Zur Zeit steht Whatsapp stark in der Kritik. Seitdem der Messenger 2014 von Facebook gekauft wurde, ist das Misstrauen gegen die App gestiegen. Das ist zumindest der Eindruck, den ich im Netz und in meinem persönlichen Umfeld erlebe.

Der neueste Aufreger sind die neuen Datenschutz-Regeln, denen man bis 15. Mai 2021 zustimmen muss. Diese erlauben es, dass Facebook die Metadaten von Whatsapp-Chats u.a. für Marketingzwecke zu verwenden.

Diese erlauben es, dass Facebook die Metadaten von Whatsapp-Chats u.a. für Marketingzwecke zu verwenden.

Die Kommunikation erfolgt nach wie vor unter einer Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass weder Facebook noch Whatsapp auf die Inhalte der Nachrichten zugreifen können. Allerdings können die Metadaten ausgewertet werden, also wann und wie lange ich die App verwende, mit wem ich schreibe und wie meine Telefonnummer lautet. Das reicht, um meinen Whatsapp-Account gewinnbringend mit meinem Facebook-Profil zu verknüpfen.

Signal, die bessere Alternative zu Whatsapp

Aus diesem Grund gibt es zur Zeit (mal wieder?) viele User, die zu alternativen Messengerdiensten wechseln möchten. Die vermutlich beliebteste Alternative ist aktuell Signal, ein Dienst der von Größen der Technik-Branche empfohlen wird. Auch wir haben Signal schon vor fast genau sieben (!!) Jahren als geeignete Alternative zu Whatsapp empfohlen (damals noch unter dem Namen Chatsecure).

Signal gibt es für Android, Apple i.OS, Windows 10, Mac OS und Linux. Das schöne ist, dass sich das kombinieren lässt. Wie das geht, erkläre ich im nächsten Abschnitt.

Signal für den PC installieren

Die Installation ist nur dann sinnvoll, wenn man Signal auf einem Telefon verwendet. Man wird nach der Installation erlauben, dass die PC-Version mit dem Smartphone gekoppelt wird.

Auf der Webseite https://signal.org/de/download/ gibt es den Downloadlink für die verschiedenen Betriebssysteme. Dort lädt man sich die Version für sich herunter. In diesem Beispiel ist es Windows.

Während der Installation bittet Signal darum, das Smartphone mit der Installation auf dem PC zu koppeln. Dazu wird ein großer QR-Code angezeigt.

In der Smartphone-App öffnet man Signal, tippt oben rechts auf die drei Punkte und öffnet das Einstellungsmenü. Dort gibt es den Unterpunkt Gekoppelte Geräte. Über das große Plus unten rechts kann man das neue Gerät hinzufügen.

Es öffnet sich eine Funktion, mit der der QR-Code vom PC gescannt werden kann. Damit scannt man den QR-Code vom PC und die Einrichtung schließt sich selbst ab.

Kurz danach ist die Einrichtung abgeschlossen. Ab diesem Zeitpunkt können die Nachrichten von beiden Geräten gelesen und geschrieben werden.

The post Messenger Signal auf dem PC verwenden (Windows 10 und Linux) first appeared on bejonet - Linux | Smart Home | Technik.

In Excel gibt es viele verschiedene Darstellungen von Zahlenformaten. Am bekanntesten sind wahrscheinlich die Darstellungen von Prozenten und Währungen wie dem Euro zum Beispiel. Es gibt auch die wissenschaftliche Darstellung von Zahlen, die Zehnerpotenzen darstellen können, repräsentiert durch ein kleines e: so wird aus der Zahl 1.000 ein 1e3.

In vielen Fällen hilft das schon sehr gut. Spannender wird es, wenn man die Zahl aber nicht in jede beliebige Zehnerpotenz formatieren will, sondern nur in Dreierschritten. Ein Beispiel:

Ich pflege eine Liste mit elektrischen Widerständen. Diese werden üblicherweise mit SI-Präfixen angegeben, also zum Beispiel 100 Kiloohm (also 100.000 Ohm), geschrieben 100 kOhm. Gibt man in Excel die Zahl 100.000 ein und lässt sie wissenschaftlich formatieren, wird sie als 1e5 angezeigt. Das ist zwar korrket, aber nicht sehr greifbar, schließlich wird der Wert üblicherweise in Kiloohm angegeben. Besser wäre also die Schreibweise 100e3.

Das geht, indem man in Excel die benutzerdefinierte Formatierung eingibt. Dazu klickt man im Ribbon unter dem Reiter „Start“ im Bereich „Zahl“ auf „Zahlenformat“. Im Dropdown wählt man „weitere Zahlenformate“ und wählt dort wiederum „Benutzerdefiniert“. Dort gibt man folgendes ein:

##0E+0

Das war der ganze Zauber. Schon werden die Zahlen in Zehnerpotenzen mit Exponenten in Dreierschritten angezeigt.

The post Excel: Formatierung von Zahlen mit Zehnerpotenz first appeared on bejonet - Linux | Smart Home | Technik.

Wer sich im Internet bewegt hat in der Regel auch viele Konten auf vielen Webseiten angelegt. Durch Datenskandale in den letzten Jahren wurden wir User immer wieder auf die Dringlichkeit für sichere Passwörter sensibilisiert. Es gibt viele Grundregeln, an die man sich halten soll. Die wichtigste Regel lautet: Jede Webseite muss ein eigenes Passwort erhalten.

Passwörter organisieren mit Passwort-Manager

Nach spätestens dem dritten, schweren Passwort hat man keine Lust mehr, sich die kryptischen Buchstaben-, Zahlen- und Symbolkombinationen zu merken. Schon gar nicht, wenn man ein Passwort nur selten braucht, etwa das für die Software der Steuererklärung. Ganz einfacher Tipp: ein Passwort-Manager muss her.

KeePass Password Safe – der freie Passwort-Manager

In der Freien-Software-Szene ist KeePass Password Safe weit verbreitet. Die Software ist für viele Plattformen erhältlich, man kann sie auf den Smartphone verwenden und die Verschlüsselung ist weitestgehend akzeptiert. Die Funktionen sind umfangreich, es wird bspw. die „Schwierigkeit“ des Passwort angezeigt und man kann sich Passwörter generieren lassen. Gerade diese Funktion ist sehr nützlich, wenn man sich häufig im Netz registriert.

Verbindung mit Firefox herstellen

Die Handhabung des Passwort-Managers verbessert sich maßgeblich, wenn man ihn mit Firefox verknüpfen kann. Das ständige Kopieren des Passworts für die (sehr unsichere(!!)) Zwischenablage entfällt, wenn man eine direkte Verbindung von Firefox zu KeePass herstellt. Firefox und KeePass lassen sich beide über Plugins erweitern, um diese Verbindung herzustellen. Das möchte ich nun beschreiben.

Für KeePass werden wir das Plugin KeePassRPC verwenden, in Firefox kommt das Plugin Kee zum Einsatz.

Schritt 1: KeePass vorbereiten

Zunächst muss man KeePass öffnen und Tools – Plugins – Get more Plugins aufrufen. Auf der Webseite sucht man nach der Erweiterung KeePassRPC. Diese Erweiterung stellt eine bidirektionale Kommunikation mit anderen Anwendungen her, in unserem Fall Firefox.

Über den Link gelangt man auf die Github-Seite, von der aus man die Plugin-Datei *.plgx herunterladen kann. Die heruntergeladene Datei speichert man im Ordner C:\Program Files (x86)\KeePass Password Safe 2\Plugins

Schritt 2: Firefox vorbereiten

Man klickt oben rechts in Firefox auf das Menü, Addons installieren, Suche nach „Kee – Password Manager“ und bestätigt mit einem Klick auf „hinzufügen zu Firefox„.

Schritt 3: Verbindung autorisieren

Nun schließt man KeePass und öffnet es erneut. Das Firefox-Plugin fragt nun nach einer Autorisierung. Es öffnet sich automatisch ein Fenster, in dem ein Code angezeigt wird. Diesen Code gibt man nun in Firefox ein und bestätigt mit „Verbinden“ – fertig.

Schritt 4: Benutzung des Passwort-Managers mit Firefox

Passwort speichern

Gibt man im Browser Zugangsdaten zum ersten mal ein, fragt Kee mit einem Fenster in der unteren rechten Ecke nach, ob das Passwort gespeichert werden soll. Bestätigt man dies, wird das Passwort in KeePass gespeichert und mit der zugehörigen URL abgelegt.

Passwort eingeben

Sobald man die Loginseite einer Webseite aufruft, füllt Kee die Loginfelder automatisch aus. Man erkennt das auch daran, dass das Kee-Logo neben dem Eingabefeld erscheint. Sollten mehrere Zugangsdaten für die gleiche URL hinterlegt sein, kann man über dieses Symbol zwischen ihnen wechseln. Das funktioniert natürlich nur, so lange KeePass im Hintergrund geöffnet ist.

The post KeePass Passwort-Manager mit Firefox verbinden first appeared on bejonet - Linux | Smart Home | Technik.

Große Bildschrime mit 4K-Auflösung haben ihren Reiz. Das betrachten von Bildern ist viel angenehmer, genau wie deren Bearbeitung. Mehr Pixel bedeuten auch mehr Platz, man kann viele Fenster gleichzeitig geöffnet haben, ohne dass sich die Fenster überdecken.

Es gibt aber auch einen entscheidenden Nachteil: Die auf Pixelanzahl basierenden Schriftarten werden plötzlich sehr klein! Diesen Effekt unterschätzt man gerne, weil man ja denkt: größerer Bildschirm entspricht größerer Schrift! Das ist zwar sehr häufig der Fall, aber nicht bei allen Anwendungen.

Fenster werden größer, Schriften werden kleiner

In den Windows-Anzeigeeinstellungen kann man für das gesamte System die Skalierung einstellen. Auf manchen Laptops mit hochauflösenden Displays ist häufig 150% oder gar 200% eingestellt. Bei machen Anwendungen fühlt es sich daraufhin an, als ob man regelrecht angebrüllt wird. Daher lasse ich die Voreinstellung auf meinem stationären PC bei 100% Vergrößerung und kümmere mich um das einzige Programm, bei dem ich ernsthaft Schwierigkeiten habe: Thunderbird.

Schriftgröße auch für Posteingang und Ordner vergrößern

Die eingebaute Vergrößerung für Thunderbird (Menü, Ansicht, Zoom), Strg + „Plus“ bzw. Strg + „Minus“ funktioniert schonmal. Allerdings wird damit ausschließlich der Nachrichteninhalt vergrößert. Der Posteingang und die Ordner bleiben weiterhin in der kleinen Schriftart.

Abhilfe versprechen Plugins, die sind aber heute (Stand: Juli 2020) nicht mehr mit der aktuellen Thunderbird-Version kompatibel (68.9.0). Zum Glück braucht man aber auch gar kein Addon oder Plugin, um die Schriftart zu vergrößern.

Konfiguration anpassen, kein Addon installieren

Im Experten-Einstellungsmenü findet man die notwendige Einstellung. Man navigiere folgendermaßen:

• Thunderbird-Menü
• Einstellungen >
• Einstellungen
• Erweitert
• Allgemein
• Konfiguration bearbeiten… (das entspricht dem about:config)
  ggf. muss man mit „Ich bin mir der Gefahren bewusst!“ bestätigen.

Dort findet man den Parameter layout.css.devPixelsPerPx, der ist standardmäßig auf -1.0 eingestellt. Diesen Parameter muss man entsprechend anpassen, ich habe mich für 1.2 entschieden, dadurch erhalte ich eine angenehme Vergrößerung aller Schriften in Thunderbird.

The post Thunderbird: Schriftgröße verändern ohne Addon first appeared on bejonet.

Wenn man eine neue Webseite erstellt oder die bestehende Webseite überarbeiten möchte, ist eine „Coming soon“ oder „Bald gibt es etwas neues“-Seite oft angemessen. Da ich häufig Webseiten mit WordPress gestalte, habe ich hierfür auch eine Idee gesucht.

Den Wartungsmodus kann man in WordPress relativ schön gestalten, wenn man das Plugin WP Maintenance Mode installiert. Das Plugin ist schlank und macht genau das was es soll: eine Coming Soon Seite anzeigen.

Das Plugin ist sehr minimalisitisch und bietet ein paar wenige Features. Ich halte mich dabei gerne an die Regel „weniger ist mehr“. Das bedeutet, dass ich meistens nur ein Bild anzeigen lasse. Es gibt noch mehr Möglichkeiten, zum Beispiel ein Countdown und die Möglichkeit, Text zu schreiben. Mir genügt lediglich das Bild.

Ein responsive-Bild lädt man übrigens über den Hintergrund hoch. Er wird standardmäßig über CSS so formatiert, dass immer die volle Breite des Fensters verwendet wird.

background-size: cover;

Manche Bilder wirken aber besser, wenn man die volle Höhe anzeigt und die Ränder links und rechts abschneidet. Das kann man machen, wenn man folgenden Code im Plugin-Editor in die Datei wp-maintenance-mode/includes/functions/helpers.php einfügt:

/**
 * Add code inside <head></head>
 */
function wpmm_add_code_to_head() {
    ?>
    <style>
		.background {background-size: contain;}
    </style>
    <?php

}
add_action('wpmm_head', 'wpmm_add_code_to_head', 10, 1);

The post WordPress-Plugin WP Maintenance Mode first appeared on bejonet.

Wenn das NAS ordnungsgemäß aufgestellt, mit Festplatten oder SSD bestückt wurde, am Netzwerk hängt und mit Strom versorgt wird, kann man es einrichten.

Für Synology bedeutet das, dass man http://find.synology.com aufruft. Wie auch immer das funktioniert, aber kurz darauf befindet man sich tatsächlich auf dem NAS im Heimnetzwerk und kann es über dessen IP einrichten. Um das Betriebssystem zu installieren, folgt man ausschließlich dem Assistenten, hier gibt es nichts zu ergänzen.

RAID 0, RAID 1, RAID 5 und Synology Hybrid RAID (SHR)

In meinem DS218j befinden sich zwei NAS-Festplatten von Western Digital. Ich habe zwei 4 TB Festplatten eingebaut. Im Westentlichen habe ich damit folgende Möglichkeiten, die Festplatten zu verwenden.

RAID 0

Die Festplatten werden in Reihe geschaltet. Ihre Kapazität entspricht der Summe der Festplatten.

Achtung: Wenn eine der beiden Festplatten kaputt geht, sind diese Daten verloren. In diesem System gibt es keine Ausfallsicherheit.

RAID 1

Die Festplatten werden gespiegelt. Was auf der einen Festplatte gespeichert wird, wird auch auf die zweite gespeichert. Die Kapazität entspricht der Kapazität der kleinsten Festplatte.

Geht eine der beiden Festplatten kaputt, kann man über die zweite die Daten wiederherstellen.

Synology Hybrid Raid (SHR)

Diese Art von RAID greift den Nachteil des RAID 1 auf. Beim RAID 1 richtet sich die Gesamtkapazität nach der Kapazität der kleinsten Festplatte. Sollten größere HDD im Verbund eingebaut sein, wird deren restliche Kapazität nicht genutzt.

Das SHR nutzt bei ungleichgroßen Festplatten im Verbund die ungenutzte Kapazität und füllt sie mit weiteren Kopien auf. Die größeren Festplatten werden in weitere Volumes aufgeteilt. Dadurch soll sich eine höhere Redundanz ergeben.

Mein Fazit

Ich verwende für mein System zwei gleichgroße Festplatten. Mir ist Ausfallsicherheit wichtig, darum möchte ich nicht RAID 0 verwenden. Außerdem möchte ich mich nicht auf eine vermutlich proprietäre Redundanzlösung verlassen, sondern bei einem halbwegs offenen Konzept bleiben. Dadurch dass ich sowieso nur gleichgroße Speichermedien verwende, bleibt für mich somit RAID 1 als Sieger übrig.

The post NAS RAID 1 vs. Synology Hybrid RAID first appeared on bejonet.

Ein NAS zu verwenden ist in vielen Situationen sinnvoll. Wenn man beispielsweise mehrere netzwerkfähige Geräte verwendet, seien es PCs, Tablets oder Fernseher, können alle Geräte auf den gleichen Speicher zugreifen. Dort gespeicherte Dateien, beispielsweise Urlaubsfotos, können dann auf allen diesen Geräten angezeigt werden.

Meine Motivation ist allerdings vor allem der redundante Festplattenspeicher. Ich verwende ein NAS mit zwei Festplatten. Ich werde sie so konfigurieren, dass beide Festplatten sich gegenseitig spiegeln, also exakt die gleichen Daten speichern. Das nennt sich RAID 1 (Redundant Array of independent disks). Fällt eine der beiden Festplatten aus, kann sie ersetzt werden und die Daten sind noch auf der zweiten Festplatte gespeichert.

NAS kaufen vs. Raspberry Pi Eigenbau

Das aktuelle Einstiegsmodell von Synology, DS218j, genügt für mich allemal. Ich werde einen relativ geringen Traffic darauf laufen lassen und brauche dort keine übermäßige Rechenleistung (momentan habe ich keinen Bedarf an Videocodierung oder anderen aufwendigen Berechnungen). Ich kann von meinen Geräten im Heimnetzwerk darauf zugreifen und haben die besagte Ausfallsicherheit durch das RAID 1.

Andere Hersteller kommen natürlich auch in Frage. Für meine Bedürfnisse ist es schon beinahe egal, wer das NAS herstellt. Ich habe mich für den Hersteller entschieden, der in meinem Bekanntenkreis bereits verwendet wird.

Prinzipiell gibt es sogar die Möglichkeit, das NAS über ein Raspberry Pi selbst zu bauen. Das Betriebssystem OpenMediaVault kann man das sogar recht komfortabel umsetzen. Ein halbwegs neuer Raspberry Pi und externe Festplatten genügen, schon kann man die Low Budget Variante selber bauen. Die Einrichtung funktioniert anschließend über den Browser, so wie es auch in den kommerziellen Varianten der Fall ist.

Ich entschied mich für die kommerzielle Variante. Das ist – zugegeben – eher untypisch für mich und das Blog. Normalerweise bin ich eher der Bastler, der gerne solche Systeme selber baut. In diesem speziellen Fall war mir die Kaufvariante allerdings lieber.

NAS-Festplatten vs. Deskop-Festplatten

Die zweite Frage, nachdem die Entscheidung auf die Diskstation DS218j gefallen ist, lautet: welche Festplatten werde ich verwenden?Die sogenannten NAS-Festplatten sind robuster ausgestattet als die typischen Desktop-Festplatten. Die wesentlichen Unterschiede zwischen den Typen sind die folgenden:

• Drehzahl: NAS-HDD laufen langsamer als Desktop-HDD. Sie sind dadurch ruhiger, verbrauchen weniger Energie und erwärmen sich nicht so stark.
• Montagebohrungen: Nicht jede HDD hat die passenden Befestigungsmöglichkeiten für die Rahmen in einem NAS.
• Firmware: NAS-HDD können mit dem RAID-Controller über ausgefallene Sektoren kommunizieren.
• Vibrationen: NAS-HDD haben manchmal einen Virbationssensor, der bei zu starken Vibrationen im Gehäuse die HDD herunterfährt. Außerdem sind die „besseren“ NAS-HDD zusätzlich mit Vibrationsdämpfern ausgestattet.

Ich habe mal letztendlich für die NAS-Version von Western Digital entschieden (WD Red). Aus meiner Sicht sind alle HDD-Hersteller gleichbedeutend, es hätte genauso gut Seagate oder Sandisk oder etwas anderes werden können. Die NAS-Festplatten kosten nur unwesentlich mehr als die Desktop-Version.

The post Ein NAS verwenden: Grundsatz first appeared on bejonet.

Die Sicherheit einer Webseite ist ein sehr wichtiges Thema. Man muss sich stets darum kümmern, auch wenn es lästig sein kann. Wer seine Webseite mit WordPress betriebt hat es auf der einen Seite sehr einfach, auf der anderen Seite aber auch wieder schwierig.

Die Sicherheitsvorteile, die WordPress mit sich bringt

WordPress ist sehr weit verbreitet. Millionen von Webseite laufen über diese Software. Die Entwicklung findet in einer sehr aktiven Community statt. Darin sind viele Sicherheitsexperten, die sich um das Beheben von Sicherheitslücken kümmern. Da diese Software so stark entwickelt wird, bleiben Sicherheitslücken nicht lange offen sondern werden zeitnah geschlossen.

Durch die Popularität von WordPress wird es für Angreifer aber auch wieder attraktiv, die Software zu knacken. Denn hat man einmal eine Lücke gefunden, kann man sie bei vielen Webseiten verwenden. Und schon sind wir beim typischen Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsexperten.

Die Sicherheit von WordPress erhöhen

Mit den folgenden Artikeln habe ich Möglichkeiten gezeigt, wie man typische Eintrittstore von WordPress ausfindig macht und wie man wieder schließen kann. Die Goldene Regel der Sicherheit für jegliche Software lautet: Updates installieren, Updates installieren und Updates installieren. Alles weitere habe ich in einzelnen Artikeln zusammengefasst.

WordPress sichern mit .htaccess

Mit der Datei .htaccess auf dem Webserver kann man WordPress serverseitig absichern. Die Angreifer möchten mit ihren Botnetzen das Passwort der Benutzer erraten. Wenn wir unsere Anmeldeseite von WordPress einfach hinter die abschließbare Tür unseres Servers packen, erhöhen wir die Eintrittshürde für Angreifer erheblich. Wie das geht und wie man das ganz genau Installiert, habe ich in einer Schritt-für-Schritt-Anleitung zusammengefasst.

WordPress: xmlrpc.php deaktivieren

Bei Softwareentwicklern und auch bei Angreifern ist die xmlrpc.php von WordPress sehr beliebt. Sie ist eine Schnittstelle für die Entwickler, worüber sie auf viele Funktionen von WordPress zurückgreifen können. Für Hacker ist das ein gefundenes fressen, denn sie können die Datei verwenden, um massenhaft Passwortanfragen zu stellen. In dieser Anleitung erkläre ich, warum die xmlrpc.php so gefährlich ist und wie man sie deaktivieren kann.

WordPress Sicherheitslücken finden mit wpscan

Die Goldene Regel der Sicherheit lautet Updates, Updates, Updates. Doch manchmal verliert man den Überblick über die Software, die in WordPress so eingebunden wird. Dazu zählen natürlich die Plugins, aber auch die Themes von WordPress. Man kann nicht nur im Backend von WordPress erkennen, welche Softwareversion die Plugins haben. Auch über das Frontend bzw. Schnittstellen vom Server kann man die Softwareversionen, und damit den Sicherheitsstatus, erkennen. Was man mit dem Programm wpscan so alles sieht und wie man es verwendet, wird in dieser Anleitung erklärt.

The post WordPress Sicherheit erhöhen: Schritt für Schritt first appeared on bejonet.

WordPress ist ein weit verbreitetes Content-Management-System. Eine sehr große Anzahl an Webseiten weltweit werden damit erstellt. Früher war es rein für Blogs gedacht, doch der weite Umfang der Funktionen, die einfache Handhabbarkeit und die Vielzahl an Erweiterungen hat dazu geführt, dass auch vollwertige Webseiten auf WordPress aufbauen.

Viele der Administratoren sind Laien und lassen sich von der Einfachheit der Software überzeugen. Leider werden so auch oft Updates vernachlässigt und sich auch sonst sehr wenig um die Sicherheit gekümmert. Diese Faktoren – starke Verbreitung, laienhafte Admins, Vielzahl an Plugins – macht WordPress auch attraktiv für Angreifer.

Bruteforce-Angriffe sind bei WordPress-Admins sehr bekannt. Unbekannte versuchen, häufig mit osteuropäischen IPs, durch plumpes Raten die Passwörter zu erhalten. Dabei setzen sie Bots ein, die selbstständig lange Listen an Passwortvorschlägen abarbeiten und so hoffen, das richtige Passwort zu erraten. Der Schutz der wp-login.php über .htaccess ist zumindest der erste Schritt, dieses Verfahren einzudämmen. Doch es gibt noch ein weiteres, sehr großes Fenster, über das Angreifer Eintritt suchen: die xmlrpc.php.

Was ist die xmlrpc.php?

Unter XML-RPC (Extensible Markup Language Remote Procedure Call) versteht man eine Schnittstelle zwischen einem System (hier WordPress) und externen Funktionen. Sie kümmert sich beispielsweise um Pingbacks, also ein- und ausgehende Mitteilungen von anderen Webseiten. Außerdem greifen verschiedene Plugins (wie beispielsweise Jetpack) oder Apps darauf zu. Es ist sozusagen die Schnittstelle zur Außenwelt.

Das wird uns Betreibern nur dann zum Verhängnis, wenn jemand versucht sie zu missbrauchen. Denn abgesehen von den gewollten Funktionen kann man diese Schnittstelle auch für Bruteforce Methoden verwenden. Hier können Angreifer gleich eine Vielzahl an Passwörtern ausprobieren, um das richtige zu erraten.

Seit WordPress 3.5 ist die Datei standardmäßig aktiviert. Vorher musste man im Admin-Panel  die Funktion aktivieren.

Warum sollte man die xmlrpc.php deaktiveren?

Die xmlrpc.php hat die primäre Funktion, WordPress zu vernetzen und Funktionen von außerhalb des Admin-Panels zu verwenden. Etliche Plugins brauchen diese Funktion, doch lange nicht jeder Benutzer verwendet solche Erweiterungen. Gerade wer WordPress eher als statische Seite verwendet, kann in der Regel auf die Funktionen der xmlrpc.php verzichten. In diesem Fall bietet sie Angreifern eine potentielle Zielscheibe und macht damit die Seite unsicher.

So deaktiviert man die xmlrpc.php in WordPress

Es gibt zwei Wege, wie man die Datei sinnvoll deaktiviert. Der erste davon beschreibt, wie man die Funktion „von innen heraus“ deaktiviert. Dazu editiert man die functions.php des aktuellen Themes und fügt dort folgenden Codeschnipsel hinzu.

/* Disable XMLRPC */
add_filter( 'xmlrpc_enabled', '__return_false' );

Die zweite Variante verhindert den Zugriff auf die Datei grundsätzlich. Hierzu ergänzt man die .htaccess-Datei, die man schon zur Beschränkung der wp-login.php verwendet hat, um folgende Textzeilen.

<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

Jetzt ist intern die Dateifunktion deaktiviert und auch von außen kann niemand mehr darauf zugreifen. Um seinen Erfolg zu überprüfen, kann man mit wpscan seine WordPress-Installation auf Sicherheitslücken überprüfen und so sehen, ob die xmlrpc.php noch zugänglich ist.

Weitere Schutzmaßnahmen

Die wichtigsten Schutzmaßnahmen für WordPress sind die gleichen wie für jede andere Anwendung auch: Verwendet sichere Passwörter und haltet die Software auf dem neuesten Stand, vor allem wenn sicherheitsrelevate Updates erschienen sind.

The post WordPress xmlrpc.php deaktivieren first appeared on bejonet.

WordPress ist ein Content-Management-System (CMS), das sich sehr weit verbreitet hat. Die Einfachheit der Installation und Bedienung hat stark dazu beigetragen, dass sich WordPress im Internet zu einer starken Größe etabliert hat. Viele Webseiten sind damit ausgestattet.

Kleine Firmen nutzen für ihre erste Webseite dieses CMS, denn mit nur wenigen Klicks ist die Internetseite erstellt und mit den vielen Plugins lässt sich der Funktionsumfang stark erweitern.

Die große Verbreitung von WordPress macht die Software interessant für Angreifer. Hacker freuen sich regelrecht auf so weit verbreitete Systeme. Wenn dort eine Sicherheitslücke bekannt wird, lassen sich gleich viele Webseiten angreifen und vielleicht sogar übernehmen. Umso wichtiger ist es, solchen Angriffen aus dem Internet vorzubeugen und zu wissen, wie sicher die eigene WordPress-Installation ist.

Eigene Webseite auf Sicherheitslücken untersuchen und vor Angreifern schützen

Um die eigene Webseite vor Angreifern zu schützen, gibt es verschiedene Wege. Der wichtigste Punkt ist es, die Software aktuell zu halten und regelmäßig die Updates zu installieren. Außerdem sind schwierige Passwörter wichtig für das Sicherheitskonzept. Die besten Sicherheitsmaßnahmen nützen nichts, wenn die Passwörter leicht zu erraten sind.

Um die Sicherheit auf der eigenen Webseite zu erhöhen, muss man zunächst die Schwachstellen kennen. Die Sicherheitslücken von WordPress kann man mit dem Programm wp-Scan aufdecken. Das kleine Tool untersucht WordPress-Installationen und zeigt Sicherheitslücken auf. Solche Scans sollte man von Zeit zu Zeit durchführen, um den Überblick zu behalten.

Um einen Angreifer entgegentreten zu können, sollte man seine Werkzeuge kennen. Wenn man diese Werkzeuge kennt, kann man sie selbst einsetzen und kämpft mit gleichen Waffen. wpscan ist dann schon der erste wichtige Schritt. Denn diese Software wird gerne verwendet, um verwundbare WordPress-Seiten zu finden.

Sicherheitsmaßnahmen überprüfen

Es gibt viele Plugins, die einem höhere Sicherheit für WordPress versprechen. Es gibt zum Beispiel Erweiterungen, die die WordPress-Version der Webseite verschleiern sollen. Außerdem können angeblich Benutzernamen versteckt werden. Auch den Namen „admin“ sollte man vermeiden.

Diese Sicherheitsmaßnahmen sind sehr gut, doch ihre Wirksamkeit kann man nicht einfach überprüfen. Mit wpscan kann man es, denn das versucht über verschiedene Wege, Infos aus der Webseite zu crawlen. Die Sicherheitsmaßnahmen der Plugins kann man sofort feststellen, indem man seine Seite mit wpscan überprüft.

Installation von wpscan

Wpscan ist ein Projekt für UNIX und ist leider nicht auf Windows lauffähig. Um es unter Windows nutzen zu können, könnt ihr euch in einer Virtuellen Box eine Linuxdistribution installieren und von dort aus mit der Anleitung fortfahren.

Schritt 1: Die Installation der Abhängigkeiten von wpscan könnte ihr unter Ubuntu mit folgendem Befehl tun. Das Projekt läuft über git, daher wird es mit installiert.

sudo apt-get install git libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

Schritt 2: Das Programm selbst installiert man mit folgenden Befehlen in der Kommandozeile:

git clone https://github.com/wpscanteam/wpscan.git
cd wpscan
sudo gem install bundler && bundle install --without test

Schritt 3: Ausführen kann man das Program mit folgenden Befehlen. Es gibt jetzt eine Liste mit interessanten Meta-Informationen über die WordPress-Seite aus: Welche Version ist installiert, welches Theme, welche Plugins und welche Versionen jeweils. Es zeigt sogar an, ob es die aktuelle Version ist, oder ob es Updates davon gibt.

Unsichere WordPress Plugins, Themes und Benutzer entdecken

ruby wpscan.rb --update
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate p

Die Ausgabe sieht danach etwa so aus.

Gleiches Prinzip gilt für die Suche nach installierten Themes

ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate t

oder nach Benutzern

ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate u

Fazit

Das Programm ist sehr mächtig und zeigt einem erstmal, wie verwundbar eine WordPressseite eigentlich ist. Dadurch wird es offensichtlich: man sollte seine Installation sauber halten. Je mehr Plugins man installiert, desto angreifbarer wird die Seite. Jedes Plugin birgt potentielle Sicherheitslücken, die mit wpscan offensichtlich werden.

Es ist wichtig, die Webseite abzusichern. Wenn die Webseite übernommen wird, können Kriminelle ihre verbotenen Daten über den Server verteilen. So wird man schnell zum Mittäter, was sehr gefährlich werden kann.

Ein Schritt gegen Brute-Force Attacken ist der Schutz der wp-login.php, der Schlüsseldatei beim regulären Login auf WordPress. In einem Artikel zu diesem Thema erläutere ich, wieso es so wichtig ist, diese Datei zu schützen. Außerdem zeige ich, wie man mit der .htaccess-Datei die Schutzfunktion von Apache nutzt, um die wp-login.php vor Brute-Force-Angriffen zu schützen.

Weitere Sicherheitsmaßnahmen sind wichtig. Diese kann man mit wpscan direkt testen, was die Wirksamkeit sofort zeigt. Um die Sicherheit von WordPress zu verbessern, sollte man sich mit wpscan befassen.

The post WordPress Sicherheitslücken finden first appeared on bejonet.

WordPress Seiten findet man immer häufiger im Internet. Das schlanke CMS ist sehr einfach zu bedienen und deshalb auch für Einsteiger interessant. Auch Firmen nutzen zum Start ins Internet sehr oft WordPress und tragen so zur rasanten Verbreitung bei. Die vielen Installationen von WordPress machen das Content-Management-System auch für Angreifer interessant. Die Bedienung von der Software ist so einfach, dass auch Web-Anfänger WordPress installieren und sich danach wenig um die Updates kümmern. Das öffnet Angreifern Tür und Tor.

Angreifer wollen euren Speicherplatz

Auch bei aktuell gehaltener Software und einer Minimalanzahl von Plugins gibt es genügend Schwachstellen, die man angreifen kann. Die größte Schwachstelle – und da kann WordPress selbst leider wenig machen – ist der Benutzer selbst. Durch zu leichte Passwörter lassen sich viel zu einfach Webseiten übernehmen.

Warum sollte jemand meine Webseite hacken?

In wenigen Ausnahmefällen interessiert sich der Angreifer tatsächlich für diese spezielle Webseite. Ein Wettbewerber könnte bei einer Firma gezielt Falschinformationen verbreiten, um sich selbst als besser da zu stellen. Das kommt vermutlich eher seltener vor.

In den allermeisten Fällen interessiert sich der Angreifer nicht für die eigentliche Webseite. In erster Linie geht es um die Übernahme des Servers bzw. zumindest des Speicherplatzes. Wer ins Backend von WordPress kommt, hat die Berechtigung, Dateien hochzuladen. Das ist ganz interessant, vor allem wenn es um urheberrechtlich geschütztes Material geht. Noch brisanter wird es, wenn es um illegale Daten geht, etwa gewaltverherrlichende Videos oder Kinderpornografie.

Als dritten Grund möchte ich Suchmaschinenoptimierung nennen. Wer von vielen Internetseiten Links auf seine Seite erhält, wird bei Google besser gerankt. Wer viele Zugangsdaten zu Webseiten hat, kann auch viele Links streuen und damit besser bei Google gefunden werden.

Wie kann ich Angreifer abhalten?

Es gibt sehr viele Sicherheits-Plugins für WordPress, die einem das Blaue vom Himmel versprechen. Zweifelsohne: Einige davon mögen hilfreich sein. Effektiver ist es aber, die Sicherheitsfunktion des Servers zu nutzen. Diese schützen auch vor so genannten Brute Force Attacken, bei denen Angreifer mit viel Rechenpower versuchen, die Passwörter zu erraten.

Sicherer Schutz der WordPress Anmeldeseite durch .htaccess

Mit der .htaccess-Datei kann man die Sicherheitsfunktion des Servers nutzen. Dabei ist das Prinzip so: Wenn man sich bei WordPress einloggen möchte, wird die Datei wp-login.php verwendet. Ohne diese Datei kann man sich nicht im Backend einloggen. Mit der .htaccess-Datei gibt man dem Server die Anweisung, dass nicht jeder auf diese Datei zugreifen darf. Wer diese Datei aufruft, muss seine Berechtigung dazu nachweisen – über einen Benutzernamen und Passwort.

.htaccess- und .htpasswd-Datei erstellen

Mit zwei einfachen Textdateien kann man den Serverschutz aktivieren.

• .htaccess aktiviert das zugehörigen Servermodul und startet damit den Schutz der wp-login.php
• .htpasswd enthält die Benutzernamen und (verschlüsselte) Passwörter, die den Zugang zu wp-login.php gewähren.

Schritt 1: Zunächst erstellt man die .htpasswd. Mit z.B. dem htpasswd-Generator kann man das Passwort verschlüsseln lassen und im Editor von Windows speichern. Mehrere Einträge sind möglich und sollten untereinander in die Datei geschrieben werden. Speichert die Datei unter dem Namen a.htpasswd auf dem Rechner ab.

Schritt 2: Jetzt erstellt man die .htaccess-Datei und füllt sie mit folgendem Inhalt. Speichert sie unter dem Namen a.htaccess auf dem PC ab.

# Stop Apache from serving .ht* files
<Files ~ "^.ht">
Order allow,deny
Deny from all
</Files>
&nbsp;
# Protect wp-login
<Files wp-login.php>
AuthUserFile /pfad/zur/.htpasswd
AuthName "Private access"
AuthType Basic
</Files>

Die Zeile die mit AuthUserFile anfängt, muss natürlich angepasst werden. Wenn ihr nicht wisst, wie der genaue Pfad dorthin lautet, erstellt fix eine PHP-Datei (zum Beispiel „pfad.php“) mit folgendem Inhalt, ladet sie mit FTP hoch und ruft sie im Browser auf (www.example.com/pfad.php). Löscht die Datei danach gleich wieder!

<html> 
<head> 
<title>absoluter-pfad</title> 
</head> 
&nbsp;
<body> 
<?php 
&nbsp;echo $_SERVER['DOCUMENT_ROOT']; 
?> 
</body> 
</html>

Schritt 3: Beide Dateien, a.htaccess und a.htpasswd werden mit FTP im WordPress-Hauptverzeichnis abgelegt.

Schritt 4: Benennt beide Dateien auf dem Server um, indem ihr das a vor dem Punkt entfernt. Die Dateien heißen jetzt .htaccess und .htpasswd und entfalten ihre Funktionen.

Hinweis: Falls dort schon .htaccess ist, öffnet die alte Datei und fügt den neuen Inhalt unten drunter hinzu!

Wie schützt mich die .htaccess-Datei vor Angreifern?

Professionelle Angreifer sitzen nicht mehr selbst am PC und versuchen die Passwörter zu knacken. Stattdessen nutzen sie Bot-Netzwerke und greifen automatisiert WordPress-Seiten an. Die Bots suchen gezielt nach einfachen Systemen und nutzen Schwachstellen von WordPress. Wenn dieser Bot nun auf das zusätzliche Sicherheitssystem stößt, bricht er entweder ab, oder er bricht sich die Zähne aus.

Was kann ich für meine Sicherheit tun?

Das wichtigste ist natürlich, die Software aktuell zu halten. Die Entwickler von WordPress bringen immer mal wieder Updates für die Software heraus, die man stets installieren sollte. In den meisten Fällen geht es dabei um Sicherheitsupdates.

Weiterhin sehr wichtig sind sichere Passwörter. Noch ist diese Botschaft nicht bei jedem angekommen, denn viel zu viele Leute verwenden viel zu einfache oder zu kurze Passwörter.

Durch ein kurzes Fotoprojekt habe ich einige Bilder mit einer Agfa Synchro Box (Boxkamera) geschossen. Den Film habe ich sehr günstig bei DM entwickeln lassen (auf der Fototasche habe ich „Weitere Produkte“ angekreuzt und „Rollfilm 6×9“ daneben geschrieben). Die Papierabzüge sind relativ unbefriedigend, aber die Negative sind super entwickelt.

Wenn du von einem Negativ ein Fotogeschenk, ein Poster oder z.B. eine Tasse bestellen willst, brauchst du die Bilder in digitaler Form. Mit diesen drei Schritten digitalisierst du die Filmnegative im Handumdrehen. Wie du aus dem digitalisierten Negativ mit Lightroom 6 ein Positiv erstellst, liest du in meiner zugehörigen Anleitung.

Schritt 1: Vorbereiten des Negativträgers

Schneide in einen Karton ein rechteckiges Loch, das etwas größer als ein Bild auf dem Negativ ist. Klebe links und rechts davon ein Stück Draht mit Klebeband fest. Hier wird später das Negativ gehalten. Auf der Rückseite klebst du das Loch mit etwas Transparentpapier wieder zu. Das Transparentpapier funktioniert später als diffuse, gleichmäßige Lichtquelle. Diese Bastellösung sieht zwar relativ rudimentär aus, erfüllt aber den Zweck sehr gut.

Wenn du mehrere Negative digitalisieren möchtest, solltest du dir hier etwas mehr Mühe geben als ich. Erstelle dir zum Beispiel eine zusätzliche Führung, wo das Negativ gestützt werden kann (hier habe ich Tackernadeln verwendet). Alternativ kann man so etwas auch aus Sperrholz und einer Laubsäge machen.

Schritt 2: Das Setup

Stelle den Pappkarton hin und platziere dahinter einen Blitz. Richte den Blitz so ein, dass er gemeinsam mit der Kamera auslöst (z.B. über den Yongnuo RF603C II*, den ich selbst verwende). Das Licht muss direkt auf das Transparentpapier fallen, den Blitz sollte man jedoch nicht direkt durch das Loch sehen können. Auf der gegenüberliegenden Seite des Pappkartons positionierst du die Kamera mit einem Makro- oder einem leichten Teleobjektiv.

Falls du weder Blitz noch Fernauslöser besitzt, kannst du dir auch mit einem weiteren Trick helfen. Halte direkt hinter das Transparentpapier dein Smartphone, das mit voller Helligkeit weiß leuchten soll. Das Transparentpapier „verwischt“ die einzelnen Pixel zu einem gleichmäßig leuchtendem weiß.

Schritt 3: Die Filmnegative digitalisieren

Klemme das erste Negativ in die Vorrichtung. Richte die Kamera so ein, dass sie im RAW-Format fotografiert. Das erleichtert dir die nachträgliche Bearbeitung der Bilder mit Lightroom. Stelle die Kamera so auf, dass das Negativ fast das komplette Bild ausfüllt. Verwende am besten den manuellen Fokus. Die Blende und die Leistung des Blitzes passt du der Belichtung der Negative an. Hier musst du ein paar Testfotos schießen.

Wenn du dein Smartphone als Leuchttisch hinter dem Transparentpapier verwendest, kann das Bild etwas dunkel geraten. In diesem Fall kannst du das Transparentpapier entfernen und das Negativ direkt vom Smartphonedisplay beleuchten lassen. Damit die einzelnen Pixel nicht sichtbar sind, verwende eine möglichst offene Blende der Kamera und halte das Smartphone etwas weiter weg vom Negativ.

*Affiliate Link zu Amazon.de