FAQ Übersicht

Cloud4U

Wie kann ich einen neuen Cloud4U Benutzer erstellen?

Dazu melden Sie sich als erstes als Administrator auf Ihrer Cloud4U an. Dann wechseln Sie in den Benutzer Verwaltungsmodus:

Sie erhalten nun eine Übersicht mit allen aktuell vorhandenen Benutzerkonten. Um einen neuen Benutzer zu erstellen, klicken Sie auf "Neuer Benutzer":

In der Benutzerliste erscheint ein neuer Eintrag, welcher ausgefüllt werden muss. Wenn Sie die Gruppen und die anderen Felder ausgefüllt haben, klicken Sie auf den Pfeil rechts:

Der neue Benutzer wurde erstellt und kann sich bereits direkt nach dem erstellen auf Ihrer Cloud4U anmelden.

Verfasser: Adrian Chaventre
Letzte Änderung: 2019-09-05 11:18


Wie kann ich einen vorhandenen Cloud4U Benutzer bearbeiten?

Dazu melden Sie sich als erstes als Administrator auf Ihrer Cloud4U an. Dann wechseln Sie in den Benutzer Verwaltungsmodus:

Sie erhalten nun eine Übersicht mit allen aktuell vorhandenen Benutzerkonten. Suchen Sie sich den Benutzer heraus, welchen Sie bearbeiten möchten und ändern Sie den Benutzer entsprechend ab. Die Änderungen werden automatisch gespeichert:

Mit einem Klick auf die 3 Punkte auf der rechten Seite des Benutzers können Sie übrigends den Benutzer deaktiveren oder die Willkommens-E-Mail erneut versenden:

Verfasser: Adrian Chaventre
Letzte Änderung: 2019-09-05 11:53


Webhosting4U / Mail4U

Wie kann ich einen FTP-Benutzer löschen?

In dieser Anleitung erklären wir Ihnen, wie Sie einen vorhandenen FTP-Benutzer löschen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "FTP-Benutzer" - Sie erhalten eine Übersicht mit den aktuellen FTP-Benutzern und wieviele Sie maximal erstellen können.

Suchen Sie nach dem Benutzernamen des FTP-Benutzers, welchen Sie bearbeiten möchten und klicken bei Optionen auf den roten Kreis mit weißem Strich (das ist das Symbol zum löschen).

Sie kommen zu einer Seite in welcher Sie das Löschen des Benutzers erneut bestätigen müssen. Hier haben Sie bei "Home-Verzeichnis löschen" auch die Wahl, ob die Dateien, welche sich im Home Verzeichniss des FTP-Benutzers befinden, gelöscht werden sollen - Falls Ja, machen Sie einen Haken bei "Ja".

Wenn Sie die Löschung bestätigt haben, klicken Sie auf "Löschen" und der Benutzer wird gelöscht.

Verfasser: MakeIT4U Admin
Letzte Änderung: 2018-08-24 18:17


Wie kann ich einen FTP-Benutzer erstellen?

In dieser Anleitung erklären wir Ihnen, wie Sie einen neuen FTP-Benutzer erstellen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welchem Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "FTP-Benutzer" - Sie erhalten eine Übersicht mit den aktuellen FTP-Benutzern und wieviele Sie maximal erstellen können. Wenn Sie einen weiteren oder Ihren ersten FTP-Benutzer erstellen möchten, klicken Sie auf der rechten Seite auf "FTP-Benutzer hinzufügen".

Es öffnet sich eine Eingabemaske, in welcher Sie eine Beschreibung, das Home-Verzeichnis und das Kennwort für den FTP-Benutzer eintragen können. Der Benutzername wird automatisch hinterlegt.

Wenn Sie ein Kennwort vergeben haben, können Sie den FTP-Benutzer mit einem Klick auf "Speichern" erstellen und direkt im Anschluss mit einem FTP-Programm Ihrer Wahl verwenden. Die Serverdaten erhalten Sie in der "FTP-Benutzer" Übersicht auf der rechten Seite.

Verfasser: MakeIT4U Admin
Letzte Änderung: 2018-08-24 18:18


Wie kann ich einen FTP-Benutzer bearbeiten?

In dieser Anleitung erklären wir Ihnen, wie Sie einen vorhandenen FTP-Benutzer bearbeiten können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "FTP-Benutzer" - Sie erhalten eine Übersicht mit den aktuellen FTP-Benutzern und wieviele Sie maximal erstellen können.

Suchen Sie nach dem Benutzernamen des FTP-Benutzers, welchen Sie bearbeiten möchten und klicken bei Optionen auf den Bleistift. Es öffnet sich eine Eingabemaske, in welcher Sie eine Beschreibung, das Home-Verzeichnis und das Kennwort für den FTP-Benutzer bearbeiten können.

Wenn Sie alle Änderungen abgeschlossen haben, können Sie mit einem Klick auf "Speichern" den Eintrag abspeichern.

Verfasser: MakeIT4U Admin
Letzte Änderung: 2018-08-24 18:18


Wie kann ich ein E-Mail Konto erstellen?

In dieser Anleitung erklären wir Ihnen, wie Sie ein neues E-Mail Konto erstellen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "E-Mail-Adressen" - Sie erhalten eine Übersicht mit den aktuellen E-Mail Konten und wieviele Sie maximal erstellen können.

Um ein neues E-Mail Konto zu erstellen, klicken Sie auf "E-Mail Konto hinzufügen". Nun können Sie bei E-Mail Adresse die primäre E-Mail Adresse eingeben, welche auch verwendet wird um E-Mail zu versenden. Wenn Sie mehrere Domains haben können Sie auch die Domain für den neuen E-Mail Account auswählen.

Wenn Sie möchten, können Sie auch eine Beschreibung für das neue Postfach eintragen. Vergeben Sie ein Kennwort für das neue E-Mail Konto und vergeben die Mailboxgröße (wir empfehlen die E-Mail Konten nicht größer als 4 GB).

Klicken Sie auf "Speichern" und das neue E-Mail Konto ist aktiv und kann verwendet werden.

Verfasser: ac
Letzte Änderung: 2018-08-30 13:51


Wie kann ich ein E-Mail Konto bearbeiten?

In dieser Anleitung erklären wir Ihnen, wie Sie ein vorhandenes E-Mail Konto bearbeiten können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "E-Mail-Adressen" - Sie erhalten eine Übersicht mit den aktuellen E-Mail Konten und wieviele Sie maximal erstellen können.

Suchen Sie E-Mail Postfach, welches Sie bearbeiten möchten, und klicken Sie auf den gelben Bleistift in der gleichen Spalte auf der rechten Seite. Nun können Sie die Änderungen an dem ausgewählten Postfach vornehmen und am Ende der Seite mit "Speichern" die neuen Daten übernehmen.

Verfasser: ac
Letzte Änderung: 2018-08-30 13:54


Wie kann ich ein E-Mail Konto löschen?

In dieser Anleitung erklären wir Ihnen, wie Sie ein vorhandenes E-Mail Konto löschen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "E-Mail-Adressen" - Sie erhalten eine Übersicht mit den aktuellen E-Mail Konten und wieviele Sie maximal erstellen können.

Suchen Sie E-Mail Postfach, welches Sie löschen möchten, und klicken Sie auf das rote Symbol mit einem weißen Strich in der Mitte. Bitte beachten Sie, dass alle E-Mails, welche sich in den Postfach befinden, nach dem löschen des Postfachs nicht mehr vorhanden sind. Erstellen Sie bitte vor der Löschung eine Datensicherung der E-Mails in einem lokalen E-Mail Archiv. Wenn Sie das Postfach löschen möchten, machen Sie einen Haken bei "Bestätigung" und klicken rechts unten auf den Button "Löschen". Das Postfach wurde gelöscht und die E-Mail Adresse ist nicht mehr vorhanden.

Verfasser: ac
Letzte Änderung: 2018-08-30 13:57


Wie kann ich bei einem E-Mail Konto Alias E-Mail Adressen hinzufügen?

In dieser Anleitung erklären wir Ihnen, wie Sie bei einem vorhandenen E-Mail Konto neue E-Mail Alias Adressen hinzufügen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "E-Mail-Adressen" - Sie erhalten eine Übersicht mit den aktuellen E-Mail Konten und wieviele Sie maximal erstellen können.

Suchen Sie E-Mail Postfach, welches Sie bearbeiten möchten, und klicken Sie auf den gelben Bleistift in der gleichen Spalte auf der rechten Seite. Beim Punkt "Alias Adressen" können Sie die neuen E-Mail Alias Adressen hinzufügen - beachten Sie bei mehreren Domains dass Sie die richtige Domain ausgewählt haben.

Um die neuen E-Mail Alias Adresse zu übernehmen klicken Sie am Ende der Seite auf "Speichern".

Verfasser: ac
Letzte Änderung: 2018-08-30 14:00


Wie kann ich den verbrauchten Speicherplatz eines E-Mail Kontos sehen?

In dieser Anleitung erklären wir Ihnen, wie Sie den verbrauchten Speicherplatz eines vorhandenen E-Mail Kontos anzeigen lassen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, klicken Sie im linken Menü auf den Punkt "E-Mail-Adressen" - Sie erhalten eine Übersicht mit den aktuellen E-Mail Konten und wieviele Sie maximal erstellen können.

Suchen Sie das entsprechende E-Mail Postfach und schauen in der Tabellenspalte "Postfachgröße" nach der aktuellen Speicherbelegung des Postfaches.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:01


Wie kann ich sehen, wieviel Platz meine Webseite verbraucht?

In dieser Anleitung erklären wir Ihnen, wie Sie den verbrauchten Speicherplatz Ihrer Webseite angezeigt bekommen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, erhalten Sie bereits die Übersicht an Ihrem gesamten Speicherplatz und welche Komponenten wieviel Speicherplatz davon belegen. Unter dem Punkt "Webspace" steht, wieviel Ihre Webseite an Speicherplatz verbraucht.

Wenn Sie dazu fragen haben sollten oder Ihnen der Speicherplatz nicht ausreicht, können Sie uns gerne dazu telefonisch kontaktieren.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:04


Wie kann ich sehen, wie viel Platz alle meine E-Mail Konten verbrauchen?

In dieser Anleitung erklären wir Ihnen, wie Sie den verbrauchten Speicherplatz von allen E-Mail Konten angezeigt bekommen können.

Dazu loggen Sie sich mit Ihren Benutzerdaten auf einem unserer Systeme ein (dies unterscheidet sich, welcher Server Ihnen zugeordnet wurde). Wenn Sie sich angemeldet haben, erhalten Sie bereits die Übersicht an Ihrem gesamten Speicherplatz und welche Komponenten wieviel Speicherplatz davon belegen. Unter dem Punkt "E-Mails" steht, wieviel Ihre E-Mail Konten an Speicherplatz verbrauchen.

Wenn Sie dazu fragen haben sollten oder Ihnen der Speicherplatz nicht ausreicht, können Sie uns gerne dazu telefonisch kontaktieren.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:06


Wie kann ich meiner Webseite ein SSL-Zertifikat hinzufügen?

Damit die Verbindung zwischen Ihren Webseiten Besuchern und unserem Webserver durch ein SSL-Zertifikat gesichert ist, müssen Sie direkt mit uns Kontakt aufnehmen. Wir beraten Sie und finden das richtige SSL-Zertifikat für Sie.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:07


Welche CMS-Systeme kann ich verwenden?

In der Auswahl an Content Management Systemen (CMS) sind Sie frei, auf unseren Webserver laufen aktuelle Versionen von MySQL, Apache2 und PHP. Wenn Ihnen eine Komponente fehlen sollte oder sie aus einem anderen Grund Ihr CMS nicht auf unseren Webserver installiert bekommen sollten, können Sie sich gerne direkt bei uns melden - wir helfen Ihnen bei diesem Problem.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:09


Wie kann ich ein E-Mail Konto als Catch-All Postfach einrichten?

In dieser Anleitung möchten wir Ihnen zeigen, wie Sie ein E-Mail Konto als "Catch-All" Postfach einrichten können.

Bevor wir mit der Anleitung beginnen möchten wir Ihnen gerne erklären, was ein "Catch-All" Postfach ist. Stellen Sie sich vor, dass Ihre Domain nur eine E-Mail Adresse hat: info@ihredomain.de. Wenn Ihnen eine E-Mail an kontakt@ihredomain.de gesendet wird, erhalten Sie diese E-Mail nicht. Im Catch-All Postfach landen alle E-Mails, welche an Ihre Domain gesendet werden und kein Postfach dafür existiert.

Wenn Sie ein neues Postfach für das Catch-All Konto erstellen möchten, folgen Sie der Anleitung zum erstellen eines neuen Postfachs und aktivieren Sie den Punkt "Catch-All aktivieren". Wenn Sie das Konto abgespeichert haben, ist das Catch-All Postfach bereits aktiv und nimmt alle E-Mails entgegen, welche an Ihre Domain gesendet wurden und kein Postfach vorhanden ist.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:13


Wo liegen meine Daten bei Webhosting4U und Mail4U?

Wir schreiben Datenschutz Groß und daher machen wir kein Geheimnis daraus, wo sich Ihre Daten befinden. Ihre Daten von Mail4U und Webhosting4U liegen in einem Rechenzentrum in Karlsruhe.

In diesem Rechenzentrum haben wir Serverschränke angemietet, allerdings steht in diesen Serverschränken unsere Hardware.

Wenn Sie zum Thema Datenschutz und wo sich ihre Daten befinden noch weitere oder ausführlichere Antworten benötigen, freuen wir uns auf Ihren Anruf.

Verfasser: ac
Letzte Änderung: 2018-08-30 14:16


Remote4U

Wo kann ich den Remote4U Client herunterladen?

Damit wir Ihnen über eine Remotesitzung helfen können, müssen Sie folgende Schritte unternehmen:

Besuchen Sie unsere Webseite unter https://www.makeit4u.de/ und klicken am Ende der Webseite unter "Service" auf "Tools". Dort erhalten Sie eine Übersicht unserer Tools, welche wir für Sie bereitstellen.
Klicken Sie auf "Remote4U Fernwartung" oder auf das Bild - es öffnet sich ein neues Tab in Ihrem Browser.
Wenn die Seite im neuen Tab geladen hat, werden Sie nach einem Verbindungscode gefragt - diesen erhalten Sie telefonisch von Ihrem MakeIT4U Support Mitarbeiter. Geben Sie Code in das Feld ein und klicken auf "Fernzugriff erlauben".
Je nach dem welchen Internet Browser Sie verwenden, wird der Download sofort gestartet oder Sie müssen diesen bestätigen - wenn Sie die Möglichkeit haben die Datei sofort zu öffnen, machen Sie das.
Wenn Sie das Programm heruntergeladen haben, öffnen Sie es.
In dem Moment in dem das Programm geöffnet wird, wird die Verbindung zu unserem Service Mitarbeiter aufgebaut.
Wenn Sie mit einem dieser Schritte Probleme haben sollten, hilft Ihnen ein Service Mitarbeiter der MakeIT4U gerne persönlich dabei.

Verfasser: MakeIT4U Admin
Letzte Änderung: 2018-08-24 18:17


XML-RPC und WordPress: Das einprogrammierte Einfallstor für Hacker, von dem kaum jemand weiß

XML-RPC und WordPress: Das einprogrammierte Einfallstor für Hacker, von dem kaum jemand weiß

  • XML-RPC: Was so aussieht, als wäre jemand mit dem Kopf auf der Tastatur eingeschlafen, ist in Wirklichkeit eine Schwachstelle in WordPress, über die Hacker dich mit einer DDoS- oder Brute-Force-Attacke angreifen können. Entsprechende Angriffe werden seit einigen Jahren immer wieder beobachtet. Das Problem verbirgt sich in einer Datei namens xmlrpc.php, die im Root-Ordner deiner WordPress-Installation liegt. Ich erkläre dir, was XML-RPC ist und warum du ein Auge darauf haben solltest.

linie infobox

Was ist also dieses XML-RPC, von dem bei vielen WordPress-Updates die Rede ist – und noch wichtiger: warum aktiviert WordPress XML-RPC standardmäßig, obwohl bekannt ist, dass die Schnittstelle eine riesige Schwachstelle ist?

XML-RPC ist eine Schnittstelle, deren etwas unhandliche Abkürzung für Extensible Markup Language Remote Procedure Call steht.

Der letzte Teil gibt schon Aufschluss darüber, wofür WordPress XML-RPC nutzt. Die Schnittstelle ermöglicht es, eine Verbindung zu WordPress aufzubauen und Daten zu verändern, ohne im WordPress-Dashboard eingeloggt zu sein. Mit XML-RPC lässt sich WordPress also quasi fernsteuern.

So kannst du damit über Desktop- oder Smartphone-Apps Content auf deiner WordPress-Seite verwalten, Bilder hochladen und die Kommentare bearbeiten. Solche Apps sind zum Beispiel die WordPress Mobile App, JetPack, BuddyPress und der Windows Live Writer. Aber auch einige Themes nutzen die XML-RPC-Schnittstelle.

Abgesehen davon benötigt WordPress XML-RPC, damit die Pingback-Funktion ihren Job tut, du also benachrichtigt wirst, wenn jemand einen Link zu deiner Seite setzt. Die Schnittstelle gibt WordPress-Nutzern also mehr Kontrolle und Macht über ihre WordPress-Projekte und ist zudem funktionsrelevant. Deshalb hat WordPress XML-RPC seit Version 3.5 standardmäßig aktiviert.

XML-RPC: Von Anfang an aktiv, vielen Nutzern aber unbekannt

Die wenigsten WordPress-Nutzer wissen, dass sie von Desktop- oder Smartphone-Apps aus Artikel verfassen können. Tatsächlich verwalten die allermeisten Webmaster ihre Inhalte direkt aus dem Backend heraus. Die XML-RPC-Schnittstelle ist für sie also völlig irrelevant. Meistens wissen sie nicht einmal, dass sie aktiv ist.

Und das ist ein Problem – denn die Schnittstelle kann Hackern als Türöffner für einen Angriff auf deine Seite dienen.

Deshalb erkläre ich dir heute:

Wie relevant ist XML-RPC für dich als normaler WordPress-Nutzer?

Der Hack über die xmlrpc.php ist bereits seit einigen Jahren bekannt. Ein erster Höhepunkt in der Anzahl der Angriffe wurde schon im Juli 2014 erreicht. Sucuri vermeldete damals über 200.000 Angriffe am Tag. Das waren aber nur die offiziellen Zahlen: Nach geblockten Versuchen löscht die Sicherheitssoftware Sucuri die Log-Dateien, zudem werden nur geblockte Angriffe verzeichnet, sodass die Dunkelziffer wesentlich höher liegen dürfte. 

Und das Thema hat bis heute nicht an Aktualität verloren. Tatsächlich hat Wordfence, Hersteller einer Sicherheitssoftware für WordPress, erst im Januar 2017 wieder entsprechende Daten vorgelegt.

Die Grafik zeigt die Anzahl der in den letzten beiden Januarwochen gefahrenen Attacken auf wp-login und auch XMLrpc.
In den letzten zwei Januarwochen beobachtete man hier insgesamt 108 Millionen Attacken auf WordPress-Seiten, die über die XMLrpc-Schnittstelle gefahren wurden. Dagegen waren es im gleichen Zeitraum „nur“ 106 Millionen “traditionelle” Brute-Force-Angriffe.

Auch hier gehen in die Statistik nur die Angriffe ein, die von Wordfence abgewehrt werden. Diese Zahl beinhaltet also die erfolgreichen Attacken gar nicht erst.

Hier ist deutlich erkennbar, dass sich der Großteil der Brute Force Angriffe gleich sowohl auf wp-login als auch auf XMLrpc konzentrieren.
Hier ist deutlich erkennbar, dass sich der Großteil der Brute-Force-Angriffe gleich auf den wp-login und auf die XMLrpc-Schnittstelle konzentriert.

Ebenfalls interessant: Ein Großteil der Brute-Force-Attacken richtet sich gegen beide Schwachstellen. Während 11.453 angreifende IPs ausschließlich XML-RPC und 38.771 lediglich den wp-login angriffen, richteten sich ganze 224.461 unique IPs sowohl gegen XML-RPC als auch gegen den WP-Login. Es wird also nichts unversucht gelassen. Für dich heißt das: Du solltest dich gegen beide Sorten von Angriffen absichern.

WordPress & XML-RPC: Eine Schwachstelle, zwei Angriffsmöglichkeiten

Es gibt grundlegend zwei Varianten, wie Hacker XML-RPC für sich ausnutzen können:

  • Sie fahren eine Distributed Denial of Service (DDoS)-Attacke
  • Sie greifen die Seite mit einem Brute-Force-Angriff an

Variante 1: DDoS

Bei einer DDoS-Attacke versuchen Hacker, einen Dienst so stark zu strapazieren, dass er den Geist aufgibt. Dazu wird der Server mit massenhaft Anfragen überlastet, bis er in die Knie geht. Das geschieht in diesem Fall über die Pingback-Funktion der XML-RPC-Schnittstelle.

Ein Pingback funktioniert folgendermaßen: Du veröffentlichst einen Artikel, der einen Link zu einer anderen Webseite enthält. Nun geht automatisch ein sogenannter Ping an diese Webseite, um sie darüber zu benachrichtigen. Die Webseite nimmt den Ping entgegen, überprüft, ob auf deiner Seite auch tatsächlich ein Link gesetzt wurde, und nimmt deinen Beitrag dann auf die eigene Seite auf (z. B. als Textauszug im Kommentarbereich der Seite, die du verlinkt hast).

Es findet also eine Serveranfrage statt, ein sogenannter Pingback-Request: Deine Seite klopft an, eine andere Seite reagiert. Hacker nutzen diese Funktionalität aus, indem sie massig gefälschte Pingback-Requests an diverse WordPress-Seiten aussenden. Als Quelle geben sie die Adresse des Opfers an – nehmen wir mal an, das bist du.

Alle WordPress-Seiten, bei denen die Pingback-Requests eingehen, überprüfen nun auf deiner Seite, ob dort tatsächlich ein Link gesetzt wurde. Es versuchen also tausende Seiten gleichzeitig, auf deine zuzugreifen. Das führt in kürzester Zeit zur Überlastung – und deine Seite ist weg vom Netz.

Glaubt man Wordfence, ist es allerdings wenig effektiv, eine DDoS-Attacke auf diese Art durchzuführen. Anti-Spam-Plugins wie Akismet sind heute außerdem recht gut darin geworden, diese Art von Angriff schnell zu identifizieren und zu blocken.

Gefährlicher sind Brute-Force-Attacken, die über die auf WordPress über die XML-RPC-Schnittstelle gefahren werden.

Variante 2: Brute-Force-Angriff

Wir erinnern uns: Brute-Force-Attacken versuchen durch das systematische Durchtesten von Passwortlisten den Zugang zu deiner Seite zu erraten und so in deine Seite einzubrechen.

Vielen Webmastern ist das Problem inzwischen bekannt. Sie sichern ihren Adminbereich immer besser ab. Hacker haben es also inzwischen schwerer und schwerer, über den herkömmlichen Weg eine erfolgreiche Brute-Force-Attacke zu fahren.

Also suchen sie sich andere Angriffspunkte. Und dazu gehört die XML-RPC Schnittstelle.

Problematisch daran ist, dass diese Schnittstelle wesentlich einfacher anzugreifen ist als der Adminbereich. Mit den passenden Tools können Hacker hier bis zu 500 Passwörter in einer Anfrage probieren. Die XML-RPC Schnittstelle enthält nämlich eine weitestgehend unbekannte Funktion namens system.multicall, mit der zahlreiche Befehle gleichzeitig in nur einer HTTP-Anfrage ausgeführt werden können.

Unabhängig davon, wie viele Passwörter damit getestet werden, stellt dein System nur eine einzige Anfrage fest. Wenn du deine Seite mit dem Limit Login Attempts Ansatz schützt, der nach einer bestimmten Anzahl von Anfragen weitere Login-Versuche unterbindet, stehst du jetzt im Regen. Bis Limit Login Attempts merkt, was im Busch ist, haben die Hacker möglicherweise schon abertausende von Passwörtern getestet – mehrere hundert pro Anfrage. Und die xmlrpc.php gibt jedes Mal brav Auskunft darüber, ob die Kombination aus Username und Passwort korrekt ist.

Die Konsequenz ist klar: Wenn du die XML-RPC Schnittstelle nicht nutzt, solltest du sie deaktivieren. Deshalb erkläre ich dir jetzt, wie du das Sicherheitsrisiko XML-RPC bei WordPress eindämmst.

Die XML-RPC Schnittstelle deaktivieren – schnell und einfach

Um die Schnittstelle auszuschalten, hast du verschiedene Möglichkeiten.

1. Zugriffe auf xmlrpc.php über die .htaccess blockieren

Läuft deine Webseite auf einem Apache-Server, ist der erste Ansatz, einfach die Zugriffe auf die xmlrpc.php zu deaktivieren. Viele Quellen raten dazu folgenden Code in die .htaccess zu kopieren, um die xmlrpc.php zu schützen und so auch die Performance zu verbessern:

<Files xmlrpc.php>

Order allow,deny

Deny from all

</Files>

Benutzt du Nginx, kannst du deiner Konfiguration folgenden Code hinzufüen:

server {  location = /xmlrpc.php { deny all; access_log off; log_not_found off; }  }

2. XMLrpc über ein Plugin deaktivieren

Allerdings berichten einige User, dass das bei ihnen zumindest bei Apache gelegentlich nicht funktioniert.

Du kannst die Schnittstelle in diesem Fall auch komplett deaktivieren (vorausgesetzt, du kannst ohne Pingbacks leben und verwaltest deine WordPress-Seite sowieso aus dem Backend).

Denkbar einfach funktioniert das mit dem Plugin Disable XML-RPC. Es gibt nicht mal ein Admin-Interface – ist das Plugin aktiviert, ist die XML-RPC Schnittstelle deaktiviert. Deaktivierst du das Plugin, schaltet sich die Schnittstelle wieder ein.
Wenn du die Pingback-Funktion behalten willst, kannst du stattdessen das Plugin Manage XML-RPC benutzen, das es dir auch ermöglicht, die xmlrpc-php nur für bestimmte IPs zu blockieren.

3. XML-RPC über einen Filter abschalten

Es besteht auch die Möglichkeit, die Schnittstelle mit ein paar Codezeilen in der functions.php zu deaktivieren. Bei dieser Variante musst du zusätzlich auch den HTTP-Header-Eintrag deaktivieren, damit die xmlrpc.php gar nicht mehr angezeigt wird. Ansonsten kann die Datei immer noch angefragt werden, was die Performance negativ beeinträchtigen würde.
Der gesamte Code dazu sieht aus wie folgt und wird unten in die functions.php reinkopiert:

<?php
/* Die XMLRPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );
/* Den HTTP-Header vom XMLRPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
function AH_remove_x_pingback( $headers )
{
unset( $headers['X-Pingback'] );
return $headers;
}

XML-RPC und Themes – Hier kann es zu Problemen kommen

XML-RPC ist wie gesagt eine Schnittstelle, die es dir erlaubt, über Drittanbieter-Anwendungen dein WordPress zu managen. Damit ist XML-RPC im Grunde etwas sehr Praktisches. Das haben auch viele Theme-Hersteller erkannt und bieten die Kompatibilität mit Drittanbieter-Apps als Feature an. Das bedeutet, dass manche Themes XML-RPC zum Funktionieren brauchen oder aber, dass die Konfigurationen des Parent Theme die Anpassungen zum Deaktivieren von XML-RPC im Child Theme aushebeln.

Es kann also passieren, dass sich XML-RPC nicht vernünftig schließen lässt. Ob und wie dein Theme die Schnittstelle nutzt, erfragst du am besten direkt beim Themehersteller.

Fazit: Man muss wissen, dass WordPress XML-RPC standardmäßig nutzt

Seit Version 3.5 ist bei WordPress XML-RPC standardmäßig aktiviert. Die Schnittstelle ermöglicht es, aus der Ferne auf das WordPress-System zuzugreifen und Pingbacks zu empfangen. WordPress wollte mit der Default-Aktivierung vor allem der Verlagerung zu einer “mobile world” Rechnung tragen.

Allerdings verwalten die allermeisten Webmaster ihre WordPress-Seite ausschließlich aus dem Backend heraus. Und Pingbacks sind sowieso ziemlich 2001. Erfolgreiches Linkbuilding findet heute in der Regel über den direkten Kontakt statt. Deine Erfolgschancen auf einen Backlink sind also wesentlich höher, wenn du dich persönlich bei anderen Profis und Influencern meldest, deren Seite du verlinkst, statt automatische Benachrichtigungen zu verschicken.

Unterm Strich hast du von einer ungenutzten XML-RPC Schnittstelle nichts außer ein Sicherheitsrisiko. Wir raten dir deshalb dazu, die Schnittstelle zu deaktivieren, wenn du sie nicht brauchst.

Verfasser: Hans-Wolfgang Hunsaenger
Letzte Änderung: 2019-09-25 11:53


Windows Performance Messung mit Bordmitteln

Das Kommandozeilen-Tool WinSAT

Wenig bekannt ist, dass Windows über ein Kommandozeilen-Tool namens WinSAT verfügt, das die gewünschten Werte ermitteln kann. Damit lässt sich die Geschwindigkeit von allen lokalen Speichermedien testen, die über einen Laufwerksbuchstaben oder alternativ ihre physische Datenträgernummer ansprechbar sind. Letzteres können Sie mit diskpart und dem Kommando list disk ermitteln.

 02WinSAT Befehlsaufbau

Um WinSAT zu starten, öffnen Sie eine Eingabeaufforderung als Administrator. Eine Übersicht über die Syntax sowie notwendige und optionale Parameter erhalten Sie mit dem Befehl

winsat -?

- oder etwas übersichtlicher auf dieser Technet-Seite. Der generelle Befehlsaufbau lautet:

winsat <Bewertungsname> <Parameter>

 

03Performance-Test eines Datenträgers starten

Die Performance von Datenträgern testen Sie, indem Sie als Bewertungsnamen disk angeben. Um sich ausführlich über die Lese- und Schreibgeschwindigkeit Ihres Systemlaufwerks, in der Regel C:, zu informieren, reicht das Kommando:

winsat disk

Hierfür sollten Sie aber ausreichend Zeit einplanen. Je nach Größe des Speichermediums kann ein solcher Test durchaus mehrere Stunden dauern. So benötigte ein USB-Stick mit 32 GByte bereits über eine Stunde, um den umfassenden Check zu absolvieren.

 
 
 

04Sequenzielle Lesegeschwindigkeit testen

Es empfiehlt sich daher, gezielter vorzugehen und mit Parametern zu arbeiten. Um zum Beispiel die sequenzielle Lesegeschwindigkeit von Laufwerk F: zu prüfen, tippen Sie diesen Befehl ein:

winsat disk -seq -read -drive f

Beachten Sie, dass Sie das Laufwerk ohne Doppelpunkt angeben. Ansonsten wertet Windows dies als ungültiges Kommando.

 

05Sequenzielle Schreibgeschwindigkeit testen

Neben der Lese- lässt sich natürlich auch die Schreibgeschwindigkeit testen. Das erreichen Sie mit dem folgenden Befehl:

winsat disk -seq -write -drive f

 

06Random-Test der Schreib-und Lesegeschwindigkeit durchführen

Wer statt mit sequenziellen lieber mit Zufallsdaten testet, ersetzt den Parameter -seq durch -ran. Das Ergebnis lässt sich auch in eine Datei schreiben. Dazu können Sie einfach das Umleitungszeichen (>) oder den optionalen Parameter -xml <Dateiname> verwenden. Die XML-Datei können Sie anschließend zum Beispiel mit dem XML Notepad von Microsoft anzeigen. Eine Protokolldatei mit dem Namen winsat.log finden Sie überdies unter C:\Windows\Performance\WinSAT. (hal)

Verfasser: Hans-Wolfgang Hunsaenger
Letzte Änderung: 2019-09-19 15:21


VMWare 4,5,6 virtuelle maschine starten wenn powered off

#!/bin/sh
STR="Powered off"
/bin/vim-cmd vmsvc/getallvms |grep vmx-08 | awk '{print $1}' > /vmfs/volumes/vm1-raid6/skripte/erg
while read line
do
{
X1=$(/bin/vim-cmd vmsvc/power.getstate $line | grep "$STR")
if [ "$X1" = "$STR" ] ; then $(/bin/vim-cmd vmsvc/power.on $line)
else echo $line "ist on"
fi
}
done < /vmfs/volumes/vm1-raid6/skripte/erg

Verfasser: Hans-Wolfgang Hunsaenger
Letzte Änderung: 2019-09-23 11:09