Frische WordPress Installationen werden gekapert

Dieses Problem mit gerade frisch installierten WordPress Instanzen ist schon irgendwie bemerkenswert.


Es scheint, dass dies ein wenig mit der Funktionalität von Let’s Encrypt zusammenhängt. Durch das sogenannte Certificate Transperancy werden neue Zertifikate von gerade erstellten Domains recht schnell propagiert. Daher kann ein Skript diese Domains recht schnell auf noch nicht komplett durchlaufene WordPress Installations Assistenten suchen und so diese WordPress Instanzen einfach übernehmen.
Mir war vollkommen unbekannt, dass dies heute noch so einfach möglich ist. Denn die meisten ordentlichen Webspace Provider (Domain Factory, Webgo oder Strato) haben alle heute Installer, welche für einen im Hintergrund gleich eine neue WordPress Instanz installieren. Dabei wird auch gleich ein neues Admin Password abgefragt, so dass die Installation fertig ist.
Scheinbar gibt es aber auch noch günstige Webhosting Anbieter, welche solche Automatismen nicht haben. Klar, dann registriert man seine Domäne und vielleicht damit auch gleich noch sein Let’s Encrypt Zertifikat und schon ist die Domäne bekannt. Als nächstes lädt man das entpackte WordPress ZIP per FTP auf seinen Webspace. In dieser Zeit kann der Angreifer schon die WordPress Installation gefunden haben und fertig gestellt haben. Gut, findige Leute können das Ganze ja wieder löschen. Aber eventuell merkt man es nicht mal.
In diesem Fall würde ich vermutlich diesen Weg gehen (hab ich nicht ausprobiert):
1. WordPress ZIP hochladen
2. Installation mit einer Zwischendomain (am besten noch ohne Let’s Encrypt Zertifikat) durchführen.
3. Richtige Domain einrichten (auf das WordPress Verzeichnis zeigen lassen und Let’s Encrypt einrichten).
4. Die wp-config.php noch eine Ebene weiter hochschieben.
5. Die WordPress Instanz mit der richtigen Domain aufrufen und eventuell schauen ob diese in den Einstellungen richtig eingerichtet ist.
-> Vielleicht muss man dazu aber auch noch die wp-config.php anpassen.

Aber damit entfällt in der Theorie ja die Möglichkeit, dass potenzielle Skriptkiddies so schnell durch Certificate Transparency von der WordPress Instanz erfahren ohne dass die Installation schon fertig ist.

Fand ich eben spannend, da meine WordPress Installation auch schon ewig alt ist und ich deshalb schon lange keine frische WordPress Installation mehr gemacht habe.

Blog war down

Gestern morgen schau ich auf meinen Blog und der ist nicht erreichbar. Da es aber auch mein erster Arbeitstag wieder war, musste ich natürlich zur Arbeit. Im Laufe des Tages hab ich immer wieder drauf geschaut und mich gewundert, warum es nicht erreichbar war. Dann hab ich gestern abend noch danach geschaut und ins DNS reingeschaut, weil ich blog.tobis-bu.de auch überhaupt nicht mehr pingen konnte. Andere Subdomains und tobis-bu.de ging aber wunderbar.
Dabei ist mir dann noch eingefallen, dass ich vor ein paar Tagen (wann genau weiß ich nicht mehr) einen TXT Eintrag für die Google Search Konsole gemacht habe. Nachdem ich diesen Eintrag rausgenommen hatte und gleichzeitig noch die wp_debugmode = true angemacht habe, ging es dann wieder. Es lief dann auch gleich die automatische Aktualisierung an und der Maintance Mode ging an. Da ich dann aber zu schnell wieder die wp_config.php per FTP geändert hatte, hat sich die Updaterei verhakt. So waren dann noch weitere Daten im upgrade Ordner drin. Die musste ich dann noch kurz rauslöschen.
Aber am Ende hab ich das eine Plugin (Jetpack), dass sich verhakt hatte, komplett entfernt und neu installiert und es ging wieder alles. Das war alles total strange. Vor allem weil meiner Erinnerung nach der Aufruf nach dem DNS Update (als ich den TXT Eintrag für Google hinzugefügt hatte) noch ging. Aber scheinbar war dies wohl nicht mehr so.
Trotzdem fand ich es lustig, weil es mich an den ersten Arbeitstag im Oktober erinnerte. Da ging rein zufällig auch gleich der Serverraum aus, weil die Strom Sicherung rausgeflogen ist. ;)
Aber nun ist der Blog wieder wunderbar erreichbar. Getreu dem Motto „Du kannst alles kaputt machen!“ hab ich das mal kurz mit meinem Blog gemacht, aber auch wieder relativ zeitnah repariert. Beabsichtigt war es jedenfalls nicht meinen Blog auszuknipsen. ;)

Im neuen Job (wo ich schon mal von 2019 bis September 2021 war) geht es auch schon wieder rund. Ein neuer Kollege, der ein Teil von meinen Aufgaben übernehmen sollte, hat leider nach 2 Monaten schon wieder aufgegeben. Also hieß es: „Tobi schön dass Du wieder da bist. Hier ist übrigens noch eine brennende Pfanne, übernimm doch mal bitte!“ Aber es war ein schöner Arbeitstag. Man merkt, dass sie mich vermisst haben und sich freuen, dass ich wieder da bin. Und das nicht nur wegen den Waffeln!

Jetpack LITE macht Jetpack wieder schneller

Damit ich relativ bequem meine Bilder vom Handy in den Blog bekomme, hab ich irgendwann mal angefangen das Jetpack Plugin zu verwenden. Damit kann ich auf dem iPhone die WordPress App verwenden und eine Verbindung zu meinem Blog herstellen. Das ist soweit auch ganz und funktioniert zuverlässig.
Allerdings hat das Jetpack Plugin die nervige Angewohnheit immer auf pixel.wp.com zu warten. Da mich dass nun doch heute einige Male beim Speichern von neuen Beiträgen auf die Nerven ging hab ich mal recherchiert. Und siehe da: Es gibt da ein weiteres Plugin „Jetpack LITE“ welches effektiv die wp Stats Links verhindert. Damit wird mein Blog plötzlich wieder schneller. Ich brauch die WordPress Statistiken eh nicht. Für meine Statistiken hab ich „Statify“ und „Statify Extended“.

Nur mal als Tipp, falls ihr selbst auch das Jetpack von WordPress benutzt und euch die Ladeverzögerungen von pixel.wp.com auf die Nerven gehen. :)

Archiv wieder online

Nachdem es dieses Blog schon seit 2006 gibt und in einem alten Theme immer auch eine Archiv Seite dabei war, hab ich mich gewundert, warum hier kein Archiv mehr dabei ist.
Deshalb hab ich nun etwas gegoogelt und ein einfaches Archiv Plugin gefunden, welches alle Artikel pro Jahr auflistet.
Ihr findet diese Auflistung in der Archiv Seite

WordPress SEO Plugins

Ich hatte jahrelang, dass All in One SEO Plugin im Einsatz. Ich weiß gar nicht, was es genau gemacht hat. Aber irgendwie war es im Hintergrund aktiv und hat relativ gut die Metadaten für meine Beiträge etwas optimiert. Zumindest habe ich doch ab und zu immer mal wieder Besucher bekommen. Vor ein paar Tagen gab es aber ein Update von Version 3.x auf die 4.x und das hatte zur Folge, dass mein Blog erstmal komplett unerreichbar war. Beim Update wurde wohl die Tabelle gelöscht und die neue notwendige Tabelle nicht erstellt. Ein epischer Fail, der von den Entwicklern hätte wirklich verhindert werden müssen und auch können.
Wenn man in die Reviews der letzten Tage reinschaut, sind wirklich einige Leute angepisst. Ich habe das Plugin gar nicht mehr richtig benutzt und war über den ganzen Premium Quatsch auch nicht mehr im Bilde. Allerdings hab ich das Plugin direkt nach dem Fail komplett deinstalliert. Manche haben in den Reviews dann Yoast SEO empfohlen. Ich habs nun installiert. Es macht die Seite erstmal nicht kaputt und scheint relativ sinnvoll zu sein. Kostet auf jeden Fall auch nichts und hat keinen Tracker an Bord. Zumindest wird man nicht gezwungen alles an den Anbieter zu senden.
Falls ihr also auch ein anderes SEO Plugin sucht. Probiert eben mal Yoast aus.

WP Twitter Auto Publish Powered By : XYZScripts.com