Vertrauenswürdige Proxyserver

Es gibt ein paar Dinge, die dir bewusst sein sollten, wenn du einen Proxyserver auswählst und nutzt. Nicht alle sind gleich, es gibt gute und weniger gute. Hier erfährst du, weshalb es wichtig ist zu wissen, worauf du dich einlässt.

Nehmen wir an, du planst, eine E-Mail mit Anhang zu senden oder vielleicht füllst du eine Form aus, die sehr persönliche oder Finanzen betreffende Informationen enthält. Du solltest dir im Klaren sein, was du auslöst, indem du „Versenden“ klickst.

Als erstes durchläuft dein kommunikativer Inhalt den Proxyserver bevor er auf elektronischem Wege sein Ziel erreicht. Dies kann das Postfach des Empfängers oder die Webseite eines Händlers sein. Die meisten Nutzer wollen in erster Linie ihre IP-Adresse verschleiern. Doch ihr Interesse sollte ein wenig darüber hinaus reichen. Hier erfährst du, warum das wichtig wäre.

Wenn deine Daten mehrere Proxyserver durchlaufen, bewegen sie sich in unverschlüsselter Form. Was bedeutet das? Es heißt, dass ein Hacker, der sich dazwischenschaltet, die digitale Information ohne Weiteres in ihre ursprünglich digitale Form umwandeln kann. Deine Informationen sind dann glasklar zu verstehen. Doch es kommt noch schlimmer.

Dies bezieht sich nur auf den Teil, der schief gehen könnte. Es gibt noch so etwas wie den „bösen Proxyserver“ [eng. „malicious proxy server“]. Er ist so schlimm, wie sein Spitzname vermuten lässt. Statt sich als hilfreicher vertrauenswürdiger Mittelsmann für dein Websurfen zu erweisen, lässt du dich auf einen Proxyserver aus zwielichtigem Hause ein. Hinter ihm steckt womöglich ein Hacker mit krimineller Energie.

Warnung DNSChanger

Warnung DNSChanger

Laut der Webseite DarkReading.com verwenden nicht nur Sicherheitsfirmen Proxyserver, sondern auch Kriminelle jedweder Couleur. Einer dieser bösen Proxyserver war DNSChanger (der nun geschlossen wurde). Er verfolgte vertrauensselige Nutzer, um ihnen unerwünschte Werbebanner und Schadsoftware auf den Computer zu spielen. Die infizierten PCs wurden zu fremdgesteuerten Bots.

In den schlimmsten möglichen Fällen wurde von bösen Proxyservern berichtet, die alles speicherten, was ihnen gesendet wurde, inklusive unverschlüsselte Login-Daten und Passwörter von unbedarften Nutzern.

So, damit solltest du nun Bescheid wissen, dass zwar einer Webseite oder einem E-Mail-Server deine IP-Adresse unbekannt bleiben mag (und sie dich nicht geographisch orten kann), dem Proxyserver aber teilst du sie mit. So funktioniert es halt. Es bedeutet nicht automatisch, dass der Proxyserver diese Information ausnutzen muss. Doch wer sich wirklich um seine Anonymität sorgt, könnte sich daran stören.

Vertraue deinem Proxyserver

  1. Was solltest du also tun, wenn du nur deine Zehe in den Pool mit den Proxyservern tauchst?
    Nutze und vertaue niemals einem Proxyserver, von dem noch nie einer etwas hörte. Falls du dir nicht sicher bist, gehe auf Nummer sicher – übermittle keine privaten Informationen, die nicht verschlüsselt sind.
  2. Ein Mindestmaß an Sicherheit erhälst du, wenn du dich nur auf Proxyserver verlässt, dessen Integrität bekannt ist und von vielen Nutzern bestätigt wurde. Anzeichen sind ein bekannter Eigentümer, klare Richtlinien im Umgang mit der Privatsphäre usw.

    Suchst du einen guten Proxyserver?

    Sieh dir einmal diesen Socks 5 Proxy Anbieter an. Diese Adresse bietet sowohl Socks 5 Proxyserver als auch HTTP Proxies. Du erhälst alle erforderlichen Informationen auf deren Webseite.

Machen Sie Ihren WordPress Blog Hack-sicher

 wordpress sicher machen

Schritt 1: Einen guten Provider aussuchen.

Wir neigen dazu uns den günstigsten Provider auszusuchen den wir kriegen können, aber das ist ein sehr schlechter Schachzug wenn man eine sichere Website haben möchte. Viele der billigen web-hoster haben die Dateirechte nicht richtig angepasst. Man kann tatsächlich in das FTP eines anderen Nutzers eindringen, wenn man ein Shell Script in seinem Ordner hat. Mindestens 30-40% der Websites werden wegen dieser Schwäche gehackt. Manche der bekannteren Hosts wie HostGator und GoDaddy haben sehr strikte Ordner-Zugriffsrechte, also sollte man sich an diese halten, wenn man sich keinen dedizierten Server leisten kann.

Schritt 2: Primäre Installation und Konfiguration.

Wenn Sie WordPress auf Ihrem Server installieren, WÄHLEN SIE NICHT den Standard-Benutzernamen (admin)und Datenbank-Präfix (wp_). Wählen sie stattdessen einen Benutzernamen, der schwer zu erraten ist und einen alphanumerischen Satz (kein Wort!) mit einigen Sonderzeichen als Passwort und ein anderes Datenbank-Präfix. Das Knacken von Passwörtern funktioniert immer schneller und Hacker benutzen mittlerweile GPU anstatt CPU für BruteForce- Angriffe. Das macht diese mindestens 1000 mal (wenn nicht sogar mehr!) schneller. Also wählen sie DB-Präfix, Passwort und Benutzernamen sorgfältig, dann werden die Anfänger schnell frustriert sein und aufgeben.

Schritt 3: Löschen Sie alles, was sie nicht benutzen und wählen sie die richtige Vorlage.

Ich bin nicht sicher wie effektiv dieser Schritt ist, aber Sie sollten alle unbenutzten Vorlagen (inklusive twenty ten bis twenty fifteen) und Plug-ins (inklusive hello dolly) löschen. So wird Ihr Server leichter zu handhaben sein und Sie werden Shell-Skripte schneller aufspüren können.
Es ist wichtig die richtige Vorlage auszuwählen! Vergewissern Sie sich, dass Ihre Vorlage nicht das TimThumb Skript aufweist, das Hacker nutzen um eine bösartige PHP Datei hochzuladen. Am besten erstellt man die Vorlage selber! Falls Sie das nicht können, dann vergeben Sie den Job an eine freiberufliche Website. Sorgen Sie dafür, dass die Benutzereingaben für Ihre Vorlage richtig geschützt sind, damit keine SQL-Injection-Schwachstelle auftritt.

Schritt 4: Installieren Sie „Limit Login Attempts“.

Dieses Plug-in macht Brute-Force Angriffe viel schwieriger. Falls Hacker Scanner wie den WP-Scan benutzen, werden sie eine Warnung erhalten, dass die Seite dieses Plug-in benutzt. Manche von ihnen wird das frustrieren und Sie werden aufgeben!

Schritt 5: Unterdrücken Sie alle Fehler.

Dies ist ein sehr wichtiger Schritt den Sie nicht nur für die WP-Installation, sondern auch für andere Systeme in der Produktionsumgebung durchführen sollten. Viele Hacker benutzen FPD (Full Path Disclosure = vollständige Pfad-Offenlegung) in WordPress um Schwachstellen ihrer Seite herauszufinden. Außerdem gibt es noch andere Fehlermeldungen, die heikle Informationen an die Angreifer durchsickern lassen können. Am besten unterdrückt man alle Fehler indem man die php.ini Datei verändert. Falls Sie als Host GoDaddy benutzen, erstellen Sie eine neue Datei mit dem Namen php5.ini (falls es diese nicht schon gibt. Erstellen Sie php.ini falls ihre php Version 4 anstatt 5 ist) und fügen Sie die folgende Zeile hinzu:

display_errors = Off
expose_php = Off

Der Code kann von Host zu Host variieren. Sie sollten den Kundendienst fragen, wie man das macht.

Schritt 6: Schützen Sie Ihr WP-admin Verzeichnis mit einem Passwort (Der Trick!).

Indem Sie ihr WP-admin Verzeichnis schützen, fügen Sie noch eine weitere Schutzebene zu Ihrem Verwaltungsbereich hinzu. Das funktioniert ziemlich gut und ich habe schon große Sicherheitsblogs gesehen, die das Gleiche tun (und das sind ja schließlich die Experten, nicht wahr?). Wie man das macht? Zunächst braucht man eine htpasswd Datei. Es gibt massenweise htpasswd Generatoren online, zum Beispiel:

www.htaccesstools.com/htpasswd-generator/

Geben Sie Ihren Benutzernamen und Ihr Passwort ein und das htpasswd wird für Sie erstellt werden. Wie bereits erwähnt, wählen Sie einen einzigartigen und schwer zu erratenen Benutzernamen und einen alphanumerischen Satz mit Sonderzeichen als Passwort. Speichern Sie alles in einer Datei, die sie .htpasswd nennen und platzieren Sie diese außerhalb Ihres public_html Ordners (indem man die Datei außerhalb des public_html Ordners hochlädt, wird es schwerer diese vom Internet aus aufzurufen. Erstellen Sie jetzt eine neue .htaccess Datei mit der folgenden Regel und laden sie die .htaccess Datei in ihrem WP-admin Ordner hoch.

AuthUserFile /full/path/to/your/htpasswd/folder/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
<limit GET POST>
require valid-user
</limit>

Schritt 7: Instandhaltung und Backup

Behalten Sie ihre Apache Protokolldateien im Auge um festzustellen, ob irgendwas nicht richtig läuft! Machen Sie außerdem regelmäßig Backups. Immer wenn Sie Ihren Inhalt bearbeiten, machen Sie ein vollständiges DB- und Seiten Backup. So können Sie immer zum letzten Backup zurückkehren, falls doch mal etwas passieren sollte.

Das war es auch schon! Ich hoffe das Lesen dieses Textes hat Ihnen Freude bereitet und, noch wichtiger natürlich, ich konnte jemandem weiterhelfen.