WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You“

Millionen von Websites werden mit WordPress betrieben und belegen mit ca. 62% des Marktanteils in der CMS-Welt die Nummer eins. Vor 6 Jahren hatte ich hier schon mal berichtet, wie WPScan mit Kali Linux genutzt werden kann. Dort ist es schon vorinstalliert. Aber man kann es auch auf einem Debian Linux auf einen Raspberry Pi installieren und laufen lassen.

Hier mal ein Beispiel auf einem Pi Zero. Es gibt kein Package für wpscan. Aber es läuft unter Ruby, und das kann man leicht installieren.

Also wer ein WordPress am laufen hat, könnte seine eigene (und nur die!) Installation auf Lücken überprüfen, und nicht nur das. WPScan ist eine kostenlose Software, mit der die sicherheitsrelevanten Probleme auf einer WordPress-Site identifiziert werden können. WPScan kann ua.:

  • Die verwendete WP Version ausgeben
  • Alle installierten Plugins listen
  • Alle installierten Themen listen
  • Verzeichnis Listing
  • WP Versions ausgabe
  • Bruce force Usernamen, alle User Listen
  • Suchen nach vergessene Backups
  • DB dumps
  • Media Dateien listen
  • Sicherheitslücken ausgeben

Die Installation kann in ca. 1 Stunde wie folgt durchgeführt werden:

„WordPress auf Sicherheitslücken überprüfen mit WPScan auf einem Raspberry PI unter Debian – es muss nicht immer Kali sein und “ I Still Have Faith In You““ weiterlesen

Wie wird die Beitragsbreite vergrößert زيادات in WordPress Thema θέμα Twenty Seventeen?

Mancher hat auf seinen Raspberry Pi auch WordPress laufen, wie hier schon mal beschrieben und fragt sich evl. wie man die Breite der Beiträge vergrößern. Wie wird die Beitragsbreite vergrößern in WordPress Thema Twenty Seventeen (Version: 1.3) und ähliche?
Wie zum Beispiel auf dieser Seite oder auch hier.

Dann auf dem Menüpunkt „Zusätzliches CSS“ gehen:

Nach einem klick, öffnet sich dieser Editor: „Wie wird die Beitragsbreite vergrößert زيادات in WordPress Thema θέμα Twenty Seventeen?“ weiterlesen

Wie können in WordPress BPMN 2.0 Dateien angezeigt werden?

Dazu gibt es ein kleines WordPress Plugin mit Namen bpmn.io.
Die Anleitung zu dem bpmn.io Plugin ist hier zu finden.

Hier ein Beispiel meiner aktuellen Urlaubsplanung als BPMN 2.0. Man kann mit der Maus in das Bild klicken und über das Mausrad größer und kleiner scrollen.

[bpmn url=“http://blog.wenzlaff.de/wp-content/uploads/2016/08/transpazifik-kreuzfahr-2016.bpmn“ height=“250px“]

Habe ich was vergessen?

Wie können CSV Dateien in einen WordPress Blog importiert werden?

Wer z.B. nicht alle Kategorien (post_category) ua. eines WordPress Blogs per Hand eingeben möchte, kann auch eine CSV-Datei importieren, die muss folgenden Aufbau haben:

„Wie können CSV Dateien in einen WordPress Blog importiert werden?“ weiterlesen

Wie können URLs in einer WordPress Tabelle mit DataTables automatisch als Link angezeigt werden?

Mein Worpress-Blog der auf einem Raspberry Pi läuft, kann auch Tabellen mit dem DataTables Plugin anzeigen. Wer in einem WordPress-Blog Tabellen mit dem DataTables Plugin anzeigt, kann auch leicht automatisch die URLs als Link formatieren. So braucht man nicht alles aufwendig vorher in HTML convertieren. Das geht automatisch mit dem Automatic URL conversion Plugin. „Wie können URLs in einer WordPress Tabelle mit DataTables automatisch als Link angezeigt werden?“ weiterlesen

Wie können Tabellen in WordPress mit TablePress als PDF, CSV und im Excel Format exportiert werden?

Mit dem TablePress Plugin können leicht Tabellen erstellt und angezeigt werden.
Manchmal möchte man diese Tabelle als PDF oder als Excel exportieren. Das geht mit dem DataTables Buttons Plugin sehr schnell und einfach.

Dazu 1. die ZIP-Datei von downloaden.

2. Die Datei im Worpress Menü: Plugins – Installieren unter Plugin hochladen auswählen.

wp

3. Datei hochladen und Plugin aktivieren. „Wie können Tabellen in WordPress mit TablePress als PDF, CSV und im Excel Format exportiert werden?“ weiterlesen

Wie kann ein laufender Windows Rechner (oder Raspberry Pi) initial mit Debian 8 Jessie und WordPress 4.3 (mit SSL https) aufgesetzt werden?


Wie kann ein laufender Windows XP Rechner (oder Raspberry Pi) auf Debian 8 Jessie mit WordPress 4.3 (SSL), Apache2 (SSL, https), MySql und phpMyadmin erstellt werden? Hier die gewünschte Architektur:

Architekur

Alle Daten auf den Windows Rechner müssen vorher gesichert werden, da das ganze System mit Linux überschrieben wird.

Debian Jessie

installieren
z.B. tools/win32-loader/stable/win32-loader.exe laden und installieren mit SSH Zugang, ohne GUI
Beim Raspberry Pi, analog vorgehen, wie hier im Blog schon beschrieben.

LAMP

installieren mit:

WordPress Database

erstellen

WordPress

4.3 laden erstellen

Optional ein paar gute Plugins installieren. Hier mal eine kleine Auswahl z.B.:

Schon alt, läuft aber noch „Limit Login Attempts„.
Wenn man sich da selbst aussperrt, einfach in der DB folgenden SQL absetzen:

Hier noch ein paar:
Wordpress Plugins
Optional kann noch ein PDF Export für die Tabellen integriert werden, wie hier beschrieben und auch gleich die Extension für das automatische URL converting.

Optional: PhpMyAdmin

installieren
In /etc/phpmyadmin/apache.conf den Eintrag

Selbstsignierte SSL Zertifikate für Apache2

erzeugen und installieren

Optional: Testen

welche Ports offen sind und deaktivieren!

Optional: Vorhandenen Blog mit dem WP Plugin

„All In One WP Migration“

exportieren und importieren, wie hier schon mal beschrieben.
Beim export evl. in „Find (text) Replace with (another-text) in the database“ den Eintrag xxx.ALTE-DOMAINE durch YYY-NEUE-DOMAINE ersetzen.
Die *.wpress Datei dann importieren.

Optional testen, welche Apache Version läuft mit:

Optional, die History löschen, so das die erstellten Passwörter nicht ausgelesen werden können

Super, der WordPress Blog läuft nun verschlüsselt über https 😉

Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!

Das vorkonfigurierte Image von PressPi enthält WordPress mit Datenbank und Server (Nginx). Das ganze kann wirklich leicht zum laufen gebracht werden. Es läuft unter Debian Wheezy

Linux presspi 3.18.7+ #755 PREEMPT Thu Feb 12 17:14:31 GMT 2015 armv6l GNU/Linux

1. Download von http://presspi.com/ das PressPi_v2.2.zip und die enpacken, so das eine PressPi_v2.2.img Datei entsteht.

2. Das PressPi_v2.2.img (7,9GB) auf die SD-Karte kopieren mit:

Nach der Installation sind auf der 8 GB Karte noch 45% Speicher für Nutzerdaten frei.

3. Nach der Installation und booten und anmelden mit SSH User: pi Passwort: raspberry, den SD-Karten Speicher auf die maximale SD-Karten Größe anpassen und gleich das Passwort ändern:

Aufruf im Browser mit der PI-ADRESSE liefert:
Pi Server

Der Server läuft und weiter unten gibt es die folgenden Angaben: „Raspberry Pi: Wie kann WordPress mit Datenbank (MySQL) und Server (Nginx) vorkonfiguriert installiert werden? Mit PressPi!“ weiterlesen

Kali Linux: WordPress Security Scanner wpscan

Wer gerade seinen Raspberry Pi mit Kali laufen hat, kann mal eben seinen WordPress Blog auf Sicherheitslücken testen mit dem Ruby wpscan. Bei Kali ist es schon installiert aber auch bei anderen Linux derivaten kann er installiert werden. Was kann der Scanner so:

  • Alle installierten Plugins listen
  • Namen des Themas ausgeben
  • Verzeichnis Listing
  • Versions ausgabe
  • Bruce force Usernamen
  • Sicherheitslücken ausgeben

Also erst einmal den Scanner (es gibt jetzt auch die Version 2.8) updaten mit:

Wpscan

Ok, jetzt testen wir mal gegen unseren eigenen WordPress Blog, und nur gegen den, ob das Passwort für admin sicher ist:

Weitere Beispiele unter wpscan -help

Wie wird der automatisch Update von WordPress abgeschaltet?

In der Datei /wp-config.php die im root Verzeichnis der WordPress installation liegt, folgende Einträge ergänzen:

Wie können WordPress-Blog Einträge via E-Mail geschrieben und veröffentlicht werden?

Um Beiträge in WordPress via E-Mail zu veröffentlichen, musst du ein geheimes E-Mail-Konto mit POP3-Zugang einrichten. Jede E-Mail, die an diese Adresse geschickt wird, wird auf deiner Seite veröffentlicht, halt deshalb diese Adresse strengstens geheim.

Also zum Beispiel eine E-Mail: geheim-121334341@beispiel.de einrichten und in WordPress unter „Einstellungen – Schreiben“ eintragen. Dann noch den Mailserver (z.B. pop3.beispiel.de), Login-Name (das ist die eingerichtete E-Mail), Passwort und die Kategorie in der der Eintrag erscheinen soll auswählen.
Dann auf „Änderungen übernehmen“ klicken.

Jetzt kann an diese geheime E-Mail Adresse ein Blog-Eintrag gesendet werden. Er wird aber nur veröffentlicht, wenn nach dem senden, die folgende URL im Browser aufgerufen wird z.B. blog.beispiel.de/wp-admin/post-new.php.

WordPress quittiert diesen Aufruf mit z.B.:

Der Autor ist senderf@beispiel.de

Autor: 2

Vergebener Titel: Testeintrag

Mission erfüllt.

Der Beitrag ist nun unter dem Menü „Seiten“ zu finden und wird nur dann auch gleichzeitig veröffentlicht, wenn der Sender als Benutzer eingetragen ist.
Also evl. noch unter „Benutzer – neuen Benutzer“ einen Benutzer mit der E-Mail-Adresse des Absender anlegen.

Weitere Möglichkeiten sind auf WordPress (engl.) zu finden.