Ich habe für einen wohltätigen Verein vor vielen Jahren (2008) eine Webseite programmieren lassen.
Nun der programmieren ist verschwunden.
Die Webseite würde mit hilfe von ktmllite für die Textpflege entwickelt. KTMLLITE version="3.6.0"

Also problem ist jetzt dass die Webseite, obwohl ich vor einem Monat die USER-Name und Passwörter geändert habe und diese niemand Mitgeteilt hatte, werden auf der Seite immer wieder Texte INKL links zu einem "leather ipad .... " gesetzt.

Heute habe ich in der DB alle user (ACCESS Level B) gelöscht und nur mein User (level A ) geändert und aktiv gelassen.

Das Passwort der DB habe ich zusätzlich auch geändert und die Daten in der php-Datei in der connections ordner aktualisiere.

Was kann noch tun damit niemand die Seite ändert kann ohne meine zustimmung?
Kann mir jemand erklären wie ich herausfinden kann wer da die Händen darauf hat?


Vielen Dank

Wie um alles in der Welt soll jemand diese Frage beantworten können? Um herauszufinden, wo die Lücke ist, müsste sich jemand die Seite und die Programmierung anschauen. Beauftrag also jemand damit oder – mein Tip – bau die Seite mit einem System nach, für das es eine große Entwicklergemeinde und damit Updates bei Sicherheitslücken gibt. Seit 2008 hat sich viel getan.

Dringend noch FTP-Zugangsdaten ändern!
Wir hatten neulich auch einen Einbruch, konnte aber keiner imcl. Internet-Sheriffs ermitteln, wo die rein sind...

Als erstes sollten Webserver und PHP Version auf die neuste SecurityFix Version geändert werden. Dazu am besten die Releasenotes zu den nachfolgenden Versionen durchlesen. Dann kann natürlich im Programm der PHP Website Exploits versteckt sein. Realistisch betrachtet, bist Du nicht in der Lage da irgend etwas zu finden, dazu bedürfte es einer kompetenten Person, die nicht nur programmieren, sondern auch mit Sicherheitsanalysen auskennt. Wenn das Programm Fehler enthält z.B. anfällig für SQL Injections ist, kannst Du beliebig Webserver und PHP updaten, das wird nichts bringen.

Das ist eine Grossbaustelle..
Eigentlich gibts nur eine Strategie:
Die website offline nehmen, komplett modernisieren und dann wieder live gehen.
Mal so "nebenbei" geht heut' nicht mehr.

Alternative:
Schauen, ob ein Webhoster was passendes "komplett" anbietet. kein root-server, sondern ein "Baukastenauftritt".
Da sind zwar viele "Freiheiten" weg, aber die kümmern sich wenigstens um eine Basissicherheit in den angebotenen templates und spielen evtl. auch Patches ein. Und je nach dem ist der Aufwand fürs Neudesign dann überschaubarer, da man nicht bei "Null" anfängt.

Und ohne, daß der wohltätige Verein sich selbst die Wohltat angedeihen lässt und einige Euronen in die Hand nimmt, wirds nicht abgehen.

Und dabei wird sich klären, ob das wirklich gebraucht wird:
Ich habe die Erfahrung gemacht: Wenns Geld kostet, ist es plötzlich nicht mehr wichtig.

Hallo zusammen,

ich habe jetzt nun auch die FTP-zugangsdaten geändert. Danke für die Idee.
Eine neue Webseite mit WP habe ich den Verein vorgeschlagen. Ich wollte für die zwischenzeit, die Webseite etwas sicherer machen.

Der Webserver ist Strato und die PHP ist die v. 5.


Ich dachte ich kann einfach nach bestimmten Wörte in den dokumenten oder in der Datenbank nachsuchen.
Vielleicht php-code die z.b. das DB Passwört aus den Connections-File durchlesen. zu Naiv?

Ich habe Sie einfach auf meine Account gehostet. Aber ich werde dann in zukunft einen eigenen bei Strato einrichten.

Natürlich kann ich die Seite vom Netz nehmen, aber ich dachte vorübergehend geht es auch anders.

Ja

Na dann viel Spass.
Bei uns Nr. 1 unter Seite nicht gefunden...

HumpelDumpel

Das kann man mit jedem System hinbekommen.

Ich würde die offline nehmen. Die skriptkiddis, die Dich jetzt schon vielleicht im Visier haben, werden es wieder probieren und wahrscheinlich auch schaffen. Schon weil es Spass macht Dich zu ärgern.
Je nach dem können die Deine site für diversen Unfug benutzen und Du kriegst vielleicht richtigen Ärger dadurch (zb malwareschleuder und, und,...).

sffan dass stimmt. Das kommt als next.

Ich habe jetzt alle Zugangsdaten geändert. Wenn es wieder passiert dann ich eine Link auf der Seite sehe, dann ist die Seite offline inkl. DB.
Vielen dank für mitlesen und mitschreiben.

Als Anregung: Da aufgrund ihrer Verbreitung bei WordPress und Typo3 besonders häufig Probleme und Angriffe auftreten, würde ich mir ein nicht ganz so beliebtes Angriffsziel als CMS suchen.

Ich kenne ein paar Leute die mittlerweile mehr mit ihrem CMS beschäftigt sind als mit dem Content.

Man kann aber auch ein Wordpress vernünftig absichern, das nur mal so am Rande ...

Dazu gibt es diverse (einfach zu bedienende) Erweiterungen wie auch manuelle Möglichkeiten.

Und natürlich löscht man die Standard-Benutzer und benutzt sichere, sprich lange und komplexe Passwörter.

War klar, dass das kommt.

Auf jeden Fall runter mit der Seite, und zwar komplett. Das hört sich zwar "nur" nach SQL injection an, aber es kann auch durchaus sein, das zusätzlicher PHP-Code eingeschleust wurde, wodurch dann z.B. Datei-Upload (Vieren!) und Spam-Versand über deine Seite möglich ist. Dadurch würde deine Seite zu Gefahr/Belästigung für die Allgemeinheit.

Zum Thema beliebtes CMS:
Ja, ein beliebtes CMS ist natürlich auch ein beliebtes Angriffsziel. Allerdings wird das auch von einem großen Team gut gewartet und oft und zügig mit Updates versorgt. Bei einem Nieschensystem wäre ich mir da nicht so sicher.

Ich kann jetzt nur zu Wordpress was sagen, aber die größte Schwachstelle sind da in letzter Zeit nur die von den Usern verwendeten Passwörter. Die werden gerne mal versucht zu knacken, aber das kann dir mit jedem CMS passieren. Die sonstigen Lücken im Wordpress Kern in letzter Zeit waren größtenteils welche die man nur vom Admin-Menü aus (also nur als registrierter User mit höheren Rechten) ausnutzen konnte (z.B. Bugs im Datei-Uploader für Post-Attachments). Mehr Sorgen muss man sich hier um schlecht bis gar nicht gewartete Plug-ins machen, die werden auch sehr gerne angegriffen, daher sollte man nur so wenig wie nötig installieren.

heise (21.06.2013): BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe

BSI: Studien: Content Management System (CMS) , Download der Studie bzw. (PDF)

Vielen Dank für die tollen Hinweisen. Ich werde trotzdem WP nehmen auch weil dieser System ständig aktualisiert wird. Genauso wie OSX.

Es wäre sehr schön wenn jemand hier eine Liste schreiben könnte, wie man Wordpress anpassen sollte und welche maßnahmen notwendig sind damit ein WP Webseite "einigermaße" sicher ist.

Das ist korrekt. Die exponiertesten Scheunentore sind Plugins und Themse. Wie man hier beispielhaft gut sieht:

Dennoch treten auch Verwundbarkeit am Kernel selbst auf.

Oder auch Security PlugIns

@ barbagianni:
Dann kommst Du nicht drumherum jemand damit zu beauftragen, der das wirklich wartet und aktuell hält. Sowie alle verwendeten und relevante Komponenten.

,

Ein paar Plugins und ein Theme wirst du vermultlich brauchen, da empfiehlt es sich in erster Linie die offiziellen Verzeichnisse von Wordpress zu verwenden, da dort Bewertungen, Kommentare und Infos zur Kompatiblität vorliegen:
Willst du selber ein Theme bauen, empfiehlt es sich eines der Standard-Themes von WP als Grundlage zu nehmen (die, die mitgelifert werden), da diese mit Abstand am sichersten sein sollten.

1. Den Standardmäßigen "admin" User killen und einen mit eigenem Benutzernamen anlegen. Dieser User natürlich am meisten versucht zu knacken.
2. Um auch die anderen User-Accounts zu schützen ist es wichtig ein Plugin zu haben das bei zu vielen fehlgeschlagenen Login-Versuchen die IP sperrt. Ich benutze dazu Limit Login Attempts ().
3. Wenn du wirklich auf Nummer extra-sicher gehen willst (würde ich bei nicht ganz regelmäßig gewarteten Installationen auf jeden Fall empfehlen), dann kannst du noch den ganzen /wp-admin/ Ordner zusätzlich per .htaccess-Datei mit zusätzlicher Kennwortabfrage sichern. So blockst du direkt auf Web-Server-Ebene alle Versuche ab Lücken im Admin Menü auszunutzen die ohne normalen Login ausnutzbar wären. Versuche Kennwörter zu knacken werden so auch weitestgehend abgewehrt (alle automatisierten Versuche würden hieran vermutlich direkt scheitern).
4. Kein öffentliche User-registrierung. Dies hilft zwar gegen Kommentar-Spam, allerdings lässt es auch jeden ins Admin menü, wodurch eine größere Angriffsfäche entsteht
5. Wo wir bei Kommentar-Spam sind: Wenn du vor hast, Kommentare zu zu lassen, empfiehlt es sich zur Verstärkung von Akismet noch Conditional CAPTCHA for Wordpress zu installieren. Das setzt Usern die einen Kommentar gepostet haben, den Akismet für Spam halt, ein Captcha vor. Wird das nicht gelöst, wird der Kommentar direkt geschreddert. Das macht das Moderieren der "False Positives" von Akismet deutlich leichter

Wenn du dann nicht anfängst mit schlampigen PHP-Kenntnissen selber Lücken reinzubauen, solltest du schon eine ziemlich sichere Seite haben (allemal besser als was du jetzt hast). Ich betreibe jetzt seit ~4 Jahren eine Wordpress Seite mit ca. 100.000 Besuchern im Monat (wobei die Besucherzahl irrelevant ist, die Angriffe erfolgen komplett automatisiert auf alles was wie eine Wordpress Seite aussieht) und so weit ich weiß ist da noch niemand eingebrochen.

dass ist echt super vielen dank!!


Template haben ich nicht selbst gebaut... vielleicht nächstes Mal.

Aber der Punkt 1. 2. und 4. hatte ich auf meiner andere Webseite die auf WP basiert sowieso gemacht.

Wie ich die .htaccess ändere weiss ich nicht wie dass geht, daher ist die Datei in moment in ungeänderter Form.