Schwups und nun sind alle Bilder auf einmal weg – Teil 1!

Schwups und nun sind alle Bilder auf einmal weg – Teil 1!

Internetsicherheit für Fotografen

Die letzten Tage war ich gut damit beschäftigt, mich mit technischen Dingen auseinander zu setzen. Darunter auch so Dinge wie optimiere ich meine Bildersicherung, welche Kamera brauche ich demnächst und welches portable Blitzsystem wird es denn sein.
Bei meinen Recherchen im Web werde ich aber mehrmals am Tag von einem „Pling“ aus den Lautsprechern des MacBooks unterbrochen.
Mindestens einmal pro Tag bekomme ich derzeit folgende Nachricht:

Login Protection has blocked IP xx.xx.xx.xxx from access to http://www.daniellerzer.de

Und weil das ganze nicht nur mich betrifft, sondern auch noch zig andere Webseitenbetreiber, habe ich mir gedacht, ich muss darüber mal etwas schreiben.

IP geblockt – was hat das mit einem Fotografen zu tun?

Ich bin einer der 72.500.000 anderen, die ein CMS nutzen, welches sich WordPress nennt. Unter uns Katy Perry, die offizielle Seite von Schweden, Usain Bolt, Sony Playstation oder Coca Cola Frankreich.
Mag sein, dass viele Betreiber eigentlich gar nichts mit der Programmierung der Internetseite am Hut haben, irgendeine Agentur hat das halt gemacht, aber eines haben wir alle gemeinsam.

WordPress ist so populär, es zieht Hacker, Bots und Script-Kiddies magisch an.

Ich möchte als Vergleich das Betriebsystem Windows nennen. Fast jeder hat es, es wird fast überall verwendet, also gibt es auch dafür Trojaner, Bots, Würmer wie Sand am Meer und Leute, die sich mit der Materie auskennen, finden Woche für Woche neue Schwachstellen.
Internetkriminalität ist Alltag!

So und jetzt komme ich zum Anlass warum ich eigentlich diesen Beitrag schreibe.
Tagtäglich sehe ich in meinem Serverlog, dass wieder aus dem nahen Osten oder aus China ein Angriff stattgefunden hat.
Aber warum? Bei mir ist doch gar nichts zu holen, oder?
Und jetzt wird es kritisch. Ich sehe viele Internetseiten von Fotografen, die dort einen Bilderbereich für den Kunden anbieten. An und für sich eine schöne Sache, ob es sicher ist?
Ich weiß es nicht.
Denn man zeigt öffentlich, dass hier etwas zu holen ist und wer weiß was alles in diesen Kundenbereichen hinterlegt ist. Vielleicht nicht nur Bilder, sondern auch Rechnungen, Adressen und private Nachrichten zwischen Kunde und Fotograf.
Jedes öffentliche Eingabefeld ist eine potentielle Schwachstelle. Ich bezweifle, dass ein Großteil der Fotografenkollegen sich bewusst sind was technisch auf ihrer Webseite abläuft. Ich bin durch mein Studium da schon etwas anders aufgestellt / oder einfach Paranoid 😉 /.

Wenn jetzt jemand WordPress als CMS verwendet hat man generell ein leichtes Spiel, um den ersten Schritt zu tätigen, welcher einem den gesperrten Nutzerbereich näher bringt.
Und zwar über eine Abfrage im Browser per URLeingabe.
Diese einfache Abfrage über den Browser zeigt dann, dass es sich um einen WordPressblog handelt und User X – Y – Z mit folgenden Nutzernamen dort für den Adminbereich Zugang haben.
Seitens der WordPressentwickler ist das kein Bug – es sei ein Feature. Jeder kann also prüfen, ob eine Seite mit dem CMS WordPress erstellt wurde und sieht auch noch gleich den Benutzernamen des Admins.
Das ist etwas angespitzt ausgedrückt „seinen Schlüssel unter den Abstreifer legen“.
(OK, in diesem Fall sind es Millionen von Schlüsseln oder Kombinationen an Passwörtern, aber irgendeiner passt schon, dauert halt, dafür gibt es dann Programme die die weitere Arbeit machen.)


Na toll Daniel, jetzt hast du mir Angst gemacht!

Habe ich das?
Gut so, ich finde wir Fotografen müssen vorsichtig mit dem umgehen was wir haben.
Nämlich Fotos von Kunden. Sind die alle irgendwie auf dem oder den Server/n und dann passiert ein Unglück und alles ist weg, dann muss man im extremsten Fall viel Geld für das Backup des Betreibers hinlegen. Uncool!

Jedes Plug-In ist eine Schwachstelle

Besitzen wir z.B. ein Plug-In der Verkaufsplattform/Onlineshops WooCommerce in unserem WordPress CMS integriert und sind dort Shop Admin, die verwendete Version ist unter 2.3.6, dann sind wir schon anfällig.
Vielleicht bin ich aber auch nur etwas Paranoid (unter anderem, weil in meinem Studiengang Internetsicherheit ein Thema ist, mit dem man konfrontiert wird), wahrscheinlich weil es derzeit 998 Plug-Ins für WordPress gibt, die anfällig sind, 2539 timthumb Files (in vielen Themes zum Bilderverarbeiten im Einsatz), die Schwachstellen aufweisen und 340 Themes, die als nicht sicher gelten.

Ach, ich bin doch gar nicht von Hacking betroffen

Das dachte ich auch eine Zeit lang, bis ich mich etwas länger mit meinen Serverlog auseinander gesetzt habe und dort dann auch auf seltsame Einträge gestoßen bin.
Aber warum gerade bei mir? Ich bin kein Nintendo, Sony, Amazon oder Maxdome und habe eine ellenlange Liste an Nutzerdaten.
WIR wissen es nicht, ich habe einen Kollegen schlechthin gefragt was es damit auf sich hat.

WER? WIE? WAS? – WIESO? WESHALB? WARUM?

Seine Antwort:

„Du nutzt WordPress und Links führen auf deine Website.
Es sieht so aus, als müsstest du demnächst etwas Zeit in die Sicherheit deiner Webseite investieren.“

Seit dem sind mehr als 4 Monate vergangen und mit jeder weiteren Optimierung sehe ich wie stark man eigentlich Betroffen sein kann.

In Teil 2 werde ich auf Sicherheitslücken und Lösungsansätze eingehen, die wirklich jeder umsetzen kann!  Es ist nämlich gar nicht so schwer seine Internetseite etwas abzusichern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*