Angriffswellen auf WordPress

Da unser WordPress aktuell wieder mehreren hundert Angriffen am Tag unterliegt, wurden weitere Maßnahmen zur Systemhärtung vorgenommen, die durchaus Nebenwirkungen haben könnten.

Wenn Eure Backends nicht mehr funktionieren, dann mit der Beschreibung des Fehlers im Bugtracker eine Nachricht hinterlassen.

Umzug und die Folgen

Grundlegende Infos zum Umzug auf den neuen Server sind hier zu finden: https://www.kvfg.org/?p=4054

Update 25.12.2018 9:45 Uhr: Der neue WordPress Editor Gutenberg macht auf unserer MultiUser Installation hier – zumindest in meinen Blogs – Probleme. Ich bekomme damit aktuell keinen Post veröffentlicht. WordPress dreht sich hübsch im Kreis, mehr passiert nicht.

Was jedoch hilft, ist die Umstellung auf den Classic Editor.

Dazu die Maus über den Benutzername rechts oben halten. Im Klappfallmenü “Edit My Profile” anklicken und dann ganz oben auf der Seite auf “Classic Editor” als Voreinstellung klicken.

Alles wird gut.

Redirect auf HTTPS

Die Webserver-Konfiguration für unsere Blogs wurde verändert. Diese können zwar noch über HTTP aufgerufen werden, leiten aber dann umgehend auf HTTPS um. Entsprechende Plugins, die diese Umleitung für den Login und die Arbeiten im Backend bisher vornahmen, wurden deaktiviert.

Im Fehlerfall: Bugtracker befüllen.

Integrationen

Die dauernde Updaterei von WordPress macht es nervig, mehrere Blogs als einzelne Installationen zu pflegen. Zwar lässt sich mit Hilfe von Skripten viel auf Seite des Servers vereinfachen, aber es dauert eben doch.

Deswegen werden hier nun – Schritt für Schritt – alle Einzelblogs in der Domain kvfg.net integriert. Den Anfang machte so eben das Blog des Fachbereichs Gemeinschaftskunde.

FrischerHöhnig

Bis zum 07.08.2014 “unterhielt” die Schülerzeitung am KvFG ihr eigenes Blog als dezidierte WordPress-Installation unter der URL frischerhoehnig.kvfg.net. Das brachte – nicht nur in letzter Zeit – einige Probleme mit sich:

a) Nachdem in den letzten 4 Jahren keinerlei neue Beiträge mehr erschienen und inzwischen mehr Zeit in die Pflege der Software als in die Pflege der Artikel gewandert sind, wurde das Blog gelöscht und frisch hier her gelegt:

https://kvfg.net/blogs/frischerhoehnig/

b) WordPress in einer Subdomain zu betreiben war von Anfang an keine gute Idee, weil für eine verschlüsselte Verbindung bis vor wenigen Jahren noch eine eigene IP-Adresse und ein eigenes SSL-Zertifikat nötig war.

Jetzt liegt es hier im allgemeinen Blog-System des KvFGs und wartet darauf wieder aktiviert zu werden. Interessierte SuS mögen sich eine Lehrkraft suchen und diese zur Mitarbeit überreden.

Passwortänderung

Alle Nutzer unserer Blogs müssen ihre Passwörter ändern!

Der heartbleed bug hatte zur Folge, dass ich hier nach Einspielen der notwendigen Updates für den Server nun auch unsere SSL-Zertifikate für die HTTPS-Verbindung zum Server ausgetauscht habe.

Da mit Hilfe eines evtl. ausgelesenen alten Serverkeys Eure Passwörter kompromitiert worden sein könnten, ist es aus Gründen der Sicherheit nun Eure Pflicht, Eure Passwörter zu ändern. Denn: Ihr seid für die Sicherheit dieses Systems mit verantwortlich und haftet für alle Aktionen, die unter Eurer Benutzerkennung erfolgen.

Ein sicheres Passwort hat inzwischen 12 zufällig gewählte Zeichen – jedoch keine Leerzeichen, keine Umlaute und auch keine Ligaturen wie ß. Wie ein sicheres Passwort aussehen sollte ist hier beschrieben.

Um sicher zu stellen, dass in Zukunft jeder Eurer Logins über HTTPS erfolgt, wurde WordPress mit einem weiteren Plugin versehen, das alle Zugriffe auf’s Backend automatisch auf verschlüsselte Verbindungen umschreibt. Solltet Ihr Probleme bekommen, dann löscht alle Eure Cookies, startetet Euren Browser neu und probiert es noch einmal. Klappt es dann immer noch nicht, dann ist der BugTracker dran – bitte mit einer ausführlichen Fehlermeldung.

Pluginwechsel

In den KvFG Blogs wurden zwei bewährte, aber datenschutzrechlich kritische Plugins deaktiviert und durch andere Plugins ersetzt.

Sollten sich Nebenwirkungen einstellen, dann bitte per Mail bei mir melden. Ich habe keine Informationen vorliegen, wie sich die Plugins in MultiUser Umgebungen von WordPress verhalten werden … das werden wir schlicht im Alltag herausfinden dürfen.

Registrierung nur intern

Da ich in den letzten Wochen jeden Tag mehrere (überwiegend aus Russland und China stammende) Registrierungen von blöden Spammern und anderen Nasenbären hier weglösche, hab ich die Funktion bis auf Weiteres so eingestellt, dass sich hier nur noch Menschen mit einem E-Mail Konto auf unserem internen Server und somit über

benutzername@kvfg.tue.schule-bw.de

registrieren können.

Einzelne Benutzer können von Administratoren der Blogs jetzt selbstverständlich noch immer von Hand angelegt werden (was den Vorteil hat, dass endlich jeder auch Vor- und Nachname eingetragen bekommt).