.org verwendet wie viele andere solche Systeme natürlich eine Datenbank, was ja eigentlich nicht wirklich schlimm ist. Das Problem dabei ist jedoch, daß jede Installation von WordPress das selbe Präfix für die Tabellen verwendet: wp_. Das wird in der Datei „wp-config.php“ festgelegt und sollte *vor* der Installation auf jeden Fall geändert werden! Wichtig ist dabei der Unterstrich als Abschluß, dieser muß vorhanden sein. Der Rest kann eine wirre Folge an Zahlen und Buchstaben sein, nach der Installation ist das eh uninteressant. Nur für WordPress selbst, für einige Plugins und natürlich für Themes ist es wichtig, ein einfacher Anwender oder gar ihr als Besucher habt damit eh nichts zu tun.

In der genannten Datei stehen dann auch noch die Sicherheitsschlüssel, welche WordPress zum Verschlüsseln verwendet. Besser gesagt müßen die noch eingetragen werden, was ich aber nicht von Hand machen würde. Es wird dort auf eine extra Seite verwiesen, auf welcher man sich diese Schlüssel erstellen lassen kann. Für ganz vorsichtige Leute wie mich gibt es dann auch noch ein Plugin, mit welchem man diese Schlüssel zwischendurch ändern kann. Das ist zwar nicht wirklich notwendig, schadet aber auch niemandem.

Natürlich gibt es noch ein ganzes Arsenal an Plugins, welche ebenfalls für die Sicherheit der WordPress.org-Installation nützlich sein können. Als erstes sei da mal Antispam Bee zum Schutz vor Spam genannt, da das vorinstallierte Akismet nicht unbedingt dem Datenschutz dienlich ist. Das geht schon damit los, daß man sich für die Nutzung des Plugins extra bei WordPress.com registrieren muß! Dazu auch der entsprechende Hinweis in der Wikipedia, Zitat (Hervorhebung durch mich):

Akismet untersucht einen Kommentar nach möglichem Spam. Um dies zu bewerkstelligen, muss dieser Spamschutz einige Daten zu einem Server in die USA übermitteln. Etwas Derartiges darf nur dann durchgeführt werden, wenn auf dieses Vorgehen in der Datenschutzerklärung explizit hingewiesen wird. Sollte diese fehlen, so muss das Plugin deaktiviert werden.[2] Dieses Problem wurde inzwischen von heise Online bestätigt.[3] Nachdem dieses Problem dem Team von WordPress Deutschland seit zwei Jahren bekannt war,[4] wird bei WordPress Deutschland seit dem 1. März 2011 eine Grundsatzdiskussion geführt.[5] Ab Version 3.1.1. wird WordPress mit einer angepassten Sprachdatei ausgeliefert, welche beim Aktivieren von Akismet bei einer WordPress-Neuinstallation eine Warnmeldung ausgibt.[6]

Hier wäre es eigentlich praktisch, wenn WordPress das ohne zusätzliches Plugin könnte. Andererseits wäre dann wohl Akismet als eigene Funktion integriert, was auch wieder keine gute Idee wäre!🤔

 

Bitte keine Tracker!

Leider sind in der heutigen Zeit Tracker auf vielen Websites zum Standard geworden, natürlich auch bei WordPress. Diese dienen im Allgemeinen dazu, um das Verhalten der Nutzer zu prüfen. Das Problem hierbei ist jedoch, daß sich unter Anderem auch Werbefirmen dieser Möglichkeit bedienen! Dabei gehen sie allerdings weiter und verfolgen durch ihre Tracker über viele verschiedene Websites hinweg durch das ganze Internet, was dem Datenschutz nicht gerade dienlich ist, sondern diesem eigentlich sogar widerspricht.

Man bestellt z. B. bei einem Händler eine Kaffeemaschine und plötzlich werden einem auf allen möglichen und unmöglichen anderen Webseiten Kaffeemaschinen in den Werbebannern angezeigt! Aus diesem Grund haben sich bei vielen Anwendern entsprechende Add-ons im Browser etabliert, mit welchen man das unterdrücken kann. (Auf einige dieser Erweiterungen gehe ich später im Artikel noch extra ein)

Auch auf meinem Castle hier gibt es eigentlich Tracker, aber auch ein spezielles Plugin. Da ich diese Tracker selbst überhaupt nicht mag habe ich mich natürlich nach einer Möglichkeit erkundigt, wie man das Tracking ziemlich reduzieren oder gar verhindern kann. Hängen geblieben bin ich dann bei dem Plugin „WP DoNotTrack„, welches je nach Einstellung das Tracking entsprechend einschränken kann. Ich habe hier folgende Optionen gewählt:

  • Disable tracking for all my visitors!

Recent versions of all major browsers (except Chrome) allow users to opt out of tracking, in which case WP DoNotTrack can test for navigator.doNotTrack to conditionally stop 3rd party tracking. Alternatively WP DoNotTrack can act on the presence of a dont_track_me=1 cookie.

und

  • SuperClean (most invasive)

„Normal“ gently asks WordPress to add the WP DoNotTrack javascript to the HTML to check elements being added to your page. „Forced“ adds the JavaScript with output buffering instead, to stop optimizing plugins (e.g. Autoptimize and W3 Total Cache) from loading WP DoNotTrack javascript too late. „SuperClean“ uses the output buffering to also filter image, iframe and script tags in your HTML.

Im Normalfall bedeutet das, daß bei euch gar keine Tracker ankommen. Ganz scheint das jedoch nicht zu funktionieren, z. B. bei eingebundenen Videos von YouTube! Das bemerkt man, wenn man entsprechende Add-ons im Browser verwendet. Dazu jedoch später mehr, jetzt geht es erst einmal um die Sicherheit und den Datenschutz hier auf dem Castle. Hierzu auch ein Hinweis zu meinem Anbieter:

Ich hab rechts in der Sidebar ja ganz oben das Banner von manitu eingeblendet, sie haben sich diese „Werbung“ verdient! Wenn ihr in eurem bevorzugten Browser entsprechende Add-ons installiert habt werdet ihr bemerken, daß dieser *keine* Tracker oder Cookies setzt. Daten werden dort nur erhoben, wenn man deren eigene Website selbst besucht. Da ich zudem reiner Privatanwender bin benötige ich laut der DSGVO *keinen* AV-Vertrag nach EU-DSGVO!

 

Viren und anderes Ungeziefer!

Viren gibt es natürlich nicht nur im richtigen Leben, auch hier im Internet sind diese Dinger nicht gern gesehen. Hier gibt es schon mal ein großes Problem, denn gerade WordPress.org ist durch die weite Verbreitung ein sehr beliebtes Ziel für entsprechende Angreifer! Das eigentlich Ziel sind allerdings eher die Besucher des Blogs, das angegriffene Blog selbst dient meistens nur der Verbreitung der Schadware.

Klar möchten einige der Angreifer auch auf eventuell vorhandene Nutzerdaten zugreifen, so daß die entsprechend geschützt sein sollten. Hier gleich einmal zu Beruhigung für euch der Hinweis, das eure in den Kommentaren angegebenen Daten (Name, Mailadresse und wenn jemand möchte auch die eigene Website) komplett verschlüsselt gespeichert werden! Wie außerdem schon öfter erwähnt speichere ich keine IP-Adressen, da ich hierfür absolut keinen Grund erkennen kann. Eure gespeicherten Daten kann also nicht einmal ich selbst als Admin lesen, ein Fremder hat also erst recht keine Chance! :mrgreen:

Einen direkten Schutz vor Viren und ähnlichem Zeug gibt es leider nicht wirklich, so daß man wie schon hier und auf früheren Artikeln von mir erklärt entsprechend andere Maßnahmen ergriffen werden müßen. Eines davon ist natürlich  die Möglichkeit, daß man sein Blog regelmäßig prüft. Die wirklich beste Möglichkeit hierfür ist natürlich VirusTotal, da hier viele verschiedene Virenscanner zum Einsatz kommen. Bei mir ist z. B. jeden Freitag „Großreinemachen“ angesagt, nicht nur bei mir zuhause der Haushalt, sondern auch hier auf dem Castle!

Tatsächlich gibt es eigentlich auch eine einfache Möglichkeit, daß man zumindest das verwendete Theme mit einem Plugin auf bekannte Schadware prüfen kann… Die Betonung liegt hier bei eigentlich. Dieses Plugin wurde ursprünglich wie auch Cachify, Statify und „Antispam Bee“ von Sergej Müller entwickelt und dann vom pluginkollektiv als „Instandhalter“ übernommen .. ähm… ja, alles klar, Instandhalter:

  • Version: 1.3.10
  • Zuletzt aktualisiert: vor 2 Jahren

Da ist man doch gleich sehr begeistert von solch einem Unsicherheits-Plugin, das ist natürlich sehr vertrauenswürdig!😱🤮Wer sich auf solch veraltete Sicherheitssoftware verläßt muß wirklich von allen guten Geistern verlassen sein.👻Wobei ich zugebe, daß ich es tatsächlich verwende!

Apropos Virenscanner:

Hier noch einmal der dezente Hinweis für alle Arschlöcher im Internet:

Dateien prüft man vor dem Hochladen oder weitergeben auf Viren und anderem Ungeziefer, das gilt auch für Nutzer von Linux!

Ende der Diskussion!🖕🏿🖕🖕🏻

 

Datei nicht gefunden!

Wie schon weiter oben erwähnt hat WordPress.org bei der Installation bestimmte Standardeinstellungen, welche praktisch jeder Angreifer ziemlich einfach für sich nutzen kann. Hier gilt es also, daß man das verhindert. Wie ihr aber bereits bemerkt haben werdet bietet kaum ein Theme entsprechende Möglichkeiten, man benötigt also verschiedene Plugins dazu.

Ein Problem sind hierbei Dateien wie „wp-login.php„, also der Anmeldebildschirm. Bei so gut wie jeder Installation von WordPress.org gibt man folgendes in der Adreßleiste des verwendeten Browsers ein:

http://NamederWebseite/wp-login.php

und schon darf man seine Angriffsversuche starten, wobei es hierfür inzwischen entsprechende Tools gibt! Einfach so ändern geht jedoch nicht, also muß man sich da was einfallen lassen. Wiedereinmal gibt es dafür verschiedene Plugins, das wohl einfachste nennt sich schlicht Rename wp-login.php. Dieses Plugin erweitert die Optionen um den optionalen Funktionspunkt „Anmelde-URL“, welcher sich von selbst erklärt. Man sollte sich das dann aber irgendwie merken, z. B. als Lesezeichen im Browser. Wenn man das nämlich vergißt, dann hat sich das eigene Blog wohl erledigt!

Eine weitere Möglichkeit ist zudem, wenn man ganz einfach die Anzahl der Zugriffe limitiert. Auch hierfür gibt es ein relativ einfaches Plugin, nämlich Limit Login Attempts Reloaded. Der Name alleine sollte schon genügen, um die Funktion zu erklären. Hier geht es aber schon los, denn wer bereits das vorher angesprochene Plugin verwendet wird dieses Plugin wohl eher selten gebrauchen können! Wie soll sich denn ein Fremder mehrfach anmelden wollen, wenn es die Anmeldeseite gar nicht gibt?🤣

Beide Möglichkeiten werden natürlich von keinem mir bekannten Theme angeboten, so daß man sich zum Schutz wieder einmal extra Plugins wie die von mir genannten installieren muß. So viel also zum Thema Sicherheit bei WordPress-Themes, wobei ich hier noch viel mehr schreiben könnte! Ich bin hier übrigens am Ausloten nach weiteren Möglichkeiten, welche eventuell einige Plugins überflüßig machen würden. Das muß ich aber erst noch testen, deswegen schreibe ich dazu jetzt nichts.

Apropos testen:

Da der Artikel wesentlich länger wie erwartet wird geht es mit dem nächsten Punkt auf Seite 3 weiter, ihr dürfte also noch einmal umblättern! 👇🏿👇🏻👇

CC BY-NC-SA 4.0 Tapetenwechsel: Ein neues Theme für mein Castle und ein Sicherheitstest von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

2 Replies to “Tapetenwechsel: Ein neues Theme für mein Castle und ein Sicherheitstest”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentarlinks könnten nofollow frei sein.