Downtime

Wie einige von Euch bemerkt haben könnten, hat es hier im Blog eine längere Downtime gegeben. Ich möchte, im Sinne der Transparenz, kurz die Details erläutern, soweit sie mir bekannt sind.

Am 06.02.2017 habe ich den Hinweis bekommen, dass diese Seite gehackt worden ist. Es war zu einem Defacement des aktuellsten Artikels gekommen, ein Tweet dazu war blamablerweise automatisiert rausgegangen, um auch die ganze Followerschaft darüber zu informieren, und es war nicht mehr möglich, sich am Backend anzumelden. Schuld daran war wohl eine Kombination aus Änderungen an der Home-URL und einer fehlerhaften SSL-Konfiguration, die ich bei meinem Hoster gemacht hatte.

Ich habe also die vorherige Version des vandalisierten Artikels wiederhergestellt, die Datenbankintegrität geprüft, WordPress 4.7.1 neu installiert, das Security-Plugin neu installiert und dessen Einstellungen verschärft. Außerdem habe ich die Backup-Routinen nochmal überprüft. Inzwischen ist das CMS auf die aktuelle Version gepatcht und das SSL-Zertifikat erneuert, so dass ihr euch sicher sein könnt, dass ihr auch wirklich mit FlowersAndSunsets.de verbunden seid und nicht etwa auf eine Seite mit Schadsoftware weitergeleitet werdet.

Angriffsvektor war vermutlich eine ungepatchte Lücke in der REST-API von WordPress 4.7.0 und 4.7.1 (heise.de berichtete [1][2]).

Die nächsten Artikel stehen schon in den Startlöchern, es gibt also demnächst auch wieder richtigen Content zu sehen.

UPDATE 1 (2016-02-10): Auf einen Hinweis meines Kollegen Henning hin habe ich jetzt noch eine automatische Weiterleitung auf HTTPS eingerichtet, die ich zwischenzeitlich abgeschaltet hatte, und sämtliche Thumbnails neu berechnen lassen. Vielen Dank an der Stelle!

UPDATE 2: (2016-02-10): Auf https://www.wordfence.com/blog/2017/02/rest-api-exploit-feeding-frenzy-deface-wordpress-sites/ gibt es mittlerweise Details zu der Angriffswelle. Dort finden sich auch Zahlen zur Größe der einzelnen Angriffskampagnen. Für die Kampagne "Hacked by GeNErAL", die auch dieses Blog getroffen hat, wurden schon mehr als 82.000 betroffene WordPress-Installationen registriert. Insgesamt sind wohl mehr als 1,5 Mio. Installationen betroffen.